本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用备份
<a name="enable-backup"></a>

无论是在设置登录区期间，还是在更新登录区时，您都可以为在 AWS Control Tower 中注册的账户中的资源启用备份功能。

**作为[先决条件](backup-prerequisites.md)，您必须提供以下信息**
+ 用作 AWS Backup 管理员账号的 AWS 账户 
+  AWS 账户 将作为 Cent AWS Backup ral Backup 账户
+ 由您管理的用于跨账户备份的多区域 AWS KMS 密钥

**如何启用备份**

启用过程包括两个主要部分：*首先*，为登录区启用备份；*然后*，为每个需要备份的已注册 OU 启用备份。

## 第一部分：为登录区设置备份
<a name="backups-on-lz"></a>

**控制台：**可以在 AWS Control Tower 控制台中的**登录区设置**页面上为登录区设置备份。您将在最初的登录区设置操作中看到该选项，并且可以稍后通过登录区更新来重新访问它。

**API：**如果您已经有 AWS 控制塔着陆区 APIs，则可以通过调用 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html)API 在 AWS Control Tower 上启用备份；如果您是首次设置 AWS Control Tower，则可以通过 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html)API 启用备份。（提示：之后，调用 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html) API 来为您需要的每个 OU 建立备份。）

**在 AWS Control Tower 控制台外部**

为登录区启用备份的部分步骤包括 AWS Control Tower 控制台之外的步骤。您必须导航到 AWS Backup 控制台才能查看您的资源。

**查看您选择加入的资源类型或其他资源类型**

1. 打开 AWS Backup 控制台，网址为[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup)。

1. 在导航窗格中，选择**设置**。

1. 在**选择加入服务**页面上，选择**配置资源**。

1.  使用切换开关启用或禁用要包含的服务 AWS Backup。*请务必选择要备份的资源，例如 RDS、EC2、DDB 等，无论它们是否属于您的 AWS Control Tower 环境。*

有关更多详细信息，请参阅[选择使用管理服务 AWS Backup](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-supported-services.html#opt-in)。

**新资源类型的相关注意事项**  
在依赖 AWS Backup 管理任何 AWS 服务资源的数据保护之前，必须执行前面的步骤并选择使用该服务。 AWS Backup 此外，由于该 AWS Backup 服务将来会增加对其他服务及其资源类型的支持，因此您必须重复此过程并选择每种其他资源类型， AWS Backup 然后才能在 AWS Control Tower 中备份该资源类型。标记不受支持的资源类型可能会导致备份失败。

当您为登录区激活备份时，AWS Control Tower 会分别建立您提供的两个账户作为**中央备份**账户和**备份管理员**账户。AWS Control Tower 会在这些账户和其他账户中创建[资源](https://docs.aws.amazon.com//controltower/latest/userguide/backup-resources.html)。

**重要**  
要为 AWS Control Tower **审计**和**日志存档**账户启用备份，必须通过调用 `EnableBaseline` API 为**安全 OU** 设置备份。建议执行此操作。

**建议的一组计划和保留期如下所示：**
+ 每小时备份 = 在本地保管库中保留 2 周，中央备份保管库中没有副本
+ 每日备份 = 在本地保管库中保留 2 周，在中央备份保管库中保留 1 个月
+ 每周备份 = 在本地保管库中保留 1 个月，在中央保管库中保留 3 个月
+ 每月备份 = 在本地保管库中保留 3 个月，在中央备份保管库中保留 3 个月

有关如何创建备份计划的信息，请参阅[使用 AWS Backup 控制台创建报告计划](https://docs.aws.amazon.com//aws-backup/latest/devguide/create-report-plan-console.html)。

## 下一部分：启用备份 OUs
<a name="backups-on-ous"></a>

 AWS Backup 在 landing zone 设置中启用后，您必须采取额外步骤才能在要备份 OUs 的特定区域上启用备份。如果您已启 AWS Backup 用 landing zone，您将在控制台的 **OU 详细信息**页面上看到一个部分，允许您选择 OU **启用备份**。如果未在登录区级别启用备份，则在 OU 详细信息页面上看不到此部分。

要在 OU 上启用 `BackupBaseline`，该 OU 必须已启用 `AWSControlTowerBaseline`。每个 OU 中已注册的账户均已启用 `AWSControlTowerBaseline`。

**在您选择的账户中 OUs，AWS Control Tower 会设置其他资源**
+ **本地备份保管库**

  AWS Control Tower 会在您的账户中创建本地备份保管库，该保管库附有四种可能的备份计划。通过 AWS Control Tower 创建的备份计划带有前缀标记。

  ```
  BackupPlanTags:
          aws-control-tower: 'managed-by-control-tower'
  ```
+  **四种类型的备份计划**—**每小时**、**每天**、**每周**、**每月**。

  每个计划都与基于标签的资源分配相关联。例如，任何标有**aws-control-tower-backuphourly :true** 的资源都受每小时备份计划的保护。
+ **账户中的本地备份角色**

  AWS Control Tower 创建了一个用于备份的 IAM 角色。该角色需要四种特定权限。

  ```
  "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"
  ```

  该角色与该角色的服务主体存在信任关系。 AWS Backup 该角色已命名`aws-controltower-backup-role`，并附有以下托管权限：
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)

**为备份标记资源**

在 AWS Control Tower 中设置备份的过程之一是标记您希望包含在备份计划中的资源。这些标签可指定备份的频率。下面是可能的标签。
+ `aws-control-tower-backuphourly : true`
+ `aws-control-tower-backupdaily: true`
+ `aws-control-tower-backupweekly: true`
+ `aws-control-tower-backupmonthly: true`

**注意事项**
+ 在 OU 上 AWS Backup 处于活动状态时，您会在 AWS Control Tower 控制台的 **OU 详细信息**页面的**状态**字段中看到值为 “**已启用**”。**状态**字段的其他一些可能值包括**未启用**、**进行中**和**失败**。如果您看到 “**失败**” 状态，请选择 “**重新注册 OU**”，将您的 AWS Backup 配置重新应用于 OU。
+ 如果您已在 OU 上 AWS Backup 启用，则通过 Account Factory 在该组织下配置的新账户将包括 AWS Backup。