本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用備份
<a name="enable-backup"></a>

您可以在登陸區域設定期間或更新登陸區域時，為在 AWS Control Tower 中註冊的帳戶中的資源啟用備份。

**身為 [先決條件](backup-prerequisites.md)，您必須提供下列項目**
+  AWS 帳戶 做為 AWS Backup 管理員帳戶的 
+  AWS 帳戶 做為 AWS Backup 中央備份帳戶的
+ 您為跨帳戶備份管理的多區域 AWS KMS 金鑰

**如何啟用備份**

啟用程序有兩個主要部分：*首先*，為您的登陸區域啟用備份；*然後*，為需要備份的每個已註冊 OU 啟用備份。

## 第一部分：為您的登陸區域設定備份
<a name="backups-on-lz"></a>

**主控台：**您可以在 AWS Control Tower 主控台的登陸區域設定頁面上設定**登陸區域的**備份。您會在初始登陸區域設定操作期間看到此選項，稍後可以透過更新登陸區域來重新檢視。

**API：**如果您已經有 AWS Control Tower 登陸區域，您可以呼叫 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_UpdateLandingZone.html) API 來啟用 AWS Control Tower APIs 的備份，或者如果您是第一次設定 AWS Control Tower，則可以啟用 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_CreateLandingZone.html) API。（提示：在此之後，請呼叫 [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableBaseline.html) API 來為您需要的每個 OU 建立備份。)

**AWS Control Tower 主控台外部**

為您的登陸區域啟用備份的一部分包括 AWS Control Tower 主控台以外的步驟。您必須導覽至 AWS Backup 主控台，才能檢閱您的 資源。

**檢閱您的選擇加入資源類型或選擇加入其他資源類型**

1. 在 開啟 AWS Backup 主控台[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup)。

1. 在導覽窗格中，選擇**設定**。

1. 在 **Service opt-in (選擇加入服務)** 頁面上，選擇 **Configure resources (設定資源)**。

1.  使用切換開關來啟用或停用您要包含的服務 AWS Backup。*請確定已選取您要備份的資源，例如 RDS、EC2、DDB 等，無論它們是否屬於您的 AWS Control Tower 環境。*

如需詳細資訊，請參閱[選擇使用 管理服務 AWS Backup](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-supported-services.html#opt-in)。

**新資源類型的考量事項**  
在依賴 AWS Backup 來管理任何 AWS 服務資源的資料保護之前，您必須執行先前的程序並選擇加入 AWS Backup 該服務。此外，當 AWS Backup 服務在未來新增對其他服務及其資源類型的支援時，您必須先重複此程序，並使用 選擇加入每個額外的資源類型， AWS Backup 才能在 AWS Control Tower 中備份該資源類型。標記不支援的資源類型可能會導致備份失敗。

當您啟用登陸區域的備份時，AWS Control Tower 會分別建立您提供的兩個帳戶，做為**中央備份**帳戶和**備份管理員**帳戶。AWS Control Tower 會在這些帳戶和其他帳戶中建立[資源](https://docs.aws.amazon.com//controltower/latest/userguide/backup-resources.html)。

**重要**  
若要啟用 AWS Control Tower **Audit** 和 **Log Archive** 帳戶的備份，您必須呼叫 `EnableBaseline` API 來設定**安全 OU **的備份。建議您這樣做。

**建議的計劃和保留庫如下所示：**
+ 每小時備份 = 在本機保存庫中保留 2 週，中央備份保存庫中沒有副本
+ 每日備份 = 在本機文件庫中保留 2 週，在中央備份文件庫中保留 1 個月
+ 每週備份 = 在本機保存庫中保留 1 個月，在中央保存庫中保留 3 個月
+ 每月備份 = 在本機保存庫中保留 3 個月，在中央備份保存庫中保留 3 個月

如需如何建立備份計劃的資訊，請參閱[使用 AWS Backup 主控台建立報告計劃](https://docs.aws.amazon.com//aws-backup/latest/devguide/create-report-plan-console.html)。

## 下一部分：在 OUs 上啟用備份
<a name="backups-on-ous"></a>

在登陸區域設定 AWS Backup 中啟用 之後，您必須採取額外的步驟，以對您要備份的特定 OUs 啟用備份。如果您已 AWS Backup 為登陸區域啟用 ，您會在 主控台的 **OU 詳細資訊**頁面上看到 區段，可讓您選擇**啟用 OU 的備份**。如果未在登陸區域層級啟用備份，您將無法在 OU 詳細資訊頁面上看到本節。

若要在 OU `BackupBaseline`上啟用 ，該 OU 必須`AWSControlTowerBaseline`已啟用 。每個 OU 中的註冊帳戶都`AWSControlTowerBaseline`已啟用 。

**在您選取的帳戶和 OUs 中，AWS Control Tower 會設定其他資源**
+ **本機備份保存庫**

  AWS Control Tower 會在您的帳戶中建立本機備份保存庫，並將四種可能的備份計畫類型連接到保存庫。透過 AWS Control Tower 建立的備份計劃會以字首標記。

  ```
  BackupPlanTags:
          aws-control-tower: 'managed-by-control-tower'
  ```
+  **四種類型的備份計畫**：**每小時**、**每日**、**每週**、**每月**。

  每個計劃都與標籤型資源指派相關聯。例如，任何以 **aws-control-tower-backuphourly 標記的資源： true** 會受到每小時備份計劃的保護。
+ **帳戶中的本機備份角色**

  AWS Control Tower 會建立用於備份的 IAM 角色。此角色需要四個特定許可。

  ```
  "backup:UpdateGlobalSettings","organizations:RegisterDelegatedAdministrator","organizations:EnableAWSServiceAccess","organizations:DeregisterDelegatedAdministrator"
  ```

  該角色與 的服務主體具有信任關係 AWS Backup 。該角色名為 `aws-controltower-backup-role`，並具有與其連接的下列受管許可：
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)
  + [https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)

**標記資源以進行備份**

在 AWS Control Tower 中設定備份程序的一部分是標記您要包含在備份計畫中的資源。這些標籤會指定備份的頻率。這些是可能的標籤。
+ `aws-control-tower-backuphourly : true`
+ `aws-control-tower-backupdaily: true`
+ `aws-control-tower-backupweekly: true`
+ `aws-control-tower-backupmonthly: true`

**考量**
+ 當 在 OU 上 AWS Backup 處於作用中狀態時，您會在 AWS Control Tower 主控台的 **OU 詳細資訊**頁面上**的狀態**欄位中看到**已啟用**的值。**狀態**欄位的一些其他可能值包括**未啟用**、**進行中**和**失敗**。如果您看到**失敗**狀態，請選擇**重新註冊 OU**，將您的 AWS Backup 組態重新套用至 OU。
+ 如果您已在 OU 上 AWS Backup 啟用 ，則透過帳戶工廠佈建的新帳戶會包含在 OU 下 AWS Backup。