2023年10月29日 星期日

AWS 如何遷移 EC2及其相關 EBS

 

AWS 如何遷移 EC2及其相關 EBS

.EBS





先以 AWS Backup備份EBS 並啟用跨帳戶管理功能 然後使用 AWS Organazations 進行跨帳戶的備份管理

在目標帳户中,必須創建備份文件庫

--------------------------------------------------------------------------------------------------------

Organization 建立組織

建立組織->建立組織單位->建立服務控制政策

 

選擇Create organization,再確認欄位中選擇Create an organization(在預設情況下,您建立的組織會啟用所有功能。您也可以建立組織,但選擇僅啟用合併帳單功能)

1.      如果您在不同的頁面上,則選擇左側導覽窗格中的 AWS 帳戶

如果您使用的帳戶從未經由 AWS 驗證其電子郵件,則會自動傳送一封驗證電子郵件到與您的管理帳戶關聯的地址。

--------------------------------------------------------------------------------------------------------

邀請現有帳戶加入組織

管理者帳戶:

1.      進入AWS帳戶頁面並選擇Add an AWS帳戶

2.      Add an AWS帳戶 選擇 Invite an existing AWS帳戶

3.      Email address or account ID of an AWS帳戶 to invite 的位置輸入受邀帳戶擁有者電子郵件地址or aws帳戶 ID

4.      Message to include in the invitation email message 輸入任何訊息,可於送出邀請後重送至受邀者mail

5.      最後 Send invitationAWS Organizations 會傳送邀請給受邀帳戶。

(如果錯誤,指出您已超出組織的帳戶限制,或是因為組織仍在初始化,所以無法新增帳戶,請在建立組織後等待 1 小時,然後再試一次。)

受邀帳戶:

1.

開啟 AWS 從管理帳戶傳送的電子郵件,並選擇接受邀請的連結。登入時,請以獲邀請成員帳戶中的管理員身分執行。

開啟 AWS Organizations 主控台,導覽至 Invitations (邀請) 頁面。

2. AWS 帳戶 頁面上,選擇 Accept,然後選擇 Confirm

--------------------------------------------------------------------------------------------------------

建立成員帳戶

1. AWS Organizations 主控台上的 AWS 帳戶 頁面中,選擇 Add AWS 帳戶

2. Add an AWS 帳戶 頁面上,選擇 Create an AWS 帳戶 

3.針對 AWS 帳戶 name,輸入帳戶的名稱

4.針對 Email address of the account's root user (帳戶使用者的電子郵件地址),輸入要為帳戶接收通訊的個人電子郵件地址。此值必須在全域必須是唯一

5.針對 IAM role name,您可以將它保留空白,以自動使用 OrganizationAccountAccessRole 的預設角色名稱,或者提供想要名稱。此角色可讓您在以管理帳戶中 IAM 使用者的身分登入時存取新成員帳戶

6.選擇 Create AWS 帳戶。您可能需要稍待片刻並重新整理頁面,才會看見新帳戶顯示在 AWS 帳戶 頁面。

--------------------------------------------------------------------------------------------------------

建立組織單位

 

1. AWS Organizations 主控台上,導覽至 AWS 帳戶 頁面。

2.選擇 Root 容器旁邊的核取方塊

3. Children 選擇 Actions ,然後在 Organizational unit 中,選擇 Create new

4. Create organizational unit in Root 頁面,針對 Organizational unit name輸入組織名,然後選擇 Create organizational unit 建立。

5.選擇您的新 Production OU 旁邊的核取方塊

6.選擇 Actions,然後在 Organizational unit 下,選擇 Create new

7. Create organizational unit in Production  頁面,針對第二個 OU 的名稱,輸入,然後選擇 Create organizational unit 

現在您可以將您的成員帳戶移到這些 OU

8.返回 AWS 帳戶 頁面,然後選擇 Production OU 旁邊的三角形,以展開其下的樹狀目錄。

這會顯示 MainApp OU 作為生產的子項。

9.選擇核取方塊,選擇 Actions,然後在 AWS 帳戶 下,選擇 Move

10. Move AWS 帳戶 'member-account-name頁面上,選擇單選按鈕,然後選擇 Move AWS 帳戶 

11.選擇核取方塊,選擇 Actions ,然後在 AWS 帳戶 下,選擇 Move

12. Move AWS 帳戶 'member-account-name'對話方塊 Production 旁邊的三角形,展開該分支並顯示出 MainApp

13.選擇單選按鈕,然後在 AWS 帳戶 之下,選擇 Move AWS 帳戶



--------------------------------------------------------------------------------------------------------

啟用服務控制政策 (SCP) 

1.導覽至 Policies  頁面,然後選擇 Service Control Policies 

2. Service control policies  頁面中,選擇 Enable service control policies

--------------------------------------------------------------------------------------------------------

建立服務控制政策SCP

1.導覽至 Policies 頁面,然後選擇 Service Control Policies

2. SCP 頁面上,選擇 Create policy 

服務控制政策編輯器目前僅在 AWS Organizations 主控台的原始版本中可用。完成編輯後自動返回新版主控台。

3.針對 Policy name ,輸入 政策名稱。

4. Policy 區段的左側服務清單中,針對服務選取

5.在左側選擇 Add resource ,並指定資源。

--------------------------------------------------------------------------------------------------------

SCP連接至OU

1. AWS 帳戶 頁面中,選擇 Root,以導覽至其詳細資訊頁面。

2. Root 詳細資訊頁面中,選擇 Policies,然後在 Service Control Policies 中,選擇 Attach 

4. Attach a service control policy  頁面上,選擇SCP 旁邊的選項按鈕,然後選擇 Attach 。在此步驟中,將其連接至root,從而會影響所有成員帳戶

 Root 詳細資訊頁面,Policies 現在會顯示連接至根的兩個 SCP:剛剛連接的 SCP 和預設的 FullAWSAccess SCP

5.導覽回 AWS 帳戶 頁面,然後選擇 Production  OU

6. Production  OU 的詳細資訊頁面中,選擇 Policies

7. Service Control Policies中,選擇 Attach

8. Attach a service control policy 頁面上,選擇scp旁邊的選項按鈕,然後選擇 Attach。這可讓使用者或 Production  OU 中成員帳戶的使用者或角色來存取核准的服務。

9.選擇 Policies ,查看連接至 OU 的那兩個 SCP:剛剛連接的 SCP 和預設的 FullAWSAccess SCP。不過,因為 FullAWSAccess SCP 也在允許所有服務和動作的允許清單中,所以必須分離此 SCP,以確保僅允許核准的服務。

10.若要從 Production OU 移除預設政策,選擇 FullAWSAccess 選項按鈕,選擇 Detach ,然後在確認對話方塊中,選擇 Detach policy

移除此預設政策後,您在前面步驟中所連接允許清單 SCP 中的所有動作和服務,將立即無法提供 Production OU 下所有成員帳戶存取。任何對於使用不在 SCP 中之動作的請求都會遭到拒絕。即使帳戶中的管理員將 IAM 許可政策連接到其中一個成員帳戶的使用者,也是如此。

11.連接SCP MainApp OU 中帳戶內的任何人使用任何受限制的服務。

若要執行此動作,導覽至 AWS 帳戶 頁面,選擇三角形圖示以展開 Production  OU 的分支,然後選擇 MainApp OU

12. MainApp 詳細資訊頁面,選擇 Policies 

13. Service Control Policies ,選擇 Attach,然後在可用政策的清單中,選擇 scp,然後選擇 Attach policy 

 

--------------------------------------------------------------------------------------------------------

 

啟用 跨帳戶管理功能

1. AWS backup 控制台https://console.aws.amazon.com/backup

2.於左側窗格中選擇Settings開啟跨帳戶管理頁面

3.Backup policies 選擇Enable ,可使你存取所有帳戶並建立policy以便管理組織中多個帳戶

4.Cross-account monitoring 選擇 Enable  可讓管理帳戶監控組織中所有帳戶的備份、複製和還原活動。

 

--------------------------------------------------------------------------------------------------------

 

原廠文件:

教學課程:建立和設定組織

創建備份副本AWS帳戶 - AWS Backup (amazon.com)

教學:建立和設定組織 - AWS Organizations (amazon.com)

 

. EC2

 

建立其 EC2 AMI 並與目標帳戶共享,使目標帳戶可使用共用AMI建立需備份之EC2

 

共用AMI :

1.  打開 Amazon EC2 控制台

2.  找尋AMI服務

3.  在清單中選擇目標的 AMI,然後選擇Actions, Edit AMI Permissions

4.  選擇 private

5.  shared accounts 選項選擇 add account id

6.  對於AWS account ID,輸入要與之共用 AMI AWS 帳戶 ID,然後選擇Share AMI

7.      Save change 後即可完成共享操作。

8.      於目標帳戶中找尋AMI服務

9.      於篩選條件中選擇 Private image 即可查到共享之AMI

  

原廠文件:

與指定的 AWS 帳戶共享 AMI - Amazon Elastic Compute Cloud

 

 

沒有留言:

張貼留言

AWS使用者許可範圍遭限制

搜尋此網誌