本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置跨账户备份(区域内)
AWS Backup 支持将快照从一个账户复制到同一 AWS 区域内的另一个账户,前提是这两个账户位于同一 AWS 组织内。例如,在 AMS Advanced 多账户着陆区 (MALZ) 中,您可以使用此快速入门功能在同一 AWS 区域内设置跨账户快照副本。
有关更多信息,请参阅 AWS Backup 和 AWS Organizations 推出跨账户备份功能
您可以跨账户复制快照以进行灾难恢复 (DR)。为了保护数据,您可能需要将快照保存在同一 AWS 区域内,但要跨越账户边界。
概述:
简而言之,以下是在 AMS 中进行跨账户备份的步骤:
创建目标账户,在托管 AMS landing zone 的 AWS 区域托管备份(步骤 1)
创建 KMS 密钥以加密目标账户中的备份(步骤 3)
在与 AMS Advanced 着陆区域相同的目标账户中创建备份保管库(步骤 4)
在您的管理账户中启用跨账户设置(步骤 5)
创建或修改源账户备份计划和规则(步骤 6)
注意
确保源账户和目标账户位于同一个区域。如果要跨区域复制备份,请联系您的 CA 或 CSDM。
要启用和设置跨账户备份,请执行以下操作:
创建用于托管备份的目标帐户;如果您已经有这样的帐户,则可以跳过此步骤。要创建账户,请使用部署 | 托管着陆区 | 管理账户 | 创建应用程序账户(使用 VPC)更改类型 (ct-1zdasmc2ewzrs) 从您的管理付款人账户提交 RFC。
[可选] 如果源账户(例如 Prod)中的资源或快照已加密,请与目标账户共享用于加密的 KMS 密钥。为此,请使用管理 | 高级堆栈组件 | KMS 密钥 | 更新更改类型 (ct-3ovo7px2vsa6n) 提交 RFC。
在目标账户中,创建用于 Backup Vault 加密的 KMS 密钥。为此,请使用部署 | 高级堆栈组件 | KMS 密钥 | 创建(自动)更改类型 (ct-1d84keiri1jhg) 提交 RFC。
在目标账户中,使用之前创建的密钥创建 Backup Vault。AWS Backup Vaults 可以通过使用 CFN 提取自动更改类型 “部署 | 摄取 | CloudFormation 模板中的堆栈 | 创建” (ct-36cn2avfrrj9v) 创建。在同一个请求中,需要修改文件库访问策略以允许源账户访问文件库。以下是策略示例:
Backup Vault 的示例 CloudFormation 模板:
{ "Description": "Test infrastructure", "Resources": { "BackupVaultForTesting": { "Type": "AWS::Backup::BackupVault", "Properties": { "BackupVaultName": "backup-vault-for-test", "EncryptionKeyArn" : "arn:aws:kms:us-east-2:123456789012:key/227d8xxx-aefx-44ex-a09x-b90c487b4xxx", "AccessPolicy" : { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSrcAccountPermissionsToCopy", "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Principal": { "AWS": ["arn:aws:iam::987654321098:root"] } } ] } } } } }在您的管理付款人账户中,启用跨账户备份。为此,请使用管理 | AWS Backup | Backup 计划 | 启用跨账户复制(管理账户)更改类型 (ct-2yja7ihh30ply) 提交 RFC。
最后,从备份来源的源帐户中,创建管理备份的备份计划规则或规则,以跨账户复制快照。为此,请使用部署 | AWS Backup | Backup 计划 | 创建更改类型 (ct-2 hyozbpa0sx0m) 提交 RFC。如果您需要更新现有的备份计划,请使用管理 | 其他 | 其他 | 更新更改类型 (ct-0xdawir96cy7k) 提交 RFC,其中包含以下信息:
备份计划名称以及要更新的规则名称。
destination/ICE 账户备份保管库 ARN。
days/months 您希望将快照保留在目标 ICE 保管库中的保留期。
