기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 백업 활성화
랜딩 존 설정 중에 또는 랜딩 존을 업데이트할 때 AWS Control Tower에 등록된 계정의 리소스에 대한 백업을 활성화할 수 있습니다.
**[사전 조건](backup-prerequisites.md)으로 다음 항목을 제공해야 합니다.**
+ AWS Backup 관리자 계정으로 AWS 계정 사용할
+ AWS Backup 중앙 백업 계정으로 AWS 계정 사용할
+ 교차 계정 백업을 위해 관리하는 다중 리전 AWS KMS 키
**백업을 활성화하는 방법**
활성화 프로세스는 크게 두 부분으로 이루어집니다. *먼저* 랜딩 존에 대한 백업을 활성화한 *다음*, 백업이 필요한 등록된 각 OU에 대해 백업을 활성화합니다.
## 첫 번째 부분: 랜딩 존에 대한 백업 설정
**콘솔:** **랜딩 존 설정** 페이지의 AWS Control Tower 콘솔에서 랜딩 존에 대한 백업을 설정할 수 있습니다. 초기 랜딩 존 설정 작업 중에 이 옵션이 표시되고 나중에 랜딩 존을 업데이트할 때 해당 옵션을 유지할 수 있습니다.
**API:** AWS Control Tower 랜딩 존이 이미 있는 경우 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html) API를 직접 호출하거나 AWS Control Tower를 처음 설정하는 경우 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html) API를 직접 호출하여 AWS Control Tower API로 백업을 활성화할 수 있습니다. (힌트: 그런 다음 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html) API를 직접 호출하여 필요한 각 OU에 대한 백업을 설정합니다.)
**AWS Control Tower 콘솔 외부**
랜딩 존에 대한 백업 활성화의 일부에는 AWS Control Tower 콘솔 외부의 단계가 포함됩니다. 리소스를 검토하려면 AWS Backup 콘솔로 이동해야 합니다.
**옵트인 리소스 유형을 검토하거나 추가 리소스 유형에 옵트인하는 방법**
1. 에서 AWS Backup 콘솔을 엽니다[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. 탐색 창에서 **설정**을 선택합니다.
1. **서비스 옵트인** 페이지에서 **리소스 구성**을 선택합니다.
1. 토글 스위치를 사용하여 포함하려는 서비스를 활성화하거나 비활성화합니다 AWS Backup. *백업하려는 리소스가 AWS Control Tower 환경의 일부인지 여부에 관계없이 RDS, EC2, DDB 등과 같은 리소스가 선택되어 있는지 확인합니다.*
자세한 내용은를 [사용한 서비스 관리 옵트인을 참조하세요 AWS Backup](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-supported-services.html#opt-in).
**새 리소스 유형에 대한 고려 사항**
AWS Backup 를 사용하여 AWS 서비스의 리소스에 대한 데이터 보호를 관리하려면 먼저 이전 절차를 수행하고 해당 서비스에 AWS Backup 대해 옵트인해야 합니다. 또한 AWS Backup 서비스는 향후 추가 서비스 및 리소스 유형에 대한 지원을 추가하므로 AWS Control Tower에서 해당 리소스 유형을 백업 AWS Backup 하려면이 절차를 반복하고를 사용하여 각 추가 리소스 유형에 대해 옵트인해야 합니다. 지원되지 않는 리소스 유형에 태그를 지정하면 백업이 실패할 수 있습니다.
랜딩 존에 대한 백업을 활성화하면 AWS Control Tower는 사용자가 제공한 두 계정을 각각 **중앙 백업** 계정과 **백업 관리자** 계정으로 설정합니다. AWS Control Tower는 이러한 계정 및 기타 계정에 [리소스](https://docs.aws.amazon.com//controltower/latest/userguide/backup-resources.html)를 생성합니다.
**중요**
AWS Control Tower **감사** 및 **로그 아카이브** 계정에 대한 백업을 활성화하려면 `EnableBaseline` API를 직접 호출하여 **보안 OU**에 대한 백업을 설정해야 합니다. 이것이 권장 사항입니다.
**권장되는 계획 및 보존의 저장 방법은 다음과 같습니다.**
+ 시간별 백업 = 로컬 저장소에 2주 보존, 중앙 백업 저장소에 사본 없음
+ 일간 백업 = 로컬 저장소에 2주 보존, 중앙 백업 저장소에 1개월 보존
+ 주간 백업 = 로컬 저장소에서 1개월 보존, 중앙 저장소에서 3개월 보존
+ 월간 백업 = 로컬 저장소에 3개월 보존, 중앙 백업 저장소에 3개월 보존
백업 계획을 생성하는 방법에 대한 자세한 내용은 [AWS Backup 콘솔을 사용하여 보고서 계획 생성을](https://docs.aws.amazon.com//aws-backup/latest/devguide/create-report-plan-console.html) 참조하세요.
## 다음 부분: OU에서 백업 활성화
랜딩 존 설정 AWS Backup 에서를 활성화한 후 추가 단계를 수행하여 백업하려는 특정 OUs에서 백업을 활성화해야 합니다. 랜딩 존에 AWS Backup 대해를 활성화한 경우 콘솔의 **OU 세부 정보** 페이지에 OU에 대한 **백업 활성화**를 선택할 수 있는 섹션이 표시됩니다. 랜딩 존 수준에서 백업이 활성화되지 않은 경우 OU 세부 정보 페이지에 이 섹션이 표시되지 않습니다.
OU에서 `BackupBaseline` 활성화하려면 해당 OU에 `AWSControlTowerBaseline`이 이미 활성화되어 있어야 합니다. 각 OU에 등록된 계정에는 `AWSControlTowerBaseline`이 활성화되어 있습니다.
**선택한 계정 및 OU에서 AWS Control Tower는 추가 리소스를 설정합니다.**
+ **로컬 백업 저장소**
AWS Control Tower는 계정에 로컬 백업 저장소와 해당 저장소에 연결된 네 가지 유형의 백업 계획을 생성합니다. AWS Control Tower를 통해 생성된 백업 계획은 접두사로 태그가 지정됩니다.
```
BackupPlanTags:
aws-control-tower: 'managed-by-control-tower'
```
+ **시간별**, **일간**, **주간**, **월간**으로 구성된 **네 가지 유형의 백업 계획**입니다.
각 계획은 태그 기반 리소스 할당과 연결됩니다. 예를 들어 **aws-control-tower-backuphourly : true**로 태그가 지정된 모든 리소스는 시간별 백업 계획으로 보호됩니다.
+ **계정의 로컬 백업 역할**
AWS Control Tower는 백업에 사용되는 IAM 역할을 생성합니다. 역할에는 네 가지 특정 권한이 필요합니다.
```
"backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"
```
역할에는의 서비스 보안 주체와 신뢰 관계가 있습니다 AWS Backup . 역할의 이름은 이며`aws-controltower-backup-role`, 역할에는 다음과 같은 관리형 권한이 연결되어 있습니다.
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)
+ [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)
**백업을 위한 리소스 태그 지정**
AWS Control Tower에서 백업을 설정하는 프로세스의 일부는 백업 계획에 포함하려는 리소스에 태그를 지정하는 것입니다. 태그는 백업 빈도를 지정합니다. 다음은 가능한 태그입니다.
+ `aws-control-tower-backuphourly : true`
+ `aws-control-tower-backupdaily: true`
+ `aws-control-tower-backupweekly: true`
+ `aws-control-tower-backupmonthly: true`
**고려 사항**
+ AWS Backup 가 OU에서 활성화되면 AWS Control Tower 콘솔의 **OU 세부 정보** 페이지에 있는 **상태** 필드에 **활성화됨** 값이 표시됩니다. **상태** 필드의 다른 가능한 값에는 **활성화되지 않음**, **진행 중**, **실패**가 있습니다. 실패 상태가 표시되면 **OU 재등록**을 ****선택하여 AWS Backup 구성을 OU에 다시 적용합니다.
+ OU에서를 AWS Backup 활성화한 경우 Account Factory를 통해 프로비저닝된 새 계정에는 OU가 포함됩니다 AWS Backup.