Active las copias de seguridad - AWS Control Tower
Primera parte: Configura copias de seguridad para tu landing zoneSiguiente parte: activar las copias de seguridad en OUs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Active las copias de seguridad

Puede habilitar las copias de seguridad de los recursos de sus cuentas que estén inscritos en AWS Control Tower, ya sea durante la configuración de la zona de aterrizaje o al actualizar la zona de aterrizaje.

Por lo tantoRequisitos previos, debe proporcionar los siguientes elementos

  • Y Cuenta de AWS para servir como cuenta de AWS Backup administrador

  • Y Cuenta de AWS para que sirva como cuenta de AWS Backup Central Backup

  • Una AWS KMS clave multirregional que usted administra, para copias de seguridad entre cuentas

¿Cómo habilitar las copias de seguridad

El proceso de habilitación consta de dos partes principales: primero, habilita las copias de seguridad para tu landing zone y, a continuación, habilita las copias de seguridad para cada unidad organizativa registrada que requiera copias de seguridad.

Primera parte: Configura copias de seguridad para tu landing zone

Consola: puede configurar copias de seguridad para su zona de aterrizaje en la consola de AWS Control Tower, en la página de configuración de la zona de aterrizaje. Verás esta opción durante la operación de configuración inicial de la zona de aterrizaje y podrás volver a utilizarla más adelante con una actualización de la zona de aterrizaje.

API: puede habilitar las copias de seguridad con la Torre APIs de Control de AWS llamando a la UpdateLandingZoneAPI si ya tiene una zona de aterrizaje de la Torre de Control de AWS, o a la CreateLandingZoneAPI si está configurando AWS Control Tower por primera vez. (Sugerencia: después, llame a la EnableBaselineAPI para establecer copias de seguridad para cada unidad organizativa que necesite).

Fuera de la consola de la Torre de Control de AWS

Parte de la habilitación de copias de seguridad para su landing zone incluye salir de la consola de AWS Control Tower. Debe ir a la AWS Backup consola para revisar sus recursos.

Para revisar los tipos de recursos que ha optado por participar o ha optado por otros tipos de recursos

  1. Abre la consola en. AWS Backup https://console.aws.amazon.com/backup

  2. En el panel de navegación, seleccione Configuración.

  3. En la página Activación del servicio, elija Configurar recursos.

  4. Utilice los conmutadores para activar o desactivar los servicios que desee incluir. AWS BackupAsegúrese de seleccionar los recursos de los que desea hacer una copia de seguridad, como RDS, DDB EC2, etc., independientemente de que formen parte de su entorno de AWS Control Tower o no.

Para obtener más información, consulte Optar por administrar servicios con. AWS Backup

Consideraciones sobre los nuevos tipos de recursos

Antes de confiar en la AWS Backup gestión de la protección de datos de los recursos de cualquier AWS servicio, debe realizar el procedimiento anterior y optar AWS Backup por ese servicio. Además, a medida que el AWS Backup servicio añada soporte para servicios adicionales y sus tipos de recursos en el futuro, debe repetir este procedimiento y optar por cada tipo de recurso adicional con AWS Backup antes de poder realizar una copia de seguridad de ese tipo de recurso en AWS Control Tower. Si se etiqueta un tipo de recurso no compatible, es posible que se produzca un error en la copia de seguridad.

Cuando activa las copias de seguridad para su landing zone, AWS Control Tower establece las dos cuentas que ha proporcionado como cuenta de Central Backup y cuenta de administrador de copias de seguridad, respectivamente. AWS Control Tower crea recursos en estas cuentas y en otras cuentas.

importante

Para habilitar las copias de seguridad de las cuentas de AWS Control Tower Audit y Log Archive, debe configurar las copias de seguridad para la unidad organizativa de seguridad mediante una llamada a la EnableBaseline API. Recomendamos que lo haga.

El conjunto de planes y retenciones recomendado es el siguiente:

  • Copias de seguridad por hora = 2 semanas de retención en el almacén local, sin copia en el almacén de respaldo central

  • Respaldos diarios = 2 semanas de retención en el almacén local y 1 mes en el almacén de respaldo central

  • Respaldos semanales = 1 mes de retención en el almacén local y 3 meses en el almacén central

  • Respaldos mensuales = 3 meses de retención en el almacén local y 3 meses de retención en el almacén de respaldo central

Para obtener información sobre cómo crear sus planes de respaldo, consulte Creación de planes de informes mediante la AWS Backup consola.

Siguiente parte: activar las copias de seguridad en OUs

Después de habilitar AWS Backup la configuración de tu landing zone, debes dar el paso adicional para habilitar la copia de seguridad en la parte específica de la OUs que deseas hacer una copia de seguridad. Si has activado AWS Backup tu landing zone, verás una sección en la página de detalles de la OU de la consola, en la que podrás elegir Activar backup para la OU. Si la copia de seguridad no está habilitada en el nivel de landing zone, no verás esta sección en la página de detalles de la OU.

Para habilitarla BackupBaseline en una unidad organizativa, esa unidad organizativa debe tenerla ya AWSControlTowerBaseline habilitada. Las cuentas inscritas en cada OU tienen la AWSControlTowerBaseline opción habilitada.

En las cuentas seleccionadas y OUs, AWS Control Tower configura recursos adicionales

  • Una bóveda de Backup local

    AWS Control Tower crea un almacén de respaldo local en sus cuentas, con cuatro tipos posibles de planes de respaldo adjuntos al almacén. Los planes de Backup creados mediante la Torre de Control de AWS se etiquetan con un prefijo. 

    BackupPlanTags:
        aws-control-tower: 'managed-by-control-tower'

  • Cuatro tipos de planes de respaldo: por hora, por día, por semana y por mes.

    Cada plan está asociado a una asignación de recursos basada en etiquetas. Por ejemplo, cualquier recurso etiquetado con aws-control-tower-backuphourly : true está protegido con un plan de respaldo por horas.

  • Una función de respaldo local en sus cuentas

    AWS Control Tower crea una función de IAM, que se utiliza para las copias de seguridad. El rol requiere cuatro permisos específicos.

    "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"

    El rol tiene una relación de confianza con el director AWS Backup del servicio. El rol tiene un nombre aws-controltower-backup-role y tiene los siguientes permisos administrados asociados:

Etiquete los recursos para la copia de seguridad

Parte del proceso de configuración de las copias de seguridad en la Torre de Control de AWS consiste en etiquetar los recursos que desee incluir en su plan de copias de seguridad. Las etiquetas especifican la frecuencia de las copias de seguridad. Estas son las posibles etiquetas.

  • aws-control-tower-backuphourly : true

  • aws-control-tower-backupdaily: true

  • aws-control-tower-backupweekly: true

  • aws-control-tower-backupmonthly: true

Consideraciones

  • Cuando AWS Backup esté activo en una unidad organizativa, verá el valor Habilitado en el campo Estado de la página de detalles de la unidad organizativa de la consola de AWS Control Tower. Algunos otros valores posibles del campo de estado son No activado, En curso y Fallado. Si aparece el estado Error, seleccione Volver a registrar la unidad organizativa para volver a aplicar la AWS Backup configuración a la unidad organizativa.

  • Si ha AWS Backup activado una OU, se incluirán AWS Backup las nuevas cuentas aprovisionadas a través de Account Factory en virtud de esa OU.