Habilitar backups - AWS Control Tower
Primeira parte: configure backups para sua zona de pousoPróxima parte: Habilitar backups em OUs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar backups

Você pode habilitar backups para recursos em suas contas que estão inscritas no AWS Control Tower, durante a configuração da zona de pouso ou ao atualizar sua zona de pouso.

Como Pré-requisitos, você deve fornecer os seguintes itens

  • E Conta da AWS para servir como conta de AWS Backup administrador

  • E Conta da AWS para servir como conta de Backup AWS Backup Central

  • Uma AWS KMS chave multirregional que você gerencia, para backups entre contas

Como habilitar backups

O processo de capacitação tem duas partes principais: primeiro, habilite backups para sua zona de pouso; depois, habilite backups para cada UO registrada que exija backups.

Primeira parte: configure backups para sua zona de pouso

Console: você pode configurar backups para sua zona de pouso no console do AWS Control Tower, na página de configurações da zona de pouso. Você verá essa opção durante a operação inicial de configuração da zona de pouso e poderá revisitá-la posteriormente com uma atualização da zona de pouso.

API: você pode habilitar backups com a AWS Control Tower APIs, chamando a UpdateLandingZoneAPI, se você já tiver uma landing zone da AWS Control Tower, ou a CreateLandingZoneAPI se estiver configurando a AWS Control Tower pela primeira vez. (Dica: depois disso, chame a API EnableBaseline para estabelecer backups para cada UO que você precisar.)

Fora do console do AWS Control Tower

Parte da habilitação de backups para a zona de pouso inclui sair do console do AWS Control Tower. Você deve navegar até o AWS Backup console para revisar seus recursos.

Para revisar seus tipos de recursos aceitos ou optar por tipos de recursos adicionais

  1. Abra o AWS Backup console emhttps://console.aws.amazon.com/backup.

  2. No painel de navegação, selecione Configurações.

  3. Na página Optar pela adoção do serviço, escolha Configurar recursos.

  4. Use as chaves seletoras para ativar ou desativar os serviços com os quais você deseja incluir.AWS BackupCertifique-se de que os recursos dos quais você deseja fazer backup estejam selecionados, como RDS, EC2 DDB e assim por diante, independentemente de fazerem parte do seu ambiente do AWS Control Tower ou não.

Para obter mais detalhes, consulte Aceitar o gerenciamento de serviços com AWS Backup.

Considerações sobre novos tipos de recursos

Antes de AWS Backup confiar no gerenciamento da proteção de dados dos recursos de qualquer AWS serviço, você deve executar o procedimento anterior e optar AWS Backup por esse serviço. Além disso, à medida que o AWS Backup serviço adiciona suporte para serviços adicionais e seus tipos de recursos no futuro, você deve repetir esse procedimento e optar por cada tipo de recurso adicional AWS Backup antes de poder fazer backup desse tipo de recurso no AWS Control Tower. Marcar um tipo de recurso não compatível pode causar falha no seu backup.

Quando você habilita backups para sua zona de pouso, o AWS Control Tower estabelece as duas contas que você forneceu como a conta de Backup Central e a conta do Administrador de Backup, respectivamente. O AWS Control Tower cria recursos nessas contas e em outras contas.

Importante

Para habilitar backups para as contas de auditoria e arquivo de log do AWS Control Tower, você deve configurar backups para a UO de segurança, chamando a API EnableBaseline. Recomendamos que você o faça.

O banco recomendado de planos e retenção é o seguinte:

  • Backups de hora em hora = retenção de 2 semanas no cofre local, sem cópia no cofre de backup central

  • Backups diários = retenção de 2 semanas no cofre local, retenção de 1 mês no cofre de backup central

  • Backups semanais = retenção de 1 mês no cofre local, retenção de 3 meses no cofre central

  • Backups mensais = retenção de 3 meses no cofre local, retenção de 3 meses no cofre de backup central

Para obter informações sobre como criar seus planos de backup, consulte Criação de planos de relatório usando o AWS Backup console.

Próxima parte: Habilitar backups em OUs

Depois de habilitar AWS Backup nas configurações da landing zone, você deve executar a etapa adicional para habilitar o backup no local específico OUs do qual deseja fazer backup. Se você habilitou AWS Backup sua landing zone, você verá uma seção na página de detalhes da OU no console, que permite escolher Habilitar backup para a OU. Se o backup não estiver habilitado no nível da zona de pouso, você não verá essa seção na página de detalhes da UO.

Para habilitar o BackupBaseline em uma UO, essa UO já deve ter o AWSControlTowerBaseline ativado. As contas inscritas em cada UO têm o AWSControlTowerBaseline habilitado.

Nas contas selecionadas e OUs, o AWS Control Tower configura recursos adicionais

  • Um cofre de Backup local

    O AWS Control Tower cria um cofre de backup local em suas contas, com quatro tipos possíveis de planos de backup anexados ao cofre. Os planos de backup criados pelo AWS Control Tower são marcados com um prefixo. 

    BackupPlanTags:
        aws-control-tower: 'managed-by-control-tower'

  • Quatro tipos de planos de backup: por hora, diariamente, semanalmente e mensalmente.

    Cada plano está associado a uma atribuição de recursos com base em tags. Por exemplo, qualquer recurso marcado com aws-control-tower-backuphourly : true é protegido por um plano de backup por hora.

  • Uma função de backup local em suas contas

    O AWS Control Tower cria um perfil do IAM, que é usado para backups. O perfil requer quatro permissões específicas.

    "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"

    A função tem uma relação de confiança com o responsável pelo serviço.AWS Backup A função é nomeada aws-controltower-backup-role e tem as seguintes permissões gerenciadas anexadas a ela:

Marcar recursos para backup

Parte do processo de configuração de backups no AWS Control Tower é marcar os recursos que você deseja incluir no seu plano de backup. As tags especificam a frequência dos backups. Essas são as tags possíveis.

  • aws-control-tower-backuphourly : true

  • aws-control-tower-backupdaily: true

  • aws-control-tower-backupweekly: true

  • aws-control-tower-backupmonthly: true

Considerações

  • Quando AWS Backup estiver ativo em uma OU, você verá um valor de Enabled no campo Status na página de detalhes da OU no console do AWS Control Tower. Alguns outros valores possíveis do campo Status incluem Não habilitado, Em andamento e Falha. Se você ver um status de Falha, escolha Registrar UO Novamente para reaplicar sua AWS Backup configuração à OU.

  • Se você tiver AWS Backup habilitado em uma OU, novas contas provisionadas por meio do Account Factory de acordo com as quais a OU incluirá.AWS Backup