翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# バックアップの有効化
ランディングゾーンの設定時、またはランディングゾーンの更新時に、AWS Control Tower に登録されているアカウントのリソースのバックアップを有効化できます。
**[前提条件](backup-prerequisites.md) として、以下のアイテムを指定する必要があります。**
+ AWS Backup 管理者アカウント AWS アカウント として機能する 。
+ AWS Backup 中央バックアップアカウント AWS アカウント として機能する 。
+ クロスアカウントバックアップ用に管理するマルチリージョン AWS KMS キー
**バックアップを有効化する方法**
有効化プロセスには主に 2 つの部分があります。*まず*、ランディングゾーンのバックアップを有効化し、*それから*、バックアップを必要とする登録済み OU ごとにバックアップを有効化します。
## 最初の部分: ランディングゾーンのバックアップを設定する
**コンソール:** **[ランディングゾーン設定]** ページの AWS Control Tower コンソールでランディングゾーンのバックアップを設定できます。このオプションは、最初のランディングゾーンの設定オペレーション中に表示され、ランディングゾーンの更新を使用し、後で保持できます。
**API:** AWS Control Tower ランディングゾーンが既にある場合は [https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html) API を呼び出し、AWS Control Tower を初めて設定する場合は [https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html) API を呼び出すことで、AWS Control Tower API でバックアップを有効化できます。(ヒント: その後、[https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html) API を呼び出して、必要な OU ごとにバックアップを確立します。)
**AWS Control Tower コンソールの外部**
ランディングゾーンのバックアップの有効化には、AWS Control Tower コンソール以外のステップが含まれます。リソースを確認するには、 AWS Backup コンソールに移動する必要があります。
**オプトインリソースタイプを確認するか、追加のリソースタイプにオプトインするには**
1. で AWS Backup コンソールを開きます[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup)。
1. ナビゲーションペインで **[設定]** を選択します。
1. **[サービスのオプトイン]** ページで、**[リソースを設定]** を選択します。
1. トグルスイッチを使用して、含めるサービスを有効または無効にします AWS Backup。*AWS Control Tower 環境の一部であるかどうかに関わらず、RDS、EC2、DDB など、バックアップするリソースが選択されていることを確認してください。*
詳細については、「 [による サービスの管理にオプトイン AWS Backup](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-supported-services.html#opt-in)する」を参照してください。
**新しいリソースタイプに関する考慮事項**
AWS Backup を使用して AWS サービスのリソースのデータ保護を管理する前に、前の手順を実行し、そのサービスの AWS Backup をオプトインする必要があります。また、 AWS Backup サービスが今後追加のサービスとそのリソースタイプのサポートを追加するため、AWS Control Tower でそのリソースタイプをバックアップ AWS Backup する前に、この手順を繰り返し、追加のリソースタイプごとに でオプトインする必要があります。サポートされていないリソースタイプをタグ付けすると、バックアップが失敗する可能性があります。
ランディングゾーンのバックアップを有効化すると、AWS Control Tower は、**中央バックアップ**アカウントと**バックアップ管理者**アカウントとして指定した 2 つのアカウントをそれぞれ確立します。AWS Control Tower は、これらのアカウントおよび他のアカウントに[リソース](https://docs.aws.amazon.com//controltower/latest/userguide/backup-resources.html)を作成します。
**重要**
AWS Control Tower **監査**アカウントと**ログアーカイブ**アカウントのバックアップを有効化するには、`EnableBaseline` API を呼び出して**セキュリティ OU** のバックアップを設定する必要があります。そのようにすることをお勧めします。
**推奨されるプランと保持期間は次のとおりです。**
+ 時間単位のバックアップ = ローカルボールトは 2 週間の保持、中央バックアップボールトはコピーなし
+ 日単位のバックアップ = ローカルボールトは 2 週間の保持、中央バックアップボールトは 1 か月の保持
+ 週単位のバックアップ = ローカルボールトは 1 か月の保持、中央バックアップボールトは 3 か月の保持
+ 月単位のバックアップ = ローカルボールトは 3 か月の保持、中央バックアップボールトは 3 か月の保持
バックアッププランの作成方法については、「 [AWS Backup コンソールを使用したレポートプランの作成](https://docs.aws.amazon.com//aws-backup/latest/devguide/create-report-plan-console.html)」を参照してください。
## 次のパート: OU でバックアップを有効化する
ランディングゾーン設定 AWS Backup で を有効にしたら、追加のステップを実行して、バックアップする特定の OUs でバックアップを有効にする必要があります。ランディングゾーン AWS Backup に対して を有効にしている場合、コンソールの **OU の詳細**ページにセクションが表示され、OU の**バックアップを有効にする**を選択できます。ランディングゾーンレベルでバックアップを有効化していない場合、OU の詳細ページにこのセクションは表示されません。
OU で `BackupBaseline` を有効化するには、その OU で既に `AWSControlTowerBaseline` が有効になっている必要があります。各 OU の登録済みアカウントでは、`AWSControlTowerBaseline` が有効化されています。
**選択したアカウントと OU で、AWS Control Tower は追加のリソースを設定します。**
+ **ローカルバックアップボールト**
AWS Control Tower は、アカウントにローカルバックアップボールトを作成し、4 種類のバックアッププランをボールトにアタッチします。AWS Control Tower で作成されたバックアッププランには、プレフィックスがタグ付けられます。
```
BackupPlanTags:
aws-control-tower: 'managed-by-control-tower'
```
+ **バックアッププラン**には、**時間単位**、**日単位**、**週単位**、**月単位**の 4 種類があります。
各プランは、タグベースのリソース割り当てに関連付けられます。例えば、**aws-control-tower-backuphourly : true** でタグ付けされたリソースは、時間単位のバックアッププランで保護されます。
+ **アカウントのローカルバックアップロール**
AWS Control Tower は、バックアップに使用される IAM ロールを作成します。ロールには 4 つの特定のアクセス許可が必要です。
```
"backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"
```
ロールには、 のサービスプリンシパルとの信頼関係があります AWS Backup 。ロールの名前は で`aws-controltower-backup-role`、次の管理アクセス許可がアタッチされています。
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)
**バックアップ用のリソースをタグ付けする**
AWS Control Tower でバックアップを設定するプロセスの一環として、バックアッププランに含めるリソースをタグ付けします。タグはバックアップの頻度を指定します。これらは可能性のあるタグです。
+ `aws-control-tower-backuphourly : true`
+ `aws-control-tower-backupdaily: true`
+ `aws-control-tower-backupweekly: true`
+ `aws-control-tower-backupmonthly: true`
**考慮事項**
+ AWS Backup が OU でアクティブな場合、AWS Control Tower コンソールの **OU の詳細**ページの **Status** フィールドに **Enabled** の値が表示されます。**[ステータス]** フィールドの値には、**[有効になっていません]**、**[進行中]**、**[失敗]** などがあります。ステータスが **Failed** の場合は、**OU の再登録**を選択して AWS Backup 設定を OU に再適用します。
+ OU で AWS Backup を有効にしている場合、その OU に含まれる Account Factory を通じてプロビジョニングされた新しいアカウント AWS Backup。