本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件
在设置 AWS C AWS Backup ontrol Tower 资源之前,您必须拥有一个现有 AWS Organizations 组织。如果您已经设置了 AWS Control Tower 登录区,则该登录区将作为您的现有组织。
您必须分配或创建另外两个未在 AWS Control Tower 中注册的 AWS 账户。这些账户将成为中央备份账户和备份管理员账户。用相关名字命名这些账户。
此外,您必须选择或创建多区域 AWS Key Management Service (KMS) 密钥,专门 AWS 用于 Backup。
定义先决条件
-
中央备份账户—中央备份账户可存储您的 AWS Control Tower 备份保管库和备份。此保管库是在 AWS C AWS 区域 ontrol Tower 管理的所有账户中创建的。跨账户副本存储在该账户中,可防账户遭到入侵并需要恢复数据。
-
备份管理员账户—备份管理员账户是 AWS Control Tower 中 AWS Backup 服务的委派管理员账户。该账户可存储 Backup Audit Manager (BAM) 报告计划。该账户汇总所有备份监控数据,例如还原作业和复印作业。数据需存储在 Amazon S3 存储桶中。有关更多信息,请参阅AWS Backup 开发人员指南中的使用 AWS Backup 控制台创建报告计划。
-
针对多区域 AWS KMS 密钥的策略要求
您的 AWS KMS 密钥需要密钥策略。考虑一个与该策略类似的密钥策略,该策略限制拥有与贵组织管理账户相关权限的主体(用户和角色)的访问权限:
该策略示例赋予您组织中的所有账户访问其加密备份数据的权限。使用 AWS 全局条件键和 AWS KMS 条件键来细化权限,具体取决于哪些主体需要访问您的备份。
注意
对于您计划使用 AWS Control Tower 管理 AWS 区域 的每个区域,都必须复制您的多区域 AWS KMS 密钥。
