9. Para confirmar se a implantação foi bem-sucedida, verifique as instâncias de stack implantadas.
OBSERVAÇÕES:
O AWS Backup não valida se a role existe nem se ela pode ser assumida na conta-membro. Valide a role IAM correta em cada conta que você adicionar às políticas de backup — neste caso, a crossaccountbackuprole.
O StackSet da role também pode ser implantado pela conta administrativa de Backup delegada ou por qualquer outra conta, bastando registrá-la como administrador delegado do CloudFormation. (Aqui, estamos usando a conta de gerenciamento da organização.)
Passo 5: Criar backup vaults
Para fins de demonstração, vamos criar backup vaults distintos nas regiões de origem e destino para cada conta que você quer proteger com o AWS Backup.
- Implante o AWS CloudFormation StackSet abaixo a partir da conta de gerenciamento da Organização ou da conta administrativa delegada (do CloudFormation, se houver). Aqui, vamos usar a conta de gerenciamento da Organização. (Template abaixo — BackupVaultStackSet.yaml)
---
AWSTemplateFormatVersion: "2010-09-09"
Description: >
This template creates the Backup vault in each member account.
Metadata:
'AWS::CloudFormation::Interface':
ParameterGroups:
- Label:
default: AWS Backup Configuration
Parameters:
- crossregionbackupvault
ParameterLabels:
crossregionbackupvault:
default: Backup vault name (Case sensitive. Must contain from 2 to 50 alphanumeric and '-_' characters.)
Parameters:
crossregionbackupvault:
AllowedPattern: ^[a-zA-Z0-9\-\_\.]{1,50}$
ConstraintDescription: Backup vault name is case sensitive. Must contain from 2 to 50 alphanumeric and '-_' characters.
Type: String
Resources:
mycrossregionbackupvault:
Type: AWS::Backup::BackupVault
Properties:
BackupVaultName:
Ref: crossregionbackupvault
Outputs:
mycrossregionbackupvault:
Value:
Ref: crossregionbackupvault
2. Escolha Service managed permissions para que esse backup vault seja implantado automaticamente em qualquer nova conta adicionada às OUs de destino no futuro.
3. Faça upload do arquivo BackupVaultStackSet.yaml acima e clique em Next.
4. Informe um nome para o StackSet. Digite custombackupvault em AWS Backup Configuration (ou outro nome de sua preferência) e clique em Next.
5. Se quiser, escolha Tags e clique em Next.
6. Implante para a organização inteira ou para unidades organizacionais (OUs) específicas. Aqui, vamos implantar para toda a Organização.
7. Selecione as regiões de implantação do vault e as demais opções, e clique em Next.
8. Revise e envie.
9. Para confirmar se a implantação foi bem-sucedida, verifique as instâncias de stack — status detalhado.
OBSERVAÇÕES:
Se você quiser implantar o vault em uma OU específica (Prod, Non-prod etc.), repita os passos acima usando os nomes de backup vault correspondentes e os IDs das OUs específicas na implantação.
O nome do Backup vault diferencia maiúsculas de minúsculas, e o AWS Backup não valida se o backup vault desejado existe. Confirme que você criou o backup vault correto em cada conta-membro e Região que deseja proteger.
Passo 6: Criar políticas de backup
- Acesse o console do AWS Backup na Conta Administrativa de Backup Delegada, vá em Backup policies e clique em Create backup policies.
2. Informe um nome e uma descrição para a política.
3. Na seção Configure Backup plan, em Backup plan details, informe o Nome do plano e as Backup plan regions (onde o plano será implantado).
4. Adicione uma regra de Backup — informe o nome da regra, o backup vault, a frequência de backup desejada e o ciclo de vida.
5. Para cópia entre regiões — adicione a(s) região(ões) onde você quer manter uma cópia e o nome do vault de destino. Expanda Advanced settings e, se quiser, configure a transição para cold storage. Você pode adicionar mais cópias em outras regiões/vaults conforme a necessidade.
6. Na seção Assign resources, informe o seguinte:
a) Digite um nome descritivo em Resource assignment name. Digite crossaccountbackuprole em IAM role.
b) Digite backup em Resource Tag values.
c) Clique em Create Policy.
7. Anexar políticas de backup aos targets — As políticas de backup podem ser anexadas a contas individuais ou a uma OU. Aplicar uma política de backup a uma OU protege os recursos de todas as contas-membro daquela OU.
Ainda no console do AWS Backup, vá em Backup Policies e selecione a política. Na seção Targets, clique em Attach, selecione a conta ou OU e confirme em Attach.
8. Confirme se o Backup plan foi implantado na conta ou OU de destino.
OBSERVAÇÃO — As políticas de backup não podem ser modificadas nem excluídas pelas contas-filhas. Apenas a conta administrativa de Backup delegada pode alterá-las.
9. Pela conta de administrador de Backup Delegado, agora você consegue acompanhar jobs de backup, cópia e restauração de todas as suas contas AWS em Cross-account monitoring no console do AWS Backup.
10. Confirme se os backups rodaram com sucesso e se as cópias entre regiões foram geradas.
11. Confirme se as cópias entre regiões foram geradas.
OBSERVAÇÃO -
Se você for fazer cópias de backups em um vault que está em outra conta, lembre-se de atualizar a política do vault e dar à conta de origem acesso ao vault de destino. Também é recomendado usar customer managed keys no KMS e conceder permissões dessas chaves KMS às contas que precisarem delas. AWS managed keys não podem ser compartilhadas.
Na primeira vez que você copia um backup para uma nova Região AWS, o AWS Backup faz a cópia integral. Em geral, se o serviço oferece suporte a backups incrementais, as cópias seguintes desse backup na mesma Região AWS serão incrementais. O AWS Backup recriptografa sua cópia usando a customer managed key do vault de destino.
Uma exceção é o Amazon EBS, que afirma: "alterar o status de criptografia de um snapshot durante uma operação de cópia resulta em uma cópia completa (não incremental)."
Referências:
Conclusão
Esperamos que este passo a passo detalhado ajude você a implementar a configuração de administrador de backup delegado, controlando backups centralizados com as melhores práticas de segurança recomendadas, e esclareça algumas das dúvidas mais comuns sobre essa configuração para organizações AWS. Boa sorte!