Habilitación de copias de seguridad - AWS Control Tower
Primera parte: configuración de copias de seguridad para la zona de aterrizajeSiguiente parte: activar las copias de seguridad en OUs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de copias de seguridad

Puede habilitar copias de seguridad de los recursos de sus cuentas que estén inscritas en AWS Control Tower, ya sea durante la configuración de la zona de aterrizaje o al actualizar la zona de aterrizaje.

Como Requisitos previos, debe proporcionar los elementos siguientes

  • Y Cuenta de AWS para que sirva como cuenta de AWS Backup administrador

  • Y Cuenta de AWS para servir como cuenta de AWS Backup Central Backup

  • Una AWS KMS clave multiregional que usted administra, para copias de seguridad entre cuentas

Cómo habilitar las copias de seguridad

El proceso de habilitación consta de dos partes principales: primero, habilite las copias de seguridad para su zona de aterrizaje y, luego habilite las copias de seguridad para cada unidad organizativa registrada que requiera copias de seguridad.

Primera parte: configuración de copias de seguridad para la zona de aterrizaje

Consola: puede configurar copias de seguridad para la zona de aterrizaje en la consola de AWS Control Tower, en la página Configuración de zona de aterrizaje. Verá esta opción durante la operación de configuración inicial de la zona de aterrizaje y podrá revisitarla más adelante con una actualización de la zona de aterrizaje.

API: puede habilitar las copias de seguridad con la Torre APIs de Control de AWS llamando a la UpdateLandingZoneAPI si ya tiene una zona de aterrizaje de la Torre de Control de AWS, o a la CreateLandingZoneAPI si está configurando AWS Control Tower por primera vez. (Sugerencia: después, llame a la API EnableBaseline para establecer copias de seguridad para cada unidad organizativa que necesite).

Fuera de la consola de AWS Control Tower

Para habilitar copias de seguridad de la zona de aterrizaje es necesario dar un paso fuera de la consola de AWS Control Tower. Debe ir a la AWS Backup consola para revisar sus recursos.

Cómo revisar los tipos de recursos suscritos o suscribirse a otros tipos de recursos

  1. Abra la AWS Backup consola enhttps://console.aws.amazon.com/backup.

  2. En el panel de navegación, seleccione Configuración.

  3. En la página Activación del servicio, elija Configurar recursos.

  4. Utilice los conmutadores para activar o desactivar los servicios que desee incluir.AWS BackupAsegúrese de seleccionar los recursos de los que desea hacer una copia de seguridad, como RDS, DDB EC2, etc., independientemente de que formen parte de su entorno de AWS Control Tower o no.

Para obtener más información, consulte Optar por administrar servicios con.AWS Backup

Consideraciones sobre nuevos tipos de recursos

Antes de confiar en la AWS Backup gestión de la protección de datos de los recursos de cualquier AWS servicio, debe realizar el procedimiento anterior y optar AWS Backup por ese servicio. Además, a medida que el AWS Backup servicio añada soporte para servicios adicionales y sus tipos de recursos en el futuro, debe repetir este procedimiento y optar por cada tipo de recurso adicional con AWS Backup antes de poder realizar una copia de seguridad de ese tipo de recurso en AWS Control Tower. Si se etiqueta un tipo de recurso no compatible, es posible que se produzca un error en la copia de seguridad.

Cuando activa copias de seguridad para su zona de aterrizaje, AWS Control Tower establece las dos cuentas que ha proporcionado como cuenta de Copia de seguridad central y cuenta de Administrador de copia de seguridad, respectivamente. AWS Control Tower crea recursos en estas y en otras cuentas.

importante

Para habilitar copias de seguridad de las cuentas de AWS Control Tower Auditoría y Archivo de registro, debe configurar las copias de seguridad para la Unidad organizativa de seguridad mediante una llamada a la API EnableBaseline. Recomendamos que lo haga.

El conjunto de planes y retenciones recomendado es el siguiente:

  • Copias de seguridad por hora = 2 semanas de retención en almacén local, sin copia en el almacén de copia de seguridad central

  • Copia de seguridad diaria = 2 semanas de retención en almacén local, 1 mes de retención en almacén de copia de seguridad central

  • Copia de seguridad semanal = 1 mes de retención en almacén local, 3 meses de retención en almacén central

  • Copia de seguridad mensual = 3 meses de retención en almacén local, 3 meses de retención en almacén central

Para obtener información sobre cómo crear sus planes de respaldo, consulte Creación de planes de informes mediante la AWS Backup consola.

Siguiente parte: activar las copias de seguridad en OUs

Después de habilitar AWS Backup la configuración de tu landing zone, debes dar el paso adicional para habilitar la copia de seguridad en la parte específica de la OUs que deseas hacer una copia de seguridad. Si has activado AWS Backup tu landing zone, verás una sección en la página de detalles de la OU de la consola, en la que podrás elegir Activar backup para la OU. Si la copia de seguridad no está habilitada en el nivel de la zona de aterrizaje, no aparecerá esta sección en la página de detalles de la UO.

Para habilitar BackupBaseline en una UO, esta debe tener la AWSControlTowerBaseline ya habilitada. Las cuentas inscritas en cada UO tienen la AWSControlTowerBaseline habilitada.

En las cuentas seleccionadas y OUs, AWS Control Tower configura recursos adicionales

  • Un almacén de copia de seguridad local

    AWS Control Tower crea un almacén de copia de seguridad local en sus cuentas, con cuatro tipos posibles de planes de copia de seguridad asociados al almacén. Los planes de copia de seguridad creados mediante AWS Control Tower se etiquetan con un prefijo. 

    BackupPlanTags:
        aws-control-tower: 'managed-by-control-tower'

  • Cuatro tipos de planes de copia de seguridad: por hora, por día, por semana y por mes.

    Cada plan está asociado a una asignación de recursos basada en etiquetas. Por ejemplo, cualquier recurso etiquetado con aws-control-tower-backuphourly : true está protegido con un plan de respaldo por horas.

  • Un rol de copia de seguridad local en sus cuentas

    AWS Control Tower crea un rol de IAM que se utiliza para copias de seguridad. El rol requiere cuatro permisos específicos.

    "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"

    El rol tiene una relación de confianza con el director AWS Backup del servicio. El rol tiene un nombre aws-controltower-backup-role y tiene los siguientes permisos administrados asociados:

Recursos de etiqueta para copia de seguridad

Parte del proceso de configuración de copias de seguridad en AWS Control Tower consiste en etiquetar los recursos que desee incluir en su plan de copias de seguridad. Las etiquetas especifican la frecuencia de las copias de seguridad. Estas son las posibles etiquetas.

  • aws-control-tower-backuphourly : true

  • aws-control-tower-backupdaily: true

  • aws-control-tower-backupweekly: true

  • aws-control-tower-backupmonthly: true

Consideraciones

  • Cuando AWS Backup esté activo en una unidad organizativa, verá el valor Habilitado en el campo Estado de la página de detalles de la unidad organizativa de la consola de AWS Control Tower. Otros valores posibles del campo Estado son No habilitado, En curso y Error. Si aparece el estado Fallido, seleccione Volver a registrar la OU para volver a aplicar la AWS Backup configuración a la OU.

  • Si ha AWS Backup activado una OU, se incluirán AWS Backup las nuevas cuentas aprovisionadas a través de Account Factory en virtud de esa OU.