最初の部分: ランディングゾーンのバックアップを設定する次のパート: OU でバックアップを有効化する

バックアップの有効化

ランディングゾーンの設定時、またはランディングゾーンの更新時に、AWS Control Tower に登録されているアカウントのリソースのバックアップを有効化できます。

前提条件として、以下のアイテムを指定する必要があります。

AWS Backup管理者アカウントAWS アカウントとして機能する。
AWS Backup中央バックアップアカウントAWS アカウントとして機能する。
クロスアカウントバックアップ用に管理するマルチリージョンAWS KMSキー

バックアップを有効化する方法

有効化プロセスには主に 2 つの部分があります。まず、ランディングゾーンのバックアップを有効化し、それから、バックアップを必要とする登録済み OU ごとにバックアップを有効化します。

最初の部分: ランディングゾーンのバックアップを設定する

コンソール: [ランディングゾーン設定] ページの AWS Control Tower コンソールでランディングゾーンのバックアップを設定できます。このオプションは、最初のランディングゾーンの設定オペレーション中に表示され、ランディングゾーンの更新を使用し、後で保持できます。

API: AWS Control Tower ランディングゾーンが既にある場合は UpdateLandingZone API を呼び出し、AWS Control Tower を初めて設定する場合は CreateLandingZone API を呼び出すことで、AWS Control Tower API でバックアップを有効化できます。(ヒント: その後、EnableBaseline API を呼び出して、必要な OU ごとにバックアップを確立します。)

AWS Control Tower コンソールの外部

ランディングゾーンのバックアップの有効化には、AWS Control Tower コンソール以外のステップが含まれます。リソースを確認するには、AWS Backupコンソールに移動する必要があります。

オプトインリソースタイプを確認するか、追加のリソースタイプにオプトインするには

でAWS Backupコンソールを開きますhttps://console.aws.amazon.com/backup。
ナビゲーションペインで [設定] を選択します。
[サービスのオプトイン] ページで、[リソースを設定] を選択します。
トグルスイッチを使用して、含めるサービスを有効または無効にしますAWS Backup。AWS Control Tower 環境の一部であるかどうかに関わらず、RDS、EC2、DDB など、バックアップするリソースが選択されていることを確認してください。

詳細については、「によるサービスの管理にオプトインAWS Backupする」を参照してください。

新しいリソースタイプに関する考慮事項

AWS Backupを使用してAWSサービスのリソースのデータ保護を管理する前に、前の手順を実行し、そのサービスのAWS Backupをオプトインする必要があります。また、AWS Backupサービスが今後追加のサービスとそのリソースタイプのサポートを追加するため、AWS Control Tower でそのリソースタイプをバックアップAWS Backupする前に、この手順を繰り返し、追加のリソースタイプごとにでオプトインする必要があります。サポートされていないリソースタイプをタグ付けすると、バックアップが失敗する可能性があります。

ランディングゾーンのバックアップを有効化すると、AWS Control Tower は、中央バックアップアカウントとバックアップ管理者アカウントとして指定した 2 つのアカウントをそれぞれ確立します。AWS Control Tower は、これらのアカウントおよび他のアカウントにリソースを作成します。

重要

AWS Control Tower 監査アカウントとログアーカイブアカウントのバックアップを有効化するには、EnableBaseline API を呼び出してセキュリティ OU のバックアップを設定する必要があります。そのようにすることをお勧めします。

推奨されるプランと保持期間は次のとおりです。

時間単位のバックアップ = ローカルボールトは 2 週間の保持、中央バックアップボールトはコピーなし
日単位のバックアップ = ローカルボールトは 2 週間の保持、中央バックアップボールトは 1 か月の保持
週単位のバックアップ = ローカルボールトは 1 か月の保持、中央バックアップボールトは 3 か月の保持
月単位のバックアップ = ローカルボールトは 3 か月の保持、中央バックアップボールトは 3 か月の保持

バックアッププランの作成方法については、「 AWS Backupコンソールを使用したレポートプランの作成」を参照してください。

次のパート: OU でバックアップを有効化する

ランディングゾーン設定AWS Backupでを有効にしたら、追加のステップを実行して、バックアップする特定の OUs でバックアップを有効にする必要があります。ランディングゾーンAWS Backupに対してを有効にしている場合、コンソールの OU の詳細ページにセクションが表示され、OU のバックアップを有効にするを選択できます。ランディングゾーンレベルでバックアップを有効化していない場合、OU の詳細ページにこのセクションは表示されません。

OU で BackupBaseline を有効化するには、その OU で既に AWSControlTowerBaseline が有効になっている必要があります。各 OU の登録済みアカウントでは、AWSControlTowerBaseline が有効化されています。

選択したアカウントと OU で、AWS Control Tower は追加のリソースを設定します。

ローカルバックアップボールト

AWS Control Tower は、アカウントにローカルバックアップボールトを作成し、4 種類のバックアッププランをボールトにアタッチします。AWS Control Tower で作成されたバックアッププランには、プレフィックスがタグ付けられます。
```
BackupPlanTags:
        aws-control-tower: 'managed-by-control-tower'
```
バックアッププランには、時間単位、日単位、週単位、月単位の 4 種類があります。

各プランは、タグベースのリソース割り当てに関連付けられます。例えば、aws-control-tower-backuphourly : true でタグ付けされたリソースは、時間単位のバックアッププランで保護されます。
アカウントのローカルバックアップロール

AWS Control Tower は、バックアップに使用される IAM ロールを作成します。ロールには 4 つの特定のアクセス許可が必要です。
```
"backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"
```
ロールには、のサービスプリンシパルとの信頼関係がありますAWS Backup。ロールの名前はでaws-controltower-backup-role、次の管理アクセス許可がアタッチされています。

バックアップ用のリソースをタグ付けする

AWS Control Tower でバックアップを設定するプロセスの一環として、バックアッププランに含めるリソースをタグ付けします。タグはバックアップの頻度を指定します。これらは可能性のあるタグです。

aws-control-tower-backuphourly : true
aws-control-tower-backupdaily: true
aws-control-tower-backupweekly: true
aws-control-tower-backupmonthly: true

考慮事項

AWS Backupが OU でアクティブな場合、AWS Control Tower コンソールの OU の詳細ページの Status フィールドに Enabled の値が表示されます。[ステータス] フィールドの値には、[有効になっていません]、[進行中]、[失敗] などがあります。ステータスが Failed の場合は、OU の再登録を選択してAWS Backup設定を OU に再適用します。
OU でAWS Backupを有効にしている場合、その OU に含まれる Account Factory を通じてプロビジョニングされた新しいアカウントAWS Backup。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

前提条件

バックアップを無効にする