翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
バックアップを有効にする
ランディングゾーンのセットアップ時またはランディングゾーンの更新時に、AWS Control Tower に登録されているアカウント内のリソースのバックアップを有効にできます。
として前提条件、次の項目を指定する必要があります。
-
AWS Backup 管理者アカウント AWS アカウント として機能する 。
-
AWS Backup 中央バックアップアカウント AWS アカウント として機能する 。
-
クロスアカウントバックアップ用に管理するマルチリージョン AWS KMS キー
バックアップを有効にする方法
有効化プロセスには、主に 2 つの部分があります。まずランディングゾーンのバックアップを有効にしてから、バックアップを必要とする登録済み OU ごとにバックアップを有効にします。
最初の部分: ランディングゾーンのバックアップを設定する
コンソール: ランディングゾーン設定ページの AWS Control Tower コンソールでランディングゾーンのバックアップを設定できます。このオプションは最初のランディングゾーンのセットアップオペレーション中に表示され、ランディングゾーンの更新で後で確認できます。
API: AWS Control Tower ランディングゾーンがすでにある場合は APIs を呼び出し、AWS Control Tower UpdateLandingZone を初めて設定する場合は CreateLandingZone API を呼び出すことで、AWS Control Tower API でバックアップを有効にできます。(ヒント: その後、 EnableBaseline API を呼び出して、必要な OU ごとにバックアップを確立します)。
AWS Control Tower コンソールの外
ランディングゾーンのバックアップを有効にするには、AWS Control Tower コンソールの外部にあるステップが含まれます。リソースを確認するには、 AWS Backup コンソールに移動する必要があります。
オプトインリソースタイプを確認するか、追加のリソースタイプにオプトインするには
-
で AWS Backup コンソールを開きますhttps://console.aws.amazon.com/backup
。 -
ナビゲーションペインで [設定] を選択します。
-
[サービスのオプトイン] ページで、[リソースを設定] を選択します。
-
トグルスイッチを使用して、含めるサービスを有効または無効にします AWS Backup。AWS Control Tower 環境の一部であるかどうかにかかわらず、RDS、EC2、DDB など、バックアップするリソースが選択されていることを確認してください。
詳細については、「 による サービスの管理にオプトイン AWS Backupする」を参照してください。
新しいリソースタイプの考慮事項
AWS Backup を使用して AWS サービスのリソースのデータ保護を管理する前に、前の手順を実行し、そのサービスの AWS Backup をオプトインする必要があります。また、 AWS Backup サービスが今後追加のサービスとそのリソースタイプのサポートを追加するため、AWS Control Tower でそのリソースタイプをバックアップ AWS Backup する前に、この手順を繰り返し、追加のリソースタイプごとに でオプトインする必要があります。サポートされていないリソースタイプにタグ付けすると、バックアップが失敗する可能性があります。
ランディングゾーンのバックアップを有効にすると、AWS Control Tower は、中央バックアップアカウントとバックアップ管理者アカウントとして指定した 2 つのアカウントをそれぞれ確立します。AWS Control Tower は、これらのアカウントおよびその他のアカウントにリソースを作成します。
重要
AWS Control Tower 監査アカウントとログアーカイブアカウントのバックアップを有効にするには、 EnableBaseline API を呼び出して Security OU のバックアップを設定する必要があります。そのようにすることをお勧めします。
推奨されるプランと保持期間は次のとおりです。
-
時間単位のバックアップ = ローカルボールトでの 2 週間の保持、中央バックアップボールトでのコピーなし
-
日次バックアップ = ローカルボールトでの 2 週間の保持、中央バックアップボールトでの 1 か月の保持
-
週次バックアップ = ローカルボールトでの 1 か月の保持、中央ボールトでの 3 か月の保持
-
毎月のバックアップ = ローカルボールトでの 3 か月の保持、中央バックアップボールトでの 3 か月の保持
バックアッププランの作成方法については、「 AWS Backup コンソールを使用したレポートプランの作成」を参照してください。
次のパート: OUs でバックアップを有効にする
ランディングゾーン設定 AWS Backup で を有効にしたら、追加のステップを実行して、バックアップする特定の OUs でバックアップを有効にする必要があります。ランディングゾーン AWS Backup に対して を有効にしている場合、コンソールの OU の詳細ページにセクションが表示され、OU のバックアップを有効にするを選択できます。ランディングゾーンレベルでバックアップが有効になっていない場合、OU の詳細ページにこのセクションは表示されません。
OU BackupBaselineで を有効にするには、その OU で がすでにAWSControlTowerBaseline有効になっている必要があります。各 OU に登録されたアカウントでは、 AWSControlTowerBaselineが有効になっています。
選択したアカウントと OUs で、AWS Control Tower は追加のリソースを設定します。
-
ローカルバックアップボールト
AWS Control Tower は、 アカウントにローカルバックアップボールトを作成し、4 種類のバックアッププランをボールトにアタッチします。AWS Control Tower で作成されたバックアッププランには、プレフィックスが付けられます。
BackupPlanTags: aws-control-tower: 'managed-by-control-tower' -
バックアッププランには、時間単位、日単位、週単位、月単位の 4 種類があります。
各プランはタグベースのリソース割り当てに関連付けられます。たとえば、aws-control-tower-backuphourly でタグ付けされたリソース: true は時間単位のバックアッププランで保護されます。
-
アカウントのローカルバックアップロール
AWS Control Tower は、バックアップに使用される IAM ロールを作成します。ロールには 4 つの特定のアクセス許可が必要です。
"backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"ロールには、 のサービスプリンシパルとの信頼関係があります AWS Backup 。ロールの名前は で
aws-controltower-backup-role、次の管理アクセス許可がアタッチされています。
バックアップ用のリソースにタグを付ける
AWS Control Tower でバックアップを設定するプロセスの一環として、バックアッププランに含めるリソースにタグを付けます。タグはバックアップの頻度を指定します。これらは可能なタグです。
-
aws-control-tower-backuphourly : true -
aws-control-tower-backupdaily: true -
aws-control-tower-backupweekly: true -
aws-control-tower-backupmonthly: true
考慮事項
-
AWS Backup が OU でアクティブな場合、AWS Control Tower コンソールの OU の詳細ページの Status フィールドに Enabled の値が表示されます。Status フィールドの他の可能な値には、Not enabled、In progress、Failed などがあります。失敗のステータスが表示された場合は、OU の再登録を選択して AWS Backup 設定を OU に再適用します。
-
OU で AWS Backup を有効にしている場合、その OU に含まれる Account Factory を通じてプロビジョニングされた新しいアカウント AWS Backup。
