9. Per verificare il buon esito del deployment, controllare le istanze degli stack distribuite.
NOTE:
AWS Backup non controlla se il ruolo esista o se sia possibile assumerlo nell'account membro. Verificare quindi che il ruolo IAM corretto sia presente in ogni account aggiunto alle backup policy: in questo caso crossaccountbackuprole.
Lo StackSet del ruolo può essere distribuito anche dall'account amministrativo Backup delegato o da qualunque altro account, registrandolo come amministratore delegato di CloudFormation. (Qui utilizziamo l'account di gestione dell'organizzazione.)
Step 5:- Creare i backup vault
A scopo dimostrativo, creeremo backup vault distinti nelle Region di origine e di destinazione per ogni account che si intende proteggere con AWS Backup.
- Distribuire lo StackSet di AWS CloudFormation riportato di seguito dall'account Organization Management o dall'account amministrativo delegato (per CloudFormation, se presente). Qui utilizzeremo l'account Organization Management. (template di seguito — BackupVaultStackSet.yaml)
---
AWSTemplateFormatVersion: "2010-09-09"
Description: >
This template creates the Backup vault in each member account.
Metadata:
'AWS::CloudFormation::Interface':
ParameterGroups:
- Label:
default: AWS Backup Configuration
Parameters:
- crossregionbackupvault
ParameterLabels:
crossregionbackupvault:
default: Backup vault name (Case sensitive. Must contain from 2 to 50 alphanumeric and '-_' characters.)
Parameters:
crossregionbackupvault:
AllowedPattern: ^[a-zA-Z0-9\-\_\.]{1,50}$
ConstraintDescription: Backup vault name is case sensitive. Must contain from 2 to 50 alphanumeric and '-_' characters.
Type: String
Resources:
mycrossregionbackupvault:
Type: AWS::Backup::BackupVault
Properties:
BackupVaultName:
Ref: crossregionbackupvault
Outputs:
mycrossregionbackupvault:
Value:
Ref: crossregionbackupvault
2. Selezionare Service managed permissions per consentire il deployment automatico di questo backup vault verso eventuali nuovi account aggiunti in futuro alle OU di destinazione.
3. Caricare il file BackupVaultStackSet.yaml indicato sopra e fare clic su Next.
4. Assegnare un nome allo StackSet. Inserire custombackupvault in AWS Backup Configuration (oppure un altro nome a scelta). Fare clic su Next.
5. Facoltativamente, scegliere i Tag e fare clic su Next.
6. Distribuire all'intera organizzazione o a specifiche unità organizzative (OU); in questo esempio distribuiremo all'intera Organization.
7. Selezionare le Region di deployment per il vault e le altre opzioni, quindi fare clic su Next.
8. Verificare e inviare.
9. Per verificare il buon esito del deployment, controllare le istanze degli stack — stato dettagliato.
NOTE:
Per distribuire il vault a una OU specifica (Prod, Non-prod, ecc.), ripetere i passaggi precedenti utilizzando i nomi dei backup vault appropriati e gli ID delle OU specifiche nel deployment.
Il nome del backup vault è case-sensitive e AWS Backup non controlla se il backup vault desiderato esista. Assicurarsi quindi che il backup vault corretto sia stato creato in ciascun account membro e in ciascuna Region che si intende proteggere.
Step 6:- Creare le backup policy
- Accedere alla console AWS Backup nell'account amministrativo Backup delegato, scegliere Backup policies e fare clic su Create backup policies.
2. Inserire un nome e una descrizione per la policy.
3. Nella sezione Configure Backup plan, in Backup plan details, indicare il nome del piano e le Region in cui distribuirlo.
4. Aggiungere una Backup rule — inserire il nome della regola, il backup vault, la frequenza di backup desiderata e il ciclo di vita.
5. Per la copia cross-region — aggiungere la Region o le Region di destinazione e il nome del vault di destinazione. Espandere Advanced settings: se necessario, è possibile attivare il passaggio al cold storage. È possibile aggiungere ulteriori copie verso Region o vault diversi in base alle proprie esigenze.
6. Nella sezione Assign resources, indicare quanto segue:
a) Inserire un nome descrittivo in Resource assignment name. Inserire crossaccountbackuprole nel campo IAM role.
b) Inserire backup in Resource Tag values.
c) Fare clic su Create Policy.
7. Collegare le backup policy ai target — le backup policy possono essere collegate a singoli account o a una OU. Applicando una backup policy a una OU si proteggono le risorse di tutti gli account membri appartenenti alla OU selezionata.
Sempre nella console AWS Backup, scegliere Backup Policies e selezionare la policy. Nella sezione Targets, fare clic su Attach e selezionare l'account o la OU. Confermare con Attach.
8. Verificare che il Backup plan sia distribuito sull'account o sulla OU di destinazione.
NOTA — Le backup policy non possono essere modificate o eliminate dagli account figlio. Solo l'account amministrativo Backup delegato può modificarle.
9. Dall'account amministratore Backup delegato è ora possibile monitorare job di backup, copia e ripristino su tutti i propri account AWS, nella sezione Cross-account monitoring della console AWS Backup.
10. Verificare che i backup siano stati eseguiti correttamente e che le copie cross-region siano state generate.
11. Verificare che le copie cross-region siano state generate.
NOTA:
Quando si effettuano copie di backup in un vault che risiede su un account diverso, ricordarsi di aggiornare la vault policy concedendo all'account di origine l'accesso al vault di destinazione. Si consiglia inoltre di utilizzare customer managed key in KMS, concedendo le autorizzazioni sulle chiavi KMS agli account che ne hanno bisogno. Le AWS managed key non possono essere condivise.
La prima volta che si copia un backup in una nuova AWS Region, AWS Backup esegue una copia completa. In generale, se un servizio supporta backup incrementali, le copie successive di quel backup nella stessa AWS Region saranno incrementali. AWS Backup ricifrerà la copia utilizzando la customer managed key del vault di destinazione.
Fa eccezione Amazon EBS, la cui documentazione precisa: "changing the encryption status of a snapshot during a copy operation results in a full (not incremental) copy."
Riferimenti:
Conclusione
Ci auguriamo che questa guida dettagliata sia utile a quanti vogliono implementare un setup con amministratore di backup delegato, gestire backup centralizzati seguendo le best practice di sicurezza consigliate e fare chiarezza sui dubbi più frequenti relativi alla configurazione dell'amministratore di backup delegato per AWS Organizations. In bocca al lupo!