為便于企業內部采用中心化統一策略進行數據災備保護、合規性審計等,云備份對云上資源支持跨阿里云賬號進行備份和恢復。本文介紹如何在阿里云賬號B下創建RAM角色并授權給阿里云賬號A,允許A以服務關聯角色SLR(AliyunServiceRoleForHbrCrossAccountBackup)扮演B的RAM角色來訪問B的資源,從而實現A跨賬號備份和恢復B的阿里云資源。
背景信息
在典型的LandingZone架構最佳實踐中,企業內存在不同多個部門多個阿里云賬號,開發或者測試環境需要隔離。而數據災備保護、合規性審計等則采取中心化統一策略。更多信息,請參見Landing Zone企業上云架構。
例如在某企業內,擁有兩個獨立的生產環境賬號A和測試環境賬號B。現需要統一備份兩個賬號下的資源,且生產賬號A的數據可以恢復至測試賬號B作開發測試用途,測試賬號B的數據可恢復至生產賬號A做版本更新。此時可以挑選兩個賬號中的一個作為中心備份賬號,或者新創建一個中心備份賬號。A和B通過RAM授權給中心備份賬號進行備份,A和B中的數據也可以跨賬號恢復。
使用限制
目前支持ECS整機備份、ECS文件備份、NAS備份、OSS備份、Tablestore備份、ECS數據庫備份和SAP HANA備份場景使用跨賬號備份功能。ECS整機備份跨賬號備份后,恢復操作時只能恢復到原阿里云賬號。具體支持場景請以云備份控制臺提示為準。
支持地域:請參考地域支持的功能特性。
授權原理
以阿里云賬號A備份阿里云賬號B資源為例,說明其授權原理:
賬號A創建服務關聯角色AliyunServiceRoleForHbrCrossAccountBackup,云備份用此角色來扮演賬號B的RAM角色進行數據備份。
賬號B創建RAM角色hbrcrossrole,然后:
修改信任策略:僅允許賬號A的服務關聯角色SLR(AliyunServiceRoleForHbrCrossAccountBackup)扮演賬號B的RAM角色來訪問阿里云賬號B的資源。
在賬號A的云備份控制臺添加跨賬號備份賬號B,其中角色名稱必須為獲得授權的RAM角色hbrcrossrole。
在賬號A的云備份控制臺切換到賬號B,就可以使用賬號A備份和恢復賬號B的資源。
假設使用阿里云賬號A跨賬號備份和恢復阿里云賬號B的資源,賬號A和賬號B允許的操作如下表所示:
賬號B的資源 | 賬號A允許的操作(備份管理賬號) | 賬號B允許的操作(待備份資源賬號) |
ECS整機 |
|
|
其他類型資源 |
|
|
費用說明
使用云備份提供的跨賬號備份功能是免費的。但備份恢復產生的費用由備份管理賬號(阿里云賬號A)支付,其中ECS整機備份的快照服務費用、OSS請求費用仍由原賬號(阿里云賬號B)支付。更多信息,請參見計費方式與計費項。
假設使用阿里云賬號A跨賬號備份和恢復阿里云賬號B的資源,賬號A和賬號B的計費項如下表所示:
賬號B的資源 | 賬號A計費項(備份管理賬號) | 賬號B計費項(待備份資源賬號) |
ECS整機 |
|
|
ECS文件 |
| / |
NAS |
|
|
OSS |
|
|
Tablestore |
| / |
ECS數據庫 |
| / |
SAP HANA |
| / |
步驟一:為阿里云賬號A創建服務關聯角色
使用阿里云賬號A進行跨賬號備份和恢復,您需要為阿里云賬號A授權服務關聯角色AliyunServiceRoleForHbrCrossAccountBackup。
角色名稱:AliyunServiceRoleForHbrCrossAccountBackup
權限策略:AliyunServiceRolePolicyForHbrCrossAccountBackup
權限說明:允許備份服務跨賬號訪問其他被授權賬號的資源,以進行跨賬號備份和恢復。
該操作只需要在首次進入時操作一次。
更多信息,請參見步驟二:為阿里云賬號B創建RAM角色
步驟三:為RAM角色授權
創建RAM角色后,您可以使用該RAM角色進行相關操作,但該RAM角色無任何權限,您需要為該RAM角色授予系統策略或自定義策略。在精確授權界面,RAM默認提供兩種系統策略,請選擇一種授權。
AdministratorAccess:授予目標賬號管理所有云資源的權限。
AliyunHBRRolePolicy:(推薦)授予云備份系統權限策略。
本文以為RAM角色授予AliyunHBRRolePolicy權限為例。
使用阿里云賬號B登錄RAM控制臺。
在左側導航欄,選擇。
找到目標RAM角色(例如hbrcrossrole),進入目標RAM角色詳情頁。
在權限管理頁簽,單擊精確授權。
在精確授權面板,選擇權限類型為系統策略,輸入策略名稱為AliyunHBRRolePolicy,然后單擊確定。
系統提示精確授權成功,單擊關閉。
修改該RAM角色的信任策略。
在當前角色的詳情頁面,單擊信任策略。
單擊編輯信任策略。
在編輯框中,將下述代碼復制至文本框。其中目標賬號ID為阿里云賬號A的賬號ID。
該策略表示阿里云賬號A有權限通過云備份獲取臨時Token來操作阿里云賬號B的資源。
說明您可以訪問安全設置頁面查看阿里云賬號ID。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::目標賬號ID:role/AliyunServiceRoleForHbrCrossAccountBackup" ] } } ], "Version": "1" }單擊保存信任策略。配置完成。
步驟四:添加備份賬號
使用阿里云賬號A登錄云備份管理控制臺。
在頂部菜單欄,選擇所在地域。
重要如果您要備份阿里云賬號B在地域regionC的ECS文件、NAS、OSS、Tablestore、數據庫或ECS整機,請選擇地域regionC。即待備份資源在哪個地域,就在哪個地域添加備份賬號。
在左側導航欄,選擇備份>跨賬號備份。
在跨賬號備份,單擊添加備份賬號。
在添加備份賬號對話框,配置以下參數,然后單擊確定。
參數
說明
阿里云賬號ID
輸入您的阿里云賬號ID。此處填寫賬號B的賬號ID。
說明您可以訪問安全設置頁面查看阿里云賬號ID。
角色名稱
輸入已創建的RAM角色名稱。此處填寫hbrcrossrole,即您在步驟二:為阿里云賬號B創建RAM角色創建的RAM角色名稱。
重要您可以單擊授權檢查,檢查之前配置授權是否正確。若提示錯誤,請檢查之前配置后重試。通過檢查時,界面會提示此角色已經授權您訪問其所屬資源的權限。
賬號別名
您可以任意設置賬號別名,方便進行備份賬號的管理。
創建成功后,您可以看到已經增加一條跨賬號備份記錄。
步驟五:開始跨賬號備份
創建完成后,您就可以使用阿里云賬號A登錄控制臺,切換賬號,進行跨賬號備份阿里云賬號B的數據源。
使用阿里云賬號A登錄云備份管理控制臺。
在頂部菜單欄,選擇待備份資源所在的地域。
單擊登錄賬號,選擇阿里云賬號B。
在左側導航選擇不同備份功能,就可以進行跨賬號備份了。
重要目前支持ECS文件備份、NAS備份、OSS備份、Tablestore備份、數據庫備份和SAP HANA備份場景使用跨賬號備份功能。ECS整機備份跨賬號備份后,恢復操作時只能恢復到原阿里云賬號。具體支持場景請以云備份控制臺提示為準。
例如,當您選擇ECS文件備份,就可以看到ECS實例列表中已經讀取到阿里云賬號B名下的ECS資產。備份完成后,阿里云賬號B的數據源已經備份到阿里云賬號A的備份庫。
步驟六:跨賬號恢復
您已完成了阿里云賬號A備份阿里云賬號B的數據源。此時,備份庫包含了阿里云賬號A(未進行跨賬號備份之前的數據)和阿里云賬號B的數據備份,備份庫是通用的。您可以從備份庫的任意歷史備份點進行恢復,可以恢復至賬號A,也可以恢復到賬號B。
切換賬號。
備份庫是通用的,阿里云賬號A和B都可以使用備份庫中的歷史備份點進行恢復。您希望恢復哪個賬號的數據,就切換到哪個賬號。
創建恢復任務。創建恢復任務的操作步驟,與各數據源恢復步驟一致。
如何取消跨賬號備份功能
取消跨賬號備份功能后,阿里云賬號A無法再備份阿里云賬號B的數據源。請謹慎評估后操作。
建議您保留對其他賬號的跨賬號備份功能,不進行備份恢復操作,不會新增費用。
之前已經備份的數據仍然保留在備份庫,這些數據繼續占用存儲容量,云備份會繼續收取容量費用。希望停止計費,請參見云備份服務如何停止計費?。注意刪除備份后數據不可恢復。
切換到阿里云賬號B,在對應數據源頁面,卸載備份客戶端(如果有)、注銷實例、刪除備份庫等。具體操作,請參見云備份服務如何停止計費?。
切換到阿里云賬號A,在云備份控制臺的跨賬號備份頁面,刪除阿里云賬號B。
刪除為阿里云賬號B創建的RAM角色。
使用阿里云賬號B登錄RAM控制臺。
在左側導航欄中,選擇。
找到為阿里云賬號B創建的RAM角色,例如hbrcrossrole。在其操作列,進行刪除。