백업 활성화 - AWS Control Tower
첫 번째 부분: 랜딩 존에 대한 백업 설정다음 부분: OUs에서 백업 활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

백업 활성화

랜딩 존 설정 중 또는 랜딩 존을 업데이트할 때 AWS Control Tower에 등록된 계정의 리소스에 대한 백업을 활성화할 수 있습니다.

로서 다음 항목을 제공해야 사전 조건합니다.

  • AWS Backup 관리자 계정으로 AWS 계정 사용할

  • AWS Backup 중앙 백업 계정으로 AWS 계정 사용할

  • 교차 계정 백업을 위해 관리하는 다중 리전 AWS KMS 키

백업을 활성화하는 방법

활성화 프로세스에는 두 가지 주요 부분이 있습니다. 먼저 랜딩 존에 대한 백업을 활성화한 다음 백업이 필요한 등록된 각 OU에 대해 백업을 활성화합니다.

첫 번째 부분: 랜딩 존에 대한 백업 설정

콘솔: AWS Control Tower 콘솔의 랜딩 존 설정 페이지에서 랜딩 존에 대한 백업을 설정할 수 있습니다. 초기 랜딩 존 설정 작업 중에이 옵션이 표시되고 나중에 랜딩 존 업데이트로 다시 검토할 수 있습니다.

API: AWS Control Tower 랜딩 존이 이미 있는 경우 APIs를 호출하거나 AWS Control Tower를 처음 설정하는 경우 UpdateLandingZone API를 호출하여 AWS Control Tower CreateLandingZone API로 백업을 활성화할 수 있습니다. (힌트: 그런 다음 EnableBaseline API를 호출하여 필요한 각 OU에 대한 백업을 설정합니다.)

AWS Control Tower 콘솔 외부

랜딩 존에 대한 백업 활성화의 일부에는 AWS Control Tower 콘솔 외부의 단계가 포함됩니다. 리소스를 검토하려면 AWS Backup 콘솔로 이동해야 합니다.

옵트인 리소스 유형을 검토하거나 추가 리소스 유형에 옵트인하려면

  1. 에서 AWS Backup 콘솔을 엽니다https://console.aws.amazon.com/backup.

  2. 탐색 창에서 설정을 선택합니다.

  3. 서비스 옵트인 페이지에서 리소스 구성을 선택합니다.

  4. 토글 스위치를 사용하여 포함하려는 서비스를 활성화하거나 비활성화합니다 AWS Backup. 백업하려는 리소스가 AWS Control Tower 환경의 일부인지 여부에 관계없이 RDS, EC2, DDB 등과 같은 리소스가 선택되어 있는지 확인합니다.

자세한 내용은를 사용한 서비스 관리 옵트인을 참조하세요 AWS Backup.

새 리소스 유형에 대한 고려 사항

AWS Backup 를 사용하여 AWS 서비스의 리소스에 대한 데이터 보호를 관리하려면 먼저 이전 절차를 수행하고 해당 서비스에 AWS Backup 대해 옵트인해야 합니다. 또한 AWS Backup 서비스는 향후 추가 서비스 및 리소스 유형에 대한 지원을 추가하므로 AWS Control Tower에서 해당 리소스 유형을 백업 AWS Backup 하려면이 절차를 반복하고를 사용하여 각 추가 리소스 유형에 대해 옵트인해야 합니다. 지원되지 않는 리소스 유형에 태그를 지정하면 백업이 실패할 수 있습니다.

랜딩 존에 대한 백업을 활성화하면 AWS Control Tower는 각각 중앙 백업 계정과 백업 관리자 계정으로 제공한 두 계정을 설정합니다. AWS Control Tower는 이러한 계정 및 기타 계정에 리소스를 생성합니다.

중요

AWS Control Tower 감사로그 아카이브 계정에 대한 백업을 활성화하려면 EnableBaseline API를 호출하여 보안 OU에 대한 백업을 설정해야 합니다. 이것이 권장 사항입니다.

권장되는 계획 및 보존 은행은 다음과 같습니다.

  • 시간별 백업 = 로컬 볼트에 2주 보존, 중앙 백업 볼트에 복사본 없음

  • 일일 백업 = 로컬 저장소에 2주 보존, 중앙 백업 저장소에 1개월 보존

  • 주간 백업 = 로컬 저장소에서 1개월 보존, 중앙 저장소에서 3개월 보존

  • 월별 백업 = 로컬 저장소에 3개월 보존, 중앙 백업 저장소에 3개월 보존

백업 계획을 생성하는 방법에 대한 자세한 내용은 AWS Backup 콘솔을 사용하여 보고서 계획 생성을 참조하세요.

다음 부분: OUs에서 백업 활성화

랜딩 존 설정 AWS Backup 에서를 활성화한 후 추가 단계를 수행하여 백업하려는 특정 OUs에서 백업을 활성화해야 합니다. 랜딩 존에 AWS Backup 대해를 활성화한 경우 콘솔의 OU 세부 정보 페이지에 OU에 대한 백업 활성화를 선택할 수 있는 섹션이 표시됩니다. 랜딩 존 수준에서 백업이 활성화되지 않은 경우 OU 세부 정보 페이지에이 섹션이 표시되지 않습니다.

OUBackupBaseline에서를 활성화하려면 해당 OU에가 이미 AWSControlTowerBaseline 활성화되어 있어야 합니다. 각 OU에 등록된 계정에는이 AWSControlTowerBaseline 활성화되어 있습니다.

선택한 계정 및 OUs에서 AWS Control Tower는 추가 리소스를 설정합니다.

  • 로컬 백업 볼트

    AWS Control Tower는 계정에 로컬 백업 볼트를 생성하며, 볼트에 네 가지 유형의 백업 계획이 연결됩니다. AWS Control Tower를 통해 생성된 백업 계획에는 접두사로 태그가 지정됩니다.

    BackupPlanTags:
        aws-control-tower: 'managed-by-control-tower'

  • 시간별, 별, 주별, 월별네 가지 유형의 백업 계획입니다.

    각 계획은 태그 기반 리소스 할당과 연결됩니다. 예를 들어, aws-control-tower-backuphourly : true로 태그가 지정된 모든 리소스는 시간별 백업 계획으로 보호됩니다.

  • 계정의 로컬 백업 역할

    AWS Control Tower는 백업에 사용되는 IAM 역할을 생성합니다. 역할에는 네 가지 특정 권한이 필요합니다.

    "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"

    역할은에 대한 서비스 보안 주체와 신뢰 관계가 있습니다 AWS Backup . 역할의 이름은 이며 aws-controltower-backup-role다음과 같은 관리형 권한이 연결되어 있습니다.

백업을 위한 리소스 태그 지정

AWS Control Tower에서 백업을 설정하는 프로세스의 일부는 백업 계획에 포함하려는 리소스에 태그를 지정하는 것입니다. 태그는 백업 빈도를 지정합니다. 가능한 태그입니다.

  • aws-control-tower-backuphourly : true

  • aws-control-tower-backupdaily: true

  • aws-control-tower-backupweekly: true

  • aws-control-tower-backupmonthly: true

고려 사항

  • AWS Backup 가 OU에서 활성화되면 AWS Control Tower 콘솔의 OU 세부 정보 페이지에 있는 상태 필드에 활성화됨 값이 표시됩니다. 상태 필드의 다른 가능한 값에는 활성화되지 않음, 진행 중, 실패가 있습니다. 실패 상태가 표시되면 OU 재등록선택하여 AWS Backup 구성을 OU에 다시 적용합니다.

  • OU에서를 AWS Backup 활성화한 경우 Account Factory를 통해 프로비저닝된 새 계정에는 OU가 포함됩니다 AWS Backup.