本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 先決條件 您必須先有現有的 AWS Organizations 組織,才能 AWS Backup 設定 AWS Control Tower 資源。如果您已經設定 AWS Control Tower 登陸區域,做為現有的組織。 您必須配置或建立未在 AWS Control Tower 中註冊的兩個其他 AWS 帳戶。這些帳戶會成為*中央備份帳戶*和*備份管理員帳戶*。使用這些名稱命名這些帳戶。 此外,您必須選取或建立多區域 AWS Key Management Service (KMS) AWS 金鑰,特別是備份。 **定義您的先決條件** + **中央備份帳戶** — 中央備份帳戶會存放您的 AWS Control Tower 備份文件庫和備份。此保存庫建立在此帳戶內 AWS 區域 AWS Control Tower 管理的所有 中。跨帳戶複本會存放在此帳戶中,以防帳戶遭到入侵且需要資料還原。 + **備份管理員帳戶** - 備份管理員帳戶是 AWS Control Tower 中 AWS Backup 服務的委派管理員帳戶。它存放 Backup Audit Manager (BAM) 報告計劃。此帳戶會彙總所有備份監控資料,例如還原任務和複製任務。資料會存放在 Amazon S3 儲存貯體中。如需詳細資訊,請參閱《 *AWS Backup 開發人員指南*》中的[使用 AWS Backup 主控台建立報告計劃](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-report-plan-console.html)。 + **多區域 AWS KMS 金鑰的政策需求** 您的 AWS KMS 金鑰需要金鑰政策。請考慮類似此政策的金鑰政策,這會限制具有與組織管理帳戶相關聯許可的委託人 (使用者和角色) 存取: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Id": "KMS key policy", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the KMS key for organization", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey*", "kms:Encrypt", "kms:ReEncrypt*", "kms:GetKeyPolicy", "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "{{ORGANIZATION-ID}}" } } } ] } ``` ------ 此範例政策可讓組織中的所有帳戶存取其加密的備份資料。使用[AWS 全域條件索引鍵](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html)和[AWS KMS 條件索引鍵](https://docs.aws.amazon.com//kms/latest/developerguide/policy-conditions.html)來精簡許可,取決於哪些委託人需要存取您的備份。 **注意** 您的多區域 AWS KMS 金鑰必須針對 AWS 區域 您計劃使用 AWS Control Tower 管理的每個 進行複寫。