日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
有獎調研
輸入文檔關鍵字查找
首頁 云備份 操作指南 企業級能力 跨賬號備份

跨賬號備份

更新時間:
產品詳情
相關技術圈
我的收藏

為便于企業內部采用中心化統一策略進行數據災備保護、合規性審計等,云備份對云上資源支持跨阿里云賬號進行備份和恢復。本文介紹如何在阿里云賬號B下創建RAM角色并授權給阿里云賬號A,允許A以服務關聯角色SLR(AliyunServiceRoleForHbrCrossAccountBackup)扮演B的RAM角色來訪問B的資源,從而實現A跨賬號備份和恢復B的阿里云資源。

背景信息

在典型的LandingZone架構最佳實踐中,企業內存在不同多個部門多個阿里云賬號,開發或者測試環境需要隔離。而數據災備保護、合規性審計等則采取中心化統一策略。更多信息,請參見Landing Zone企業上云架構。

例如在某企業內,擁有兩個獨立的生產環境賬號A和測試環境賬號B。現需要統一備份兩個賬號下的資源,且生產賬號A的數據可以恢復至測試賬號B作開發測試用途,測試賬號B的數據可恢復至生產賬號A做版本更新。此時可以挑選兩個賬號中的一個作為中心備份賬號,或者新創建一個中心備份賬號。A和B通過RAM授權給中心備份賬號進行備份,A和B中的數據也可以跨賬號恢復。

image

使用限制

重要

  • 目前支持ECS整機備份、ECS文件備份、NAS備份、OSS備份、Tablestore備份、ECS數據庫備份和SAP HANA備份場景使用跨賬號備份功能。ECS整機備份跨賬號備份后,恢復操作時只能恢復到原阿里云賬號。具體支持場景請以云備份控制臺提示為準。

  • 支持地域:請參考地域支持的功能特性。

授權原理

以阿里云賬號A備份阿里云賬號B資源為例,說明其授權原理:

  1. 賬號A創建服務關聯角色AliyunServiceRoleForHbrCrossAccountBackup,云備份用此角色來扮演賬號B的RAM角色進行數據備份。

  2. 賬號B創建RAM角色hbrcrossrole,然后:

    1. 精確授權:先授予RAM角色hbrcrossrole系統策略AliyunHBRRolePolicy。該策略擁有訪問賬號B資源的權限,內容如下:

      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "nas:DescribeFileSystems",
        "nas:CreateMountTargetSpecial",
        "nas:DeleteMountTargetSpecial",
        "nas:DescribeMountTargets",
        "nas:DescribeAccessGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:RunCommand",
        "ecs:CreateCommand",
        "ecs:InvokeCommand",
        "ecs:DeleteCommand",
        "ecs:DescribeCommands",
        "ecs:StopInvocation",
        "ecs:DescribeInvocationResults",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceRamRole",
        "ecs:DescribeInvocations",
        "ecs:CreateSnapshotGroup",
        "ecs:DescribeSnapshotGroups",
        "ecs:DeleteSnapshotGroup",
        "ecs:CopySnapshot"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "bssapi:QueryAvailableInstances",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:AttachInstanceRamRole",
        "ecs:DetachInstanceRamRole"
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*",
        "acs:ram:*:*:role/aliyunecsaccessinghbrrole"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "ram:PassRole",
        "ram:GetRole",
        "ram:GetPolicy",
        "ram:ListPoliciesForRole"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "hcs-sgw:DescribeGateways"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "oss:ListBuckets",
        "oss:GetBucketInventory",
        "oss:ListObjects",
        "oss:HeadBucket",
        "oss:GetBucket",
        "oss:GetBucketAcl",
        "oss:GetBucketLocation",
        "oss:GetBucketInfo",
        "oss:PutObject",
        "oss:CopyObject",
        "oss:GetObject",
        "oss:AppendObject",
        "oss:GetObjectMeta",
        "oss:PutObjectACL",
        "oss:GetObjectACL",
        "oss:PutObjectTagging",
        "oss:GetObjectTagging",
        "oss:InitiateMultipartUpload",
        "oss:UploadPart",
        "oss:UploadPartCopy",
        "oss:CompleteMultipartUpload",
        "oss:AbortMultipartUpload",
        "oss:ListMultipartUploads",
        "oss:ListParts"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ots:ListInstance",
        "ots:GetInstance",
        "ots:ListTable",
        "ots:CreateTable",
        "ots:UpdateTable",
        "ots:DescribeTable",
        "ots:BatchWriteRow",
        "ots:CreateTunnel",
        "ots:DeleteTunnel",
        "ots:ListTunnel",
        "ots:DescribeTunnel",
        "ots:ConsumeTunnel",
        "ots:GetRange",
        "ots:ListStream",
        "ots:DescribeStream",
        "ots:CreateIndex",
        "ots:CreateSearchIndex",
        "ots:DescribeSearchIndex",
        "ots:ListSearchIndex"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cms:QueryMetricList"
      ],
      "Resource": "*"
    },
    {
      "Action": [
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeImages",
        "ecs:CreateImage",
        "ecs:DeleteImage",
        "ecs:DescribeSnapshots",
        "ecs:CreateSnapshot",
        "ecs:DeleteSnapshot",
        "ecs:DescribeSnapshotLinks",
        "ecs:DescribeAvailableResource",
        "ecs:ModifyInstanceAttribute",
        "ecs:CreateInstance",
        "ecs:DeleteInstance",
        "ecs:AllocatePublicIpAddress",
        "ecs:CreateDisk",
        "ecs:DescribeDisks",
        "ecs:AttachDisk",
        "ecs:DetachDisk",
        "ecs:DeleteDisk",
        "ecs:ResetDisk",
        "ecs:StartInstance",
        "ecs:StopInstance",
        "ecs:ReplaceSystemDisk",
        "ecs:ModifyResourceMeta"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

    2. 修改信任策略僅允許賬號A的服務關聯角色SLR(AliyunServiceRoleForHbrCrossAccountBackup)扮演賬號B的RAM角色來訪問阿里云賬號B的資源。

  3. 在賬號A的云備份控制臺添加跨賬號備份賬號B,其中角色名稱必須為獲得授權的RAM角色hbrcrossrole。

  4. 在賬號A的云備份控制臺切換到賬號B,就可以使用賬號A備份和恢復賬號B的資源。

假設使用阿里云賬號A跨賬號備份和恢復阿里云賬號B的資源,賬號A和賬號B允許的操作如下表所示:

賬號B的資源

賬號A允許的操作(備份管理賬號)

賬號B允許的操作(待備份資源賬號)

ECS整機

  • 查看賬號B的待備份ECS

  • 管理ECS整機備份策略

  • 為賬號A的ECS配置備份策略/發起備份

  • 管理ECS整機備份點/發起恢復

  • 查看待備份ECS

  • 在快照控制臺查看或使用通過ECS整機備份創建的快照

其他類型資源

  • 查看賬號B的待備份資源

  • 管理備份計劃/策略

  • 對賬號B的資源發起備份/恢復

  • 查看待備份資源

費用說明

使用云備份提供的跨賬號備份功能是免費的。但備份恢復產生的費用由備份管理賬號(阿里云賬號A)支付,其中ECS整機備份的快照服務費用、OSS請求費用仍由原賬號(阿里云賬號B)支付。更多信息,請參見計費方式與計費項。

假設使用阿里云賬號A跨賬號備份和恢復阿里云賬號B的資源,賬號A和賬號B的計費項如下表所示:

賬號B的資源

賬號A計費項(備份管理賬號)

賬號B計費項(待備份資源賬號)

ECS整機

  • ECS整機備份軟件使用費

  • 快照容量費

  • 開啟備份異地復制后所產生的跨地域流量費和目標地域快照容量費

ECS文件

  • 文件備份軟件使用費

  • 備份庫存儲容量費

  • 開啟備份異地復制后所產生的鏡像備份庫存儲容量費和備份庫跨地域復制流量費

/

NAS

  • 備份庫存儲容量費

  • 開啟備份異地復制后所產生的鏡像備份庫存儲容量費和備份庫跨地域復制流量費

  • 訪問NAS的低頻存儲數據時,備份服務產生的NAS低頻存儲讀寫流量費

OSS

  • 備份庫存儲容量費

  • 開啟備份異地復制后所產生的鏡像備份庫存儲容量費和備份庫跨地域復制流量費

  • 備份服務產生的OSS請求費

Tablestore

  • 備份庫存儲容量費

  • 開啟備份異地復制后所產生的鏡像備份庫存儲容量費和備份庫跨地域復制流量費

/

ECS數據庫

  • 數據庫備份倉庫租用費

  • 數據庫備份存儲容量費

/

SAP HANA

  • SAP HANA 備份軟件使用費

  • 備份庫存儲容量費

  • 開啟備份異地復制后所產生的鏡像備份庫存儲容量費和備份庫跨地域復制流量費

/

步驟一:為阿里云賬號A創建服務關聯角色

使用阿里云賬號A進行跨賬號備份和恢復,您需要為阿里云賬號A授權服務關聯角色AliyunServiceRoleForHbrCrossAccountBackup。

  • 角色名稱:AliyunServiceRoleForHbrCrossAccountBackup

  • 權限策略:AliyunServiceRolePolicyForHbrCrossAccountBackup

  • 權限說明:允許備份服務跨賬號訪問其他被授權賬號的資源,以進行跨賬號備份和恢復。

重要

該操作只需要在首次進入時操作一次。

  1. 使用阿里云賬號A登錄云備份管理控制臺。

  2. 在左側導航欄,選擇備份>跨賬號備份。

    頁面會彈出授權對話框,根據提示授權角色。

  3. 云備份服務授權對話框中,單擊確認授權。

    image.png更多信息,請參見云備份服務關聯角色

步驟二:為阿里云賬號B創建RAM角色

  1. 使用阿里云賬號B登錄RAM控制臺

  2. 在左側導航欄中,選擇身份管理 > 角色。

  3. 角色頁面,單擊創建角色。

  4. 選擇類型配置向導中,選擇可信實體類型為阿里云賬號,然后單擊下一步。

  5. 配置角色配置向導中,配置如下內容,然后單擊完成。

    參數

    說明

    角色名稱

    輸入RAM角色名稱,例如hbrcrossrole

    備注

    輸入創建RAM角色的備注信息。

    選擇信任的云賬號

    選擇其它云賬號。此處選擇賬號A的賬號ID。

    說明

    您可以訪問安全設置頁面查看阿里云賬號ID。

  6. 創建完成配置向導中,單擊關閉

步驟三:為RAM角色授權

創建RAM角色后,您可以使用該RAM角色進行相關操作,但該RAM角色無任何權限,您需要為該RAM角色授予系統策略或自定義策略。在精確授權界面,RAM默認提供兩種系統策略,請選擇一種授權。

  • AdministratorAccess:授予目標賬號管理所有云資源的權限。

  • AliyunHBRRolePolicy:(推薦)授予云備份系統權限策略。

本文以為RAM角色授予AliyunHBRRolePolicy權限為例。

  1. 使用阿里云賬號B登錄RAM控制臺

  2. 在左側導航欄,選擇身份管理 > 角色。

  3. 找到目標RAM角色(例如hbrcrossrole),進入目標RAM角色詳情頁。

  4. 權限管理頁簽,單擊精確授權。

  5. 精確授權面板,選擇權限類型為系統策略,輸入策略名稱為AliyunHBRRolePolicy,然后單擊確定。

  6. 系統提示精確授權成功,單擊關閉。

  7. 修改該RAM角色的信任策略。

    1. 在當前角色的詳情頁面,單擊信任策略。

    2. 單擊編輯信任策略。

    3. 在編輯框中,將下述代碼復制至文本框。其中目標賬號ID為阿里云賬號A的賬號ID。

      該策略表示阿里云賬號A有權限通過云備份獲取臨時Token來操作阿里云賬號B的資源。

      說明

      您可以訪問安全設置頁面查看阿里云賬號ID。

      {
 "Statement": [
     {
         "Action": "sts:AssumeRole",
         "Effect": "Allow",
         "Principal": {
             "RAM": [
                 "acs:ram::目標賬號ID:role/AliyunServiceRoleForHbrCrossAccountBackup"
             ]
         }
     }
 ],
 "Version": "1"
}

    4. 單擊保存信任策略。配置完成。

步驟四:添加備份賬號

  1. 使用阿里云賬號A登錄云備份管理控制臺。

  2. 在頂部菜單欄,選擇所在地域。

    重要

    如果您要備份阿里云賬號B在地域regionC的ECS文件、NAS、OSS、Tablestore、數據庫或ECS整機,請選擇地域regionC。即待備份資源在哪個地域,就在哪個地域添加備份賬號。

  3. 在左側導航欄,選擇備份>跨賬號備份

  4. 跨賬號備份,單擊添加備份賬號。

  5. 添加備份賬號對話框,配置以下參數,然后單擊確定。

    image.png

    參數

    說明

    阿里云賬號ID

    輸入您的阿里云賬號ID。此處填寫賬號B的賬號ID。

    說明

    您可以訪問安全設置頁面查看阿里云賬號ID。

    角色名稱

    輸入已創建的RAM角色名稱。此處填寫hbrcrossrole,即您在步驟二:為阿里云賬號B創建RAM角色創建的RAM角色名稱。

    重要

    您可以單擊授權檢查,檢查之前配置授權是否正確。若提示錯誤,請檢查之前配置后重試。通過檢查時,界面會提示此角色已經授權您訪問其所屬資源的權限。

    賬號別名

    您可以任意設置賬號別名,方便進行備份賬號的管理。

    創建成功后,您可以看到已經增加一條跨賬號備份記錄。

    zhanghao

步驟五:開始跨賬號備份

創建完成后,您就可以使用阿里云賬號A登錄控制臺,切換賬號,進行跨賬號備份阿里云賬號B的數據源。

  1. 使用阿里云賬號A登錄云備份管理控制臺。

  2. 在頂部菜單欄,選擇待備份資源所在的地域。

  3. 單擊登錄賬號,選擇阿里云賬號B。image.png

  4. 在左側導航選擇不同備份功能,就可以進行跨賬號備份了。

    重要

    目前支持ECS文件備份、NAS備份、OSS備份、Tablestore備份、數據庫備份和SAP HANA備份場景使用跨賬號備份功能。ECS整機備份跨賬號備份后,恢復操作時只能恢復到原阿里云賬號。具體支持場景請以云備份控制臺提示為準。

    例如,當您選擇ECS文件備份,就可以看到ECS實例列表中已經讀取到阿里云賬號B名下的ECS資產。備份完成后,阿里云賬號B的數據源已經備份到阿里云賬號A的備份庫。

步驟六:跨賬號恢復

您已完成了阿里云賬號A備份阿里云賬號B的數據源。此時,備份庫包含了阿里云賬號A(未進行跨賬號備份之前的數據)和阿里云賬號B的數據備份,備份庫是通用的。您可以從備份庫的任意歷史備份點進行恢復,可以恢復至賬號A,也可以恢復到賬號B。

  1. 切換賬號。

    備份庫是通用的,阿里云賬號A和B都可以使用備份庫中的歷史備份點進行恢復。您希望恢復哪個賬號的數據,就切換到哪個賬號。

  2. 創建恢復任務。創建恢復任務的操作步驟,與各數據源恢復步驟一致。

    image.png

如何取消跨賬號備份功能

重要

  • 取消跨賬號備份功能后,阿里云賬號A無法再備份阿里云賬號B的數據源。請謹慎評估后操作。

  • 建議您保留對其他賬號的跨賬號備份功能,不進行備份恢復操作,不會新增費用。

  • 之前已經備份的數據仍然保留在備份庫,這些數據繼續占用存儲容量,云備份會繼續收取容量費用。希望停止計費,請參見云備份服務如何停止計費?。注意刪除備份后數據不可恢復。

  1. 切換到阿里云賬號B,在對應數據源頁面,卸載備份客戶端(如果有)、注銷實例、刪除備份庫等。具體操作,請參見云備份服務如何停止計費?

  2. 切換到阿里云賬號A,在云備份控制臺的跨賬號備份頁面,刪除阿里云賬號B。image.png

  3. 刪除為阿里云賬號B創建的RAM角色。

    1. 使用阿里云賬號B登錄RAM控制臺。

    2. 在左側導航欄中,選擇身份管理 > 角色。

    3. 找到為阿里云賬號B創建的RAM角色,例如hbrcrossrole。在其操作列,進行刪除。

相關文檔