View a markdown version of this page

設定跨帳戶備份 (區域內) - AMS 進階應用程式開發人員指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定跨帳戶備份 (區域內)

AWS Backup 支援將快照從一個帳戶複製到相同 AWS 區域內的另一個帳戶,只要兩個帳戶位於相同的 AWS 組織即可。例如,在 AMS Advanced 多帳戶登陸區域 (MALZ) 中,您可以使用此快速入門在相同的 AWS 區域內設定跨帳戶快照複本。

如需詳細資訊,請參閱 AWS Backup 和 AWS Organizations 帶來跨帳戶備份功能

您可以複製快照跨帳戶進行災難復原 (DR)。您可能需要將快照保留在相同的 AWS 區域內,但跨越帳戶邊界,以保護資料。

AWS Backup 跨帳戶快照複製程序

概觀:

在高層級上,這些是 AMS 中跨帳戶備份的步驟:

  • 在託管 AMS 登陸區域的 AWS 區域中建立目的地帳戶以託管備份 (步驟 1)

  • 建立 KMS 金鑰以加密目的地帳戶中的備份 (步驟 3)

  • 在與 AMS Advanced 登陸區域相同區域的目的地帳戶中建立備份文件庫 (步驟 4)

  • 在 管理帳戶中啟用跨帳戶設定 (步驟 5)

  • 建立或修改來源帳戶備份計劃和規則 (步驟 6)

注意

確定來源和目的地帳戶都位於相同的區域。如果您想要跨區域複製備份,請聯絡您的 CA 或 CSDM。

若要啟用和設定跨帳戶備份:

  1. 建立目的地帳戶以託管備份;如果您已有此類帳戶,可以略過此步驟。若要建立帳戶,請使用部署 | 受管登陸區域 | 管理帳戶 | 建立應用程式帳戶 (使用 VPC) 變更類型 (ct-1zdasmc2ewzrs),從您的管理付款人帳戶提交 RFC。

  2. 【選用】 如果在來源帳戶 (例如 Prod) 中加密資源或快照,請與目的地帳戶共用用於加密的 KMS 金鑰。若要這樣做,請使用 管理 | 進階堆疊元件 | KMS 金鑰 | 更新變更類型 (ct-3ovo7px2vsa6n) 提交 RFC。

  3. 在目的地帳戶中,建立用於 Backup Vault 加密的 KMS 金鑰。若要這樣做,請使用 部署 | 進階堆疊元件 | KMS 金鑰 | 建立 (自動) 變更類型 (ct-1d84keiri1jhg) 提交 RFC。

  4. 在目的地帳戶中,使用先前建立的金鑰建立 Backup Vault。您可以使用 CFN 擷取自動變更類型、部署 | 擷取 | 從 CloudFormation 範本堆疊 | 建立 (ct-36cn2avfrrj9v) 來建立 AWS Backup Vault。 CloudFormation 在相同的請求中,需要修改保存庫存取政策,以允許來源帳戶存取保存庫。(s) 以下是範例政策:

    備份保存庫的 CloudFormation 範本範例:

    {
  "Description": "Test infrastructure",
  "Resources": {
  "BackupVaultForTesting": {
    "Type": "AWS::Backup::BackupVault",
    "Properties": {
      "BackupVaultName": "backup-vault-for-test",
      "EncryptionKeyArn" : "arn:aws:kms:us-east-2:123456789012:key/227d8xxx-aefx-44ex-a09x-b90c487b4xxx",
        "AccessPolicy" : {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Sid": "AllowSrcAccountPermissionsToCopy",
              "Effect": "Allow",
              "Action": "backup:CopyIntoBackupVault",
              "Resource": "*",
              "Principal": {
                "AWS": ["arn:aws:iam::987654321098:root"]
              }
            }
          ]
        }
      }
    }
  }
}

  5. 從您的管理付款人帳戶,啟用跨帳戶備份。若要這樣做,請使用 Management | AWS Backup | Backup plan | Enable cross account copy (Management account) change type (ct-2yja7ihh30ply) 提交 RFC。

  6. 最後,從來源備份的來源帳戶建立備份計劃的規則或規則,以管理備份以跨帳戶複製快照。若要這樣做,請使用部署 | AWS Backup | 備份計畫 | 建立變更類型 (ct-2hyozbpa0sx0m) 提交 RFC。如果您需要更新現有的備份計劃,請使用 Management | Other | Other | Update change type (ct-0xdawir96cy7k) 提交 RFC,並附上此資訊:

    1. 備份計劃名稱以及要更新的規則名稱。

    2. 目的地/ICE 帳戶備份文件庫 ARN。

    3. 您想要將快照保留在目標 ICE 保存庫中的保留日/月。