Première partie : configurer des sauvegardes pour votre zone de landing zone Partie suivante : Activer les sauvegardes sur OUs

Activer les sauvegardes

Vous pouvez activer les sauvegardes pour les ressources de vos comptes inscrits dans AWS Control Tower, soit lors de la configuration de la zone d'atterrissage, soit lors de la mise à jour de votre zone d'atterrissage.

En tant quePrérequis, vous devez fournir les éléments suivants

Et Compte AWS pour servir de compte AWS Backup administrateur
Et Compte AWS pour servir de compte AWS Backup Central Backup
Une AWS KMS clé multirégionale que vous gérez, pour les sauvegardes entre comptes

Comment activer les sauvegardes

Le processus d'activation comporte deux parties principales : tout d'abord, activer les sauvegardes pour votre zone de destination, puis activer les sauvegardes pour chaque unité d'organisation enregistrée qui nécessite des sauvegardes.

Première partie : configurer des sauvegardes pour votre zone de landing zone

Console : vous pouvez configurer des sauvegardes pour votre zone d'atterrissage dans la console AWS Control Tower, sur la page des paramètres de la zone d'atterrissage. Vous verrez cette option lors de la configuration initiale de la zone d'atterrissage, et vous pourrez y revenir ultérieurement lors d'une mise à jour de la zone d'atterrissage.

API : vous pouvez activer les sauvegardes avec l'AWS Control Tower APIs, en appelant l'UpdateLandingZoneAPI, si vous disposez déjà d'une zone de landing zone AWS Control Tower, ou l'CreateLandingZoneAPI si vous configurez AWS Control Tower pour la première fois. (Conseil : appelez ensuite l'EnableBaselineAPI pour établir des sauvegardes pour chaque unité d'organisation dont vous avez besoin.)

En dehors de la console AWS Control Tower

L'activation des sauvegardes pour votre zone de landing zone inclut une étape en dehors de la console AWS Control Tower. Vous devez accéder à la AWS Backup console pour consulter vos ressources.

Pour passer en revue les types de ressources que vous avez sélectionnés ou pour souscrire à des types de ressources supplémentaires

Ouvrez la AWS Backup console à l'adressehttps://console.aws.amazon.com/backup.
Dans le panneau de navigation, sélectionnez Settings (Paramètres).
Sur la page Activation du service, choisissez Configurer les ressources.
Utilisez les commutateurs à bascule pour activer ou désactiver les services que vous souhaitez inclure. AWS BackupAssurez-vous que les ressources que vous souhaitez sauvegarder sont sélectionnées, telles que RDS, DDB EC2, etc., qu'elles fassent partie de votre environnement AWS Control Tower ou non.

Pour plus de détails, voir Activer la gestion des services avec AWS Backup.

Considérations relatives aux nouveaux types de ressources

Avant de vous fier AWS Backup à la gestion de la protection des données pour les ressources d'un AWS service, vous devez suivre la procédure précédente et opter AWS Backup pour ce service. De plus, à mesure que le AWS Backup service prendra en charge des services supplémentaires et leurs types de ressources à l'avenir, vous devrez répéter cette procédure et opter pour chaque type de ressource supplémentaire AWS Backup avant de pouvoir sauvegarder ce type de ressource dans AWS Control Tower. Le balisage d'un type de ressource non pris en charge peut entraîner l'échec de votre sauvegarde.

Lorsque vous activez les sauvegardes pour votre zone de landing zone, AWS Control Tower définit les deux comptes que vous avez fournis en tant que compte Central Backup et compte Backup Administrator, respectivement. AWS Control Tower crée des ressources dans ces comptes et dans d'autres comptes.

Important

Pour activer les sauvegardes pour les comptes AWS Control Tower Audit et Log Archive, vous devez configurer des sauvegardes pour l'unité d'organisation de sécurité en appelant l'EnableBaselineAPI. Nous vous recommandons de le faire.

La banque de plans et de rétention recommandée est la suivante :

Sauvegardes horaires = 2 semaines de conservation dans le coffre local, aucune copie dans le coffre de sauvegarde central
Sauvegardes quotidiennes = 2 semaines de conservation dans le coffre local, 1 mois de conservation dans le coffre de sauvegarde central
Sauvegardes hebdomadaires = 1 mois de conservation dans le coffre local, 3 mois de conservation dans le coffre central
Sauvegardes mensuelles = 3 mois de conservation dans le coffre local, 3 mois de conservation dans le coffre de sauvegarde central

Pour plus d'informations sur la création de vos plans de sauvegarde, consultez la section Création de plans de rapports à l'aide de la AWS Backup console.

Partie suivante : Activer les sauvegardes sur OUs

Après avoir activé la sauvegarde AWS Backup dans les paramètres de votre zone d'atterrissage, vous devez effectuer une étape supplémentaire pour activer la sauvegarde sur le site spécifique OUs que vous souhaitez sauvegarder. Si vous avez activé votre zone AWS Backup de landing zone, vous verrez une section sur la page de détails de l'unité d'organisation de la console, qui vous permet de choisir Activer la sauvegarde pour l'unité d'organisation. Si la sauvegarde n'est pas activée au niveau de la zone d'atterrissage, vous ne verrez pas cette section sur la page de détails de l'UO.

Pour l'activer BackupBaseline sur une unité d'organisation, cette unité d'organisation doit déjà l'avoir AWSControlTowerBaseline activée. Les comptes inscrits dans chaque unité d'organisation sont AWSControlTowerBaseline activés.

Dans les comptes que vous avez sélectionnés OUs, AWS Control Tower met en place des ressources supplémentaires

Un coffre-fort Backup local

AWS Control Tower crée un coffre-fort de sauvegarde local dans vos comptes, avec quatre types de plans de sauvegarde possibles associés au coffre-fort. Les plans de sauvegarde créés via AWS Control Tower sont marqués d'un préfixe.
```
BackupPlanTags:
        aws-control-tower: 'managed-by-control-tower'
```
Quatre types de plans de sauvegarde : horaire, quotidien, hebdomadaire et mensuel.

Chaque plan est associé à une attribution de ressources basée sur des balises. Par exemple, toute ressource étiquetée avec aws-control-tower-backuphourly : true est protégée par un plan de sauvegarde horaire.
Un rôle de sauvegarde local dans vos comptes

AWS Control Tower crée un rôle IAM, qui est utilisé pour les sauvegardes. Le rôle nécessite quatre autorisations spécifiques.
```
"backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"
```
Le rôle entretient une relation de confiance avec le principal de service pour AWS Backup Le rôle est nomméaws-controltower-backup-role, et les autorisations gérées suivantes lui sont associées :

Marquer les ressources pour la sauvegarde

Le processus de configuration des sauvegardes dans AWS Control Tower consiste notamment à étiqueter les ressources que vous souhaitez inclure dans votre plan de sauvegarde. Les balises indiquent la fréquence des sauvegardes. Voici les tags possibles.

aws-control-tower-backuphourly : true
aws-control-tower-backupdaily: true
aws-control-tower-backupweekly: true
aws-control-tower-backupmonthly: true

Considérations

Lorsqu'elle AWS Backup est active sur une unité d'organisation, la valeur Enabled apparaît dans le champ État de la page de détails de l'unité organisationnelle de la console AWS Control Tower. Parmi les autres valeurs possibles du champ État, citons Non activé, En cours et Échoué. Si le statut Échec s'affiche, choisissez Réenregistrer l'unité d'organisation pour appliquer de nouveau votre AWS Backup configuration à l'unité d'organisation.
Si vous l'avez AWS Backup activé sur une unité d'organisation, les nouveaux comptes provisionnés via Account Factory dans le cadre de cette unité d'organisation AWS Backup incluront.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Prérequis

Désactiver les sauvegardes