Abilita i backup - AWS Control Tower
Prima parte: configura i backup per la tua landing zoneParte successiva: abilitare i backup su OUs

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilita i backup

Puoi abilitare i backup delle risorse nei tuoi account registrati in AWS Control Tower, durante la configurazione della landing zone o quando aggiorni la landing zone.

PertantoPrerequisiti, devi fornire i seguenti elementi

  • E Account AWS per fungere da account AWS Backup amministratore

  • E Account AWS per fungere da account di Backup AWS Backup Centrale

  • Una AWS KMS chiave multiregionale gestita dall'utente, per i backup su più account

Come abilitare i backup

Il processo di abilitazione prevede due parti principali: in primo luogo, abilita i backup per la landing zone, quindi abilita i backup per ogni unità organizzativa registrata che richiede backup.

Prima parte: configura i backup per la tua landing zone

Console: puoi configurare i backup per la tua landing zone nella console AWS Control Tower, nella pagina delle impostazioni della zona di atterraggio. Vedrai questa opzione durante l'operazione di configurazione iniziale della landing zone e potrai rivisitarla in seguito con un aggiornamento della landing zone.

API: puoi abilitare i backup con AWS Control Tower APIs chiamando l'UpdateLandingZoneAPI, se disponi già di una landing zone AWS Control Tower, oppure l'CreateLandingZoneAPI se stai configurando AWS Control Tower per la prima volta. (Suggerimento: dopo di che, chiama l'EnableBaselineAPI per stabilire i backup per ogni unità organizzativa di cui hai bisogno.)

Fuori dalla console AWS Control Tower

Parte dell'abilitazione dei backup per la tua landing zone include un passaggio all'esterno della console AWS Control Tower. Devi accedere alla AWS Backup console per esaminare le tue risorse.

Per esaminare i tipi di risorse che hai scelto o attivare tipi di risorse aggiuntivi

  1. Apri la console all' AWS Backup indirizzo. https://console.aws.amazon.com/backup

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Nella pagina Attivazione del servizio scegliere Configura risorse.

  4. Utilizza gli interruttori a levetta per abilitare o disabilitare i servizi in cui desideri includere. AWS BackupAssicurati che le risorse di cui desideri eseguire il backup siano selezionate, come RDS, DDB e così via EC2, indipendentemente dal fatto che facciano parte del tuo ambiente AWS Control Tower o meno.

Per ulteriori dettagli, consulta Accetta la gestione dei servizi con. AWS Backup

Considerazioni sui nuovi tipi di risorse

Prima di affidarsi AWS Backup alla gestione della protezione dei dati per le risorse di qualsiasi AWS servizio, è necessario eseguire la procedura precedente e attivare AWS Backup tale servizio. Inoltre, poiché il AWS Backup servizio aggiungerà il supporto per servizi aggiuntivi e i relativi tipi di risorse in futuro, è necessario ripetere questa procedura e attivare ogni tipo di risorsa aggiuntivo AWS Backup prima di poter eseguire il backup di quel tipo di risorsa in AWS Control Tower. L'assegnazione di tag a un tipo di risorsa non supportato può causare il fallimento del backup.

Quando attivi i backup per la tua landing zone, AWS Control Tower stabilisce i due account che hai fornito rispettivamente come account Central Backup e account Backup Administrator. AWS Control Tower crea risorse in questi account e in altri account.

Importante

Per abilitare i backup per gli account AWS Control Tower Audit e Log Archive, devi configurare i backup per l'unità organizzativa di sicurezza chiamando l'EnableBaselineAPI. Questa impostazione è consigliata.

La serie di piani e di conservazione consigliata è la seguente:

  • Backup orari = 2 settimane di conservazione nel deposito locale, nessuna copia nell'archivio di backup centrale

  • Backup giornalieri = 2 settimane di conservazione nel vault locale, 1 mese di conservazione nell'archivio di backup centrale

  • Backup settimanali = 1 mese di conservazione nel vault locale, 3 mesi nel vault centrale

  • Backup mensili = 3 mesi di conservazione nel vault locale, 3 mesi di conservazione nel deposito di backup centrale

Per informazioni su come creare i piani di backup, consulta Creazione di piani di report utilizzando la console. AWS Backup

Parte successiva: abilitare i backup su OUs

Dopo aver abilitato AWS Backup nelle impostazioni della landing zone, devi eseguire il passaggio aggiuntivo per abilitare il backup sullo specifico di OUs cui desideri eseguire il backup. Se l'opzione è abilitata AWS Backup per la landing zone, nella pagina dei dettagli dell'unità organizzativa della console verrà visualizzata una sezione che consente di scegliere Abilita il backup per l'unità organizzativa. Se il backup non è abilitato a livello di landing zone, questa sezione non verrà visualizzata nella pagina dei dettagli dell'unità organizzativa.

Per abilitarlo BackupBaseline su un'unità organizzativa, tale unità deve averla già AWSControlTowerBaseline abilitata. Per gli account registrati in ogni unità organizzativa è AWSControlTowerBaseline abilitato.

Negli account selezionati e OUs, AWS Control Tower configura risorse aggiuntive

  • Un archivio di Backup locale

    AWS Control Tower crea un vault di backup locale nei tuoi account, con quattro possibili tipi di piani di backup collegati al vault. I piani di Backup creati tramite AWS Control Tower sono contrassegnati con un prefisso. 

    BackupPlanTags:
        aws-control-tower: 'managed-by-control-tower'

  • Quattro tipi di piani di backup: orari, giornalieri, settimanali, mensili.

    Ogni piano è associato a un'assegnazione di risorse basata su tag. Ad esempio, qualsiasi risorsa contrassegnata con aws-control-tower-backuphourly : true è protetta con un piano di backup orario.

  • Un ruolo di backup locale nei tuoi account

    AWS Control Tower crea un ruolo IAM, che viene utilizzato per i backup. Il ruolo richiede quattro autorizzazioni specifiche.

    "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"

    Il ruolo ha una relazione di fiducia con il responsabile del servizio di AWS Backup The role is named aws-controltower-backup-role e gli sono associate le seguenti autorizzazioni gestite:

Tagga le risorse per il backup

Parte del processo di configurazione dei backup in AWS Control Tower consiste nell'etichettare le risorse che desideri includere nel tuo piano di backup. I tag specificano la frequenza dei backup. Questi sono i tag possibili.

  • aws-control-tower-backuphourly : true

  • aws-control-tower-backupdaily: true

  • aws-control-tower-backupweekly: true

  • aws-control-tower-backupmonthly: true

Considerazioni

  • Quando AWS Backup è attivo su un'unità organizzativa, vedrai il valore Enabled nel campo Status nella pagina dei dettagli dell'unità organizzativa nella console AWS Control Tower. Alcuni altri valori possibili del campo Status includono Not enabled, In progress e Failed. Se viene visualizzato lo stato Non riuscito, scegli Registra nuovamente l'unità organizzativa per riapplicare la AWS Backup configurazione all'unità organizzativa.

  • Se l'opzione è stata AWS Backup attivata su un'unità organizzativa, i nuovi account forniti tramite Account Factory in base a cui l'unità organizzativa AWS Backup includerà.