With PerfectScale™ for Commitments, we're bringing rate optimization to every cloud
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

Administration des sauvegardes multi-comptes et multi-régions via un compte d'administrateur délégué

By Nikhil PawarNov 2, 20235 min read

Cette page est également disponible en English, Deutsch, Español, Italiano, 日本語 et Português.

9. Pour confirmer la réussite du déploiement, vérifiez les instances de stack déployées.

REMARQUES :

AWS Backup ne vérifie pas si le rôle existe ni s'il peut être assumé dans le compte membre. Veillez à valider le rôle IAM approprié dans chaque compte que vous ajoutez aux politiques de sauvegarde, en l'occurrence crossaccountbackuprole.

Le StackSet du rôle peut également être déployé depuis le compte d'administration de sauvegarde délégué ou depuis tout autre compte enregistré comme administrateur CloudFormation délégué (nous utilisons ici le compte de gestion de l'organisation).

Étape 5 : Créer les coffres de sauvegarde

Pour cette démonstration, nous allons créer des coffres de sauvegarde distincts dans les régions source et destination, pour chaque compte à protéger avec AWS Backup.

  1. Déployez le StackSet AWS CloudFormation ci-dessous depuis le compte de gestion de l'organisation ou depuis le compte d'administration délégué (pour CloudFormation, si vous en avez un). Nous utiliserons ici le compte de gestion de l'organisation. (modèle ci-dessous — BackupVaultStackSet.yaml)
---
AWSTemplateFormatVersion:           "2010-09-09"

Description:                        >
  This template creates the Backup vault in each member account.
Metadata:
  'AWS::CloudFormation::Interface':
    ParameterGroups:
      - Label:
          default:                  AWS Backup Configuration
        Parameters:
          - crossregionbackupvault
    ParameterLabels:
      crossregionbackupvault:
        default:                    Backup vault name (Case sensitive. Must contain from 2 to 50 alphanumeric and '-_' characters.)

Parameters:
  crossregionbackupvault:
    AllowedPattern:                 ^[a-zA-Z0-9\-\_\.]{1,50}$
    ConstraintDescription:          Backup vault name is case sensitive. Must contain from 2 to 50 alphanumeric and '-_' characters.
    Type:                           String

Resources:
  mycrossregionbackupvault:
    Type:                           AWS::Backup::BackupVault
    Properties:
      BackupVaultName:
        Ref:                        crossregionbackupvault

Outputs:
  mycrossregionbackupvault:
    Value:
      Ref:                          crossregionbackupvault

2. Choisissez Service managed permissions afin de déployer automatiquement ce coffre de sauvegarde sur tout nouveau compte rattaché aux OU cibles par la suite.

3. Téléversez le fichier BackupVaultStackSet.yaml ci-dessus, puis cliquez sur Suivant.

4. Indiquez un nom de StackSet. Saisissez custombackupvault dans AWS Backup Configuration (ou tout autre nom de votre choix). Cliquez sur Suivant.

5. Ajoutez éventuellement des Tags, puis cliquez sur Suivant.

6. Déployez sur l'organisation entière ou sur des unités organisationnelles (OU) spécifiques ; nous déploierons ici sur l'ensemble de l'organisation.

7. Sélectionnez les régions de déploiement du coffre ainsi que les autres options, puis cliquez sur Suivant.

8. Vérifiez et soumettez.

9. Pour confirmer la réussite du déploiement, consultez les instances de stack — statut détaillé.

REMARQUES :

Pour déployer le coffre sur une OU spécifique (Prod, Non-prod, etc.), répétez les étapes ci-dessus avec les noms de coffres de sauvegarde appropriés et les ID d'OU concernés.

Le nom du coffre de sauvegarde est sensible à la casse et AWS Backup ne vérifie pas son existence. Assurez-vous d'avoir créé le coffre de sauvegarde adéquat dans chaque compte membre et chaque région à protéger.

Étape 6 : Créer les politiques de sauvegarde

  1. Connectez-vous à la console AWS Backup depuis le compte d'administration de sauvegarde délégué, choisissez Politiques de sauvegarde, puis Créer une politique de sauvegarde.

2. Saisissez un nom et une description pour la politique.

3. Dans la section Configurer le plan de sauvegarde, sous Détails du plan de sauvegarde, indiquez le nom du plan ainsi que les régions de déploiement.

4. Ajoutez une règle de sauvegarde — saisissez le nom de la règle, le coffre de sauvegarde, la fréquence de sauvegarde de votre choix et le cycle de vie.

5. Pour la copie inter-régions — ajoutez la ou les régions où conserver une copie ainsi que le nom du coffre de destination. Développez les paramètres avancés pour basculer si besoin vers le stockage à froid. Vous pouvez également ajouter d'autres copies vers d'autres régions ou coffres selon vos besoins.

6. Dans la section Affecter les ressources, renseignez les éléments suivants :

a) Saisissez un nom descriptif dans le champ Nom de l'affectation de ressources. Saisissez crossaccountbackuprole dans le rôle IAM.

b) Saisissez backup dans les valeurs des Tags de ressources.

c) Choisissez Créer la politique.

7. Attacher les politiques de sauvegarde à des cibles — Les politiques de sauvegarde peuvent être attachées à des comptes individuels ou à une OU. Appliquer une politique de sauvegarde à une OU protège les ressources de tous les comptes membres rattachés à cette OU.

Toujours dans la console AWS Backup, choisissez Politiques de sauvegarde et sélectionnez la politique. Dans la section Cibles, cliquez sur Attacher, sélectionnez le compte ou l'OU, puis confirmez.

8. Vérifiez que le plan de sauvegarde est bien déployé sur le compte cible ou l'OU.

REMARQUE — Les politiques de sauvegarde ne peuvent être ni modifiées ni supprimées depuis les comptes enfants. Seul le compte d'administration de sauvegarde délégué peut les modifier.

9. Depuis le compte d'administrateur de sauvegarde délégué, vous pouvez désormais suivre les tâches de sauvegarde, de copie et de restauration sur l'ensemble de vos comptes AWS, dans la section Surveillance multi-comptes de la console AWS Backup.

10. Vérifiez que les sauvegardes se sont exécutées correctement et que les copies inter-régions ont bien été générées.

11. Confirmez la génération des copies inter-régions.

REMARQUE :

Si vous copiez des sauvegardes vers un coffre hébergé dans un autre compte, pensez à mettre à jour la politique du coffre et à autoriser le compte source à accéder au coffre de destination. Il est également recommandé d'utiliser des clés gérées par le client dans KMS et d'accorder les permissions correspondantes aux comptes concernés. Les clés gérées par AWS, elles, ne peuvent pas être partagées.

Lors de la première copie d'une sauvegarde vers une nouvelle région AWS, AWS Backup effectue une copie complète. De manière générale, si un service prend en charge les sauvegardes incrémentielles, les copies suivantes au sein de la même région AWS seront incrémentielles. AWS Backup chiffre à nouveau votre copie avec la clé gérée par le client du coffre de destination.

Amazon EBS fait exception : la documentation précise que modifier le statut de chiffrement d'un snapshot lors d'une opération de copie entraîne une copie complète (et non incrémentielle).

Références :

1. Création de copies de sauvegarde entre régions AWS

2. Création de copies de sauvegarde entre comptes AWS

Conclusion

Nous espérons que ce guide détaillé aidera d'autres équipes à mettre en place une configuration d'administrateur de sauvegarde délégué, à piloter leurs sauvegardes centralisées en suivant les bonnes pratiques de sécurité recommandées, et qu'il lèvera certaines zones d'ombre autour de cette configuration pour les organisations AWS. Bonne mise en œuvre !