混合云备份HBR支持跨阿里云账号进行数据源备份和恢复。本文介绍如何在源实例所属的阿里云账号下创建RAM角色并授权给其他云账号,允许授权的账号访问源实例,从而实现跨阿里云账号进行备份和恢复。

背景信息

在某企业内,拥有两个独立的阿里云账号A和账号B。现需要使用阿里云账号A备份和恢复阿里云账号B的数据源。在此场景下,您可以在账号B下创建RAM角色,并授权账号A可以访问账号B的资源,从而实现跨阿里云账号进行数据源的备份和恢复。

说明 目前支持ECS文件备份、NAS备份、OSS备份、Tablestore备份、数据库备份和ECS整机备份场景使用跨账号备份功能。具体支持场景请以 混合云备份HBR控制台提示为准。

步骤一:为账号A创建服务关联角色

使用账号A进行跨账号备份和恢复,您需要为账号A授权服务关联角色AliyunServiceRoleForHbrCrossAccountBackup。

说明 该操作只需要首次进入时操作一次。
  1. 使用账号A登录混合云备份管理控制台
  2. 在左侧导航栏,单击跨账号备份
    页面会弹出授权对话框,根据提示授权角色。
  3. 混合云备份服务授权对话框中,单击确认授权
    更多信息,请参见 HBR服务关联角色

步骤二:为账号B创建RAM角色

  1. 使用账号B登录RAM控制台
  2. 在左侧导航栏中,选择身份管理 > 角色
  3. 角色页面,单击创建角色
  4. 选择类型配置向导中,选择可信实体类型为阿里云账号,然后单击下一步
  5. 配置角色配置向导中,配置如下内容,然后单击完成
    参数 说明
    角色名称 输入RAM角色名称,例如hbrcrossrole
    备注 输入创建RAM角色的备注信息。
    选择信任的云账号 选择其它云账号。此处选择账号A的账号ID。
    说明 您可以访问安全设置页面查看阿里云账号ID。
  6. 创建完成配置向导中,单击关闭

步骤三:为RAM角色授权

创建RAM角色后,您可以使用该RAM角色进行相关操作,但该RAM角色无任何权限。您需要为该RAM角色授予系统策略或自定义策略。其中,访问控制提供如下两种策略为角色进行授权,任选其中一种即可。
  • AdministratorAccess:授予目标账号管理所有云资源的权限。
  • AliyunHBRRolePolicy:授予HBR系统策略权限。

本文以为RAM角色授予AliyunHBRRolePolicy权限为例。

  1. 使用账号B登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 角色
  3. 找到目标RAM角色(例如hbrcrossrole),单击精确授权
  4. 添加权限面板,选择权限类型为系统策略,输入策略名称为AliyunHBRRolePolicy,然后单击确定
  5. 确认授权结果,单击完成
  6. 修改该RAM角色的信任策略。
    1. 在当前角色的详情页面,单击信任策略管理
    2. 单击修改信任策略
    3. 修改信任策略面板,将下述代码复制至文本框。其中目标账号ID为账号A的账号ID。

      该策略表示账号A有权限通过混合云备份HBR获取临时Token来操作账号B的资源。

      说明 您可以访问安全设置页面查看阿里云账号ID。 
      {
 "Statement": [
     {
         "Action": "sts:AssumeRole",
         "Effect": "Allow",
         "Principal": {
             "RAM": [
                 "acs:ram::目标账号ID:role/AliyunServiceRoleForHbrCrossAccountBackup"
             ]
         }
     }
 ],
 "Version": "1"
}
    4. 单击确定

步骤四:添加备份账号

  1. 使用账号A登录混合云备份管理控制台
  2. 在左侧导航栏,单击跨账号备份
  3. 在页面左上角,单击添加备份账号
  4. 添加备份账号对话框,然后以下参数,然后单击确定
    参数 说明
    阿里云账号ID 输入您的阿里云账号ID。此处填写账号B的账号ID。
    说明 您可以访问安全设置页面查看阿里云账号ID。
    角色名称 输入已创建的RAM角色名称。此处填写hbrcrossrole
    账号别名 您可以任意设置账号别名,方便进行备份账号的管理。
    创建完成后,您就可以使用账号A登录控制台,切换账号,进行跨账号备份账号B的数据源。 zhanghao