Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Abilita i backup
<a name="enable-backup"></a>

Puoi abilitare i backup delle risorse nei tuoi account registrati in AWS Control Tower, durante la configurazione della landing zone o quando aggiorni la landing zone.

**Pertanto[Prerequisiti](backup-prerequisites.md), devi fornire i seguenti elementi**
+ E Account AWS per fungere da account AWS Backup amministratore 
+ E Account AWS per fungere da account di Backup AWS Backup Centrale
+ Una AWS KMS chiave multiregionale gestita dall'utente, per i backup su più account

**Come abilitare i backup**

Il processo di abilitazione prevede due parti principali: in *primo luogo*, abilita i backup per la landing zone, *quindi* abilita i backup per ogni unità organizzativa registrata che richiede backup.

## Prima parte: configura i backup per la tua landing zone
<a name="backups-on-lz"></a>

**Console:** puoi configurare i backup per la tua landing zone nella console AWS Control Tower, nella pagina delle **impostazioni della zona di atterraggio**. Vedrai questa opzione durante l'operazione di configurazione iniziale della landing zone e potrai rivisitarla in seguito con un aggiornamento della landing zone.

**API:** puoi abilitare i backup con AWS Control Tower APIs chiamando l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html)API, se disponi già di una landing zone AWS Control Tower, oppure l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html)API se stai configurando AWS Control Tower per la prima volta. (Suggerimento: dopo di che, chiama l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html)API per stabilire i backup per ogni unità organizzativa di cui hai bisogno.)

**Fuori dalla console AWS Control Tower**

Parte dell'abilitazione dei backup per la tua landing zone include un passaggio all'esterno della console AWS Control Tower. Devi accedere alla AWS Backup console per esaminare le tue risorse.

**Per esaminare i tipi di risorse che hai scelto o attivare tipi di risorse aggiuntivi**

1. Apri la console all' AWS Backup indirizzo. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup)

1. Nel pannello di navigazione scegli **Impostazioni**.

1. Nella pagina **Attivazione del servizio** scegliere **Configura risorse**.

1.  Utilizza gli interruttori a levetta per abilitare o disabilitare i servizi in cui desideri includere. AWS Backup*Assicurati che le risorse di cui desideri eseguire il backup siano selezionate, come RDS, EC2, DDB e così via, indipendentemente dal fatto che facciano parte del tuo ambiente AWS Control Tower o meno.*

Per maggiori dettagli, [consulta Accetta la gestione dei servizi con](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-supported-services.html#opt-in). AWS Backup

**Considerazioni sui nuovi tipi di risorse**  
Prima di affidarsi AWS Backup alla gestione della protezione dei dati per le risorse di qualsiasi AWS servizio, è necessario eseguire la procedura precedente e attivare AWS Backup tale servizio. Inoltre, poiché il AWS Backup servizio aggiungerà il supporto per servizi aggiuntivi e i relativi tipi di risorse in futuro, è necessario ripetere questa procedura e attivare ogni tipo di risorsa aggiuntivo AWS Backup prima di poter eseguire il backup di quel tipo di risorsa in AWS Control Tower. L'etichettatura di un tipo di risorsa non supportato può causare il fallimento del backup.

Quando attivi i backup per la tua landing zone, AWS Control Tower stabilisce i due account che hai fornito rispettivamente come account Central **Backup** e account **Backup Administrator**. AWS Control Tower crea [risorse](https://docs.aws.amazon.com//controltower/latest/userguide/backup-resources.html) in questi account e in altri account.

**Importante**  
Per abilitare i backup per gli account AWS Control Tower **Audit** e **Log Archive**, devi configurare i backup per l'**unità organizzativa di sicurezza** chiamando l'`EnableBaseline`API. Questa impostazione è consigliata.

**La serie di piani e di conservazione consigliata è la seguente:**
+ Backup orari = 2 settimane di conservazione nel deposito locale, nessuna copia nell'archivio di backup centrale
+ Backup giornalieri = 2 settimane di conservazione nel vault locale, 1 mese di conservazione nell'archivio di backup centrale
+ Backup settimanali = 1 mese di conservazione nel vault locale, 3 mesi nel vault centrale
+ Backup mensili = 3 mesi di conservazione nel vault locale, 3 mesi di conservazione nel deposito di backup centrale

Per informazioni su come creare i piani di backup, consulta [Creazione di piani di report](https://docs.aws.amazon.com//aws-backup/latest/devguide/create-report-plan-console.html) utilizzando la console. AWS Backup 

## Parte successiva: abilitare i backup su OUs
<a name="backups-on-ous"></a>

Dopo aver abilitato AWS Backup nelle impostazioni della landing zone, devi eseguire il passaggio aggiuntivo per abilitare il backup sullo specifico di OUs cui desideri eseguire il backup. Se l'opzione è abilitata AWS Backup per la landing zone, nella pagina dei **dettagli dell'unità organizzativa** della console verrà visualizzata una sezione che consente di scegliere **Abilita il backup** per l'unità organizzativa. Se il backup non è abilitato a livello di landing zone, questa sezione non verrà visualizzata nella pagina dei dettagli dell'unità organizzativa.

Per abilitarlo `BackupBaseline` su un'unità organizzativa, tale unità deve averla già `AWSControlTowerBaseline` abilitata. Per gli account registrati in ogni unità organizzativa è `AWSControlTowerBaseline` abilitato.

**Negli account selezionati e OUs, AWS Control Tower configura risorse aggiuntive**
+ **Un archivio di Backup locale**

  AWS Control Tower crea un vault di backup locale nei tuoi account, con quattro possibili tipi di piani di backup collegati al vault. I piani di Backup creati tramite AWS Control Tower sono contrassegnati con un prefisso. 

  ```
  BackupPlanTags:
          aws-control-tower: 'managed-by-control-tower'
  ```
+  **Quattro tipi di piani di backup****: **orari, **giornalieri**, settimanali****, mensili**.**

  Ogni piano è associato a un'assegnazione di risorse basata su tag. Ad esempio, qualsiasi risorsa contrassegnata con **aws-control-tower-backuphourly : true** è protetta con un piano di backup orario.
+ **Un ruolo di backup locale nei tuoi account**

  AWS Control Tower crea un ruolo IAM, che viene utilizzato per i backup. Il ruolo richiede quattro autorizzazioni specifiche.

  ```
  "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"
  ```

  Il ruolo ha una relazione di fiducia con il responsabile del servizio di AWS Backup The role is named `aws-controltower-backup-role` e gli sono associate le seguenti autorizzazioni gestite:
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)

**Tagga le risorse per il backup**

Parte del processo di configurazione dei backup in AWS Control Tower consiste nell'etichettare le risorse che desideri includere nel tuo piano di backup. I tag specificano la frequenza dei backup. Questi sono i tag possibili.
+ `aws-control-tower-backuphourly : true`
+ `aws-control-tower-backupdaily: true`
+ `aws-control-tower-backupweekly: true`
+ `aws-control-tower-backupmonthly: true`

**Considerazioni**
+ Quando AWS Backup è attivo su un'unità organizzativa, vedrai il valore **Enabled** nel campo **Status** nella pagina dei **dettagli dell'unità organizzativa** nella console AWS Control Tower. Alcuni altri valori possibili del campo **Status** includono **Not enabled**, **In progress** e **Failed**. Se viene visualizzato lo stato **Non riuscito**, scegli **Registra nuovamente l'unità organizzativa** per riapplicare la AWS Backup configurazione all'unità organizzativa.
+ Se l'opzione è stata AWS Backup attivata su un'unità organizzativa, i nuovi account forniti tramite Account Factory in base a cui l'unità organizzativa AWS Backup includerà.