本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 先决条件 在设置 AWS C AWS Backup ontrol Tower 资源之前,您必须拥有一个现有 AWS Organizations 组织。如果您已经设置了 AWS Control Tower 登录区,则该登录区将作为您的现有组织。 您必须分配或创建另外两个未在 AWS Control Tower 中注册的 AWS 账户。这些账户将成为*中央备份账户*和*备份管理员账户*。用相关名字命名这些账户。 此外,您必须选择或创建多区域 AWS Key Management Service (KMS) 密钥,专门 AWS 用于 Backup。 **定义先决条件** + **中央备份账户**—中央备份账户可存储您的 AWS Control Tower 备份保管库和备份。该保管库是在 AWS Control Tower 管理的所有 AWS 区域 账户中创建的,属于该账户。跨账户副本存储在该账户中,可防账户遭到入侵并需要恢复数据。 + **备份管理员账户**—备份管理员账户是 AWS Control Tower 中 AWS Backup 服务的委派管理员账户。该账户可存储 Backup Audit Manager (BAM) 报告计划。该账户汇总所有备份监控数据,例如还原作业和复印作业。数据需存储在 Amazon S3 存储桶中。有关更多信息,请参阅《*AWS Backup 开发者指南》*[中的使用 AWS Backup 控制台创建报告计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-report-plan-console.html)。 + **针对多区域 AWS KMS 密钥的策略要求** 您的 AWS KMS 密钥需要密钥策略。考虑一个与该策略类似的密钥策略,该策略限制拥有与贵组织管理账户相关权限的主体(用户和角色)的访问权限: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "KMS key policy", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the KMS key for organization", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:GetKeyPolicy", "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "{{ORGANIZATION-ID}}" } } } ] } ``` ------ 该策略示例赋予您组织中的所有账户访问其加密备份数据的权限。使用 [AWS 全局条件键](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html)和 [AWS KMS 条件键](https://docs.aws.amazon.com//kms/latest/developerguide/policy-conditions.html)来细化权限,具体取决于哪些主体需要访问您的备份。 **注意** 对于您计划使用 AWS Control Tower 管理 AWS 区域 的每个区域,都必须复制您的多区域 AWS KMS 密钥。