本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置跨账户备份（区域内）
<a name="qs-backup-cross-account-snapshot"></a>

AWS Backup 支持将快照从一个账户复制到同一 AWS 区域内的另一个账户，前提是这两个账户位于同一 AWS 组织内。例如，在 AMS Advanced 多账户着陆区 (MALZ) 中，您可以使用此快速入门功能在同一 AWS 区域内设置跨账户快照副本。

有关更多信息，请参阅 [AWS Backup 和 AWS Organizations 推出跨账户备份功能](https://aws.amazon.com/about-aws/whats-new/2020/11/aws-backup-enables-aws-organizations-bring-cross-account-backup-feature/)

您可以跨账户复制快照以进行灾难恢复 (DR)。为了保护数据，您可能需要将快照保存在同一 AWS 区域内，但要跨越账户边界。

![AWS Backup 跨账户快照复制流程](http://docs.aws.amazon.com/zh_cn/managedservices/latest/appguide/images/qsBackupCrossAccountSnapshotCopy2.png)


**概述：**

 简而言之，以下是在 AMS 中进行跨账户备份的步骤：
+ 创建目标账户，在托管 AMS landing zone 的 AWS 区域托管备份（步骤 1）
+ 创建 KMS 密钥以加密目标账户中的备份（步骤 3）
+ 在与 AMS Advanced 着陆区域相同的目标账户中创建备份保管库（步骤 4）
+ 在您的管理账户中启用跨账户设置（步骤 5）
+ 创建或修改源账户备份计划和规则（步骤 6）

**注意**  
确保源账户和目标账户位于同一个区域。如果要跨区域复制备份，请联系您的 CA 或 CSDM。

 **要启用和设置跨账户备份，请执行以下操作：**

1. 创建用于托管备份的目标帐户；如果您已经有这样的帐户，则可以跳过此步骤。要创建账户，请使用*部署 \| 托管着陆区 \| 管理账户 \| 创建应用程序账户（使用 VPC）更改类型 (ct-1zdasmc2ewzrs) 从您的管理付款人账户提交 RFC*。

1. [可选] 如果源账户（例如 Prod）中的资源或快照已加密，请与目标账户共享用于加密的 KMS 密钥。为此，请使用*管理 \| 高级堆栈组件 \| KMS 密钥 \| 更新*更改类型 (ct-3ovo7px2vsa6n) 提交 RFC。

1. 在目标账户中，创建用于 Backup Vault 加密的 KMS 密钥。为此，请使用*部署 \| 高级堆栈组件 \| KMS 密钥 \| 创建（自动）更改类型 (ct-1d84keiri1jhg)* 提交 RFC。

1. 在目标账户中，使用之前创建的密钥创建 Backup Vault。AWS Backup Vaults 可以通过使用 CFN 提取自动更改类型 “*部署 \| 摄取 \| CloudFormation 模板中的堆栈 \| 创建” (ct-36cn2avfrrj9v*) 创建。在同一个请求中，需要修改文件库访问策略以允许源账户访问文件库。以下是策略示例：

   Backup Vault 的示例 CloudFormation 模板：

   ```
   {
     "Description": "Test infrastructure",
     "Resources": {
     "BackupVaultForTesting": {
       "Type": "AWS::Backup::BackupVault",
       "Properties": {
         "BackupVaultName": "backup-vault-for-test",
         "EncryptionKeyArn" : "arn:aws:kms:us-east-2:123456789012:key/227d8xxx-aefx-44ex-a09x-b90c487b4xxx",
           "AccessPolicy" : {
             "Version": "2012-10-17",		 	 	 
             "Statement": [
               {
                 "Sid": "AllowSrcAccountPermissionsToCopy",
                 "Effect": "Allow",
                 "Action": "backup:CopyIntoBackupVault",
                 "Resource": "*",
                 "Principal": {
                   "AWS": ["arn:aws:iam::987654321098:root"]
                 }
               }
             ]
           }
         }
       }
     }
   }
   ```

1. 在您的管理付款人账户中，启用**跨账户备份**。为此，请使用*管理 \| AWS Backup \| Backup 计划 \| 启用跨账户复制（管理账户）更改类型 (ct-2yja7ihh30ply)* 提交 RFC。

1. 最后，从备份来源的源帐户中，创建管理备份的备份计划规则或规则，以跨账户复制快照。为此，请使用*部署 \| AWS Backup \| Backup 计划 \| 创建更改类型 (ct-2* hyozbpa0sx0m) 提交 RFC。如果您需要更新现有的备份计划，请使用*管理 \| 其他 \| 其他 \| 更新*更改类型 (ct-0xdawir96cy7k) 提交 RFC，其中包含以下信息：

   1. 备份计划名称以及要更新的规则名称。

   1.  destination/ICE 账户备份保管库 ARN。

   1.  days/months 您希望将快照保留在目标 ICE 保管库中的保留期。