As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitar backups
<a name="enable-backup"></a>

Você pode habilitar backups para recursos em suas contas que estão inscritas no AWS Control Tower, durante a configuração da zona de pouso ou ao atualizar sua zona de pouso.

**Como [Pré-requisitos](backup-prerequisites.md), você deve fornecer os seguintes itens**
+ E Conta da AWS para servir como conta de AWS Backup administrador 
+ E Conta da AWS para servir como conta de Backup AWS Backup Central
+ Uma AWS KMS chave multirregional que você gerencia para backups entre contas

**Como habilitar backups**

O processo de capacitação tem duas partes principais: *primeiro*, habilite backups para sua zona de pouso; *depois*, habilite backups para cada UO registrada que exija backups.

## Primeira parte: configure backups para sua zona de pouso
<a name="backups-on-lz"></a>

**Console:** você pode configurar backups para sua zona de pouso no console do AWS Control Tower, na página de **configurações da zona de pouso**. Você verá essa opção durante a operação inicial de configuração da zona de pouso e poderá revisitá-la posteriormente com uma atualização da zona de pouso.

**API:** você pode habilitar backups com a AWS Control Tower APIs, chamando a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html)API, se você já tiver uma landing zone da AWS Control Tower, ou a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html)API se estiver configurando a AWS Control Tower pela primeira vez. (Dica: depois disso, chame a API [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html) para estabelecer backups para cada UO que você precisar.)

**Fora do console do AWS Control Tower**

Parte da habilitação de backups para a zona de pouso inclui sair do console do AWS Control Tower. Você deve navegar até o AWS Backup console para revisar seus recursos.

**Para revisar seus tipos de recursos aceitos ou optar por tipos de recursos adicionais**

1. Abra o AWS Backup console em[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. No painel de navegação, selecione **Configurações**.

1. Na página **Optar pela adoção do serviço**, escolha **Configurar recursos**.

1.  Use as chaves seletoras para ativar ou desativar os serviços com os quais você deseja incluir. AWS Backup*Certifique-se de que os recursos dos quais você deseja fazer backup estejam selecionados, como RDS, EC2, DDB e assim por diante, independentemente de fazerem parte do seu ambiente do AWS Control Tower ou não.*

Para obter mais detalhes, consulte [Aceitar o gerenciamento de serviços com AWS Backup](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-supported-services.html#opt-in).

**Considerações sobre novos tipos de recursos**  
Antes de AWS Backup confiar no gerenciamento da proteção de dados dos recursos de qualquer AWS serviço, você deve executar o procedimento anterior e optar AWS Backup por esse serviço. Além disso, à medida que o AWS Backup serviço adiciona suporte para serviços adicionais e seus tipos de recursos no futuro, você deve repetir esse procedimento e optar por cada tipo de recurso adicional AWS Backup antes de poder fazer backup desse tipo de recurso no AWS Control Tower. Marcar um tipo de recurso não compatível pode causar falha no seu backup.

Quando você habilita backups para sua zona de pouso, o AWS Control Tower estabelece as duas contas que você forneceu como a conta de **Backup Central** e a conta do **Administrador de Backup**, respectivamente. O AWS Control Tower cria [recursos](https://docs.aws.amazon.com//controltower/latest/userguide/backup-resources.html) nessas contas e em outras contas.

**Importante**  
Para habilitar backups para as contas de **auditoria** e **arquivo de log** do AWS Control Tower, você deve configurar backups para a **UO de segurança,** chamando a API `EnableBaseline`. Recomendamos que você o faça.

**O banco recomendado de planos e retenção é o seguinte:**
+ Backups de hora em hora = retenção de 2 semanas no cofre local, sem cópia no cofre de backup central
+ Backups diários = retenção de 2 semanas no cofre local, retenção de 1 mês no cofre de backup central
+ Backups semanais = retenção de 1 mês no cofre local, retenção de 3 meses no cofre central
+ Backups mensais = retenção de 3 meses no cofre local, retenção de 3 meses no cofre de backup central

Para obter informações sobre como criar seus planos de backup, consulte [Criação de planos de relatório usando o AWS Backup console](https://docs.aws.amazon.com//aws-backup/latest/devguide/create-report-plan-console.html).

## Próxima parte: Habilitar backups em OUs
<a name="backups-on-ous"></a>

Depois de habilitar AWS Backup nas configurações da landing zone, você deve executar a etapa adicional para habilitar o backup no local específico OUs que deseja fazer backup. Se você habilitou AWS Backup sua landing zone, você verá uma seção na página de **detalhes da OU** no console, que permite escolher **Habilitar backup** para a OU. Se o backup não estiver habilitado no nível da zona de pouso, você não verá essa seção na página de detalhes da UO.

Para habilitar o `BackupBaseline` em uma UO, essa UO já deve ter o `AWSControlTowerBaseline` ativado. As contas inscritas em cada UO têm o `AWSControlTowerBaseline` habilitado.

**Nas contas selecionadas e OUs, o AWS Control Tower configura recursos adicionais**
+ **Um cofre de Backup local**

  O AWS Control Tower cria um cofre de backup local em suas contas, com quatro tipos possíveis de planos de backup anexados ao cofre. Os planos de backup criados pelo AWS Control Tower são marcados com um prefixo. 

  ```
  BackupPlanTags:
          aws-control-tower: 'managed-by-control-tower'
  ```
+  **Quatro tipos de planos de backup**: **por hora**, **diariamente**, **semanalmente** e **mensalmente**.

  Cada plano está associado a uma atribuição de recursos com base em tags. Por exemplo, qualquer recurso marcado com **aws-control-tower-backuphourly : true** é protegido por um plano de backup por hora.
+ **Uma função de backup local em suas contas**

  O AWS Control Tower cria um perfil do IAM, que é usado para backups. O perfil requer quatro permissões específicas.

  ```
  "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"
  ```

  A função tem uma relação de confiança com o responsável pelo serviço. AWS Backup A função é nomeada `aws-controltower-backup-role` e tem as seguintes permissões gerenciadas anexadas a ela:
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)

**Marcar recursos para backup**

Parte do processo de configuração de backups no AWS Control Tower é marcar os recursos que você deseja incluir no seu plano de backup. As tags especificam a frequência dos backups. Essas são as tags possíveis.
+ `aws-control-tower-backuphourly : true`
+ `aws-control-tower-backupdaily: true`
+ `aws-control-tower-backupweekly: true`
+ `aws-control-tower-backupmonthly: true`

**Considerações**
+ Quando AWS Backup estiver ativo em uma OU, você verá um valor de **Enabled** no campo **Status** na página de **detalhes da OU** no console do AWS Control Tower. Alguns outros valores possíveis do campo **Status** incluem **Não habilitado**, **Em andamento** e **Falha**. Se você ver um status de **Falha**, escolha **Registrar OU novamente** para reaplicar sua AWS Backup configuração à OU.
+ Se você tiver AWS Backup habilitado em uma OU, novas contas provisionadas por meio do Account Factory de acordo com as quais a OU incluirá. AWS Backup