启用备份

无论是在设置着陆区期间，还是在更新着陆区时，您都可以为在 AWS Control Tower 中注册的账户中的资源启用备份。

因为先决条件，您必须提供以下物品

• 用作 AWS Backup 管理员账号的 AWS 账户

• AWS 账户 将作为 Cent AWS Backup ral Backup 账户

• 由您管理的用于跨账户备份的多区域 AWS KMS 密钥

如何启用备份

启用过程包括两个主要部分：首先，为着陆区启用备份；然后，为每个需要备份的已注册 OU 启用备份。

第一部分：为您的 landing zone 设置备份

控制台：您可以在 AWS Control Tower 控制台的着陆区设置页面上为着陆区设置备份。你将在最初的着陆区设置操作中看到这个选项，你可以稍后通过着陆区更新来重新访问它。

API：如果您已经有 AWS 控制塔着陆区 APIs，则可以通过调用 UpdateLandingZoneAPI 在 AWS Control Tower 上启用备份；如果您是首次设置 AWS Control Tower，则可以调用 CreateLandingZoneAPI 来启用备份。（提示：之后，调用 EnableBaselineAPI 为你需要的每个 OU 建立备份。）

在 AWS Control Tower 控制台之外

为着陆区启用备份的部分步骤包括在 AWS Control Tower 控制台之外执行一个步骤。您必须导航到 AWS Backup 控制台才能查看您的资源。

查看您选择加入的资源类型或选择加入其他资源类型

1. 打开 AWS Backup 控制台，网址为https://console.aws.amazon.com/backup。

2. 在导航窗格中，选择 Settings（设置）。

3. 在选择加入服务页面上，选择配置资源。

4. 使用切换开关启用或禁用要包含的服务 AWS Backup。请务必选择要备份的资源，例如 RDS、、DDB 等 EC2，无论它们是否属于您的 AWS Control Tower 环境。

有关更多详细信息，请参阅选择使用管理服务 AWS Backup。

新资源类型的注意事项

在依赖 AWS Backup 管理任何 AWS 服务资源的数据保护之前，必须执行前面的步骤并选择使用该服务。 AWS Backup 此外，由于该 AWS Backup 服务将来会增加对其他服务及其资源类型的支持，因此您必须重复此过程并选择每种其他资源类型， AWS Backup 然后才能在 AWS Control Tower 中备份该资源类型。标记不支持的资源类型可能会导致备份失败。

当您为着陆区激活备份时，AWS Control Tower 会分别建立您提供的两个账户作为中央备份账户和备份管理员账户。AWS Control Tower 在这些账户和其他账户中创建资源。

重要

要为 AWS Control Tower 审计和日志存档账户启用备份，必须通过调用 EnableBaseline API 为安全 OU 设置备份。我们建议您这样做。

建议的计划和留存量如下：

• 每小时备份 = 在本地保管库中保留 2 周，中央备份保管库中没有副本

• 每日备份 = 在本地保管库中保留 2 周，在中央备份保管库中保留 1 个月

• 每周备份 = 在本地保管库中保留 1 个月，在中央保管库中保留 3 个月

• 每月备份 = 在本地保管库中保留 3 个月，在中央备份保管库中保留 3 个月

有关如何创建备份计划的信息，请参阅使用 AWS Backup 控制台创建报告计划。

下一部分：启用备份 OUs

AWS Backup 在 landing zone 设置中启用后，您必须采取额外步骤才能在要备份 OUs 的特定区域上启用备份。如果您已启 AWS Backup 用 landing zone，您将在控制台的 OU 详细信息页面上看到一个部分，允许您选择 OU 启用备份。如果未在 landing zone 级别启用备份，则在 OU 详细信息页面上将看不到此部分。

要在 OU BackupBaseline 上启用，该 OU 必须已AWSControlTowerBaseline启用。每个 OU 中已注册的账户均AWSControlTowerBaseline已启用。

在您选择的账户中 OUs，AWS Control Tower 会设置其他资源

• 本地 Backup 保管库

  AWS Control Tower 会在您的账户中创建本地备份保管库，该文件库附有四种可能的备份计划。通过 AWS Control Tower 创建的备份计划标有前缀。

  BackupPlanTags:
          aws-control-tower: 'managed-by-control-tower'

• 四种类型的备份计划 —— 每小时、每天、每周、每月。

  每个计划都与基于标签的资源分配相关联。例如，任何标有aws-control-tower-backuphourly :true 的资源都受每小时备份计划的保护。

• 账户中的本地备份角色

  AWS Control Tower 创建了一个用于备份的 IAM 角色。该角色需要四种特定权限。

  "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"

  该角色与该角色的服务主体存在信任关系。 AWS Backup 该角色已命名aws-controltower-backup-role，并附有以下托管权限：

  • AWSBackupServiceRolePolicyForBackup

  • AWSBackupServiceRolePolicyForRestores

  • AWSBackupServiceRolePolicyForS3Backup

  • AWSBackupServiceRolePolicyForS3Restore

为备份资源添加标签

在 AWS Control Tower 中设置备份的过程之一是标记您希望包含在备份计划中的资源。标签指定备份的频率。这些是可能的标签。

• aws-control-tower-backuphourly : true

• aws-control-tower-backupdaily: true

• aws-control-tower-backupweekly: true

• aws-control-tower-backupmonthly: true

注意事项

• 在 OU 上 AWS Backup 处于活动状态时，您会在 AWS Control Tower 控制台的 OU 详细信息页面的状态字段中看到值为 “已启用”。“状态” 字段的其他一些可能值包括 “未启用”、“进行中” 和 “失败”。如果您看到 “失败” 状态，请选择 “重新注册 OU”，将您的 AWS Backup 配置重新应用于 OU。

• 如果您已在 OU 上 AWS Backup 启用，则通过 Account Factory 在该组织下配置的新账户将包括 AWS Backup。