翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
バックアップの有効化
ランディングゾーンの設定時、またはランディングゾーンの更新時に、AWS Control Tower に登録されているアカウントのリソースのバックアップを有効化できます。
前提条件 として、以下のアイテムを指定する必要があります。
-
AWS Backup 管理者アカウント AWS アカウント として機能する 。
-
AWS Backup 中央バックアップアカウント AWS アカウント として機能する 。
-
クロスアカウントバックアップ用に管理するマルチリージョン AWS KMS キー
バックアップを有効化する方法
有効化プロセスには主に 2 つの部分があります。まず、ランディングゾーンのバックアップを有効化し、それから、バックアップを必要とする登録済み OU ごとにバックアップを有効化します。
最初の部分: ランディングゾーンのバックアップを設定する
コンソール: [ランディングゾーン設定] ページの AWS Control Tower コンソールでランディングゾーンのバックアップを設定できます。このオプションは、最初のランディングゾーンの設定オペレーション中に表示され、ランディングゾーンの更新を使用し、後で保持できます。
API: AWS Control Tower ランディングゾーンが既にある場合は UpdateLandingZone API を呼び出し、AWS Control Tower を初めて設定する場合は CreateLandingZone API を呼び出すことで、AWS Control Tower API でバックアップを有効化できます。(ヒント: その後、EnableBaseline API を呼び出して、必要な OU ごとにバックアップを確立します。)
AWS Control Tower コンソールの外部
ランディングゾーンのバックアップの有効化には、AWS Control Tower コンソール以外のステップが含まれます。リソースを確認するには、 AWS Backup コンソールに移動する必要があります。
オプトインリソースタイプを確認するか、追加のリソースタイプにオプトインするには
-
で AWS Backup コンソールを開きますhttps://console.aws.amazon.com/backup
。 -
ナビゲーションペインで [設定] を選択します。
-
[サービスのオプトイン] ページで、[リソースを設定] を選択します。
-
トグルスイッチを使用して、含めるサービスを有効または無効にします AWS Backup。AWS Control Tower 環境の一部であるかどうかに関わらず、RDS、EC2、DDB など、バックアップするリソースが選択されていることを確認してください。
詳細については、「 による サービスの管理にオプトイン AWS Backupする」を参照してください。
新しいリソースタイプに関する考慮事項
AWS Backup を使用して AWS サービスのリソースのデータ保護を管理する前に、前の手順を実行し、そのサービスの AWS Backup をオプトインする必要があります。また、 AWS Backup サービスが今後追加のサービスとそのリソースタイプのサポートを追加するため、AWS Control Tower でそのリソースタイプをバックアップ AWS Backup する前に、この手順を繰り返し、追加のリソースタイプごとに でオプトインする必要があります。サポートされていないリソースタイプをタグ付けすると、バックアップが失敗する可能性があります。
ランディングゾーンのバックアップを有効化すると、AWS Control Tower は、中央バックアップアカウントとバックアップ管理者アカウントとして指定した 2 つのアカウントをそれぞれ確立します。AWS Control Tower は、これらのアカウントおよび他のアカウントにリソースを作成します。
重要
AWS Control Tower 監査アカウントとログアーカイブアカウントのバックアップを有効化するには、EnableBaseline API を呼び出してセキュリティ OU のバックアップを設定する必要があります。そのようにすることをお勧めします。
推奨されるプランと保持期間は次のとおりです。
-
時間単位のバックアップ = ローカルボールトは 2 週間の保持、中央バックアップボールトはコピーなし
-
日単位のバックアップ = ローカルボールトは 2 週間の保持、中央バックアップボールトは 1 か月の保持
-
週単位のバックアップ = ローカルボールトは 1 か月の保持、中央バックアップボールトは 3 か月の保持
-
月単位のバックアップ = ローカルボールトは 3 か月の保持、中央バックアップボールトは 3 か月の保持
バックアッププランの作成方法については、「 AWS Backup コンソールを使用したレポートプランの作成」を参照してください。
次のパート: OU でバックアップを有効化する
ランディングゾーン設定 AWS Backup で を有効にしたら、追加のステップを実行して、バックアップする特定の OUs でバックアップを有効にする必要があります。ランディングゾーン AWS Backup に対して を有効にしている場合、コンソールの OU の詳細ページにセクションが表示され、OU のバックアップを有効にするを選択できます。ランディングゾーンレベルでバックアップを有効化していない場合、OU の詳細ページにこのセクションは表示されません。
OU で BackupBaseline を有効化するには、その OU で既に AWSControlTowerBaseline が有効になっている必要があります。各 OU の登録済みアカウントでは、AWSControlTowerBaseline が有効化されています。
選択したアカウントと OU で、AWS Control Tower は追加のリソースを設定します。
-
ローカルバックアップボールト
AWS Control Tower は、アカウントにローカルバックアップボールトを作成し、4 種類のバックアッププランをボールトにアタッチします。AWS Control Tower で作成されたバックアッププランには、プレフィックスがタグ付けられます。
BackupPlanTags: aws-control-tower: 'managed-by-control-tower' -
バックアッププランには、時間単位、日単位、週単位、月単位の 4 種類があります。
各プランは、タグベースのリソース割り当てに関連付けられます。例えば、aws-control-tower-backuphourly : true でタグ付けされたリソースは、時間単位のバックアッププランで保護されます。
-
アカウントのローカルバックアップロール
AWS Control Tower は、バックアップに使用される IAM ロールを作成します。ロールには 4 つの特定のアクセス許可が必要です。
"backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"ロールには、 のサービスプリンシパルとの信頼関係があります AWS Backup 。ロールの名前は で
aws-controltower-backup-role、次の管理アクセス許可がアタッチされています。
バックアップ用のリソースをタグ付けする
AWS Control Tower でバックアップを設定するプロセスの一環として、バックアッププランに含めるリソースをタグ付けします。タグはバックアップの頻度を指定します。これらは可能性のあるタグです。
-
aws-control-tower-backuphourly : true -
aws-control-tower-backupdaily: true -
aws-control-tower-backupweekly: true -
aws-control-tower-backupmonthly: true
考慮事項
-
AWS Backup が OU でアクティブな場合、AWS Control Tower コンソールの OU の詳細ページの Status フィールドに Enabled の値が表示されます。[ステータス] フィールドの値には、[有効になっていません]、[進行中]、[失敗] などがあります。失敗のステータスが表示された場合は、OU の再登録を選択して AWS Backup 設定を OU に再適用します。
-
OU で AWS Backup を有効にしている場合、その OU に含まれる Account Factory を通じてプロビジョニングされた新しいアカウント AWS Backup。
