啟用備份

您可以在登陸區域設定期間或更新登陸區域時，為在 AWS Control Tower 中註冊的帳戶中的資源啟用備份。

身為 先決條件，您必須提供下列項目

• AWS 帳戶 做為 AWS Backup 管理員帳戶的

• AWS 帳戶 做為 AWS Backup 中央備份帳戶的

• 您為跨帳戶備份管理的多區域 AWS KMS 金鑰

如何啟用備份

啟用程序有兩個主要部分：首先，為您的登陸區域啟用備份；然後，為需要備份的每個已註冊 OU 啟用備份。

第一部分：為您的登陸區域設定備份

主控台：您可以在 AWS Control Tower 主控台的登陸區域設定頁面上設定登陸區域的備份。您會在初始登陸區域設定操作期間看到此選項，稍後可以透過更新登陸區域來重新檢視。

API：如果您已經有 AWS Control Tower 登陸區域，您可以透過呼叫 UpdateLandingZone API 來啟用 AWS Control Tower APIs 的備份，或者如果您是第一次設定 AWS Control Tower，則可以啟用 CreateLandingZone API。（提示：在此之後，請呼叫 EnableBaseline API 來為您需要的每個 OU 建立備份。)

AWS Control Tower 主控台外部

為您的登陸區域啟用備份的一部分包括 AWS Control Tower 主控台以外的步驟。您必須導覽至 AWS Backup 主控台，才能檢閱您的 資源。

檢閱您的選擇加入資源類型或選擇加入其他資源類型

1. 在 開啟 AWS Backup 主控台https://console.aws.amazon.com/backup。

2. 在導覽窗格中，選擇設定。

3. 在 Service opt-in (選擇加入服務) 頁面上，選擇 Configure resources (設定資源)。

4. 使用切換開關來啟用或停用您要包含的服務 AWS Backup。請確定已選取您要備份的資源，例如 RDS、EC2、DDB 等，無論它們是否屬於您的 AWS Control Tower 環境。

如需詳細資訊，請參閱選擇使用 管理服務 AWS Backup。

新資源類型的考量事項

在依賴 AWS Backup 來管理任何 AWS 服務資源的資料保護之前，您必須執行先前的程序並選擇 AWS Backup 加入該服務。此外，當 AWS Backup 服務在未來新增對其他服務及其資源類型的支援時，您必須先重複此程序，並使用 選擇加入每個額外的資源類型， AWS Backup 才能在 AWS Control Tower 中備份該資源類型。標記不支援的資源類型可能會導致備份失敗。

當您啟用登陸區域的備份時，AWS Control Tower 會分別建立您提供的兩個帳戶，做為中央備份帳戶和備份管理員帳戶。AWS Control Tower 會在這些帳戶和其他帳戶中建立資源。

重要

若要啟用 AWS Control Tower Audit 和 Log Archive 帳戶的備份，您必須呼叫 EnableBaseline API 來設定安全 OU 的備份。建議您這樣做。

建議的計劃和保留庫如下：

• 每小時備份 = 在本機保存庫中保留 2 週，中央備份保存庫中沒有副本

• 每日備份 = 在本機保存庫中保留 2 週，在中央備份保存庫中保留 1 個月

• 每週備份 = 在本機保存庫中保留 1 個月，在中央保存庫中保留 3 個月

• 每月備份 = 在本機保存庫中保留 3 個月，在中央備份保存庫中保留 3 個月

如需如何建立備份計劃的資訊，請參閱使用 AWS Backup 主控台建立報告計劃。

下一部分：在 OUs 上啟用備份

在登陸區域設定 AWS Backup 中啟用 之後，您必須採取額外的步驟，以對您要備份的特定 OUs 啟用備份。如果您已 AWS Backup 為登陸區域啟用 ，您會在主控台的 OU 詳細資訊頁面上看到一個區段，可讓您選擇啟用 OU 的備份。如果未在登陸區域層級啟用備份，您將無法在 OU 詳細資訊頁面上看到本節。

若要在 OU BackupBaseline上啟用 ，該 OU 必須AWSControlTowerBaseline已啟用 。每個 OU 中的註冊帳戶都AWSControlTowerBaseline已啟用 。

在您選取的帳戶和 OUs 中，AWS Control Tower 會設定其他資源

• 本機備份保存庫

  AWS Control Tower 會在您的帳戶中建立本機備份保存庫，並將四種可能的備份計畫類型連接到保存庫。透過 AWS Control Tower 建立的備份計劃會以字首標記。

  BackupPlanTags:
          aws-control-tower: 'managed-by-control-tower'

• 四種類型的備份計畫：每小時、每日、每週、每月。

  每個計劃都與標籤型資源指派相關聯。例如，任何以 aws-control-tower-backuphourly 標記的資源： true 會受到每小時備份計劃的保護。

• 您帳戶中的本機備份角色

  AWS Control Tower 會建立用於備份的 IAM 角色。此角色需要四個特定許可。

  "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"

  該角色與 的 服務主體具有信任關係 AWS Backup 。該角色名為 aws-controltower-backup-role，並具有與其連接的下列受管許可：

  • AWSBackupServiceRolePolicyForBackup

  • AWSBackupServiceRolePolicyForRestores

  • AWSBackupServiceRolePolicyForS3Backup

  • AWSBackupServiceRolePolicyForS3Restore

標記資源以進行備份

在 AWS Control Tower 中設定備份程序的一部分是標記您要包含在備份計畫中的資源。這些標籤會指定備份的頻率。這些是可能的標籤。

• aws-control-tower-backuphourly : true

• aws-control-tower-backupdaily: true

• aws-control-tower-backupweekly: true

• aws-control-tower-backupmonthly: true

考量

• 當 在 OU 上 AWS Backup 處於作用中狀態時，您會在 AWS Control Tower 主控台的 OU 詳細資訊頁面上的狀態欄位中看到已啟用的值。狀態欄位的一些其他可能值包括未啟用、進行中和失敗。如果您看到失敗狀態，請選擇重新註冊 OU，將您的 AWS Backup 組態重新套用至 OU。

• 如果您已在 OU 上 AWS Backup 啟用 ，則透過帳戶工廠佈建的新帳戶會包含在 OU 下 AWS Backup。