9. Para confirmar que el despliegue fue exitoso, revisa las instancias del stack desplegadas.
NOTAS:
AWS Backup no valida si el rol existe ni si se puede asumir en la cuenta miembro. Asegúrate de validar el rol IAM correspondiente en cada cuenta que agregues a las políticas de backup; en este caso, crossaccountbackuprole.
El stackset del rol también se puede desplegar desde la cuenta administrativa delegada de Backup o desde cualquier otra cuenta registrándola como administrador delegado de CloudFormation. (Aquí usamos la cuenta de gestión de la organización).
Paso 5: Crear backup vaults
Como ejemplo, vamos a crear backup vaults distintos en las regiones de origen y destino para cada cuenta que quieras proteger con AWS Backup.
- Despliega el siguiente StackSet de AWS CloudFormation desde la cuenta de gestión de la organización o desde la cuenta administrativa delegada (para CloudFormation, si tienes una). Aquí usaremos la cuenta de gestión de la organización (plantilla abajo — BackupVaultStackSet.yaml).
---
AWSTemplateFormatVersion: "2010-09-09"
Description: >
This template creates the Backup vault in each member account.
Metadata:
'AWS::CloudFormation::Interface':
ParameterGroups:
- Label:
default: AWS Backup Configuration
Parameters:
- crossregionbackupvault
ParameterLabels:
crossregionbackupvault:
default: Backup vault name (Case sensitive. Must contain from 2 to 50 alphanumeric and '-_' characters.)
Parameters:
crossregionbackupvault:
AllowedPattern: ^[a-zA-Z0-9\-\_\.]{1,50}$
ConstraintDescription: Backup vault name is case sensitive. Must contain from 2 to 50 alphanumeric and '-_' characters.
Type: String
Resources:
mycrossregionbackupvault:
Type: AWS::Backup::BackupVault
Properties:
BackupVaultName:
Ref: crossregionbackupvault
Outputs:
mycrossregionbackupvault:
Value:
Ref: crossregionbackupvault
2. Selecciona Service managed permissions para que este backup vault se despliegue automáticamente en cualquier cuenta nueva que se sume a las OUs de destino más adelante.
3. Sube el archivo BackupVaultStackSet.yaml anterior y haz clic en Next.
4. Asígnale un nombre al StackSet. Ingresa custombackupvault en AWS Backup Configuration (o el nombre que prefieras). Haz clic en Next.
5. Si quieres, agrega Tags y haz clic en Next.
6. Despliega en toda la organización o en unidades organizativas (OUs) específicas; en este caso lo haremos a nivel de toda la organización.
7. Selecciona las regiones de despliegue para el vault y las demás opciones, y haz clic en Next.
8. Revisa y envía.
9. Para confirmar que el despliegue fue exitoso, revisa las instancias del stack — estado detallado.
NOTAS:
Si quieres desplegar el vault en una OU específica (Prod, Non-prod, etc.), repite los pasos anteriores con los nombres de backup vault correspondientes y los IDs de las OUs en el despliegue.
El nombre del backup vault distingue entre mayúsculas y minúsculas, y AWS Backup no valida si el backup vault existe. Asegúrate de validar que el backup vault esté creado correctamente en cada cuenta miembro y región que quieras proteger.
Paso 6: Crear políticas de backup
- Inicia sesión en la consola de AWS Backup desde la cuenta administrativa delegada de Backup, ve a Backup policies y haz clic en Create backup policies.
2. Asígnale un nombre y una descripción a la política.
3. En la sección Configure Backup plan, dentro de Backup plan details, ingresa el nombre del plan y las regiones del Backup plan (donde se desplegará).
4. Agrega una regla de backup: ingresa el nombre de la regla, el backup vault, la frecuencia que prefieras y el ciclo de vida.
5. Para copia entre regiones: agrega la región o regiones donde quieres tener una copia y el nombre del vault de destino. Despliega Advanced settings y, si lo necesitas, puedes mover los datos a cold storage. Puedes sumar copias adicionales en otras regiones o vaults según tus necesidades.
6. En la sección Assign resources, completa lo siguiente:
a) Ingresa un nombre descriptivo en Resource assignment name. Ingresa crossaccountbackuprole en IAM role.
b) Ingresa backup en Resource Tag values.
c) Haz clic en Create Policy.
7. Asocia las políticas de backup a los targets: las políticas se pueden asociar a cuentas individuales o a una OU. Al aplicar una política de backup a una OU se protegen los recursos de todas las cuentas miembro de esa OU.
Sin salir de la consola de AWS Backup, ve a Backup Policies y selecciona la política. En la sección Targets, haz clic en Attach y elige la cuenta o la OU. Confirma con Attach.
8. Confirma que el Backup plan esté desplegado en la cuenta o la OU de destino.
NOTA: las políticas de backup no se pueden modificar ni eliminar desde las cuentas hijas. Solo la cuenta administrativa delegada de Backup puede hacerlo.
9. Desde la cuenta del administrador delegado de Backup ya puedes monitorear los trabajos de backup, copia y restauración en todas tus cuentas de AWS, en la sección Cross-account monitoring de la consola de AWS Backup.
10. Verifica que los backups se hayan ejecutado correctamente y que se hayan generado las copias entre regiones.
11. Verifica que las copias entre regiones se hayan generado.
NOTA:
Si vas a copiar backups a un vault que reside en otra cuenta, no olvides actualizar la política del vault y darle acceso a la cuenta de origen sobre el vault de destino. También se recomienda usar customer managed keys en KMS y otorgar permisos sobre esas KMS keys a las cuentas que las necesiten. Las AWS managed keys no se pueden compartir.
La primera vez que copias un backup a una nueva región de AWS, AWS Backup hace una copia completa. En general, si un servicio admite backups incrementales, las copias posteriores en la misma región de AWS serán incrementales. AWS Backup volverá a cifrar tu copia con la customer managed key del vault de destino.
Una excepción es Amazon EBS, que indica: "cambiar el estado de cifrado de un snapshot durante una operación de copia genera una copia completa (no incremental)".
Referencias:
Conclusión
Ojalá esta guía detallada te sirva para implementar la configuración del administrador delegado de backup, manejar los backups centralizados con las mejores prácticas de seguridad y resolver algunas de las dudas más comunes al configurar el administrador delegado de backup en organizaciones de AWS. ¡Mucho éxito!