本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 跨多個 管理 AWS Backup 資源 AWS 帳戶
**注意**
在您管理多個 AWS 帳戶 中的資源之前 AWS Backup,您的帳戶必須屬於 AWS Organizations 服務中的相同組織。
## 跨帳戶管理概觀
您可以使用 中的跨帳戶管理功能 AWS Backup 來管理和監控 AWS 帳戶 您設定的備份、還原和複製任務 AWS Organizations。 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 是一種服務, AWS 帳戶 可從單一管理帳戶為多個 提供以政策為基礎的管理。它可讓您將實作備份政策的方式標準化,同時減少手動錯誤和人力。您可以集中檢視所有資源,輕鬆在所有帳戶中找出符合您感興趣條件的資源。
如果您設定 AWS Organizations,您可以設定 AWS Backup 在一個位置監控所有帳戶中的活動。您也可以建立備份政策,並將其套用至屬於您組織一部分的所選帳戶,並直接從 AWS Backup 主控台檢視彙總備份任務活動。這項功能讓備份管理員可從單一管理帳戶有效監控全企業數百個帳戶的備份任務狀態。[AWS Organizations 配額](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)適用之。
例如,您定義備份政策 A,該政策會每日備份特定資源,並將其保留 7 天。您選擇將備份政策 A 套用至整個組織。(這表示組織中的每個帳戶都會取得該備份政策,因此系統會建立一個對應的備份計畫顯示在該帳戶中。) 然後,您建立名為「財務」的組織單位,並決定其備份只保留 30 天。在此案例中,您定義一個覆寫生命週期值的備份政策 B,並將其連接至該「財務」組織單位。這表示「財務」組織單位下的所有帳戶都會取得新的有效備份計畫,該計畫會每日備份所有指定的資源,並將其保留 30 天。
在此範例中,備份政策 A 和備份政策 B 合併為單一備份政策,該政策會定義「財務」組織單位下所有帳戶的保護策略。組織中的所有其他帳戶仍然受到備份政策 A 保護。只有使用相同備份計畫名稱的備份政策才能合併。您也可以讓政策 A 和政策 B 共存在於該帳戶中,不進行任何合併。您只能在主控台的 JSON 檢視中使用進階合併運算子。如需合併政策的詳細資訊,請參閱*《AWS Organizations 使用指南》*的[定義政策、政策語法和政策繼承](#merging-policies)。如需其他參考和使用案例,請參閱部落格 [AWS Organizations 使用 大規模管理備份 AWS Backup](https://aws.amazon.com/blogs/storage/managing-backups-at-scale-in-your-aws-organizations-using-aws-backup/)和影片教學 [AWS Organizations 使用 大規模管理備份 AWS Backup](https://www.youtube.com/watch?v=a6QI3iSCVz4)。
跨帳戶管理包含跨帳戶監控、跨帳戶備份、備份政策和委派管理員帳戶。並非所有這些元素都適用於所有區域。如需跨帳戶管理可用位置的詳細資訊,請參閱[區域 AWS 的功能可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。
**使用跨帳戶管理**
1. 在 中建立管理帳戶, AWS Organizations 並在管理帳戶下新增帳戶。
1. 在 中啟用跨帳戶管理功能 AWS Backup。
1. 建立備份政策以套用至管理帳戶 AWS 帳戶 下的所有 。
**注意**
對於由 Organizations 管理的備份計劃,管理帳戶中的資源選擇加入設定會覆寫該特定備份計劃的成員帳戶中的設定,即使已設定一或多個委派管理員帳戶。委派的管理員帳戶是具有增強功能的成員帳戶,但無法像管理帳戶一樣覆寫設定。
1. 管理所有 中的備份、還原和複製任務 AWS 帳戶。
## 跨帳戶管理設定
跨帳戶管理可讓您啟用或停用在組織內跨多個帳戶管理和監控活動的設定。
跨帳戶備份
允許組織中的帳戶將備份複製到其他帳戶。
多方核准
多方核准整合可讓您選擇加入組織中的所有帳戶以進行多方核准。
委派的管理員
委派管理員允許 Backup 自動同步委派管理員許可與 Organizations。
## 建立組織的管理帳戶
首先,您必須[建立組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)並使用 AWS 成員帳戶進行設定 AWS Organizations。如需指示,請參閱*《AWS Organizations 使用者指南》*的[教學課程:建立和設定組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html)。
當您將成員帳戶新增至組織時,請確定每個帳戶都有:
+ 至少一個備份和/或邏輯氣隙隔離保存庫
+ IAM 角色
您建立的備份政策會有備份計劃,但也會識別備份計劃中使用的 AWS 區域保存庫、要備份的資源,以及將用於建立備份的 IAM 角色 (IAM)。參考缺少必要資訊的帳戶的備份政策將無法如預期般運作。
如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[備份政策語法](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html#backup-policy-syntax-reference)。
## 啟用跨帳戶管理
在 中使用跨帳戶管理之前 AWS Backup,管理帳戶必須啟用 功能 (也就是*選擇加入*)。管理帳戶啟用跨帳戶管理後,您可以建立備份政策來管理多個帳戶中的資源。
**啟用跨帳戶管理**
1. 在 https AWS Backup 主控台 ://[https://console.aws.amazon.com/backup/](https://console.aws.amazon.com/backup) 開啟 。您必須使用管理帳戶憑證進行登入。
1. 在左側導覽窗格中,選擇 **Settings (設定)** 以開啟跨帳戶管理頁面。
1. 在 **Backup policies (備份政策)** 區段中,選擇 **Enable (啟用)**。
這可讓您存取所有帳戶,並可讓您建立政策,以同時自動管理組織中的多個帳戶。
1. 在 **Cross-account monitoring (跨帳戶監控)** 區段中,選擇 **Enable (啟用)**。
這可讓您從管理帳戶監控組織中所有帳戶的備份、複製和還原活動。
## 備份政策
您可以在 [中 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)結合備份計劃與政策的可擴展性,以建立[備份政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup.html)來簡化整個組織的管理。
如需如何為您的組織啟用備份政策的相關資訊,請參閱 *AWS Organizations 使用者指南*,以便您可以:
+ [建立備份政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_create.html)
+ [更新備份政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_create.html#update-backup-policy-procedure);或
+ [刪除備份政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_create.html#delete-backup-policy-procedure)
+ [備份政策語法和範例](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html)
[AWS Backup 配額](aws-backup-limits.md) 如需政策中所含元素的 AWS Backup特定配額,請參閱 。
## 委派的管理員
委派的管理為已註冊成員帳戶中的指派使用者提供方便的方式,以執行大多數 AWS Backup 管理任務。您可以選擇將 的管理委派 AWS Backup 給 中的成員帳戶 AWS Organizations,藉此擴展 AWS Backup 從管理帳戶外部和整個組織進行管理的能力。
管理帳戶預設是編輯和管理政策的帳戶。使用委派管理員功能,您可以將這些管理功能委派給您指定的成員帳戶。反之,除管理帳戶之外,這些帳戶也可以管理政策。
成功註冊可執行委派管理的成員帳戶,就是委派的管理員帳戶。請注意,被指定為委派管理員的是帳戶,非使用者。
啟用委派的管理員帳戶可讓您選擇管理備份政策、將可存取管理帳戶的使用者數量減至最少,並允許跨帳戶監控任務。
下表顯示管理帳戶的函數、委派為 Backup 管理員的帳戶,以及屬於 AWS Organization 成員的帳戶。
**注意**
委派的管理員帳戶是具有增強功能的成員帳戶,但無法像管理帳戶一樣覆寫其他成員帳戶的服務選擇加入設定。
| **PRIVILEGES** | **管理帳戶** | **委派管理員** | **成員帳戶** |
| --- | --- | --- | --- |
| 註冊/取消註冊委派管理員帳戶 | 是 | 否 | 否 |
| 啟用跨帳戶管理 | 是 | 否 | 否 |
| 在 中管理跨帳戶的備份政策 AWS Organizations | 是 | 是 | 否 |
| 監控跨帳戶任務 | 是 | 是 | 否 |
### 先決條件
您必須先將 AWS 組織中至少一個成員帳戶註冊為**委派管理員**,才能委派備份管理。您必須先設定下列項目,才能將帳戶註冊為委派管理員:
+ 除了您的預設管理帳戶之外,[AWS Organizations 還必須啟用和設定](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html)至少一個成員帳戶。
+ 建議 Organization Management 帳戶具有 AWS Backup 備份服務連結角色 (AWS Backup ServiceRoleForBackup),以自動將委派管理員許可與 Organizations 同步。這可確保委派管理員在您啟用選擇加入區域或變更管理員指派時擁有適當的存取權。如果備份服務連結角色不存在或遭到刪除,客戶有幾個選項可以建立:
+ 啟用委派管理員功能。
+ 存取備份保存庫主控台頁面。
+ 依照建立[預設服務角色中的文件手動建立。](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)
+ 在 AWS Backup 主控台中,確保**備份政策**、**跨帳戶監控**、**跨帳戶備份**和**委派管理員**功能都已開啟。這些位於 AWS Backup 主控台的**委派管理員**窗格下方。
+ [跨帳戶監控](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#enable-cross-account)可讓您從管理帳戶以及委派的管理員帳戶監控組織中所有帳戶的備份活動。
+ *選用:*跨帳戶備份,可讓您組織中的帳戶將備份複製到其他帳戶 (適用於備份支援的跨帳戶資源)。
+ *選用:*委派管理員,允許 AWS Backup Backup 自動建立備份服務連結角色,以將委派管理員許可與 Organizations 同步。
+ 使用 啟用[服務存取](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html) AWS Backup。
設定委派管理需要兩個步驟。第一個步驟是委派跨帳戶任務監控。第二個步驟是委派備份政策管理。
### 將成員帳戶註冊為委派管理員帳戶。
這是第一個區段:使用 AWS Backup 主控台註冊委派管理員帳戶來監控跨帳戶任務。若要委派 AWS Backup 政策,您將在下一節中使用 Organizations 主控台。
**若要使用 AWS Backup 主控台註冊成員帳戶:**
1. 在 https AWS Backup 主控台 ://[https://console.aws.amazon.com/backup/](https://console.aws.amazon.com/backup) 開啟 。您必須使用管理帳戶憑證進行登入。
1. 在主控台左側導覽列中,選擇 **我的帳戶** 下的 **設定**。
1. 在 **委派管理員** 窗格中,按一下 **註冊委派管理員** 或 **新增委派管理員**。
1. 在 **註冊委派管理員** 頁面中,選取您要註冊的帳戶,然後選擇 **註冊帳戶**。
此指定帳戶現在會註冊為委派的管理員,具有管理權限,可監控組織內所有帳戶任務,並可檢視及編輯政策 (政策委派)。此成員帳戶不能註冊或取消註冊其他委派管理員帳戶。使用主控台最多可將 5 個帳戶註冊為委派管理員。
確定委派管理員具有 授予的許可[AWSBackupOrganizationAdminAccess](security-iam-awsmanpol.md#AWSBackupOrganizationAdminAccess)。
**使用程式設計方式註冊成員帳戶:**
使用 `register-delegated-administrator` CLI 命令。您可以在 CLI 請求中指定下列參數:
+ `service-principal`
+ `account-id`
以下是使用程式設計方式註冊成員帳戶的 CLI 請求範例:
```
aws organizations register-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"
```
### 取消註冊成員帳戶
使用下列程序取消註冊組織中先前指定為委派管理員的成員帳戶 AWS , AWS Backup 以從 移除管理存取權。
**使用主控台取消註冊成員帳戶**
1. 在 https AWS Backup 主控台 ://[https://console.aws.amazon.com/backup/](https://console.aws.amazon.com/backup) 開啟 。您必須使用管理帳戶憑證進行登入。
1. 在主控台左側導覽列中,選擇 **我的帳戶** 下的 **設定**。
1. 在 **委派管理員** 區段,按一下 **取消註冊帳戶**。
1. 選擇您要取消註冊的帳戶。
1. 在 **取消註冊帳戶** 對話方塊中,檢閱安全性隱患,然後輸入 `confirm` 完成取消註冊。
1. 選擇 `Deregister account`。
**使用程式設計方式取消註冊成員帳戶:**
使用 CLI 命令 `deregister-delegated-administrator` 取消註冊委派的管理員帳戶。您可以在 CLI 請求中指定下列參數:
+ `service-principal`
+ `account-id`
以下是使用程式設計方式取消註冊成員帳戶的 CLI 請求範例:
```
aws organizations deregister-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"
```
### 透過 委派 AWS Backup 政策 AWS Organizations
在 AWS Organizations 主控台中,您可以委派管理多個政策,包括備份政策。
您可以在登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)的管理帳戶中,為組織建立、檢視或刪除資源型的委派政策。如需委派政策的步驟,請參閱*《AWS Organizations 使用指南》*的[建立資源型委派政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_delegate_policies.html)。
## 監控多個 中的活動 AWS 帳戶
若要監控跨帳戶的備份、複製和還原任務,您必須啟用跨帳戶監控。這可讓您從組織管理帳戶監控所有帳戶的備份活動。當您選擇加入之後,您組織中所有在選擇加入之後建立的任務都會顯示出來。當您選擇退出時, AWS Backup 會將任務保留在彙總檢視中 30 天 (從達到終止狀態起)。系統不會顯示選擇退出後建立的任務,也不會顯示任何新建立的備份任務。如需選擇加入的說明,請參閱 [啟用跨帳戶管理](#enable-cross-account)。
**監控多個帳戶**
1. 在 https AWS Backup 主控台 ://[https://console.aws.amazon.com/backup/](https://console.aws.amazon.com/backup) 開啟 。您必須使用管理帳戶憑證進行登入。
1. 在左側導覽窗格中,選擇 **Settings (設定)** 以開啟跨帳戶管理頁面。
1. 在 **Cross-account monitoring (跨帳戶監控)** 區段中,選擇 **Enable (啟用)**。
這可讓您從管理帳戶監控組織中所有帳戶的備份和還原活動。
1. 在左側導覽窗格中,選擇 **Cross-account monitoring (跨帳戶監控)**。
1. 在 **Cross-account monitoring (跨帳戶監控)** 頁面上,選擇 **Backup jobs (備份任務)**、**Restore jobs (還原任務)** 或 **Copy jobs (複製任務)** 標籤,以查看在所有帳戶中建立的所有任務。您可以依 AWS 帳戶 ID 來查看每個任務,也可以查看特定帳戶中的所有任務。
1. 在搜尋方塊中,您可以依 **Account ID (帳戶 ID)**、**Status (狀態)** 或 **Job ID (任務 ID)** 篩選任務。
例如,您可以選擇 **Backup jobs (備份任務)** 標籤,並查看在您的所有帳戶中建立的所有備份任務。您可以依 **Account ID (帳戶 ID)** 篩選清單,並查看在該帳戶中建立的所有備份任務。
## 資源選擇加入規則
如果成員帳戶的備份計劃是由 Organizations 層級備份政策建立,則 Organizations 管理帳戶的 AWS Backup 選擇加入設定將覆寫該成員帳戶中的選擇加入設定,但僅適用於該備份計劃。
如果成員帳戶也有使用者建立的本機層級備份計畫,則這些備份計畫會遵循成員帳戶中的選擇加入設定,不參考 Organizations 管理帳戶的選擇加入設定。
## 定義政策、政策語法和政策繼承
* AWS Organizations 使用者指南*中會記載下列主題。
+ **備份政策** – 請參閱[備份政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup.html)。
+ **政策語法** - 請參閱[備份政策語法和範例](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html)。
+ **管理政策類型的繼承** - 請參閱[管理政策類型的繼承](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html)。