クロスアカウントバックアップのセットアップクロスアカウントバックアップのスケジュールオンデマンドのクロスアカウントバックアップの実行クロスアカウントバックアップのキーに関する注意事項あるバックアップから別のバックアップへの復元 AWS アカウントバックアップボールトを別の AWS アカウントと共有するアカウントをコピー先アカウントとして設定するクロスアカウントバックアップのセキュリティに関する考慮事項

AWS アカウント間でのバックアップコピーの作成

注記

AWS アカウント複数のインにまたがるリソースを管理する前に AWS Backup、 AWS Organizations アカウントはサービス内の同じ組織に属している必要があります。

を使用すると AWS Backup、 AWS アカウント必要に応じて複数のバックアップを作成することも、スケジュールされたバックアップ計画の一部として自動的にバックアップすることもできます。運用上またはセキュリティ上の理由から、 AWS アカウント組織内の 1 つ以上のバックアップに安全にコピーしたい場合は、クロスアカウントバックアップを使用してください。元のバックアップが誤って削除された場合は、コピー先アカウントからコピー元のアカウントにバックアップをコピーし、復元を開始できます。これを行うには、その前に、 AWS Organizations サービスの同じ組織に属する 2 つのアカウントを持つ必要があります。詳細については、Organizations ユーザーガイドの「チュートリアル: 組織の作成と設定」を参照してください。

コピー先アカウントで、バックアップボールトを作成する必要があります。次に、宛先アカウントのバックアップを暗号化するカスタマー管理キーと、 AWS Backup コピーしたいリソースへのアクセスを許可するリソースベースのアクセスポリシーを割り当てます。ソースアカウントで、リソースがカスタマー管理キーで暗号化されている場合は、このカスタマー管理キーをコピー先アカウントと共有する必要があります。その後、バックアッププランを作成し、 AWS Organizationsで組織単位の一部であるコピー先アカウントを選択できます。

AWS Backupサポートされているほとんどのリソースは、クロスアカウントバックアップをサポートしています。詳細については、リソース別の機能の可用性表の該当するセクションを参照してください。

AWS ほとんどのリージョンがクロスアカウントバックアップをサポートしています。詳細については、以下の機能の可用性 AWS リージョン表の該当するセクションを参照してください。

クロスアカウントバックアップのセットアップ

クロスアカウントバックアップを作成するには何が必要か

ソースアカウント

ソースアカウントは、 AWS プロダクションリソースとプライマリバックアップが保存されているアカウントです。

ソースアカウントユーザーがクロスアカウントのバックアップ操作を開始します。ソースアカウントユーザーまたはロールには、操作を開始するための適切な API 権限が必要です。適切な権限としてはAWSBackupFullAccess、 AWS AWS Backup 操作へのフルアクセスを可能にする管理ポリシーや、次のようなアクションを許可する顧客管理ポリシーなどがあります。ec2:ModifySnapshotAttributeポリシータイプの詳細については、「AWS Backup 管理ポリシー」を参照してください。
コピー先アカウント

コピー先アカウントは、バックアップのコピーを保持するアカウントです。アカウントは複数選択できます。コピー先アカウントは、 AWS Organizationsのソースアカウントと同じ組織にある必要があります。

コピー先バックアップボールトのアクセスポリシー backup:CopyIntoBackupVault を「許可」する必要があります。このポリシーが存在しない場合、コピー先アカウントへのコピーの試行は拒否されます。
の管理アカウント AWS Organizations

管理アカウントは、 AWS アカウントでクロスアカウントバックアップを管理するために使用する AWS Organizationsによって定義された組織内のプライマリアカウントです。クロスアカウントバックアップを使用するには、サービスの信頼も有効にする必要があります。サービスの信頼を有効にすると、組織内の任意のアカウントをコピー先アカウントとして使用できます。コピー先アカウントから、クロスアカウントのバックアップに使用するボールトを選択できます。
AWS Backup コンソールでクロスアカウントバックアップを有効にする

セキュリティについては、「クロスアカウントバックアップのセキュリティに関する考慮事項」を参照してください。

クロスアカウントバックアップを使用するには、クロスアカウントバックアップ機能を有効にする必要があります。次に、アクセスポリシー backup:CopyIntoBackupVault をコピー先バックアップボールトに「許可」する必要があります。

クロスアカウントバックアップを有効にするには

AWS AWS Organizations 管理アカウントの認証情報を使用してにログインします。クロスアカウントバックアップは、これらの認証情報を使用してのみ有効または無効にできます。
https://console.aws.amazon.com/backup AWS Backup でコンソールを開きます。
[マイアカウント] で、[設定] を選択します。
[クロスアカウントバックアップ] で、[有効] を選択します。
[バックアップボールト] で、コピー先ボールトを選択します。
[アクセスポリシー] セクションで、backup:CopyIntoBackupVault を [許可] します。たとえば、[アクセス許可の追加] を選択し、その後、[組織からのバックアップボールトへのアクセスを許可する] を選択します。
これで、組織内のどのアカウントでも、バックアップ保管庫の内容を組織内の他のアカウントと共有できるようになりました。詳細については、「バックアップボールトを別の AWS アカウントと共有する」を参照してください。他のアカウントのバックアップボールトの内容を受信できるアカウントを制限するには、アカウントをコピー先アカウントとして設定するを参照してください。

クロスアカウントバックアップのスケジュール

スケジュールバックアッププランを使用して、バックアップを AWS アカウント間でコピーできます。

スケジュールバックアッププランを使用してバックアップをコピーするには

https://console.aws.amazon.com/backup AWS Backup でコンソールを開きます。
マイアカウントで、[バックアッププラン] を選択してから、「バックアッププランを作成する」を選択します。
リポジトリの [バックアッププランの作成] ページで、[新しいプランを構築する] を選択します。
[バックアッププラン名] で、バックアッププランの名前を入力します。
[バックアップルールの設定] セクションで、バックアップスケジュール、バックアップウィンドウ、ライフサイクルルールを定義するバックアップルールを追加します。後でバックアップルールを追加できます。

[ルール名] にルールの名前を入力します。
[Frequency (頻度)] の [Schedule (スケジュール)] セクションで、バックアップを実行する頻度を選択します。
バックアップウィンドウで、「バックアップウィンドウのデフォルトを使用する (推奨)」を選択します。バックアップウィンドウをカスタマイズできます。
[バックアップボールト] で、リストから [ボールト] を選択します。このバックアップのリカバリポイントは、このボールトに保存されます。新しいバックアップボールトを作成します。
コピーの生成-オプションセクションで、次の値を入力します。
送信先リージョン

AWS リージョンバックアップコピーの保存先を選択します。バックアップはこのリージョンにコピーされます。コピーごとに新しいコピールールを新しい送信先に追加できます。

別のアカウントのボールトにコピー

このオプションを切り替えて選択します。このオプションを選択すると、青に変わります。外部ボールト ARN オプションが表示されます。

外部ボールト ARN
コピー先リソースの Amazon リソースネーム (ARN) に入力します。ARN は、アカウント ID AWS リージョンとそのアカウントを含む文字列です。 AWS Backup バックアップを宛先アカウントの Vault にコピーします。コピー先リージョンリストは、外部ボールト ARN 内のリージョンに自動的に更新されます。

バックアップボールトのアクセスを許可するために、[許可] を選択します。次に開いたウィザードで [許可] を選択します。

AWS Backup バックアップを指定された値にコピーするには、外部アカウントにアクセスする権限が必要です。ウィザードには、このアクセスを提供する次のポリシー例が表示されます。
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
```
コールドストレージへの移行

バックアップコピーをコールドストレージに移行するタイミングと、コピーの有効期限 (削除) を選択します。コールドストレージに移行されたバックアップは、そこに最低 90 日保存される必要があります。この値は、コピーがコールドストレージに移行された後は変更できません。

コールドストレージに移行できるリソースの一覧については、リソース別の機能の可用性表の「コールドストレージへのライフサイクル」セクションを参照してください。他のリソースでは、コールドストレージ式は無視されます。

[有効期限切れ] で、コピーが作成されてから削除されるまでの日数を指定します。これは、[コールドストレージへの移行] の値より 90 日以上大きい数値にする必要があります。

注記
バックアップの有効期限が切れ、ライフサイクルポリシーの一部として削除対象としてマークされたら、次の 8 AWS Backup 時間以内にランダムに選択した時点でバックアップを削除します。このウィンドウは、一貫したパフォーマンスを確保するのに役立ちます。
リカバリポイントに追加されたタグをクリックして、リカバリポイントにタグを追加します。
詳細バックアップ設定で、Windows VSS を選択して、EC2 で実行されている選択したサードパーティソフトウェアのアプリケーション対応スナップショットを有効にします。
[プランを作成] を選択します。

オンデマンドのクロスアカウントバックアップの実行

AWS アカウントバックアップは必要に応じて別のものにコピーできます。

バックアップをオンデマンドでコピーするには

https://console.aws.amazon.com/backup AWS Backup でコンソールを開きます。
マイアカウントで、[バックアップボールト] をクリックして、すべてのバックアップボールトを一覧表示します。バックアップボールトの名前またはタグでフィルタリングできます。
コピーするバックアップの [復旧ポイント ID] を選択します。
[コピー] を選択します。
[バックアップの詳細] を開いて、コピーするリカバリポイントに関する情報を表示します。
[設定のコピー] セクションで、[コピー先リージョン] リストからオプションを選択します。
[別のアカウントのボールトにコピー] をオンにします。このオプションを選択すると、青に変わります。
コピー先リソースの Amazon リソースネーム (ARN) に入力します。ARN は、アカウント ID AWS リージョンとそのアカウントを含む文字列です。 AWS Backup バックアップを宛先アカウントの Vault にコピーします。コピー先リージョンリストは、外部ボールト ARN 内のリージョンに自動的に更新されます。
バックアップボールトのアクセスを許可するために、[許可] を選択します。次に開いたウィザードで [許可] を選択します。

コピーを作成するには、 AWS Backup ソースアカウントへのアクセス権限が必要です。ウィザードには、このアクセスを提供するポリシーの例が表示されます。このポリシーを以下に示します。
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow account to copy into backup vault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      }
    }
  ]
}
```
コールドストレージへの移行については、バックアップコピーをコールドストレージに移行するタイミングと、コピーの有効期限 (削除) を選択します。コールドストレージに移行されたバックアップは、そこに最低 90 日保存される必要があります。この値は、コピーがコールドストレージに移行された後は変更できません。

コールドストレージに移行できるリソースの一覧については、リソース別の機能の可用性表の「コールドストレージへのライフサイクル」セクションを参照してください。他のリソースでは、コールドストレージ式は無視されます。

[有効期限切れ] で、コピーが作成されてから削除されるまでの日数を指定します。これは、[コールドストレージへの移行] の値より 90 日以上大きい数値にする必要があります。
IAM ロールで、バックアップをコピーできるようにする権限を持つ IAM ロール (デフォルトロールなど) を指定します。コピーの行為は、コピー先アカウントのサービスにリンクされたロールによって実行されます。
[コピー] を選択します。コピーするリソースのサイズによっては、この処理が完了するまでに数時間かかる場合があります。コピージョブが完了すると、[ジョブ] メニュー内の [コピージョブ] タブ内にコピーされます。

クロスアカウントバックアップのキーに関する注意事項

AWS クロスアカウントコピーはマネージドキーではサポートされていません。 AWS 管理キーのキーポリシーは不変なので、アカウント間でキーをコピーすることはできません。 AWS リソースがマネージドキーで暗号化されていて、クロスアカウントコピーを実行したい場合、クロスアカウントコピーをサポートしているので、暗号化キーをカスタマーマネージドキーに変更できます。または、「クロスアカウントバックアップとクロスリージョンバックアップによる暗号化された Amazon RDS インスタンスの保護」の手順に従って、マネージドキーを引き続き使用することもできます AWS 。

あるバックアップから別のバックアップへの復元 AWS アカウント

AWS Backup AWS アカウントあるリソースから別のリソースへのリカバリはサポートしていません。ただし、あるアカウントから別のアカウントにバックアップをコピーし、そのアカウントで復元することはできます。たとえば、アカウント A からアカウント B にバックアップを復元することはできませんが、アカウント A からアカウント B にバックアップをコピーし、アカウント B で復元できます。

あるアカウントから別のアカウントへのバックアップの復元は、2 つのステップです。

アカウントから別のアカウントにバックアップを復元するには

AWS アカウントバックアップをソースから復元したいアカウントにコピーします。手順については、「クロスアカウントバックアップのセットアップ」を参照してください。
リソースに適切な指示に従って、バックアップを復元します。

AWS Backup バックアップ用の保管庫を 1 つまたは複数のアカウント、または組織全体と共有できます AWS Organizations。コピー先のバックアップボールトをソース AWS アカウント、ユーザー、または IAM ロールと共有できます。

コピー先のBackup ボールトを共有するには

[AWS Backup] を選択してから、[バックアップボールト] を選択します。
共有するバックアップボールトの名前を選択します。
[アクセスポリシー] ペインで、[アクセス許可の追加] のドロップダウンを選択します。
アカウントレベルのBackup ボールトへのアクセスを許可するを選択します。または、組織レベルまたはロールレベルのアクセスを許可するかを選択できます。
このコピー先バックアップボールトと共有するアカウントのうち、AccountID を入力します。
[ポリシーを保存]を選択します。

IAM ポリシーを使用して、バックアップボールトを共有できます。

コピー先のバックアップボールトを AWS アカウントまたは IAM ロールで共有します。

次のポリシーは、バックアップボールトとアカウント番号の 4444555566666 および SomeRoleアカウント番号 111122223333 の IAM ロールを共有します。


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":[
          "arn:aws:iam::444455556666:root",
          "arn:aws:iam::111122223333:role/SomeRole"
        ]
      },
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*"
    }
  ]
}

保存先のバックアップ保管庫と組織部門を共有できます。 AWS Organizations

次のポリシーでは、PrincipalOrgPaths を使用してバックアップボールトを組織部門と共有します。


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAnyValue:StringLike":{
          "aws:PrincipalOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

コピー先のバックアップ保管庫を内の組織と共有します。 AWS Organizations

次のポリシーは、バックアップボールトを組織とPrincipalOrgID "o-a1b2c3d4e5"で共有します。


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":"*",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "StringEquals":{
          "aws:PrincipalOrgID":[
            "o-a1b2c3d4e5"
          ]
        }
      }
    }
  ]
}

アカウントをコピー先アカウントとして設定する

AWS Organizations 管理アカウントを使用してクロスアカウントバックアップを初めて有効にすると、メンバーアカウントのどのユーザーも自分のアカウントを宛先アカウントとして設定できます。 AWS Organizations で次のサービスコントロールポリシー (SCP) を 1 つ以上設定し、コピー先アカウントを制限することをお勧めします。 AWS Organizations サービスコントロールポリシーをノードにアタッチする方法について詳しくは、「サービスコントロールポリシーのアタッチとデタッチ」を参照してください。

タグを使用してコピー先アカウントを制限する

AWS Organizations ルート、OU、または個々のアカウントにアタッチされている場合、このポリシーは、そのルート、OU、またはアカウントからのコピー先を、タグ付けしたバックアップボルトのあるアカウントのみに制限します。DestinationBackupVaultアクセス許可 "backup:CopyIntoBackupVault" は、バックアップボールトの動作を制御し、この場合はどのコピー先バックアップボールトが有効かを制御します。このポリシーと、承認されたコピー先ボールトに適用される対応するタグを使用して、クロスアカウントコピーのコピー先を承認済みアカウントとバックアップボールトのみに制限します。


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyIntoBackupVault",
      "Resource":"*",
      "Condition":{
        "Null":{
          "aws:ResourceTag/DestinationBackupVault":"true"
        }
      }
    }
  ]
}

アカウント番号とボールト名を使用してコピー先アカウントを制限する

AWS Organizations ルート、OU、または個人アカウントにアタッチされている場合、このポリシーはそのルート、OU、またはアカウントからのコピーを 2 つの宛先アカウントのみに制限します。アクセス許可 "backup:CopyFromBackupVault" は、バックアップボールト内の復旧ポイントの動作を制御します。この場合は、その復旧ポイントをコピーできるコピー先も制御されます。コピー元のボールトは、1 つまたは複数のコピー先のバックアップボールト名が cab- で始まる場合のみ、最初のコピー先アカウント (112233445566) へのコピーを許可します。コピー元のボールトは、コピー先が fort-knox という名前の単一バックアップボールトである場合、2 つ目のコピー先アカウント (123456789012) へのコピーのみ許可します。


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"arn:aws:ec2:*:snapshot/*",
      "Condition":{
        "ForAllValues:ArnNotLike":{
          "backup:CopyTargets":[
            "arn:aws:backup:*:112233445566:backup-vault:cab-*",
            "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox"
          ]
        }
      }
    }
  ]
}

内の組織単位を使用する宛先アカウントを制限します。 AWS Organizations

次のポリシーは、 AWS Organizations ソースアカウントを含むルートまたは OU にアタッチされている場合、またはソースアカウントにアタッチされている場合、宛先アカウントを指定した 2 つの OU 内のアカウントに制限します。


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Deny",
      "Action":"backup:CopyFromBackupVault",
      "Resource":"*",
      "Condition":{
        "ForAllValues:StringNotLike":{
          "backup:CopyTargetOrgPaths":[
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
            "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
          ]
        }
      }
    }
  ]
}

クロスアカウントバックアップのセキュリティに関する考慮事項

AWS Backupでクロスアカウントバックアップを実行する場合は、次の点に注意してください。

デスティネーションボールトを既定のボールトにすることはできません。これは、デフォルトのボールトが他のアカウントと共有できないキーで暗号化されているためです。
クロスアカウントバックアップを無効にした後も、クロスアカウントバックアップが最大 15 分間実行されることがあります。これは結果整合性が原因で、クロスアカウントバックアップを無効にした後でも、クロスアカウントジョブが開始または完了することがあります。
コピー先アカウントが後で組織を離れる場合、そのアカウントはバックアップを保持します。潜在的なデータ漏洩を回避するには、コピー先アカウントにアタッチされたサービスコントロールポリシー (SCP) 内の organizations:LeaveOrganization アクセス許可を拒否します。SCP の詳細については、Organizations ユーザーガイドの「組織からのメンバーアカウントの削除」を参照してください。
クロスアカウントコピー中にコピージョブの役割を削除した場合、 AWS Backup コピージョブが完了してもソースアカウントからスナップショットを共有解除することはできません。この場合、バックアップジョブは終了しますが、コピージョブのステータスは「スナップショットの共有解除に失敗しました。」と表示されます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

リージョン間のバックアップ

バックアップの削除