通过电子邮件自动发送 AWS 备份审计经理报告
关键要点
企业需要有效的备份策略来确保业务连续性和应急恢复。AWS 备份审计经理功能允许用户生成合规性报告。本文提供了将备份报告自动发送到电子邮件的逐步指南。企业持续运营及灾难恢复计划需包含应用工作负载的备份策略,无论是在本地还是云端。此外,组织需要有效的方法来主动监控其数据保护状态,并确保在符合所需的恢复时间目标 (RTO) 和恢复点目标 (RPO) 的情况下,快速检测任何失败以进行修复。一种高效的解决方案是通过电子邮件接收备份性能的自动报告,这些报告通常可以轻松获取。
AWS Backup 于2021年8月发布了名为 AWS 备份审计经理 的功能,允许用户审计和报告数据保护政策的合规性,并生成满足合规性和法规需求的备份报告。这一功能中最受欢迎的一个方面是汇总报告,在用户的备份计划中显示所有受保护资源的备份性能。用户还可以按需运行备份报告,以出于业务原因查看其当前备份状态。此报告采用 CSV 或 JSON 格式会传送到指定的 Amazon Simple Storage Service (S3) 存储桶,用户可在同一帐户及 AWS 区域 中下载以供查看。然而,有些用户希望将备份合规性报告直接发送到电子邮件,而无需手动下载 S3 存储桶中的报告。
在本文中,我们提供了一份逐步指南,介绍如何安全地将备份和合规性报告发送到用户指定的电子邮件地址。我们将逐步带您完成创建单一 AWS 账户及多个 AWS Organizations 账户的报告计划的过程。通过使用 AWS 备份管理控制台和创建一个 AWS Lambda 函数,从指定的 S3 存储桶下载报告,并将其作为电子邮件附件发送到指定的电子邮件地址,用户可以及时审核其备份和灾难恢复策略。我们还提供了一个可选用例,通过电子邮件按小时发送报告,仅列出关键工作负载中失败或部分完成的备份作业,从而使用户能够采取补救措施,以满足其业务连续性计划的 RTO 和 RPO。
解决方案流程
以下是实施解决方案的各个步骤。
步骤 1 AWS CloudFormation 堆栈部署步骤 2 配置 AWS 备份报告步骤 2a 单一 AWS 账户设置步骤 2b 多账户设置步骤 3 在 S3 存储桶上配置 S3 事件通知步骤 4 (可选) 配置 Amazon EventBridge 调度程序 以运行按需作业前提条件
进行本文中所述操作前,您需要满足以下前提条件:
一 个已设置的 AWS 账户,并包含 Amazon Simple Email Service (Amazon SES)。我们使用 Amazon SES API 发送电子邮件。在 Amazon SES 中已验证的身份电子邮件地址或域名。如果您没有验证身份,请参考此 链接 创建并验证 Amazon SES 中的身份。一个用于存储备份和合规报告的 S3 存储桶。配置并运行的 AWS 备份作业。步骤 1 AWS CloudFormation 堆栈
CloudFormation 模板和 Lambda 函数源代码可在 GitHub 上找到。
CloudFormation 堆栈的组成资源包括:
AWS 身份与访问管理 (IAM) 角色及策略AWS Lambda 函数创建资源的步骤:
点击以下 Launch Stack 按钮,在 useast1 中启动堆栈并指定堆栈名称您可以在选择的任何 AWS 区域中部署该模板:输入您在 Amazon SES 中已验证的 发件人电子邮件地址。输入 收件人电子邮件地址。输入存储备份和合规报告的 S3 存储桶名称。选择 我确认 AWS CloudFormation 可能会创建 IAM 资源。点击 创建堆栈。请等待 CloudFormation 创建所有资源。
图 10 AWS CloudFormation 创建向导
步骤 2 配置备份报告
您可以为单个 AWS 账户或 AWS Organizations 内的多个 AWS 账户配置备份报告。
步骤 2a 单一 AWS 账户设置您可以设置备份报告,以将其发送给电子邮件地址或分发列表,这对于单个 AWS 账户,无论该账户是否为 Organizations 的成员都适用。
打开 AWS 备份管理控制台,在左侧面板中,选择 报告,然后选择 创建报告计划。图 20 AWS 备份报告计划页面
在 选择报告模板 下拉菜单中,选择 备份作业报告,并指定 报告计划名称。
选择 区域。您可以选择当前 AWS 区域或多个 AWS 区域以接收跨区域报告并将其传送到您的 S3 存储桶。
在 报告交付 部分,选择所需的 文件格式CSV 和/或 JSON,并指定 存储桶名称 和 存储桶前缀可选存储桶前缀为可选项。
点击 创建报告计划。
图 21 AWS 备份报告计划创建向导
在新页面中,选择 复制权限 以复制 Amazon S3 所需的访问策略。
选择 编辑存储桶策略 来将 S3 存储桶策略应用于 S3 存储桶。此操作会在新浏览器标签中打开 S3 存储桶的策略部分,您需要粘贴策略,选择 保存更改,然后关闭该标签/窗口。
请注意,您必须先创建报告计划,然后再保存存储桶策略,以避免无效主体错误。
此外,当您选择多个 AWS 区域时,文件格式选项将不再可见。CSV 和 JSON 文件格式将默认选中。
图 22 AWS 备份报告计划 S3 存储桶策略
步骤 2b 多账户设置您还可以为 AWS Organizations 下的多个账户设置备份报告,并通过电子邮件发送给组织中的成员。对于多账户设置,报告计划必须在管理账户上创建。
在管理账户中,打开 AWS 备份控制台。在左侧面板中,选择 报告,然后选择 创建报告计划。图 23 AWS 备份报告计划页面管理账户
在 选择报告模板 下拉菜单中,选择 备份作业报告,并指定 报告计划名称。
在 账户 部分,选择 我组织中的一个或多个账户。然后,添加 组织单元 (OUs) 和账户。
选择所需的 区域,您可以选择 所有可用区域。
勾选框以 包含新区域,当它们被纳入备份审计经理时。
在 报告交付 部分,选择您期望的 文件格式CSV 和/或 JSON,并指定 存储桶名称 和 存储桶前缀可选。 然后,选择 创建报告计划。
图 24 AWS 备份报告计划创建向导管理账户
在新页面中,选择 复制权限 以复制 Amazon S3 所需的访问策略。
选择 编辑存储桶策略 来将 S3 存储桶策略应用于 S3 存储桶。此操作会在新浏览器标签中打开 S3 存储桶的策略部分,您需要粘贴策略,选择 保存更改,然后关闭该窗口。
图 25 AWS 备份报告计划 S3 存储桶策略
步骤 3 在 S3 存储桶上配置事件
事件通知配置的目的是触发 Lambda 函数以获取报告,并将其作为附件发送到指定的电子邮件地址。
打开 Amazon S3 控制台,选择为接收备份报告配置的 S3 存储桶。选择 属性 标签,向下滚动到 事件通知 部分,然后选择 创建事件通知,填写以下信息:
选择 S3 存储桶名称。
选择 属性 标签。向下滚动到 事件通知 部分,然后选择 创建事件通知。填写以下信息并选择 保存更改:事件名称:指定一个名称。前缀 可选 可选。后缀:指定 csv json。事件类型:选择 s3ObjectCreatedPut。图 30 Amazon S3 事件通知配置向导
目标:选择 Lambda 函数,并选择在步骤 1 中创建的 Lambda 函数。图 31 S3 事件通知配置向导后续
关闭 Amazon S3 控制台。通过此设置,备份报告将发送到指定的电子邮件地址。
云梯加速器最新版图 32 样本备份报告送达邮箱
步骤 4 (可选) 配置 EventBridge 调度程序以运行按需作业
一些用户可能需要在不到 24 小时的频率下将自动化的 AWS 备份报告发送到其电子邮件。针对这一用例,我们使用 EventBridge 调度程序按小时为 AWS 备份作业运行按需报告,供 AWS 审计经理 使用。
打开 EventBridge 控制台,选择左侧面板的 调度程序,然后选择 创建调度。根据您调度的要求填写以下信息:
在 调度名称 中输入名称。将调度分配给一个 调度组。选择调度的 发生频率。选择 调度类型。在 速率表达式 中设置时间单位。选择 灵活的时间窗口 以满足您的需求。选择 时区。选择 下一步。图 41 样本 EventBridge 调度程序作业创建
在 选择目标 部分:
选择 所有 API。
在搜索框中输入 backup 以过滤 AWS 备份服务。选择 AWS 备份。图 42 样本 EventBridge 调度程序作业 AWS API 备份服务
在搜索框中输入 report 来搜索报告。选择 StartReportJob。在输入窗口中更新 ReportPlanName 为 步骤 2a 或步骤 2b 中的值。选择 下一步。图 43 样本 EventBridge 调度程序作业 AWS API 备份服务后续
在 权限 页面中,从下拉菜单中选择 IAM 角色。EventBridge 的 IAM 角色是作为 CloudFormation 脚本的一部分创建的。图 44 在权限页面中,从下拉菜单中选择 IAM 角色
审查后选择 创建调度。通过以上设置,备份报告将每小时通过按需 API 生成,并发送到指定的电子邮件地址,如图 32 所示。
清理
为清理因本文中所述解决方案而部署的账户,删除 CloudFormation 堆栈、Amazon S3 存储桶、EventBridge 调度程序 和 AWS 备份中的报告计划。
结论
在本文中,我们展示了如何扩展 AWS 备份服务的能力,使备份合规性报告能够及时且
发表评论