Aktifkan cadangan - AWS Control Tower
Bagian pertama: Siapkan backup untuk landing zoneBagian selanjutnya: Aktifkan pencadangan OUs

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan cadangan

Anda dapat mengaktifkan pencadangan untuk sumber daya di akun yang terdaftar di AWS Control Tower, baik selama penyiapan landing zone, atau saat Anda memperbarui landing zone.

KarenaPrasyarat, Anda harus memberikan item berikut

  • An Akun AWS untuk berfungsi sebagai akun AWS Backup Administrator

  • An Akun AWS untuk berfungsi sebagai akun Cadangan AWS Backup Pusat

  • AWS KMS Kunci multi-wilayah yang Anda kelola, untuk pencadangan lintas akun

Cara mengaktifkan cadangan

Proses enablement memiliki dua bagian utama: pertama, aktifkan backup untuk landing zone Anda; kemudian, aktifkan backup untuk setiap OU terdaftar yang memerlukan backup.

Bagian pertama: Siapkan backup untuk landing zone

Konsol: Anda dapat mengatur cadangan untuk landing zone di konsol AWS Control Tower, di halaman pengaturan zona pendaratan. Anda akan melihat opsi ini selama operasi penyiapan landing zone awal, dan Anda dapat mengunjunginya kembali nanti dengan pembaruan landing zone.

API: Anda dapat mengaktifkan backup dengan AWS Control Tower APIs, dengan memanggil UpdateLandingZoneAPI, jika Anda sudah memiliki landing zone AWS Control Tower, atau CreateLandingZoneAPI jika Anda menyiapkan AWS Control Tower untuk pertama kalinya. (Petunjuk: Setelah itu, panggil EnableBaselineAPI untuk membuat cadangan untuk setiap OU yang Anda butuhkan.)

Di luar konsol AWS Control Tower

Bagian dari mengaktifkan backup untuk landing zone Anda mencakup langkah di luar konsol AWS Control Tower. Anda harus menavigasi ke AWS Backup konsol untuk meninjau sumber daya Anda.

Untuk meninjau jenis sumber daya yang Anda pilih atau ikut serta dalam jenis sumber daya tambahan

  1. Buka AWS Backup konsol dihttps://console.aws.amazon.com/backup.

  2. Pada panel navigasi, silakan pilih Pengaturan.

  3. Pada halaman keikutsertaan Layanan, pilih Konfigurasi sumber daya.

  4. Gunakan sakelar sakelar untuk mengaktifkan atau menonaktifkan layanan yang ingin Anda sertakan. AWS BackupPastikan bahwa sumber daya yang ingin Anda cadangkan dipilih, seperti RDS,, DDB EC2, dan sebagainya, apakah itu bagian dari lingkungan AWS Control Tower Anda atau bukan.

Untuk detail selengkapnya, lihat Memilih untuk mengelola layanan dengan AWS Backup.

Pertimbangan untuk jenis sumber daya baru

Sebelum Anda mengandalkan AWS Backup untuk mengelola perlindungan data untuk sumber daya AWS layanan apa pun, Anda harus melakukan prosedur sebelumnya dan memilih AWS Backup untuk layanan itu. Selain itu, karena AWS Backup layanan menambahkan dukungan untuk layanan tambahan dan jenis sumber dayanya di masa mendatang, Anda harus mengulangi prosedur ini dan memilih untuk setiap jenis sumber daya tambahan AWS Backup sebelum Anda dapat mencadangkan jenis sumber daya tersebut di AWS Control Tower. Menandai jenis sumber daya yang tidak didukung dapat menyebabkan cadangan Anda gagal.

Saat Anda mengaktifkan cadangan untuk landing zone, AWS Control Tower menetapkan dua akun yang Anda berikan sebagai akun Cadangan Pusat dan akun Administrator Cadangan. AWS Control Tower membuat sumber daya di akun ini dan akun lainnya.

penting

Untuk mengaktifkan pencadangan untuk akun AWS Control Tower Audit dan Log Archive, Anda harus menyiapkan cadangan untuk OU Keamanan, dengan memanggil API. EnableBaseline Kami sarankan Anda melakukan juga.

Bank rencana dan retensi yang direkomendasikan adalah sebagai berikut:

  • Pencadangan per jam = retensi 2 minggu di brankas lokal, tidak ada salinan di brankas cadangan pusat

  • Pencadangan harian = retensi 2 minggu di brankas lokal, retensi 1 bulan di brankas cadangan pusat

  • Pencadangan mingguan = retensi 1 bulan di brankas lokal, retensi 3 bulan di brankas pusat

  • Pencadangan bulanan = retensi 3 bulan di brankas lokal, retensi 3 bulan di brankas cadangan pusat

Untuk informasi tentang cara membuat paket cadangan, lihat Membuat rencana laporan menggunakan AWS Backup konsol.

Bagian selanjutnya: Aktifkan pencadangan OUs

Setelah Anda mengaktifkan AWS Backup di pengaturan landing zone, Anda harus mengambil langkah tambahan untuk mengaktifkan cadangan pada spesifik OUs yang ingin Anda cadangkan. Jika Anda telah mengaktifkan AWS Backup landing zone, Anda akan melihat bagian di halaman detail OU di konsol, yang memungkinkan Anda memilih Aktifkan cadangan untuk OU. Jika cadangan tidak diaktifkan di tingkat landing zone, Anda tidak akan melihat bagian ini di halaman rincian OU.

Untuk mengaktifkan BackupBaseline pada OU, OU itu harus sudah AWSControlTowerBaseline diaktifkan. Akun terdaftar di setiap OU telah AWSControlTowerBaseline diaktifkan.

Di akun yang Anda pilih dan OUs, AWS Control Tower menyiapkan sumber daya tambahan

  • Brankas Cadangan lokal

    AWS Control Tower membuat brankas cadangan lokal di akun Anda, dengan empat kemungkinan jenis paket cadangan yang dilampirkan ke vault. Paket Backup yang dibuat melalui AWS Control Tower ditandai dengan awalan. 

    BackupPlanTags:
        aws-control-tower: 'managed-by-control-tower'

  • Empat jenis paket cadangan - per jam, harian, mingguan, bulanan.

    Setiap paket dikaitkan dengan penugasan sumber daya berbasis tag. Misalnya, sumber daya apa pun yang ditandai dengan aws-control-tower-backuphourly : true dilindungi dengan paket cadangan per jam.

  • Peran cadangan lokal di akun Anda

    AWS Control Tower menciptakan peran IAM, yang digunakan untuk backup. Peran tersebut membutuhkan empat izin khusus.

    "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"

    Peran tersebut memiliki hubungan kepercayaan dengan prinsipal layanan untuk AWS Backup Peran diberi namaaws-controltower-backup-role, dan memiliki izin terkelola berikut yang melekat padanya:

Menandai sumber daya untuk cadangan

Bagian dari proses penyiapan backup di AWS Control Tower adalah menandai sumber daya yang ingin Anda sertakan dalam paket cadangan Anda. Tag menentukan frekuensi backup. Ini adalah tag yang mungkin.

  • aws-control-tower-backuphourly : true

  • aws-control-tower-backupdaily: true

  • aws-control-tower-backupweekly: true

  • aws-control-tower-backupmonthly: true

Pertimbangan-pertimbangan

  • Saat AWS Backup aktif di OU, Anda akan melihat nilai Diaktifkan di bidang Status pada halaman detail OU di konsol AWS Control Tower. Beberapa nilai lain yang mungkin dari bidang Status termasuk Tidak diaktifkan, Sedang berlangsung, dan Gagal. Jika Anda melihat status Gagal, pilih Daftar ulang OU untuk menerapkan kembali AWS Backup konfigurasi Anda ke OU.

  • Jika Anda telah AWS Backup mengaktifkan OU, akun baru yang disediakan melalui Account Factory di bawah yang akan disertakan oleh OU. AWS Backup