如何对未在组织的成员账户中创建作业的备份策略进行故障排除？

简短描述

要解决此问题，请验证以下配置：

• 您在备份策略中正确输入了角色路径和保管库名称。
  **注意：**AWS Backup 不会验证您是否在备份策略中正确输入了角色路径和保管库。
• 角色和保管库名称存在于您的备份策略所附加到的每个成员账户中。
  **注意：**AWS Backup 不会验证您是否在您的成员账户中创建了角色和保管库。
• 您在 AWS 管理账户中开启了服务选择加入设置。
• 您在相应级别附加了备份策略。
• 不存在重叠的冲突备份规则。

解决方法

确认您在备份策略中正确输入了角色和保管库名称

完成以下步骤：

1. 登录到组织的管理账户。
2. 打开 AWS Backup 控制台。
3. 在导航窗格的 My organization（我的组织）下，选择 Backup policies（备份策略）。
4. 选择策略的名称。
5. 展开备份策略内容，然后查看策略中使用的 target_backup_vault_name 和 iam_role_arn。
6. 如果您使用自定义保管库、默认保管库、自定义角色或默认角色，请选择 Edit（编辑）以修改策略。

创建保管库并指定角色

自定义保管库创建

对于自定义备份保管库，您必须在成员账户中创建备份保管库。

默认保管库创建

对于默认备份保管库，您必须在每个成员账户和 AWS 区域中至少登录一次 AWS Backup 控制台。首次登录 AWS Backup 控制台时，AWS Backup 会在该区域创建一个默认保管库。

自定义角色指定

如果您使用自定义 AWS Identity and Access Management (IAM) 角色，则必须在可视化编辑器中指定该角色。自定义角色将以以下示例格式显示在备份策略 JSON 中：

arn:aws:iam::$account:role/CustomRoleName

**注意：**请将 CustomRoleName 替换为您的自定义角色的名称，且不要修改 ARN 的 $account 部分。

默认角色指定

如果您使用默认服务角色，则必须在可视化编辑器中将其指定为 service-role/AWSBackupDefaultServiceRole。默认角色将以以下示例格式显示在备份策略 JSON 中：

arn:aws:iam::$account:role/service-role/AWSBackupDefaultServiceRole

**重要事项：**不要修改 ARN 的 $account 部分。

要创建默认角色，请参阅在控制台中创建默认服务角色。

确认您已在管理账户中开启服务选择加入设置

要确保备份计划中的服务已激活，您必须选择加入以使用 AWS Backup 来保护支持的资源类型。由于 AWS Organizations 备份策略会继承管理账户的资源选择加入设置，因此请在管理账户中开启服务选择加入。

对于 Organizations 管理的备份计划，管理账户中的资源选择加入设置将覆盖成员账户中的设置。当您使用委派管理员账户时，备份策略将继承管理账户的资源选择加入设置，而不是委派管理员账户的资源选择加入设置。有关详细信息，请参阅资源选择加入规则。

确认您已将备份策略附加到相应的级别

确认您已将备份策略附加到要备份的账户、组织单元 (OU) 或组织根目录的相应分层级别。

开启跨账户监控

要查看通过管理账户在您的成员账户中创建的作业，请在管理账户中开启跨账户监控。

确认不存在重叠的冲突备份规则

当备份计划包含多个开始时间窗口重叠的备份规则时，AWS Backup 会根据保留期较长的规则来保留备份。有关详细信息，请参阅重叠的备份规则。

相关信息

备份策略语法和示例

Amazon Backup 的策略更新