AWS 如何遷移 EC2及其相關 EBS
一.EBS
先以 AWS Backup備份EBS 並啟用跨帳戶管理功能
然後使用 AWS
Organazations 進行跨帳戶的備份管理
※在目標帳户中,必須創建備份文件庫
--------------------------------------------------------------------------------------------------------
於Organization 中 建立組織
建立組織->建立組織單位->建立服務控制政策
選擇Create organization,再確認欄位中選擇Create an
organization(※在預設情況下,您建立的組織會啟用所有功能。您也可以建立組織,但選擇僅啟用合併帳單功能)
1. 如果您在不同的頁面上,則選擇左側導覽窗格中的 AWS 帳戶。
如果您使用的帳戶從未經由 AWS 驗證其電子郵件,則會自動傳送一封驗證電子郵件到與您的管理帳戶關聯的地址。
--------------------------------------------------------------------------------------------------------
邀請現有帳戶加入組織
管理者帳戶:
1. 進入AWS帳戶頁面並選擇Add an AWS帳戶
2. 於Add
an AWS帳戶
選擇 Invite an existing AWS帳戶
3. 在 Email address or account ID of an AWS帳戶 to invite 的位置輸入受邀帳戶擁有者電子郵件地址or aws帳戶 ID
4. 在Message to include in the
invitation email message 輸入任何訊息,可於送出邀請後重送至受邀者mail
5. 最後 Send invitation,AWS Organizations 會傳送邀請給受邀帳戶。
(※如果錯誤,指出您已超出組織的帳戶限制,或是因為組織仍在初始化,所以無法新增帳戶,請在建立組織後等待 1 小時,然後再試一次。)
受邀帳戶:
1.
‧開啟 AWS 從管理帳戶傳送的電子郵件,並選擇接受邀請的連結。登入時,請以獲邀請成員帳戶中的管理員身分執行。
‧開啟 AWS Organizations 主控台,導覽至 Invitations (邀請) 頁面。
2.在 AWS 帳戶 頁面上,選擇 Accept,然後選擇 Confirm。
--------------------------------------------------------------------------------------------------------
建立成員帳戶
1.在 AWS Organizations 主控台上的 AWS 帳戶 頁面中,選擇 Add AWS 帳戶
2.在 Add an AWS 帳戶 頁面上,選擇 Create an AWS 帳戶
3.針對 AWS 帳戶 name,輸入帳戶的名稱
4.針對 Email address
of the account's root user (帳戶使用者的電子郵件地址),輸入要為帳戶接收通訊的個人電子郵件地址。此值必須在全域必須是唯一的
5.針對 IAM role name,您可以將它保留空白,以自動使用 OrganizationAccountAccessRole 的預設角色名稱,或者提供想要名稱。此角色可讓您在以管理帳戶中 IAM 使用者的身分登入時存取新成員帳戶
6.選擇 Create AWS 帳戶。您可能需要稍待片刻並重新整理頁面,才會看見新帳戶顯示在 AWS 帳戶 頁面。
--------------------------------------------------------------------------------------------------------
建立組織單位
1.在 AWS
Organizations 主控台上,導覽至 AWS 帳戶 頁面。
2.選擇 Root 容器旁邊的核取方塊。
3.在 Children 選擇 Actions ,然後在 Organizational
unit 中,選擇 Create new。
4.在 Create
organizational unit in Root 頁面,針對 Organizational unit name輸入組織名,然後選擇 Create
organizational unit 建立。
5.選擇您的新 Production OU
旁邊的核取方塊。
6.選擇 Actions,然後在 Organizational
unit 下,選擇 Create new。
7.在 Create organizational
unit in Production 頁面,針對第二個 OU 的名稱,輸入,然後選擇 Create
organizational unit 。
※現在您可以將您的成員帳戶移到這些 OU。
8.返回 AWS 帳戶 頁面,然後選擇 Production OU 旁邊的三角形,以展開其下的樹狀目錄。
※這會顯示 MainApp OU
作為生產的子項。
9.選擇核取方塊,選擇 Actions,然後在 AWS 帳戶 下,選擇 Move。
10.在 Move AWS 帳戶 'member-account-name' 頁面上,選擇單選按鈕,然後選擇 Move AWS 帳戶 。
11.選擇核取方塊,選擇 Actions ,然後在 AWS 帳戶 下,選擇 Move
12.在 Move AWS 帳戶 'member-account-name'對話方塊 Production 旁邊的三角形,展開該分支並顯示出 MainApp。
13.選擇單選按鈕,然後在 AWS 帳戶 之下,選擇 Move AWS 帳戶
--------------------------------------------------------------------------------------------------------
啟用服務控制政策 (SCP)
1.導覽至 Policies 頁面,然後選擇 Service
Control Policies 。
2.在 Service control policies 頁面中,選擇 Enable service
control policies。
--------------------------------------------------------------------------------------------------------
建立服務控制政策SCP
1.導覽至 Policies 頁面,然後選擇 Service
Control Policies。
2.在 SCP 頁面上,選擇 Create policy 。
※服務控制政策編輯器目前僅在 AWS Organizations 主控台的原始版本中可用。完成編輯後自動返回新版主控台。
3.針對 Policy
name ,輸入 政策名稱。
4.在 Policy 區段的左側服務清單中,針對服務選取
5.在左側選擇 Add
resource ,並指定資源。
--------------------------------------------------------------------------------------------------------
將SCP連接至OU
1.在 AWS 帳戶 頁面中,選擇 Root,以導覽至其詳細資訊頁面。
2.在 Root 詳細資訊頁面中,選擇 Policies,然後在 Service
Control Policies 中,選擇 Attach 。
4.在 Attach a
service control policy 頁面上,選擇SCP 旁邊的選項按鈕,然後選擇 Attach 。在此步驟中,將其連接至root,從而會影響所有成員帳戶
※在 Root 詳細資訊頁面,Policies 現在會顯示連接至根的兩個 SCP:剛剛連接的 SCP 和預設的 FullAWSAccess SCP。
5.導覽回 AWS 帳戶 頁面,然後選擇 Production OU
6.在 Production
OU 的詳細資訊頁面中,選擇 Policies
7.在 Service
Control Policies中,選擇 Attach
8.在 Attach a
service control policy 頁面上,選擇scp旁邊的選項按鈕,然後選擇 Attach。這可讓使用者或 Production
OU 中成員帳戶的使用者或角色來存取核准的服務。
9.選擇 Policies ,查看連接至 OU 的那兩個 SCP:剛剛連接的 SCP 和預設的 FullAWSAccess SCP。不過,因為 FullAWSAccess SCP 也在允許所有服務和動作的允許清單中,所以必須分離此 SCP,以確保僅允許核准的服務。
10.若要從 Production OU
移除預設政策,選擇 FullAWSAccess 選項按鈕,選擇 Detach ,然後在確認對話方塊中,選擇 Detach policy。
※移除此預設政策後,您在前面步驟中所連接允許清單 SCP 中的所有動作和服務,將立即無法提供 Production OU 下所有成員帳戶存取。任何對於使用不在 SCP 中之動作的請求都會遭到拒絕。即使帳戶中的管理員將 IAM 許可政策連接到其中一個成員帳戶的使用者,也是如此。
11.連接SCP至 MainApp OU 中帳戶內的任何人使用任何受限制的服務。
若要執行此動作,導覽至 AWS 帳戶 頁面,選擇三角形圖示以展開 Production
OU 的分支,然後選擇 MainApp OU
12.在 MainApp 詳細資訊頁面,選擇 Policies
13.在 Service
Control Policies ,選擇 Attach,然後在可用政策的清單中,選擇 scp,然後選擇 Attach
policy 。
--------------------------------------------------------------------------------------------------------
啟用 跨帳戶管理功能
1.至 AWS backup 控制台https://console.aws.amazon.com/backup
2.於左側窗格中選擇Settings開啟跨帳戶管理頁面
3.於Backup policies 中
選擇Enable ,可使你存取所有帳戶並建立policy以便管理組織中多個帳戶
4.於Cross-account monitoring 選擇
Enable 可讓管理帳戶監控組織中所有帳戶的備份、複製和還原活動。
--------------------------------------------------------------------------------------------------------
原廠文件:
教學課程:建立和設定組織
創建備份副本AWS帳戶 - AWS Backup (amazon.com)
教學:建立和設定組織 - AWS Organizations
(amazon.com)
二. EC2
建立其 EC2 的 AMI 並與目標帳戶共享,使目標帳戶可使用共用AMI建立需備份之EC2
共用AMI :
1.
打開 Amazon EC2 控制台
2.
找尋AMI服務
3.
在清單中選擇目標的 AMI,然後選擇Actions, Edit AMI
Permissions
4.
選擇 private
5.
在shared accounts 選項選擇 add account
id
6.
對於AWS account ID,輸入要與之共用 AMI 的 AWS 帳戶 ID,然後選擇Share AMI。
7.
Save change 後即可完成共享操作。
8.
於目標帳戶中找尋AMI服務
9.
於篩選條件中選擇 Private image
即可查到共享之AMI
原廠文件:
與指定的 AWS 帳戶共享 AMI - Amazon Elastic Compute Cloud
