Backups aktivieren - AWS Control Tower
Erster Teil: Richten Sie Backups für Ihre landing zone einNächster Teil: Backups aktivieren auf OUs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Backups aktivieren

Sie können Backups für Ressourcen in Ihren Konten aktivieren, die bei AWS Control Tower registriert sind, entweder während der Einrichtung der landing zone oder wenn Sie Ihre landing zone aktualisieren.

Da Voraussetzungen müssen Sie die folgenden Elemente bereitstellen

  • Ein AWS-Konto , das als AWS Backup Administratorkonto dient

  • Ein AWS-Konto , das als AWS Backup zentrales Backup-Konto dient

  • Ein AWS KMS Schlüssel für mehrere Regionen, den Sie für kontoübergreifende Backups verwalten

Wie aktiviert man Backups

Der Aktivierungsprozess besteht aus zwei Hauptteilen: Aktivieren Sie zunächst Backups für Ihre landing zone; aktivieren Sie dann Backups für jede registrierte Organisationseinheit, die Backups benötigt.

Erster Teil: Richten Sie Backups für Ihre landing zone ein

Konsole: Sie können Backups für Ihre landing zone in der AWS Control Tower Tower-Konsole auf der Seite mit den Landingzone-Einstellungen einrichten. Diese Option wird dir bei der ersten Einrichtung der landing zone angezeigt und du kannst sie später mit einem Update der landing zone erneut aufrufen.

API: Sie können Backups mit dem AWS Control Tower aktivieren APIs, indem Sie die UpdateLandingZoneAPI aufrufen, wenn Sie bereits eine AWS Control Tower-Landezone haben, oder die CreateLandingZoneAPI, wenn Sie AWS Control Tower zum ersten Mal einrichten. (Hinweis: Rufen Sie danach die EnableBaselineAPI auf, um Backups für jede benötigte Organisationseinheit zu erstellen.)

Außerhalb der AWS Control Tower Tower-Konsole

Ein Teil der Aktivierung von Backups für Ihre landing zone beinhaltet einen Schritt außerhalb der AWS Control Tower Tower-Konsole. Sie müssen zur AWS Backup Konsole navigieren, um Ihre Ressourcen zu überprüfen.

Um die Ressourcentypen zu überprüfen, für die Sie sich entschieden haben, oder um zusätzliche Ressourcentypen zu aktivieren

  1. Öffnen Sie die Konsole unter. AWS Backup https://console.aws.amazon.com/backup

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie auf der Seite Service opt-in (Service-Opt-In) die Option Configure resources (Ressourcen konfigurieren) aus.

  4. Verwenden Sie die Kippschalter, um die Dienste zu aktivieren oder zu deaktivieren, die Sie AWS Backup einbinden möchten. Stellen Sie sicher, dass die Ressourcen, die Sie sichern möchten, ausgewählt sind, z. B. RDS EC2, DDB usw., unabhängig davon, ob sie Teil Ihrer AWS Control Tower Tower-Umgebung sind oder nicht.

Weitere Informationen finden Sie unter Melden Sie sich für die Verwaltung von Services mit AWS Backup an.

Überlegungen zu neuen Ressourcentypen

Bevor Sie sich AWS Backup darauf verlassen, den Datenschutz für die Ressourcen eines AWS Dienstes zu verwalten, müssen Sie das vorherige Verfahren ausführen und sich AWS Backup für diesen Dienst entscheiden. Da der AWS Backup Service in future zusätzliche Services und deren Ressourcentypen unterstützt, müssen Sie dieses Verfahren wiederholen und sich für jeden weiteren Ressourcentyp mit anmelden, AWS Backup bevor Sie diesen Ressourcentyp in AWS Control Tower sichern können. Das Markieren eines nicht unterstützten Ressourcentyps kann dazu führen, dass Ihre Sicherung fehlschlägt.

Wenn Sie Backups für Ihre landing zone aktivieren, richtet AWS Control Tower die beiden Konten ein, die Sie als Central Backup-Konto bzw. als Backup-Administratorkonto angegeben haben. AWS Control Tower erstellt Ressourcen in diesen und anderen Konten.

Wichtig

Um Backups für die AWS Control Tower Audit - und Log Archive-Konten zu aktivieren, müssen Sie Backups für die Security OU einrichten, indem Sie die EnableBaseline API aufrufen. Wir empfehlen Ihnen, dies zu tun.

Die empfohlenen Pläne und Aufbewahrungsmöglichkeiten lauten wie folgt:

  • Stündliche Backups = 2-wöchige Aufbewahrung im lokalen Tresor, keine Kopie im zentralen Backup-Tresor

  • Tägliche Backups = 2-wöchige Aufbewahrung im lokalen Tresor, 1-monatige Aufbewahrung im zentralen Backup-Tresor

  • Wöchentliche Backups = 1 Monat Aufbewahrung im lokalen Tresor, 3 Monate Aufbewahrung im zentralen Tresor

  • Monatliche Backups = 3-monatige Aufbewahrung im lokalen Tresor, 3-monatige Aufbewahrung im zentralen Backup-Tresor

Informationen zur Erstellung Ihrer Backup-Pläne finden Sie unter Berichtspläne mit der AWS Backup Konsole erstellen.

Nächster Teil: Backups aktivieren auf OUs

Nachdem Sie die Aktivierung AWS Backup in Ihren landing zone Zone-Einstellungen vorgenommen haben, müssen Sie den zusätzlichen Schritt ausführen, um das Backup für OUs die bestimmte Person zu aktivieren, die Sie sichern möchten. Wenn Sie die Option AWS Backup für Ihre landing zone aktiviert haben, wird auf der Seite mit den OU-Details in der Konsole ein Abschnitt angezeigt, in dem Sie Backup für die OU aktivieren auswählen können. Wenn das Backup auf Landingzone-Ebene nicht aktiviert ist, wird dieser Abschnitt auf der Seite mit den OU-Details nicht angezeigt.

Um das BackupBaseline auf einer Organisationseinheit zu aktivieren, muss es in dieser Organisationseinheit bereits AWSControlTowerBaseline aktiviert sein. Für registrierte Konten in jeder Organisationseinheit AWSControlTowerBaseline ist das aktiviert.

In Ihren ausgewählten Konten und OUs richtet AWS Control Tower zusätzliche Ressourcen ein

  • Ein lokaler Backup-Tresor

    AWS Control Tower erstellt einen lokalen Backup-Tresor in Ihren Konten, wobei vier mögliche Arten von Backup-Plänen an den Tresor angehängt sind. Über AWS Control Tower erstellte Backup-Pläne sind mit einem Präfix gekennzeichnet. 

    BackupPlanTags:
        aws-control-tower: 'managed-by-control-tower'

  • Vier Arten von Backup-Plänenstündlich, täglich, wöchentlich, monatlich.

    Jeder Plan ist mit einer tagbasierten Ressourcenzuweisung verknüpft. Beispielsweise ist jede Ressource, die mit aws-control-tower-backuphourly : true gekennzeichnet ist, durch einen stündlichen Backup-Plan geschützt.

  • Eine lokale Backup-Rolle in Ihren Konten

    AWS Control Tower erstellt eine IAM-Rolle, die für Backups verwendet wird. Für die Rolle sind vier spezifische Berechtigungen erforderlich.

    "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"

    Die Rolle hat eine Vertrauensbeziehung mit dem Dienstprinzipal für AWS Backup Die Rolle trägt den Namenaws-controltower-backup-role, und ihr sind die folgenden verwalteten Berechtigungen zugeordnet:

Ressourcen für Backups kennzeichnen

Ein Teil der Einrichtung von Backups in AWS Control Tower besteht darin, die Ressourcen zu kennzeichnen, die Sie in Ihren Backup-Plan aufnehmen möchten. Die Tags geben die Häufigkeit der Backups an. Dies sind die möglichen Tags.

  • aws-control-tower-backuphourly : true

  • aws-control-tower-backupdaily: true

  • aws-control-tower-backupweekly: true

  • aws-control-tower-backupmonthly: true

Überlegungen

  • Wenn auf einer OU aktiv AWS Backup ist, wird im Feld Status auf der Seite mit den OU-Details in der AWS Control Tower Tower-Konsole der Wert Aktiviert angezeigt. Zu den anderen möglichen Werten des Felds Status gehören Nicht aktiviert, In Bearbeitung und Fehlgeschlagen. Wenn der Status Fehlgeschlagen angezeigt wird, wählen Sie OU erneut registrieren, um Ihre AWS Backup Konfiguration erneut auf die OU anzuwenden.

  • Wenn Sie die AWS Backup Aktivierung auf einer Organisationseinheit aktiviert haben, werden neue Konten, die über Account Factory bereitgestellt wurden, unter dieser Organisationseinheit enthalten AWS Backup.