기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 사전 조건
<a name="backup-prerequisites"></a>

AWS Control Tower 리소스 AWS Backup 에 대해를 설정하려면 먼저 기존 AWS Organizations 조직이 있어야 합니다. AWS Control Tower 랜딩 존을 이미 설정한 경우 이 랜딩 존이 기존 조직 역할을 합니다.

AWS Control Tower에 등록되지 않은 다른 두 AWS 계정을 할당하거나 생성해야 합니다. 이러한 계정은 *중앙 백업 계정*과 *백업 관리자 계정*이 됩니다. 두 계정의 이름을 이러한 이름으로 지정합니다.

또한 특히 AWS 백업을 위한 다중 리전 AWS Key Management Service (KMS) 키를 선택하거나 생성해야 합니다.

**사전 조건 정의**
+ **중앙 백업 계정 **- 중앙 백업 계정은 AWS Control Tower 백업 저장소와 백업을 저장합니다. 이 볼트는이 계정 내에서 AWS 리전 AWS Control Tower가 관리하는 모든에 생성됩니다. 교차 계정 사본은 계정이 손상되어 데이터 복원이 필요한 경우를 대비해 이 계정에 저장됩니다.
+ **백업 관리자 계정 **- 백업 관리자 계정은 AWS Control Tower의 AWS Backup 서비스에 대한 위임된 관리자 계정입니다. 여기에는 Backup Audit Manager(BAM) 보고서 계획이 저장됩니다. 이 계정은 복원 작업 및 복사 작업과 같은 모든 백업 모니터링 데이터를 집계합니다. 데이터는 Amazon S3 버킷에 저장됩니다. 자세한 내용은 *AWS Backup 개발자 안내서*의 [AWS Backup 콘솔을 사용하여 보고서 계획 생성을](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-report-plan-console.html) 참조하세요.
+ **다중 리전 AWS KMS 키에 대한 정책 요구 사항**

   AWS KMS 키에는 키 정책이 필요합니다. 조직의 관리 계정과 연결된 권한이 있는 위탁자(사용자 및 역할)로 액세스를 제한하는 다음과 유사한 키 정책을 고려해 보세요.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Id": "KMS key policy",
      "Statement": [
          {
              "Sid": "Enable IAM User Permissions",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "arn:aws:iam::{{111122223333}}:root"
              },
              "Action": "kms:*",
              "Resource": "*"
          },
          {
              "Sid": "Allow use of the KMS key for organization",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "*"
              },
              "Action": [
                  "kms:Decrypt",
                  "kms:DescribeKey",
                  "kms:GenerateDataKey*",
                  "kms:Encrypt",
                  "kms:ReEncrypt*",
                  "kms:GetKeyPolicy",
                  "kms:CreateGrant",
                  "kms:ListGrants",
                  "kms:RevokeGrant"
              ],
              "Resource": "*",
              "Condition": {
                  "StringEquals": {
                      "aws:PrincipalOrgID": "{{ORGANIZATION-ID}}"
                  }
              }
          }
      ]
  }
  ```

------

이 예제 정책은 조직의 모든 계정에 암호화된 백업 데이터에 대한 액세스 권한을 부여합니다. [AWS 전역 조건 키](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html)와 [AWS KMS 조건 키](https://docs.aws.amazon.com//kms/latest/developerguide/policy-conditions.html)를 사용하여, 백업에 액세스해야 하는 위탁자에 따라 권한을 구체화합니다.

**참고**  
AWS Control Tower로 관리 AWS 리전 하려는 모든에 대해 다중 리전 AWS KMS 키를 복제해야 합니다.