翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 前提条件
<a name="backup-prerequisites"></a>

AWS Control Tower リソース AWS Backup 用に を設定する前に、既存の AWS Organizations 組織が必要です。AWS Control Tower ランディングゾーンを既に設定している場合は、既存の組織として機能します。

AWS Control Tower に登録されていない他の 2 つの AWS アカウントを割り当てるか、作成する必要があります。これらのアカウントは、*中央バックアップアカウント*と*バックアップ管理者アカウント*になります。これらのアカウントにそれぞれ名前を付けます。

また、特に AWS Backup 用のマルチリージョン AWS Key Management Service (KMS) キーを選択または作成する必要があります。

**前提条件の定義**
+ **中央バックアップアカウント** - 中央バックアップアカウントは、AWS Control Tower バックアップボールトとバックアップを保存します。このボールトは、このアカウント内の AWS Control Tower AWS リージョン が管理するすべての に作成されます。クロスアカウントコピーは、アカウントが漏洩し、データの復元が必要な場合のために、このアカウントに保存されます。
+ **バックアップ管理者アカウント** - バックアップ管理者アカウントは、AWS Control Tower の AWS Backup サービスの委任管理者アカウントです。Backup Audit Manager (BAM) レポートプランが保存されます。このアカウントは、復元ジョブやコピージョブなど、すべてのバックアップモニタリングデータを集約します。データは Amazon S3 バケットに保存されます。詳細については、「 *AWS Backup デベロッパーガイド*[」の「 AWS Backup コンソールを使用したレポートプランの作成](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-report-plan-console.html)」を参照してください。
+ **マルチリージョン AWS KMS キーのポリシー要件**

   AWS KMS キーにはキーポリシーが必要です。組織の管理アカウントに関連付けられたアクセス許可を持つプリンシパル (ユーザーとロール) へのアクセスを制限する、次のようなキーポリシーを検討してください。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Id": "KMS key policy",
      "Statement": [
          {
              "Sid": "Enable IAM User Permissions",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "arn:aws:iam::{{111122223333}}:root"
              },
              "Action": "kms:*",
              "Resource": "*"
          },
          {
              "Sid": "Allow use of the KMS key for organization",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "*"
              },
              "Action": [
                  "kms:Decrypt",
                  "kms:DescribeKey",
                  "kms:GenerateDataKey*",
                  "kms:Encrypt",
                  "kms:ReEncrypt*",
                  "kms:GetKeyPolicy",
                  "kms:CreateGrant",
                  "kms:ListGrants",
                  "kms:RevokeGrant"
              ],
              "Resource": "*",
              "Condition": {
                  "StringEquals": {
                      "aws:PrincipalOrgID": "{{ORGANIZATION-ID}}"
                  }
              }
          }
      ]
  }
  ```

------

このポリシー例では、組織のすべてのアカウントに暗号化されたバックアップデータへのアクセスを許可します。[AWS グローバル条件キー](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html)と[AWS KMS 条件キー](https://docs.aws.amazon.com//kms/latest/developerguide/policy-conditions.html)を使用し、バックアップへのアクセスを必要とするプリンシパルに応じてアクセス許可を絞り込みます。

**注記**  
マルチリージョン AWS KMS キーは、AWS Control Tower で管理する AWS リージョン 予定のすべての にレプリケートする必要があります。