Pré-requisitos - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos

Antes de poder configurar AWS Backup seus recursos do AWS Control Tower, você deve ter uma AWS Organizations organização existente. Se você já configurou sua landing zone do AWS Control Tower, ela serve como sua organização atual.

Você deve alocar ou criar duas outras AWS contas que não estejam inscritas no AWS Control Tower. Essas contas se tornam a conta de backup central e a conta do administrador de backup. Nomeie essas contas com esses nomes.

Além disso, você deve selecionar ou criar uma chave multirregional AWS Key Management Service (KMS), especificamente para Backup AWS .

Definindo seus pré-requisitos

  • A conta de backup central — A conta de backup central armazena seu cofre de backup do AWS Control Tower e seus backups. Esse cofre é criado em tudo o Regiões da AWS que o AWS Control Tower governa, dentro dessa conta. Cópias entre contas são armazenadas nessa conta, caso uma conta seja comprometida e exija restauração de dados.

  • A conta do administrador de backup — A conta do administrador de backup é a conta do administrador delegado para o AWS Backup serviço no AWS Control Tower. Ele armazena os planos de relatório do Backup Audit Manager (BAM). Essa conta agrega todos os dados de monitoramento de backup, como trabalhos de restauração e trabalhos de cópia. Os dados são armazenados em um bucket do Amazon S3. Para obter mais informações, consulte Criação de planos de relatório usando o AWS Backup console no Guia do AWS Backup desenvolvedor.

  • Requisito de política para a chave multirregional AWS KMS

    Sua AWS KMS chave exige uma política de chaves. Considere uma política de chaves semelhante a essa, que restringe o acesso aos diretores (usuários e funções) que têm permissões associadas à conta de gerenciamento da sua organização:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Id": "KMS key policy",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow use of the KMS key for organization",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey*",
                "kms:Encrypt",
                "kms:ReEncrypt*",
                "kms:GetKeyPolicy",
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "ORGANIZATION-ID"
                }
            }
        }
    ]
}

Este exemplo de política dá a todas as contas da sua organização acesso aos seus dados de backup criptografados. Use chaves de condição AWS globais e chaves de AWS KMS condição para refinar as permissões, dependendo de quais entidades principais exigem acesso aos seus backups.

nota

Sua AWS KMS chave multirregional deve ser replicada para cada coisa Região da AWS que você planeja governar com o AWS Control Tower.