With PerfectScale™ for Commitments, we're bringing rate optimization to every cloud
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

Konto- und regionsübergreifende Backup-Verwaltung mit delegiertem Backup-Admin-Konto für …

By Nikhil PawarNov 2, 20235 min read

Diese Seite ist auch in English, Español, Français, Italiano, 日本語 und Português verfügbar.

9. Ob das Deployment erfolgreich war, sehen Sie an den ausgerollten Stack-Instanzen.

HINWEISE:

AWS Backup prüft weder, ob die Rolle existiert, noch ob sie im Member-Konto übernommen werden kann. Vergewissern Sie sich, dass in jedem Konto, das Sie zu Backup-Policies hinzufügen, die passende IAM-Rolle vorhanden ist – in diesem Fall crossaccountbackuprole.

Das StackSet für die Rolle lässt sich auch aus dem Delegated Backup Administrator-Konto oder einem beliebigen anderen Konto ausrollen, sofern dieses als delegierter CloudFormation-Administrator registriert ist. (Wir nutzen hier das Organizational Management-Konto.)

Schritt 5: Backup-Vaults anlegen

Zur Veranschaulichung legen wir für jedes Konto, das mit AWS Backup geschützt werden soll, jeweils eigene Backup-Vaults in der Quell- und Zielregion an.

  1. Rollen Sie das folgende AWS CloudFormation StackSet aus dem Organizational Management-Konto oder dem Delegated Administrator-Konto (für CloudFormation, sofern vorhanden) aus. Wir verwenden hier das Organizational Management-Konto. (Template unten – BackupVaultStackSet.yaml)
---
AWSTemplateFormatVersion:           "2010-09-09"

Description:                        >
  This template creates the Backup vault in each member account.
Metadata:
  'AWS::CloudFormation::Interface':
    ParameterGroups:
      - Label:
          default:                  AWS Backup Configuration
        Parameters:
          - crossregionbackupvault
    ParameterLabels:
      crossregionbackupvault:
        default:                    Backup vault name (Case sensitive. Must contain from 2 to 50 alphanumeric and '-_' characters.)

Parameters:
  crossregionbackupvault:
    AllowedPattern:                 ^[a-zA-Z0-9\-\_\.]{1,50}$
    ConstraintDescription:          Backup vault name is case sensitive. Must contain from 2 to 50 alphanumeric and '-_' characters.
    Type:                           String

Resources:
  mycrossregionbackupvault:
    Type:                           AWS::Backup::BackupVault
    Properties:
      BackupVaultName:
        Ref:                        crossregionbackupvault

Outputs:
  mycrossregionbackupvault:
    Value:
      Ref:                          crossregionbackupvault

2. Wählen Sie Service managed permissions, damit dieser Backup-Vault automatisch in allen neuen Konten ausgerollt wird, die später zu den Ziel-OUs hinzukommen.

3. Laden Sie die oben gezeigte Datei BackupVaultStackSet.yaml hoch und klicken Sie auf Next.

4. Vergeben Sie einen StackSet-Namen. Tragen Sie unter AWS Backup Configuration custombackupvault ein (oder einen anderen Namen Ihrer Wahl). Klicken Sie auf Next.

5. Optional können Sie Tags vergeben; klicken Sie anschließend auf Next.

6. Wählen Sie als Ziel die gesamte Organization oder einzelne Organizational Units (OUs) – wir rollen hier auf Organization-Ebene aus.

7. Wählen Sie die Deployment-Regionen für den Vault sowie weitere Deployment-Optionen und klicken Sie auf Next.

8. Prüfen und absenden.

9. Den Erfolg des Deployments erkennen Sie am detaillierten Status der Stack-Instanzen.

HINWEISE:

Wenn Sie den Vault gezielt in eine bestimmte OU (Prod, Non-Prod usw.) ausrollen möchten, wiederholen Sie die obigen Schritte einfach mit den passenden Backup-Vault-Namen und den jeweiligen OU-IDs im Deployment.

Der Backup-Vault-Name unterscheidet zwischen Groß- und Kleinschreibung, und AWS Backup prüft nicht, ob der gewünschte Backup-Vault tatsächlich existiert. Vergewissern Sie sich daher, dass der entsprechende Backup-Vault in jedem zu schützenden Member-Konto und in jeder Region wirklich angelegt ist.

Schritt 6: Backup-Policies anlegen

  1. Melden Sie sich im Delegated Backup Administrator-Konto an der AWS Backup-Konsole an, öffnen Sie Backup policies und klicken Sie auf Create backup policies.

2. Vergeben Sie einen Namen und eine Beschreibung für die Policy.

3. Tragen Sie im Bereich Configure Backup plan unter Backup plan details den Plannamen sowie die Backup plan regions ein (also die Regionen, in denen der Plan ausgerollt werden soll).

4. Legen Sie eine Backup-Regel an – mit Regelname, Backup-Vault, gewünschter Backup-Frequenz und Lifecycle.

5. Für regionsübergreifende Kopien – fügen Sie die Region(en) hinzu, in denen eine Kopie liegen soll, sowie den Namen des Ziel-Vaults. Über Advanced settings können Sie bei Bedarf einen Übergang in den Cold Storage konfigurieren. Weitere Kopien in anderen Regionen oder Vaults lassen sich nach Bedarf hinzufügen.

6. Im Bereich Assign resources tragen Sie Folgendes ein:

a) Vergeben Sie unter Resource assignment name einen aussagekräftigen Namen. Tragen Sie als IAM role crossaccountbackuprole ein.

b) Geben Sie unter Resource Tag values den Wert backup ein.

c) Klicken Sie auf Create Policy.

7. Backup-Policies an Ziele anhängen – Backup-Policies lassen sich an einzelne Konten oder an eine OU anhängen. Wird eine Backup-Policy auf eine OU angewendet, schützt sie die Ressourcen aller Member-Konten unterhalb dieser OU.

Bleiben Sie in der AWS Backup-Konsole, öffnen Sie Backup Policies und wählen Sie die Policy aus. Klicken Sie im Bereich Targets auf Attach, wählen Sie das gewünschte Konto bzw. die OU und bestätigen Sie mit Attach.

8. Prüfen Sie, ob der Backup-Plan im Zielkonto oder in der Ziel-OU ausgerollt wurde.

HINWEIS – Backup-Policies lassen sich aus untergeordneten Konten weder ändern noch löschen. Nur das Delegated Backup Administrator-Konto kann Änderungen vornehmen.

9. Im Delegated Backup Administrator-Konto überwachen Sie nun Backup-, Copy- und Restore-Jobs über alle AWS-Konten hinweg unter Cross-account monitoring in der AWS Backup-Konsole.

10. Prüfen Sie, ob die Backups erfolgreich durchlaufen und ob regionsübergreifende Kopien erstellt wurden.

11. Prüfen Sie, ob die regionsübergreifenden Kopien erzeugt wurden.

HINWEIS –

Wenn Sie Backup-Kopien in einem Vault eines anderen Kontos ablegen, denken Sie daran, die Vault Policy anzupassen und dem Quellkonto Zugriff auf den Ziel-Vault zu gewähren. Empfehlenswert ist außerdem, Customer Managed Keys in KMS einzusetzen und den benötigten Konten Berechtigungen für die KMS-Schlüssel zu erteilen. AWS Managed Keys lassen sich nicht teilen.

Wenn Sie ein Backup zum ersten Mal in eine neue AWS-Region kopieren, legt AWS Backup eine vollständige Kopie an. Generell gilt: Unterstützt ein Service inkrementelle Backups, erfolgen nachfolgende Kopien desselben Backups in derselben AWS-Region inkrementell. AWS Backup verschlüsselt Ihre Kopie dabei mit dem Customer Managed Key des Ziel-Vaults neu.

Eine Ausnahme bildet Amazon EBS, wo es heißt: "changing the encryption status of a snapshot during a copy operation results in a full (not incremental) copy."

Quellen:

1. Creating backup copies across AWS Regions

2. Creating backup copies across AWS accounts

Fazit

Wir hoffen, dass dieser ausführliche Beitrag Ihnen hilft, ein Setup mit Delegated Backup Administrator umzusetzen, zentrale Backups nach den empfohlenen Security-Best-Practices zu steuern und einige offene Fragen rund um den Delegated Backup Administrator in AWS Organizations zu beantworten. Viel Erfolg!