翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower リソース AWS Backup 用に を設定する前に、既存の AWS Organizations 組織が必要です。AWS Control Tower ランディングゾーンを既に設定している場合は、既存の組織として機能します。
AWS Control Tower に登録されていない他の 2 つの AWS アカウントを割り当てるか、作成する必要があります。これらのアカウントは、中央バックアップアカウントおよびバックアップ管理者アカウントになります。これらのアカウントにそれらの名前を付けます。
また、特に AWS Backup 用のマルチリージョン AWS Key Management Service (KMS) キーを選択または作成する必要があります。
前提条件の定義
-
中央バックアップアカウント - 中央バックアップアカウントは、AWS Control Tower バックアップボールトとバックアップを保存します。このボールトは、このアカウント内の AWS Control Tower AWS リージョン が管理するすべての に作成されます。クロスアカウントコピーは、アカウントが侵害され、データの復元が必要な場合に備えて、このアカウントに保存されます。
-
バックアップ管理者アカウント - バックアップ管理者アカウントは、AWS Control Tower の AWS Backup サービスの委任管理者アカウントです。Backup Audit Manager (BAM) レポートプランが保存されます。このアカウントは、復元ジョブやコピージョブなど、すべてのバックアップモニタリングデータを集約します。データは Amazon S3 バケットに保存されます。詳細については、「 AWS Backup デベロッパーガイド」の「 AWS Backup コンソールを使用したレポートプランの作成」を参照してください。
-
マルチリージョン AWS KMS キーのポリシー要件
AWS KMS キーにはキーポリシーが必要です。次のようなキーポリシーを考えてみましょう。これにより、組織の管理アカウントに関連付けられたルート IAM アクセス許可を持つプリンシパル (ユーザーとロール) へのアクセスが制限されます。
{ "Version": "2012-10-17", "Id": "KMS key policy", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::MANAGEMENT-ACCOUNT-ID:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the KMS key for organization", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:Encrypt", "kms:ReEncrypt*", "kms:GetKeyPolicy", "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalOrgID": "ORGANIZATION-ID" } } } ] }
注記
マルチリージョン AWS KMS キーは、AWS Control Tower で管理する AWS リージョン すべての に対してレプリケートする必要があります。
