Einführung
Die Sicherung von Daten ist zum Schutz vor Datenbeschädigung und Datenverlust unerlässlich. Xebia bietet dies als starke gemeinsame Plattformfunktion in seiner Xebia Cloud Foundation an, die von allen Workloads genutzt werden kann.
Ein ähnlicher Ansatz wird in diesem Artikel beschrieben, so dass die Datensicherung als gemeinsame Fähigkeit für alle AWS-Arbeitslasten bereitgestellt werden kann.
AWS Backup ist ein von AWS verwalteter Backup-Service, mit dem Sie einen unternehmensweiten richtlinienbasierten Service einrichten können, der die Datensicherung im großen Maßstab vereinfacht. Er bietet eine automatische Backup-Planung, Aufbewahrungsverwaltung, zentrale Datensicherung, kontoübergreifende Verwaltung und mehr.
AWS Backup kann in verschiedenen Konfigurationen verwendet werden. Die Konfiguration in diesem Artikel ermöglicht es Plattform-/Backup-Administratoren, allen bestehenden und zukünftigen Arbeitslasten/Anwendungsteams vorkonfigurierte Backup-Pläne zur Verfügung zu stellen. Die gesicherten Daten werden auf zentrale Weise gespeichert und verwaltet.
Dieser Backup-Artikel wird in einer 3-teiligen Serie bereitgestellt:
Teil 1 - Enterprise AWS Backup - Was Sie erhalten
Teil 2 - Enterprise AWS Backup - Erste Schritte
Teil 3 - Enterprise AWS Backup - Überprüfung & Fehlerbehebung
Erste Schritte
Für diese Lösung ist Folgendes erforderlich:
- AWS Organization mit allen aktivierten Funktionen.
- Ein Verwaltungskonto und ein oder mehrere Mitgliedskonten.
- Ein neues/ausgewähltes AWS Backup-Konto für den zentralisierten organisationsweiten Backup-Tresor.
- Eine ausgewählte Region für den zentralisierten organisationsweiten Backup-Tresor, die sich von den Workload-Regionen unterscheidet.
Andere Dienste wie AWS Control Tower, AWS Identity Center (SSO) usw. können aktiviert werden, sind aber für diese Lösung nicht erforderlich.
Um organisationsweite Sicherungen zu erstellen, führen Sie die folgenden Schritte aus:
1. Aktivieren Sie die kontoübergreifende Verwaltung
2.Aktivieren Sie das Service Opt-In für Backup
3.Einrichten der Verschlüsselung
4.Erstellen von Backup-Datenspeichern
5.Erstellen Sie eine Backup-Rolle
6. Erstellen Sie eine Backup-Richtlinie
Aktivieren Sie die kontoübergreifende Verwaltung
- Melden Sie sich bei dem Verwaltungskonto an
- Navigieren Sie zu https://console.aws.amazon.com/backup
- Wählen Sie die Region Ihrer Workloads.
- Klicken Sie im linken Navigationsbereich auf Einstellungen und scrollen Sie nach unten zum Abschnitt Kontoübergreifende Verwaltung
- Aktivieren Sie Sicherungsrichtlinien. Damit können Sie eine unternehmensweite Backup-Richtlinie mit vordefinierten Backup-Plänen, Datenspeicherzielen und Aufbewahrungsregeln konfigurieren.
- Aktivieren Sie die kontoübergreifende Überwachung. Damit können Sie die Backup-Aktivitäten auf Ihren Konten zentral überwachen.
- Aktivieren Sie die kontoübergreifende Sicherung. Damit können Sie Sicherungsdaten von Mitgliedskonten auf das zentrale Sicherungskonto kopieren.
[caption id="" align="alignnone" width="1520"]
AWS-Sicherung[/caption]
So wird es nach den Änderungen aussehen:
Aktivieren Sie die Dienstanmeldung für Backup
- Melden Sie sich bei dem Verwaltungskonto an
- Navigieren Sie zu https://console.aws.amazon.com/backup
- Wählen Sie die Region Ihrer Workloads.
- Klicken Sie im linken Navigationsbereich auf Einstellungen und scrollen Sie nach unten zum Abschnitt Service opt-in
- Stellen Sie sicher, dass der Ressourcentyp für die Ressourcentypen, für die Sie die AWS-Sicherung aktivieren möchten, aktiviert ist.
Diese Einstellungen werden an die Mitgliedskonten der Organisation vererbt.
Nicht aktivierte Ressourcentypen werden von den AWS-Sicherungsplänen ausgeschlossen.
Beispiel unten für 3 aktivierte Ressourcentypen: 
Verschlüsselung einrichten
Die in den Backup-Tresoren gespeicherten Daten müssen verschlüsselt werden. Für die Verschlüsselung wird die Verwendung eines Kunden-Master-Schlüssels empfohlen, der dem Kunden gehört und von ihm verwaltet wird und nicht von AWS.
Für dieses Szenario werden wir jedoch einen Schlüssel mit mehreren Regionen verwenden, der einen Primärschlüssel in einer Region und einen Replikatschlüssel in einer anderen Region hat. Der Primärschlüssel und alle Replikatschlüssel haben dasselbe Schlüsselmaterial.
Sowohl der Primär- als auch der Replikationsschlüssel werden vom Backup-Konto aus gespeichert und verwaltet. Der primäre Schlüssel wird in der Region des zentralisierten organisationsweiten Tresors gespeichert und die Replikate werden in den Workload-Regionen gespeichert und mit den Mitgliedskonten geteilt. Auf diese Weise kann der lokale Backup-Tresor der Mitgliedskonten den lokalen Schlüssel der Region verwenden, während die gesamte Schlüsselverwaltung auf das Backup-Konto zentralisiert wird.
Erstellen Sie den primären multiregionalen Schlüssel:
-
- Loggen Sie sich in das AWS-Sicherungskonto ein
- Navigieren Sie zu https://console.aws.amazon.com/kms
- Wählen Sie die Region Ihrer Wahl für Ihren zentralen unternehmensweiten Backup-Tresor. Diese sollte sich von der Region Ihrer Workloads unterscheiden.
- Klicken Sie im linken Navigationsbereich auf Kundenverwaltete Schlüssel und Schlüssel erstellen
- Wählen Sie einen symmetrischen Schlüssel mit der Verwendung Verschlüsseln und Entschlüsseln, KMS als Herkunft des Schlüsselmaterials, Multi-Region als Regionalität.
- Benennen Sie den Alias <Präfix> /cmk/backup-primary-key
- Wählen Sie die Schlüsseladministratoren und deaktivieren Sie die Option Schlüsseladministratoren das Löschen dieses Schlüssels gestatten
- Wählen Sie AWSServiceRoleForBackup als Schlüsselbenutzer, damit diese Rolle diesen Schlüssel bei kryptografischen Operationen verwenden kann
Wenn die Rolle fehlt, kann sie mit der CloudShell erstellt werden:aws iam create-service-linked-role --aws-service-name backup.amazonaws.com
Erstellen Sie eine Replik dieses Schlüssels in jeder Region, in der Ihre Workloads arbeiten:
- Loggen Sie sich in das Backup-Konto ein
- Navigieren Sie zu https://console.aws.amazon.com/kms
- Wählen Sie den Bereich des Primärschlüssels, indem Sie auf den Primärschlüssel in der Listenansicht klicken.
- Navigieren Sie zur Registerkarte Regionalität und erstellen Sie neue Replikationsschlüssel
- Wählen Sie alle Workload-Regionen aus
- Benennen Sie den Alias <Präfix> /cmk/backup-replica-key
- Wählen Sie die gleichen Schlüsselverwalter wie bei der Erstellung des Primärschlüssels
- Wählen Sie dieselben Schlüsselbenutzer wie bei der Erstellung des Primärschlüssels
- Fügen Sie die AWS Workload-Konten innerhalb der Organisation hinzu, die in der Region arbeiten, in der Sie den Replikationsschlüssel erstellen. Dadurch können die Mitgliedskonten diesen Schlüssel für kryptografische Operationen verwenden.
Wenn die Backup-Region Irland (eu-west-1) und die Workload-Regionen Frankfurt (eu-central-1) und Paris (eu-west-3) ist, dann wird der Primärschlüssel in der Region Irland, ein Replikatschlüssel in Frankfurt und ein weiterer Replikatschlüssel in Paris gespeichert. Der Replikationsschlüssel in Frankfurt wird mit Mitgliedskonten geteilt, die Frankfurt als Region verwenden. Der Replikationsschlüssel in Paris wird gemeinsam mit Mitgliedskonten genutzt, die Paris als Region verwenden.
Sicherungstresore erstellen
Es muss ein zentraler Backup-Datenspeicher für die Organisation und ein Backup-Datenspeicher für jedes Mitgliedskonto erstellt werden.
Das zentrale Backup-Konto sollte gesperrt werden, so dass nur eine begrenzte Anzahl von Personen darauf zugreifen kann (idealerweise über eine Single Sign On-Rolle) und nur eine begrenzte Anzahl von Aktionen möglich ist (über eine Service Control Policy). Dies bietet Schutz für kritische Daten in Katastrophenszenarien. Dies wird in diesem Artikel nicht beschrieben, da es sich von der organisatorischen Einrichtung unterscheidet.
Die Erstellung des zentralen Backup-Tresors:
- Melden Sie sich bei dem speziellen Backup-Konto an
- Navigieren Sie zu https://console.aws.amazon.com/backup
- Wählen Sie den Bereich des Primärschlüssels
- Klicken Sie auf Backup Tresore im linken Navigationsbereich und Backup Tresor erstellen
- Benennen Sie den Tresor backup-organization-vault und wählen Sie das Präfix<> /cmk/backup-primary-key
- Klicken Sie im Abschnitt Zugriffsrichtlinie für den Backup-Organisations-Datenspeicher auf die Dropdown-Liste Berechtigungen hinzufügen und wählen Sie Zugriff auf einen Backup-Datenspeicher von der Organisation aus zulassen. Klicken Sie auf Richtlinie speichern. Dadurch können Workload-Konten das Backup in den zentralen Organisationstresor kopieren.
Erstellen Sie in jedem Mitgliedskonto, in jeder Region des Workloads den Backup-Datenspeicher:
- Loggen Sie sich in Ihr Mitgliedskonto ein
- Navigieren Sie zu https://console.aws.amazon.com/backup
- Wählen Sie die Region der Arbeitsbelastung
- Sie müssen einen Backup-Datenspeicher mit dem Schlüssel des Backup-Kontos erstellen. Dies ist in der AWS-Konsole nicht möglich, kann aber mit der CloudShell durchgeführt werden:
aws backup create-backup--vault –backup-vault-name backup-vault –-encryption-key-arn <replica key arn in the current region>
Erstellen Sie eine Backup-Rolle
AWS Backup nimmt bei der Durchführung der Sicherung eine Rolle an. Diese Rolle muss über ausreichende Berechtigungen verfügen, um die Daten aus der Quelle zu lesen und sie in den Tresor zu kopieren und umgekehrt für die Wiederherstellung. Hierfür stellt AWS 2 verwaltete Richtlinien AWSBackupServiceRolePolicyForBackup und AWSBackupServiceRolePolicyForRestores zur Verfügung.
Erstellen Sie in jedem Mitgliedskonto, in jeder Region des Workloads die Rolle:
- Melden Sie sich bei dem Workload-Konto an
- Navigieren Sie zu https://console.aws.amazon.com/iam
- Wählen Sie Rollen und Rolle erstellen
- Wählen Sie AWS Backup für den Service
- Fügen Sie der Rolle die Berechtigungsrichtlinien AWSBackupServiceRolePolicyForBackup und AWSBackupServiceRolePolicyForRestores hinzu
- Benennen Sie die Rolle backup-restore-role
Erstellen Sie eine Backup-Richtlinie
Eine Backup-Richtlinie ist ein JSON-Dokument, das alle Parameter des Backups definiert, z.B. Pläne, Aufbewahrung, Zeitfenster usw.
Ersetzen Sie die Platzhalter in der Richtlinie durch die folgenden:
| Platzhalter | Ersetzen durch | Beispiel |
|---|---|---|
| $Region | Regionalcode(s) der Regionen, in denen diese Richtlinie gilt (Workload-Region) | eu-zentral-1, eu-west-3 |
| $backup-primäre-region | Gewählter Regionalcode des Backup-Kontos (Region des Primärschlüssels). | eu-west-1 |
| $backup-account | Kontocode des Sicherungskontos | 123456789012 |
Es kann weitere Platzhalter geben, aber diese werden von AWS zur Laufzeit ausgewertet.
Erstellen Sie die Backup-Richtlinie:
- Melden Sie sich bei dem Verwaltungskonto an
- Navigieren Sie zu https://console.aws.amazon.com/backup
- Wählen Sie die Region des Backup-Primärschlüssels
- Wählen Sie Sicherungsrichtlinien und Sicherungsrichtlinie erstellen
- Benennen Sie die Richtlinie organization-backup-policy und fügen Sie eine Beschreibung hinzu
- Wechseln Sie in die JSON-Ansicht und kopieren Sie den Inhalt dieser Richtlinie bzw. fügen Sie ihn ein.
- Hängen Sie die Richtlinie an die Workload-OU/Workload-Konten/Root an
Vorheriger Teil 1 - Enterprise AWS Backup - Was Sie bekommen
Weiter zu Teil 3 - Enterprise AWS Backup - Verifizierung & Fehlerbehebung
Sicherungsorganisation Tresor-Richtlinie
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "backup:CopyIntoBackupVault",
"Resource": "*",
"Principal": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": [
"o-XXXXX"
]
}
}
}]
}
Backup-Richtlinie
{
"plans": {
"Hourly_Plan": {
"regions": {
"@@append": [
"$region",
"$region"
]
},
"rules": {
"Backup_Rule": {
"schedule_expression": {
"@@assign": "cron(0 5/1 ? * * *)"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "1"
}
},
"target_backup_vault_name": {
"@@assign": "backup-vault"
}
}
},
"selections": {
"tags": {
"Backup_Assignment": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/backup-restore-role"
},
"tag_key": {
"@@assign": "BackupPlanHourly"
},
"tag_value": {
"@@assign": [
"True"
]
}
}
}
}
},
"Daily_Plan": {
"regions": {
"@@append": [
"$region",
"$region"
]
},
"rules": {
"Backup_Rule": {
"schedule_expression": {
"@@assign": "cron(0 5 ? * * *)"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "30"
}
},
"target_backup_vault_name": {
"@@assign": "backup-vault"
}
}
},
"selections": {
"tags": {
"Backup_Assignment": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/backup-restore-role"
},
"tag_key": {
"@@assign": "BackupPlanDaily"
},
"tag_value": {
"@@assign": [
"True"
]
}
}
}
}
},
"Weekly_Plan": {
"regions": {
"@@append": [
"$region",
"$region"
]
},
"rules": {
"Backup_Rule": {
"schedule_expression": {
"@@assign": "cron(0 5 ? * 1 *)"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
}
},
"target_backup_vault_name": {
"@@assign": "backup-vault"
}
}
},
"selections": {
"tags": {
"Backup_Assignment": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/backup-restore-role"
},
"tag_key": {
"@@assign": "BackupPlanWeekly"
},
"tag_value": {
"@@assign": [
"True"
]
}
}
}
}
},
"Monthly_Plan": {
"regions": {
"@@append": [
"$region",
"$region"
]
},
"rules": {
"Backup_Rule": {
"schedule_expression": {
"@@assign": "cron(0 5 1 * ? *)"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "365"
}
},
"target_backup_vault_name": {
"@@assign": "backup-vault"
}
}
},
"selections": {
"tags": {
"Backup_Assignment": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/backup-restore-role"
},
"tag_key": {
"@@assign": "BackupPlanMonthly"
},
"tag_value": {
"@@assign": [
"True"
]
}
}
}
}
},
"Critical_Hourly_Plan": {
"regions": {
"@@append": [
"$region",
"$region"
]
},
"rules": {
"Backup_Rule": {
"schedule_expression": {
"@@assign": "cron(0 5/1 ? * * *)"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "1"
}
},
"target_backup_vault_name": {
"@@assign": "backup-vault"
},
"copy_actions": {
"arn:aws:backup:$backup-primary-region:$backup-account:backup-vault:backup-organization-vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:$backup-primary-region:$backup-account:backup-vault:backup-organization-vault"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "1"
}
}
}
}
}
},
"selections": {
"tags": {
"Backup_Assignment": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/backup-restore-role"
},
"tag_key": {
"@@assign": "BackupPlanHourlyReplicate"
},
"tag_value": {
"@@assign": [
"True"
]
}
}
}
}
},
"Critical_Daily_Plan": {
"regions": {
"@@append": [
"$region",
"$region"
]
},
"rules": {
"Backup_Rule": {
"schedule_expression": {
"@@assign": "cron(0 5 ? * * *)"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "30"
}
},
"target_backup_vault_name": {
"@@assign": "backup-vault"
},
"copy_actions": {
"arn:aws:backup:$backup-primary-region:$backup-account:backup-vault:backup-organization-vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:$backup-primary-region:$backup-account:backup-vault:backup-organization-vault"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "30"
}
}
}
}
}
},
"selections": {
"tags": {
"Backup_Assignment": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/backup-restore-role"
},
"tag_key": {
"@@assign": "BackupPlanDailyReplicate"
},
"tag_value": {
"@@assign": [
"True"
]
}
}
}
}
},
"Critical_Weekly_Plan": {
"regions": {
"@@append": [
"$region",
"$region"
]
},
"rules": {
"Backup_Rule": {
"schedule_expression": {
"@@assign": "cron(0 5 ? * 1 *)"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
}
},
"target_backup_vault_name": {
"@@assign": "backup-vault"
},
"copy_actions": {
"arn:aws:backup:$backup-primary-region:$backup-account:backup-vault:backup-organization-vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:$backup-primary-region:$backup-account:backup-vault:backup-organization-vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
}
}
}
}
}
},
"selections": {
"tags": {
"Backup_Assignment": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/backup-restore-role"
},
"tag_key": {
"@@assign": "BackupPlanWeeklyReplicate"
},
"tag_value": {
"@@assign": [
"True"
]
}
}
}
}
},
"Critical_Monthly_Plan": {
"regions": {
"@@append": [
"$region",
"$region"
]
},
"rules": {
"Backup_Rule": {
"schedule_expression": {
"@@assign": "cron(0 5 1 * ? *)"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "90"
},
"delete_after_days": {
"@@assign": "365"
}
},
"target_backup_vault_name": {
"@@assign": "backup-vault"
},
"copy_actions": {
"arn:aws:backup:$backup-primary-region:$backup-account:backup-vault:backup-organization-vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:$backup-primary-region:$backup-account:backup-vault:backup-organization-vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "90"
},
"delete_after_days": {
"@@assign": "365"
}
}
}
}
}
},
"selections": {
"tags": {
"Backup_Assignment": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/backup-restore-role"
},
"tag_key": {
"@@assign": "BackupPlanMonthlyReplicate"
},
"tag_value": {
"@@assign": [
"True"
]
}
}
}
}
}
}
}
Unsere Ideen
Weitere Blogs
Contact