Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Membuat salinan cadangan di seluruh Akun AWS
<a name="create-cross-account-backup"></a>

Dengan menggunakan AWS Backup, Anda dapat mencadangkan hingga beberapa Akun AWS sesuai permintaan atau secara otomatis sebagai bagian dari rencana pencadangan terjadwal. Gunakan cadangan lintas akun jika Anda ingin menyalin cadangan dengan aman ke satu atau lebih Akun AWS di organisasi Anda untuk alasan operasional atau keamanan. Jika cadangan asli Anda terhapus, Anda dapat menyalin cadangan dari akun tujuannya ke akun sumbernya, lalu memulai pemulihan. Sebelum Anda dapat melakukan ini, Anda harus memiliki dua akun milik organisasi yang sama dalam AWS Organizations layanan. Untuk informasi selengkapnya, lihat [Tutorial: Membuat dan mengonfigurasi organisasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html) di *Panduan Pengguna Organizations*.

Di akun tujuan, Anda harus membuat brankas cadangan. Kemudian, Anda menetapkan kunci terkelola pelanggan untuk mengenkripsi cadangan di akun tujuan, dan kebijakan akses berbasis sumber daya untuk memungkinkan mengakses sumber daya yang ingin AWS Backup Anda salin. Di akun sumber, jika sumber daya Anda dienkripsi dengan kunci yang dikelola pelanggan, Anda harus membagikan kunci yang dikelola pelanggan ini dengan akun tujuan. Anda kemudian dapat membuat rencana cadangan dan memilih akun tujuan yang merupakan bagian dari unit organisasi Anda AWS Organizations. 

Saat Anda menyalin cadangan ke akun silang untuk pertama kalinya, AWS Backup salin cadangan secara penuh. Secara umum, jika layanan mendukung pencadangan tambahan, salinan cadangan berikutnya di akun yang sama bersifat inkremental. AWS Backup mengenkripsi ulang salinan Anda menggunakan kunci terkelola pelanggan dari brankas tujuan Anda.

**Persyaratan**
+ Sebelum Anda mengelola sumber daya Akun AWS di beberapa akun AWS Backup, akun Anda harus milik organisasi yang sama dalam AWS Organizations layanan.
+ Sebagian besar sumber daya yang didukung oleh AWS Backup dukungan cadangan lintas akun. Untuk spesifik, lihat [Ketersediaan fitur berdasarkan sumber daya](backup-feature-availability.md#features-by-resource).
+ Sebagian besar AWS Wilayah mendukung pencadangan lintas akun. Untuk spesifik, lihat [Ketersediaan fitur oleh Wilayah AWS](backup-feature-availability.md#features-by-region).
+ AWS Backup tidak mendukung salinan lintas akun untuk penyimpanan di tingkat dingin.

## Menyiapkan cadangan lintas akun
<a name="prereq-cab"></a>

**Apa yang Anda butuhkan untuk membuat cadangan lintas akun?**
+  **Akun sumber**

  Akun sumber adalah akun tempat AWS sumber daya produksi dan cadangan utama Anda berada. 

  Pengguna akun sumber memulai operasi pencadangan lintas akun. Pengguna atau peran akun sumber harus memiliki izin API yang sesuai untuk memulai operasi. Izin yang sesuai mungkin kebijakan AWS terkelola`AWSBackupFullAccess`, yang memungkinkan akses penuh ke AWS Backup operasi, atau kebijakan terkelola pelanggan yang memungkinkan tindakan seperti`ec2:ModifySnapshotAttribute`. Untuk informasi selengkapnya tentang jenis kebijakan, lihat [Kebijakan AWS Backup Terkelola](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html).
+  **Akun tujuan**

  Akun tujuan adalah akun tempat Anda ingin menyimpan salinan cadangan Anda. Anda dapat memilih lebih dari satu akun tujuan. Akun tujuan harus berada di organisasi yang sama dengan akun sumber di AWS Organizations. 

  Anda harus “Izinkan” kebijakan akses `backup:CopyIntoBackupVault` untuk brankas cadangan tujuan Anda. Tidak adanya kebijakan ini akan menolak upaya untuk menyalin ke akun tujuan.
+  **Akun manajemen di AWS Organizations**

  Akun manajemen adalah akun utama di organisasi Anda, sebagaimana didefinisikan oleh AWS Organizations, yang Anda gunakan untuk ikut serta dalam pencadangan lintas akun di seluruh akun Anda. Akun AWS Sebelum organisasi Anda dapat memulai dengan pencadangan lintas akun, Anda harus mengaktifkan pencadangan lintas akun di AWS Backup konsol atau melalui API. [UpdateGlobalSettings](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateGlobalSettings.html)

Untuk informasi tentang keamanan, lihat[Pertimbangan keamanan untuk pencadangan lintas akun](#security-considerations-cab).

Untuk menggunakan cadangan lintas akun, Anda harus mengaktifkan fitur pencadangan lintas akun. Kemudian, Anda harus “Izinkan” kebijakan akses `backup:CopyIntoBackupVault` ke brankas cadangan tujuan Anda.

Amazon EC2 menawarkan [EC2](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html) Diizinkan. AMIs Jika pengaturan ini diaktifkan di akun Anda, tambahkan ID akun sumber Anda ke daftar yang diizinkan. Jika tidak, operasi salin akan gagal dengan pesan kesalahan, seperti “Sumber AMI tidak ditemukan di Wilayah”.

**Aktifkan pencadangan lintas akun**

1.  Masuk menggunakan kredensil akun AWS Organizations manajemen Anda. Pencadangan lintas akun hanya dapat diaktifkan atau dinonaktifkan menggunakan kredensyal ini.

1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di **Akun saya**, pilih **Pengaturan**.

1. Untuk **pencadangan lintas akun**, pilih **Aktifkan**.

1. Di **brankas Cadangan, pilih brankas** tujuan Anda.

   Untuk salinan lintas akun, brankas sumber dan brankas tujuan berada di akun yang berbeda. Beralih ke akun yang memiliki akun tujuan, jika perlu.

1. Di bagian **Kebijakan akses**, “Izinkan”`backup:CopyIntoBackupVault`. Misalnya, pilih **Tambahkan izin**, lalu **Izinkan akses ke brankas Cadangan dari organisasi**. Setiap tindakan lintas akun selain `backup:CopyIntoBackupVault` akan ditolak.

1.  Sekarang, akun apa pun di organisasi Anda dapat membagikan konten brankas cadangan mereka dengan akun lain di organisasi Anda. Untuk informasi selengkapnya, lihat [Mengkonfigurasi akses vault cadangan untuk salinan lintas akun](#share-vault-cab). Untuk membatasi akun mana yang dapat menerima konten brankas cadangan akun lain, lihat. [Mengonfigurasi akun Anda sebagai akun tujuan](#designate-destination-accounts-cab)

## Menjadwalkan pencadangan lintas akun
<a name="scheduled-cab"></a>

Anda dapat menggunakan rencana pencadangan terjadwal untuk menyalin cadangan. Akun AWS<a name="copy-with-backup-plan"></a>

**Untuk menyalin cadangan menggunakan rencana cadangan terjadwal**

1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Di **Akun Saya**, pilih **Paket Cadangan**, lalu pilih **Buat paket Cadangan**.

1. Pada halaman **Buat Rencana Cadangan**, pilih **Buat paket baru**.

1. Untuk **nama paket Backup**, masukkan nama untuk paket cadangan Anda.

1. Di bagian **Konfigurasi aturan Backup**, tambahkan aturan cadangan yang menentukan jadwal cadangan, jendela cadangan, dan aturan siklus hidup. Anda dapat menambahkan lebih banyak aturan cadangan nanti.

   Untuk **nama Aturan**, masukkan nama untuk aturan Anda.

1. Di bagian **Jadwal** di bawah **Frekuensi**, pilih seberapa sering Anda ingin cadangan diambil.

1. Untuk **jendela Backup**, pilih **Gunakan default jendela cadangan** (disarankan). Anda dapat menyesuaikan jendela cadangan.

1. Untuk **Backup vault**, pilih vault dari daftar. Poin pemulihan untuk cadangan ini akan disimpan di brankas ini. Anda dapat membuat brankas cadangan baru.

1. Di bagian **Hasilkan salinan - opsional**, masukkan nilai berikut:  
**Wilayah Tujuan**  
Pilih tujuan Wilayah AWS untuk salinan cadangan Anda. Cadangan Anda akan disalin ke Wilayah ini. Anda dapat menambahkan aturan salinan baru per salinan ke tujuan baru.  
**Salin ke brankas akun lain**  
Beralih untuk memilih opsi ini. Opsi berubah menjadi biru saat dipilih. Opsi **ARN brankas Eksternal** akan muncul.  
**ARN vault eksternal**  
Masukkan Nama Sumber Daya Amazon (ARN) dari akun tujuan. ARN adalah string yang berisi ID akun dan nya. Wilayah AWS AWS Backup akan menyalin cadangan ke brankas akun tujuan. Daftar **wilayah Tujuan** secara otomatis diperbarui ke Wilayah di ARN vault eksternal.   
Untuk **Izinkan akses brankas Cadangan**, pilih **Izinkan**. Kemudian pilih **Izinkan** di wizard yang terbuka.   
AWS Backup membutuhkan izin untuk mengakses akun eksternal untuk menyalin cadangan ke nilai yang ditentukan. Wizard menunjukkan contoh kebijakan berikut yang menyediakan akses ini.    
****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "AllowAccountCopyIntoBackupVault",
         "Effect": "Allow",
         "Action": "backup:CopyIntoBackupVault",
         "Resource": "*",
         "Principal": {
           "AWS": "arn:aws:iam::123456789012:root"
         }
       }
     ]
   }
   ```  
**Transisi ke penyimpanan dingin**  
Pilih kapan harus mentransisikan salinan cadangan ke penyimpanan dingin dan kapan harus kedaluwarsa (menghapus) salinannya. Cadangan yang dialihkan ke penyimpanan dingin harus disimpan dalam penyimpanan dingin minimal 90 hari. Nilai ini tidak dapat diubah setelah salinan dialihkan ke penyimpanan dingin.   
Untuk melihat daftar sumber daya yang dapat Anda transisi ke penyimpanan dingin, lihat bagian “Siklus Hidup ke penyimpanan dingin” pada [Ketersediaan fitur berdasarkan sumber daya](backup-feature-availability.md#features-by-resource) tabel. Ekspresi cold storage diabaikan untuk sumber daya lain.  
**Kedaluwarsa** menentukan jumlah hari setelah pembuatan bahwa salinan dihapus. Nilai ini harus lebih besar dari 90 hari di luar nilai **Transisi ke penyimpanan dingin**.  
Saat pencadangan kedaluwarsa dan ditandai untuk dihapus sebagai bagian dari kebijakan siklus hidup Anda, AWS Backup hapus cadangan pada titik yang dipilih secara acak selama 8 jam berikutnya. Jendela ini membantu memastikan kinerja yang konsisten.

1. Pilih **Tag yang ditambahkan ke titik pemulihan** untuk menambahkan tag ke titik pemulihan Anda. 

1. Untuk **pengaturan cadangan lanjutan**, pilih **Windows VSS** untuk mengaktifkan snapshot sadar aplikasi untuk perangkat lunak pihak ketiga yang dipilih yang berjalan di EC2.

1. Pilih **Buat paket**.

## Melakukan pencadangan lintas akun sesuai permintaan
<a name="on-demand-cab"></a>

Anda dapat menyalin cadangan ke permintaan Akun AWS yang berbeda.

**Untuk menyalin cadangan sesuai permintaan**

1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Untuk **akun Saya**, pilih **Backup vault** untuk melihat semua brankas cadangan Anda terdaftar. Anda dapat memfilter berdasarkan nama atau tag brankas cadangan.

1. Pilih **ID titik pemulihan** cadangan yang ingin Anda salin.

1. Pilih **Salin**.

1. Perluas **detail Backup** untuk melihat informasi tentang titik pemulihan yang Anda salin.

1. Di bagian **Salin konfigurasi**, pilih opsi dari daftar **wilayah Tujuan**.

1. Pilih **Salin ke brankas akun lain**. Opsi berubah menjadi biru saat dipilih.

1. Masukkan Nama Sumber Daya Amazon (ARN) dari akun tujuan. ARN adalah string yang berisi ID akun dan nya. Wilayah AWS AWS Backup akan menyalin cadangan ke brankas akun tujuan. Daftar **wilayah Tujuan** secara otomatis diperbarui ke Wilayah di ARN vault eksternal. 

1. Untuk **Izinkan akses brankas Cadangan**, pilih **Izinkan**. Kemudian pilih **Izinkan** di wizard yang terbuka. 

   Untuk membuat salinan, AWS Backup perlu izin untuk mengakses akun sumber. Wizard menunjukkan contoh kebijakan yang menyediakan akses ini. Kebijakan ini ditampilkan sebagai berikut.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "AllowAccountCopyIntoBackupVault",
         "Effect": "Allow",
         "Action": "backup:CopyIntoBackupVault",
         "Resource": "*",
         "Principal": {
           "AWS": "arn:aws:iam::123456789012:root"
         }
       }
     ]
   }
   ```

------

1. Untuk **Transisi ke penyimpanan dingin**, pilih kapan harus mentransisikan salinan cadangan ke penyimpanan dingin dan kapan harus kedaluwarsa (menghapus) salinannya. Cadangan yang dialihkan ke penyimpanan dingin harus disimpan dalam penyimpanan dingin minimal 90 hari. Nilai ini tidak dapat diubah setelah salinan dialihkan ke penyimpanan dingin. 

   Untuk melihat daftar sumber daya yang dapat Anda transisi ke penyimpanan dingin, lihat bagian “Siklus Hidup ke penyimpanan dingin” pada [Ketersediaan fitur berdasarkan sumber daya](backup-feature-availability.md#features-by-resource) tabel. Ekspresi cold storage diabaikan untuk sumber daya lain.

   **Kedaluwarsa** menentukan jumlah hari setelah pembuatan bahwa salinan dihapus. Nilai ini harus lebih besar dari 90 hari di luar nilai **Transisi ke penyimpanan dingin**.

1. Untuk **peran IAM**, tentukan peran IAM (seperti peran default) yang memiliki izin untuk membuat cadangan Anda tersedia untuk disalin. Tindakan menyalin dilakukan oleh peran terkait layanan akun tujuan Anda. 

1. Pilih **Salin**. Bergantung pada ukuran sumber daya yang Anda salin, proses ini bisa memakan waktu beberapa jam untuk menyelesaikannya. Ketika pekerjaan copy selesai, Anda akan melihat salinan di tab **Copy jobs** di menu **Jobs**.

## Kunci enkripsi dan salinan lintas akun
<a name="backup-cab-encryption"></a>

Lihat [Enkripsi untuk salinan cadangan ke akun lain atau Wilayah AWS](encryption.md#copy-encryption) untuk detail tentang cara kerja enkripsi untuk pekerjaan penyalinan.

[Untuk bantuan tambahan mengatasi masalah kegagalan penyalinan lintas akun, silakan lihat Pusat Pengetahuan.AWS](https://repost.aws/knowledge-center/backup-troubleshoot-cross-account-copy)

## Memulihkan cadangan dari satu Akun AWS ke yang lain
<a name="restore-cab"></a>

AWS Backup tidak mendukung pemulihan sumber daya dari satu Akun AWS ke yang lain. Namun, Anda dapat menyalin cadangan dari satu akun ke akun lain dan kemudian mengembalikannya di akun itu. Misalnya, Anda tidak dapat memulihkan cadangan dari akun A ke akun B, tetapi Anda dapat menyalin cadangan dari akun A ke akun B, dan kemudian mengembalikannya di akun B.

Sebelum memulihkan cadangan dari satu akun ke akun lainnya, pastikan bahwa akun tujuan memiliki peran terkait layanan (SLR) untuk jenis sumber daya yang Anda pulihkan. Jika akun tujuan belum pernah menggunakan AWS layanan itu sebelumnya, SLR mungkin tidak ada. Anda dapat membuat SLR dengan menggunakan layanan di akun tujuan, yang secara otomatis membuatnya. Setelah persyaratan SLR ditangani, memulihkan cadangan dari satu akun ke akun lainnya adalah proses dua langkah:

**Untuk mengembalikan cadangan dari satu akun ke akun lainnya**

1. Salin cadangan dari sumber Akun AWS ke akun yang ingin Anda pulihkan. Untuk petunjuk, lihat [Menyiapkan cadangan lintas akun](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html#prereq-cab).

1. Gunakan instruksi yang sesuai untuk sumber daya Anda untuk memulihkan cadangan.

## Mengkonfigurasi akses vault cadangan untuk salinan lintas akun
<a name="share-vault-cab"></a>

AWS Backup memungkinkan Anda mengonfigurasi brankas cadangan untuk memberikan akses ke yang lain Akun AWS, memungkinkan mereka menyalin titik pemulihan ke brankas Anda untuk pencadangan lintas akun. Konfigurasi akses ini menggunakan kebijakan berbasis sumber daya untuk mengizinkan akun tertentu melakukan operasi pencadangan.

**catatan**  
Ini berbeda dengan berbagi vault untuk AWS Backup vault Logically Air Gapped (LAG), yang menggunakan Resource Access Manager (RAM) untuk berbagi AWS sumber daya vault secara langsung.

Anda dapat memberikan akses vault ke satu atau beberapa akun, atau seluruh organisasi Anda di AWS Organizations. Anda dapat mengonfigurasi brankas cadangan tujuan dengan akses untuk AWS akun sumber, pengguna, atau peran IAM.

**Untuk mengonfigurasi akses vault untuk vault Cadangan tujuan**

1. Pilih **AWS Backup**, lalu pilih **Backup vaults**.

1.  Pilih nama brankas cadangan yang ingin Anda konfigurasikan aksesnya.

1. Di panel **Kebijakan akses**, pilih menu tarik-turun **Tambah izin**. 

1.  Pilih **Izinkan akses level akun ke brankas Cadangan**. Atau, Anda dapat memilih untuk mengizinkan akses tingkat organisasi atau tingkat peran. 

1. Masukkan **accountID** akun yang ingin Anda berikan akses ke brankas cadangan tujuan ini.

1.  Pilih **Simpan kebijakan**. 

Anda dapat menggunakan kebijakan IAM untuk mengonfigurasi akses vault.
<a name="share-vault-with-account-iam"></a>
**Konfigurasikan akses vault cadangan tujuan untuk peran Akun AWS atau IAM**  
Kebijakan berikut mengonfigurasi akses vault untuk nomor akun `4444555566666` dan peran IAM `SomeRole` dalam nomor akun. `111122223333`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}
```

------
<a name="share-vault-with-organizational-unit"></a>
**Bagikan brankas cadangan tujuan unit organisasi di AWS Organizations**  
Kebijakan berikut membagikan brankas cadangan dengan unit organisasi yang menggunakannya. `PrincipalOrgPaths`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
```

------
<a name="share-vault-with-entire-organization"></a>
**Berbagi brankas cadangan tujuan dengan organisasi di AWS Organizations**  
Kebijakan berikut membagikan brankas cadangan dengan organisasi dengan `PrincipalOrgID` “o-a1b2c3d4e5".

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}
```

------

## Mengonfigurasi akun Anda sebagai akun tujuan
<a name="designate-destination-accounts-cab"></a>

Saat Anda pertama kali mengaktifkan pencadangan lintas akun menggunakan akun AWS Organizations manajemen Anda, setiap pengguna akun anggota dapat mengonfigurasi akun mereka menjadi akun tujuan. Sebaiknya setel satu atau beberapa kebijakan kontrol layanan berikut (SCPs) AWS Organizations untuk membatasi akun tujuan Anda. Untuk mempelajari selengkapnya tentang melampirkan kebijakan kontrol layanan ke AWS Organizations node, lihat [Melampirkan dan melepaskan kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html).
<a name="limit-destination-accounts-using-tags"></a>
**Batasi akun tujuan menggunakan tag**  
Saat dilampirkan ke AWS Organizations root, OU, atau akun individual, kebijakan ini membatasi tujuan salinan dari root, OU, atau akun tersebut hanya ke akun dengan brankas cadangan yang telah Anda tag. `DestinationBackupVault` Izin `"backup:CopyIntoBackupVault"` mengontrol perilaku brankas cadangan dan, dalam hal ini, brankas cadangan tujuan mana yang valid. Gunakan kebijakan ini, bersama dengan tag terkait yang diterapkan pada brankas tujuan yang disetujui, untuk mengontrol tujuan salinan lintas akun hanya ke akun yang disetujui dan brankas cadangan. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}
```

------
<a name="limit-destination-accounts-using-names"></a>
**Batasi akun tujuan menggunakan nomor akun dan nama brankas**  
Saat dilampirkan ke akun AWS Organizations root, OU, atau individu, kebijakan ini membatasi salinan yang berasal dari root, OU, atau akun tersebut hanya ke dua akun tujuan. Izin `"backup:CopyFromBackupVault"` mengontrol bagaimana titik pemulihan di brankas cadangan berperilaku, dan, dalam hal ini, tujuan tempat Anda dapat menyalin titik pemulihan tersebut. Brankas sumber hanya akan mengizinkan salinan ke akun tujuan pertama (112233445566) jika satu atau beberapa nama brankas cadangan tujuan dimulai dengan. `cab-` Brankas sumber hanya akan mengizinkan salinan ke akun tujuan kedua (123456789012) jika tujuannya adalah brankas cadangan tunggal bernama. `fort-knox`

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyCopyFromBackupVault",
      "Effect": "Deny",
      "Action": "backup:CopyFromBackupVault",
      "Resource": "arn:aws:ec2:*:*:snapshot/*",
      "Condition": {
        "ForAllValues:ArnNotLike": {
          "backup:CopyTargets": [
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-east-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}
```

------
<a name="limit-destination-accounts-using-organizational-units"></a>
**Batasi akun tujuan menggunakan unit organisasi di AWS Organizations**  
Saat dilampirkan ke AWS Organizations root atau OU yang berisi akun sumber Anda, atau saat dilampirkan ke akun sumber Anda, kebijakan berikut membatasi akun tujuan ke akun tersebut dalam dua yang ditentukan OUs.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}
```

------

## Pertimbangan keamanan untuk pencadangan lintas akun
<a name="security-considerations-cab"></a>

Perhatikan hal-hal berikut saat menggunakan pencadangan lintas akun di: AWS Backup
+ Brankas tujuan tidak bisa menjadi vault default. Ini karena vault default dienkripsi dengan kunci yang tidak dapat dibagikan dengan akun lain. 
+ Pencadangan lintas akun mungkin masih berjalan hingga 15 menit setelah Anda menonaktifkan pencadangan lintas akun. Ini karena konsistensi akhirnya, dan mungkin mengakibatkan beberapa pekerjaan lintas akun dimulai atau diselesaikan bahkan setelah Anda menonaktifkan pencadangan lintas akun.
+ Jika akun tujuan meninggalkan organisasi di kemudian hari, akun tersebut akan menyimpan cadangan. Untuk menghindari potensi kebocoran data, letakkan izin penolakan atas `organizations:LeaveOrganization` izin dalam kebijakan kontrol layanan (SCP) yang dilampirkan ke akun tujuan. Untuk informasi selengkapnya SCPs, lihat [Menghapus akun anggota dari organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) di *Panduan Pengguna Organizations*.
+ Jika Anda menghapus peran pekerjaan salin selama salinan lintas akun, tidak AWS Backup dapat membatalkan pembagian snapshot dari akun sumber saat pekerjaan penyalinan selesai. Dalam hal ini, pekerjaan pencadangan selesai, tetapi status pekerjaan salin ditampilkan sebagai Gagal untuk membatalkan pembagian snapshot.