本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

管理 AWS Backup 跨多个资源 AWS 账户

Cross-account 管理概述

您可以使用中的跨账户管理功能 AWS Backup 来管理和监控您配置的备份、还原和复制作业。 AWS 账户 AWS OrganizationsAWS Organizations是一项通过单个管理账户为多个账户提供基于策略 AWS 账户 的管理的服务。它使您能够标准化您实施备份策略的方式，同时最大限度地减少手动错误和工作量。从中央视图中，您可以轻松地识别所有账户中符合您关注条件的资源。

如果您进行了设置 AWS Organizations，则可以配置 AWS Backup 为在一个地方监控所有账户中的活动。您还可以创建备份策略并将其应用于组织中的选定账户，并直接从 AWS Backup 控制台查看聚合备份任务活动。此功能使备份管理员能够从单个管理账户有效地监控整个企业中数百个账户的备份作业状态。AWS Organizations 配额适用。

例如，您可以定义一个备份策略 A，该策略每天对特定资源进行备份并将备份保留 7 天。您可以选择将备份策略 A 应用于整个组织。（这意味着组织中的每个账户都会获得该备份策略，该策略会创建一个在该账户中可见的对应备份计划。） 然后，您创建一个名为 Finance 的 OU，并决定仅将其备份保留 30 天。在这种情况下，您定义一个备份策略 B，该策略将覆盖生命周期值，并将其附加到 Finance OU。这意味着 Finance OU 下的所有账户都会获得一个新的有效备份计划，该计划每天对所有指定的资源进行备份，并将其备份保留 30 天。

在此示例中，备份策略 A 和备份策略 B 合并为一个备份策略，该策略为名为 Finance 的 OU 下的所有账户定义保护策略。组织中的所有其他账户仍受备份策略 A 的保护。仅对共享相同备份计划名称的备份策略执行合并。您还可以让策略 A 和策略 B 在该账户中共存，而无需进行任何合并。您只能在控制台的 JSON 视图中使用高级合并运算符。有关合并策略的详细信息，请参阅《AWS Organizations 用户指南》中的定义策略、策略语法和策略继承。有关其他参考和用例，请参阅博客 “在 AWS Organizations 使用中大规模管理备份” AWS Backup和视频教程 “在 AWS Organizations 使用中大规模管理备份” AWS Backup。

Cross-account 管理包括跨账户监控、跨账户备份、备份策略和委派管理员帐户。并非所有这些元素在所有区域中都可用。有关何处提供跨账户管理的信息，请参阅按 AWS 地区划分的功能可用性。

Cross-account 管理设置

Cross-account 管理允许您启用或禁用用于管理和监控组织内多个账户的活动的设置。

在 Organizations 中创建管理账户

首先，您必须创建您的组织并使用中的 AWS 成员帐户对其进行配置 AWS Organizations。有关说明，请参阅《AWS Organizations User Guide》中的 Tutorial: Creating and configuring an organization。

向组织添加成员账户时，请确保每个账户都具有：

您创建的备份策略将有一个备份计划，但它们还将标识 AWS 区域、备份计划中使用的文件库、要备份的资源以及将用于创建备份的 IAM 角色。若备份策略引用的账户缺少所需信息，那么它们将无法按预期运行。

有关更多信息，请参阅《AWS Organizations 用户指南》中的备份策略语法。

启用跨账户管理

在中使用跨账户管理之前 AWS Backup，管理账户必须启用该功能（即选择加入该功能）。管理账户启用跨账户管理后，您可以创建备份策略，以管理多个账户中的资源。

备份策略

您可以将备份计划与 AWS Organizations中的策略的可扩展性相结合，以创建备份策略，从而简化整个组织的管理。

请参阅《AWS Organizations 用户指南》，了解有关如何为组织启用备份策略的信息，以便能够：

有关策略中所含元素的 AWS Backup特定配额，请参阅 AWS Backup 配额。

委派管理员

委托管理为注册成员账户中的分配用户提供了一种便捷的方式来执行大多数 AWS Backup 管理任务。您可以选择将管理权限委托给中的成员账户 AWS Organizations，从而将管理账户外部的管理权限扩展 AWS Backup 到整个组织。 AWS Backup

默认情况下，管理账户是用于编辑和管理策略的账户。使用委托管理员特征，您可以将这些管理功能委托给您指定的成员账户。这样，除了管理账户之外，这些账户也可以管理策略。

成员账户在成功注册委托管理后，就成为委托管理员账户。请注意，指定为委托管理员的是账户（而非用户）。

启用委托管理员账户允许选择管理备份策略，这会最大限度地减少有权访问管理账户的用户数量，并允许跨账户监控作业。

下表显示了管理账户、委托为 Backup 管理员的账户以及作为 AWS 组织成员的账户的职能。

先决条件

在委托备份管理之前，必须先将 AWS 组织中的至少一个成员帐户注册为委托管理员。在将账户注册为委托管理员之前，您必须先配置以下内容：

设置委托管理涉及到两个步骤。第一步是委托跨账户作业监控。第二步是委托备份策略管理。

将成员账户注册为委托管理员账户

这是第一部分：使用 AWS Backup 控制台注册委托管理员帐户以监控跨账户作业。要委派 AWS Backup 策略，您将在下一节中使用 Organizations 控制台。

要使用 AWS Backup 控制台注册成员账户，请执行以下操作：

此指定账户现在将注册为委托管理员，拥有管理权限，可以监控组织内各个账户的作业，并且可以查看和编辑策略（策略委托）。该成员账户不能注册或注销其他委托管理员账户。您可以使用控制台，将最多五个账户注册为委派管理员。

确保委托管理员拥有 AWSBackupOrganizationAdminAccess 授予的权限。

以编程方式注册成员账户：

使用 register-delegated-administrator CLI 命令。您可以在 CLI 请求中指定以下参数：

以下是使用 CLI 请求以编程方式注册成员账户的示例：

aws organizations register-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"

注销成员账户

使用以下步骤 AWS Backup 通过注销 AWS 组织中以前被指定为授权管理员的成员帐户来移除管理访问权限。

使用控制台注销成员账户

以编程方式注销成员账户：

使用 CLI 命令 deregister-delegated-administrator 注销委托管理员账户。您可以在 API 请求中指定以下参数：

以下是使用 CLI 请求以编程方式注销成员账户的示例：

aws organizations deregister-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"

Delegate AWS Backup 政策通过 AWS Organizations

在 AWS Organizations 控制台中，您可以委托管理多个策略，包括 Backup 策略。

在登录到 AWS Organizations 控制台的管理账户中，您可以为您的组织创建、查看或删除基于资源的委托策略。有关委派策略的步骤，请参阅《AWS Organizations User Guide》中的 Create a resource-based delegation policy。

多人监控活动 AWS 账户

要跨账户监控备份、复制和还原作业，必须启用跨账户监控。这样，您就可以从组织管理账户监控所有账户中的备份活动。选择加入后，组织中在选择加入后创建的所有作业都将可见。选择退出时， AWS Backup 将作业在聚合视图中保留 30 天（自达到终止状态之日起计算）。在选择退出后创建的作业不可见，也不显示任何新创建的备份作业。有关选择加入的说明，请参阅启用跨账户管理。

资源选择加入规则

如果成员账户的备份计划是由 Organizations-level 备份策略创建的，则 AWS Backup Organizations 管理账户的选择加入设置将覆盖该成员账户中的选择加入设置，但仅适用于该备份计划。

如果成员账户还有用户创建的本地级备份计划，则这些备份计划将遵循成员账户中的选择加入设置，而不参照 Organizations 管理账户的选择加入设置。

定义策略、策略语法和策略继承

《 AWS Organizations 用户指南》中记录了以下主题。