Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Activer les sauvegardes
Vous pouvez activer les sauvegardes pour les ressources de vos comptes inscrits dans AWS Control Tower, soit lors de la configuration de la zone d'atterrissage, soit lors de la mise à jour de votre zone d'atterrissage.
**En tant que[Conditions préalables](backup-prerequisites.md), vous devez fournir les éléments suivants**
+ Et Compte AWS pour servir de compte AWS Backup administrateur
+ Et Compte AWS pour servir de compte AWS Backup Central Backup
+ Une AWS KMS clé multirégionale que vous gérez, pour les sauvegardes entre comptes
**Comment activer les sauvegardes**
Le processus d'activation comporte deux parties principales : *tout d'abord*, activer les sauvegardes pour votre zone de destination, *puis* activer les sauvegardes pour chaque unité d'organisation enregistrée qui nécessite des sauvegardes.
## Première partie : configurer des sauvegardes pour votre zone de landing zone
**Console :** vous pouvez configurer des sauvegardes pour votre zone d'atterrissage dans la console AWS Control Tower, sur la page des **paramètres de la zone d'atterrissage**. Vous verrez cette option lors de la configuration initiale de la zone d'atterrissage, et vous pourrez y revenir ultérieurement lors d'une mise à jour de la zone d'atterrissage.
**API :** vous pouvez activer les sauvegardes avec l'AWS Control Tower APIs, en appelant l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html)API, si vous disposez déjà d'une zone de landing zone AWS Control Tower, ou l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html)API si vous configurez AWS Control Tower pour la première fois. (Conseil : appelez ensuite l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html)API pour établir des sauvegardes pour chaque unité d'organisation dont vous avez besoin.)
**En dehors de la console AWS Control Tower**
L'activation des sauvegardes pour votre zone de landing zone inclut une étape en dehors de la console AWS Control Tower. Vous devez accéder à la AWS Backup console pour consulter vos ressources.
**Pour passer en revue les types de ressources que vous avez sélectionnés ou pour souscrire à des types de ressources supplémentaires**
1. Ouvrez la AWS Backup console à l'adresse[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Sur la page **Activation du service**, choisissez **Configurer les ressources**.
1. Utilisez les commutateurs à bascule pour activer ou désactiver les services que vous souhaitez inclure. AWS Backup*Assurez-vous que les ressources que vous souhaitez sauvegarder sont sélectionnées, telles que RDS, EC2, DDB, etc., qu'elles fassent partie de votre environnement AWS Control Tower ou non.*
Pour plus de détails, [voir Activer la gestion des services avec AWS Backup](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-supported-services.html#opt-in).
**Considérations relatives aux nouveaux types de ressources**
Avant de vous fier AWS Backup à la gestion de la protection des données pour les ressources d'un AWS service, vous devez suivre la procédure précédente et opter AWS Backup pour ce service. De plus, à mesure que le AWS Backup service prendra en charge des services supplémentaires et leurs types de ressources à l'avenir, vous devrez répéter cette procédure et opter pour chaque type de ressource supplémentaire AWS Backup avant de pouvoir sauvegarder ce type de ressource dans AWS Control Tower. Le balisage d'un type de ressource non pris en charge peut entraîner l'échec de votre sauvegarde.
Lorsque vous activez les sauvegardes pour votre zone de landing zone, AWS Control Tower définit les deux comptes que vous avez fournis en tant que compte **Central Backup** et compte **Backup Administrator**, respectivement. AWS Control Tower crée des [ressources](https://docs.aws.amazon.com//controltower/latest/userguide/backup-resources.html) dans ces comptes et dans d'autres comptes.
**Important**
Pour activer les sauvegardes pour les comptes AWS Control Tower **Audit** et **Log Archive**, vous devez configurer des sauvegardes pour l'**unité d'organisation de sécurité** en appelant l'`EnableBaseline`API. Nous vous recommandons de le faire.
**La banque de plans et de rétention recommandée est la suivante :**
+ Sauvegardes horaires = 2 semaines de conservation dans le coffre local, aucune copie dans le coffre de sauvegarde central
+ Sauvegardes quotidiennes = 2 semaines de conservation dans le coffre local, 1 mois de conservation dans le coffre de sauvegarde central
+ Sauvegardes hebdomadaires = 1 mois de conservation dans le coffre local, 3 mois de conservation dans le coffre central
+ Sauvegardes mensuelles = 3 mois de conservation dans le coffre local, 3 mois de conservation dans le coffre de sauvegarde central
Pour plus d'informations sur la création de vos plans de sauvegarde, consultez la section [Création de plans de rapports à l'aide de la AWS Backup console](https://docs.aws.amazon.com//aws-backup/latest/devguide/create-report-plan-console.html).
## Partie suivante : Activer les sauvegardes sur OUs
Après avoir activé la sauvegarde AWS Backup dans les paramètres de votre zone d'atterrissage, vous devez effectuer une étape supplémentaire pour activer la sauvegarde sur le site spécifique OUs que vous souhaitez sauvegarder. Si vous avez activé votre zone AWS Backup de landing zone, vous verrez une section sur la page de **détails** de l'unité d'organisation de la console, qui vous permet de choisir **Activer la sauvegarde** pour l'unité d'organisation. Si la sauvegarde n'est pas activée au niveau de la zone d'atterrissage, vous ne verrez pas cette section sur la page de détails de l'UO.
Pour l'activer `BackupBaseline` sur une unité d'organisation, cette unité d'organisation doit déjà l'avoir `AWSControlTowerBaseline` activée. Les comptes inscrits dans chaque unité d'organisation sont `AWSControlTowerBaseline` activés.
**Dans les comptes que vous avez sélectionnés OUs, AWS Control Tower met en place des ressources supplémentaires**
+ **Un coffre-fort Backup local**
AWS Control Tower crée un coffre-fort de sauvegarde local dans vos comptes, avec quatre types de plans de sauvegarde possibles associés au coffre-fort. Les plans de sauvegarde créés via AWS Control Tower sont marqués d'un préfixe.
```
BackupPlanTags:
aws-control-tower: 'managed-by-control-tower'
```
+ **Quatre types de plans de sauvegarde** : **horaire**, **quotidien**, **hebdomadaire** et **mensuel**.
Chaque plan est associé à une attribution de ressources basée sur des balises. Par exemple, toute ressource étiquetée avec **aws-control-tower-backuphourly : true** est protégée par un plan de sauvegarde horaire.
+ **Un rôle de sauvegarde local dans vos comptes**
AWS Control Tower crée un rôle IAM, qui est utilisé pour les sauvegardes. Le rôle nécessite quatre autorisations spécifiques.
```
"backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"
```
Le rôle entretient une relation de confiance avec le principal de service pour AWS Backup Le rôle est nommé`aws-controltower-backup-role`, et les autorisations gérées suivantes lui sont associées :
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)
**Marquer les ressources pour la sauvegarde**
Le processus de configuration des sauvegardes dans AWS Control Tower consiste notamment à étiqueter les ressources que vous souhaitez inclure dans votre plan de sauvegarde. Les balises indiquent la fréquence des sauvegardes. Voici les tags possibles.
+ `aws-control-tower-backuphourly : true`
+ `aws-control-tower-backupdaily: true`
+ `aws-control-tower-backupweekly: true`
+ `aws-control-tower-backupmonthly: true`
**Considérations**
+ Lorsqu'elle AWS Backup est active sur une unité d'organisation, la valeur **Enabled** apparaît dans le champ **État** de la page de **détails** de l'unité organisationnelle de la console AWS Control Tower. Parmi les autres valeurs possibles du champ **État**, citons **Non activé**, **En cours** et **Échoué**. Si le statut **Échec** s'affiche, choisissez **Réenregistrer** l'unité d'organisation pour appliquer de nouveau votre AWS Backup configuration à l'unité d'organisation.
+ Si vous l'avez AWS Backup activé sur une unité d'organisation, les nouveaux comptes provisionnés via Account Factory dans le cadre de cette unité d'organisation AWS Backup incluront.