バックアップコピーの作成AWSアカウント - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

バックアップコピーの作成AWSアカウント

を使用するAWS Backupでは、複数にバックアップできますAWS アカウントオンデマンドで、またはスケジュールされたバックアッププランの一部として自動的に実行されます。バックアップを 1 つまたは複数に安全にコピーする場合は、クロスアカウントバックアップを使用します。AWS アカウント運用上またはセキュリティ上の理由から、組織内にある。元のバックアップが誤って削除された場合は、コピー先アカウントからコピー元のアカウントにバックアップをコピーし、復元を開始できます。これを行うには、その前に、同じ組織に属する 2 つのアカウントをAWS Organizationsサービス。詳細については、「」を参照してください。チュートリアル: 組織の作成と設定Organizations ユーザーガイド

宛先アカウントで、バックアップボールトを作成する必要があります。次に、宛先アカウントのバックアップを暗号化するカスタマー管理キーと、許可するリソースベースのアクセスポリシーを割り当てます。AWS Backupをクリックして、コピーするリソースにアクセスします。ソースアカウントで、リソースがカスタマー管理キーで暗号化されている場合は、このカスタマー管理キーを宛先アカウントと共有する必要があります。その後、バックアッププランを作成し、で組織単位の一部である宛先アカウントを選択できます。AWS Organizations。

次を使用できます。AWS Backupサポートされているすべてのリソースのバックアップをコピーするには、次の制限事項があります。

  • DynamoDB は、クロスアカウントバックアップをサポートしません。

  • Amazon EFS を除くすべてのサービスで、クロスアカウントバックアップはカスタマー管理キーのみをサポートします。を使用して暗号化された Vault はサポートされていません。AWSデフォルトボールトを含むキー。AWSキーは、アカウント間で共有されることを意図していません。

    クロスアカウントバックアップを実行するには、デフォルトボルト以外のボールトを使用する必要があります。

    Amazon EFS の場合、任意の Amazon EFS バックアップボールトを使用してクロスアカウントバックアップを実行できます。AWS Backup各 Amazon EFS バックアップボールトの暗号化を個別に管理します。

  • Amazon RDS と Aurora は、クロスリージョンバックアップ、またはクロスアカウントバックアップをサポートしますが、同じバックアッププランでは両方をサポートしていません。[] を使用できます。AWS Lambda両方を達成するためのスクリプト。また、Amazon RDS カスタムオプショングループをコピーするAWS リージョンはサポートされていません。

  • Amazon EC2 では、のクロスアカウントコピーを許可しませんAWS MarketplaceAMI。詳細については、「」を参照してください。AMI のコピーAmazon EC2 ユーザーガイド

クロスリージョンバックアップは、すべてで利用できます。AWS リージョンこの場合、次のようになります。AWS Backupは、中国地域、アジアパシフィック (香港)、中東 (バーレーン)、欧州 (ミラノ)、アフリカ (ケープタウン)、アジアパシフィック (東京) を除くご利用いただけます。

クロスアカウントバックアップのセットアップ

クロスアカウントバックアップを作成するには何が必要ですか

  • ソースアカウント

    ソースアカウントは、本番環境のアカウントです。AWSリソースとプライマリバックアップが存在します。

    ソースアカウントユーザーがクロスアカウントのバックアップ操作を開始します。ソースアカウントのユーザーまたはロールには、操作を開始するための適切な API 権限が必要です。適切なアクセス許可は、AWS管理ポリシーAWSBackupFullAccessへのフルアクセスが可能になります。AWS Backupオペレーション、またはカスタマー管理ポリシー (例)ec2:ModifySnapshotAttribute。両方のポリシータイプの詳細については、「」を参照してください。AWS Backup管理ポリシー

  • デスティネーションアカウント

    コピー先のアカウントは、バックアップのコピーを保持するアカウントです。アカウントは 1 つ以上選択できます。移行先アカウントは、のソースアカウントと同じ組織にある必要がありますAWS Organizations。

    アクセスポリシーを「許可」する必要がありますbackup:CopyIntoBackupVault宛先バックアップボールト用です。このポリシーが存在しない場合、宛先アカウントへのコピーの試行は拒否されます。

  • の管理アカウントAWS Organizations

    管理アカウントは、組織内のプライマリアカウントです。AWS Organizationsでクロスアカウントバックアップを管理するために使用するAWS アカウント。クロスアカウントバックアップを使用するには、サービスの信頼を有効にする必要があります。サービスの信頼を有効にすると、組織内の任意のアカウントを宛先アカウントとして使用できます。宛先アカウントから、クロスアカウントのバックアップに使用するボールトを選択できます。

  • でクロスアカウントバックアップを有効にするAWS Backupconsole

セキュリティの詳細については、「」を参照してください。クロスアカウントバックアップのセキュリティに関する考慮事項

クロスアカウントバックアップを使用するには、クロスアカウントバックアップ機能を有効にする必要があります。次に、アクセスポリシーを「許可」する必要があります。backup:CopyIntoBackupVault宛先バックアップボールトに移動します。

クロスアカウントバックアップを有効にするには

  1. にログインするAWSの使用AWS Organizations管理アカウントの認証情報。クロスアカウントバックアップは、これらの認証情報を使用してのみ有効または無効にできます。

  2. を開くAWS Backupコンソールhttps://console.aws.amazon.com/backup

  3. Eclipseマイアカウントで、設定

  4. を使用する場合クロスアカウントバックアップで、の有効化

  5. Eclipseバックアップボールトで、目的地の保管庫を選択します。

  6. アクセスポリシーセクション、「許可」backup:CopyIntoBackupVault。たとえば、[] を選択します。アクセス許可を追加します。そしてその後組織からのBackup ボールトへのアクセスを許可する

  7. これで、組織内のどのアカウントでも、バックアップ保管庫の内容を組織内の他のアカウントと共有できるようになりました。詳細については、「バックアップボールトを別のものと共有するAWSアカウント」を参照してください。他のアカウントのバックアップボールトの内容を受信できるアカウントを制限するには、を参照してください。アカウントを宛先アカウントとして設定する

クロスアカウントバックアップのスケジューリング

スケジュールバックアッププランを使用して、バックアップを間でコピーできます。AWS アカウント。

スケジュールバックアッププランを使用してバックアップをコピーするには

  1. を開くAWS Backupコンソールhttps://console.aws.amazon.com/backup

  2. Eclipseマイアカウントで、バックアッププラン[] を選択してから、Backup プランを作成

  3. リポジトリの []Backup プランを作成ページで、[] を選択します。新しいプランを構築する

  4. を使用する場合Backup プラン名で、バックアッププランの名前を入力します。

  5. Backup ルールの設定セクションで、バックアップスケジュール、バックアップウィンドウ、ライフサイクルルールを定義するバックアップルールを追加します。後でバックアップルールを追加できます。

    を使用する場合ルール名[] には、ルールの名前を入力します。

  6. Schedule[] の下のセクション[Frequency (頻度)][] で、バックアップを実行する頻度を選択します。

  7. を使用する場合バックアップウィンドウで、バックアップウィンドウのデフォルトを使用(推奨). バックアップウィンドウをカスタマイズできます。

  8. を使用する場合バックアップボールト[] を選択し、リストから [] を選択します。このバックアップのリカバリポイントは、この Vault に保存されます。新しいバックアップボールトを作成できます。

  9. コピーの生成-オプションセクションで、次の値を入力します。

    送信先リージョン

    宛先を選択するAWS リージョンバックアップコピー用。バックアップはこのリージョンにコピーされます。コピーごとに新しいコピールールを新しい送信先に追加できます。

    注記

    Amazon DynamoDB テーブルをコピーするAWS リージョンはサポートされていません。

    別のアカウントのボールトにコピーする

    このオプションを切り替えて選択します。このオプションを選択すると、青に変わります。-外部ボールト ARNオプションが表示されます。

    外部ボールト ARN

    送信先アカウントの Amazon リソースネーム (ARN) を入力します。ARN は、アカウント ID とアカウント ID を含む文字列です。AWS リージョン。AWS Backupは、コピー先アカウントのボールトにバックアップをコピーします。-送信先リージョンリストは、外部ボールト ARN 内のリージョンに自動的に更新されます。

    を使用する場合Backup ボールトのアクセスを許可で、許可。次に [] を選択します。許可開いたウィザードで。

    AWS Backupは、バックアップを指定された値にコピーするために外部アカウントにアクセスする権限が必要です。ウィザードには、このアクセスを提供する次のポリシー例が表示されます。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account to copy into backup vault", "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::account-id:root" } } ] }
    (詳細設定) 冷蔵ストレージへの移行 (EFS のみ)

    Amazon EFS ファイルシステムに必要なオプションを選択します。

    バックアップコピーをコールドストレージに移行するタイミングと、コピーの有効期限 (削除) を選択します。コールドストレージに移行されたバックアップは、そこに最低 90 日保存される必要があります。この値は、コピーがコールドストレージに移行された後は変更できません。

    現時点では、Amazon EFS ファイルシステムバックアップのみをコールドストレージに移行できます。Amazon Elastic Block Store (Amazon EBS)、Amazon Relational Database Service (Amazon RDS)、Amazon Aurora、Amazon DynamoDB、ストレージゲートウェイのバックアップでは、コールドストレージ式は無視されます。

    [有効期限切れ] では、コピーが削除される作成後の日数を指定します。この値は、[コールドストレージへの移行] の値から 90 日以上経過している必要があります。

    注記

    バックアップの有効期限が切れ、ライフサイクルポリシーの一部として削除のマークが付けられると、AWS Backupは、次の 8 時間にわたってランダムに選択された時点でバックアップを削除します。このウィンドウは、一貫したパフォーマンスを確保するのに役立ちます。

  10. 選択リカバリポイントに追加されたタグをクリックして、リカバリポイントにタグを追加します。

  11. を使用する場合詳細バックアップ設定で、Windows VSSEC2 で実行されている選択したサードパーティソフトウェアのアプリケーション対応スナップショットを有効にします。

  12. 選択プランの作成

オンデマンドのクロスアカウントバックアップの実行

バックアップを別のバックアップにコピーできますAWS アカウントオンデマンド。

バックアップをオンデマンドでコピーするには

  1. を開くAWS Backupコンソールhttps://console.aws.amazon.com/backup

  2. を使用する場合マイアカウントで、バックアップボールトをクリックして、すべてのバックアップボルトを一覧表示します。バックアップボールトの名前またはタグでフィルタリングできます。

  3. [復旧ポイント IDコピーするバックアップの。

  4. [Copy (コピー)] を選択します。

  5. 拡張Backup の詳細をクリックして、コピーするリカバリポイントに関する情報を表示します。

  6. 設定のコピー[] セクションで、[] を選択します。送信先リージョンリスト。

  7. 選択別のアカウントのボールトにコピーする。このオプションを選択すると、青に変わります。

  8. 送信先アカウントの Amazon リソースネーム (ARN) を入力します。ARN は、アカウント ID とアカウント ID を含む文字列です。AWS リージョン。AWS Backupは、コピー先アカウントのボールトにバックアップをコピーします。-送信先リージョンリストは、外部ボールト ARN 内のリージョンに自動的に更新されます。

  9. を使用する場合Backup ボールトのアクセスを許可で、許可。次に [] を選択します。許可開いたウィザードで。

    AWS Backup外部 (ソース) アカウントにアクセスするための権限が必要です。ウィザードには、このアクセスを提供するポリシーの例が表示されます。このポリシーを以下に示します。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account to copy into backup vault", "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::account-id:root" } } ] }
  10. (Amazon EFS のみ)低温貯蔵への移行についてで、EFS ファイルシステムに必要なオプションを選択します。

    バックアップコピーをコールドストレージに移行するタイミングと、コピーの有効期限 (削除) を選択します。コールドストレージに移行されたバックアップは、そこに最低 90 日保存される必要があります。この値は、コピーがコールドストレージに移行された後は変更できません。

    現時点では、Amazon EFS ファイルシステムバックアップのみをコールドストレージに移行できます。Amazon EBS、Amazon RDS、Amazon AutAmazon Aurora、Amazon DynamoDB、ストレージゲートウェイのバックアップでは、コールドストレージ式は無視されます。

    [有効期限切れ] では、コピーが削除される作成後の日数を指定します。この値は、[コールドストレージへの移行] の値から 90 日以上経過している必要があります。

  11. を使用する場合IAM ロールで、バックアップをコピーできるようにする権限を持つ IAM ロール(デフォルトロールなど)を指定します。コピーの行為は、宛先アカウントのサービスにリンクされたロールによって実行されます。

  12. [Copy (コピー)] を選択します。コピーするリソースのサイズによっては、このプロセスの完了までに数時間かかる場合があります。コピージョブが完了すると、そのコピーがコピージョブタブに追加します。ジョブメニュー。

バックアップを1つから復元するAWS アカウントを別の

AWS Backupは、リソースからのリソースのリカバリをサポートしていません。AWS アカウントは、別の。ただし、あるアカウントから別のアカウントにバックアップをコピーし、そのアカウントで復元することはできます。たとえば、アカウント A からアカウント B にバックアップを復元することはできませんが、アカウント A からアカウント B にバックアップをコピーし、アカウント B で復元できます。

アカウントから別のアカウントへのバックアップを復元するプロセスは、2 ステップです。

アカウントから別のアカウントにバックアップを復元するには

  1. ソースからバックアップをコピーするAWS アカウントを復元するアカウントに移動します。手順については、「バックアップコピーの作成AWSアカウント」を参照してください。

  2. リソースに適切な指示に従って、バックアップを復元します。

バックアップボールトを別のものと共有するAWSアカウント

AWS Backupバックアップボールトを 1 つまたは複数のアカウント、または組織全体で共有できます。AWS Organizations。コピー先のバックアップボールトをソースと共有できますAWSアカウント、ユーザー、または IAM ロール。

コピー先のBackup ボールトを共有するには

  1. 選択AWS Backup[] を選択してから、バックアップボールト

  2. 共有するバックアップボールトの名前を選択します。

  3. アクセスポリシー[] ペインで、[アクセス許可を追加します。ドロップダウン。

  4. 選択アカウントレベルのBackup ボールトへのアクセスを許可する。または、組織レベルまたはロールレベルのアクセスを許可するかを選択できます。

  5. と入力します。AccountIDこの宛先バックアップ保管庫と共有するアカウントのうち。

  6. 選択ポリシーの保存

IAM ポリシーを使用して、バックアップボールトを共有できます。

コピー先のバックアップボールトをAWS アカウントまたは IAM ロール

次のポリシーは、バックアップボールトとアカウント番号を共有します。4444555566666IAM ロールSomeRoleアカウント番号111122223333

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":[ "arn:aws:iam::444455556666:root", "arn:aws:iam::111122223333:role/SomeRole" ] }, "Action":"backup:CopyIntoBackupVault", "Resource":"*" } ] }

宛先バックアップボールトを組織部門で共有するAWS Organizations

次のポリシーでは、バックアップボールトを組織部門と共有します。PrincipalOrgPaths

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":"*", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "ForAnyValue:StringLike":{ "aws:PrincipalOrgPaths":[ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*" ] } } } ] }

宛先バックアップボールトを内の組織と共有するAWS Organizations

次のポリシーは、バックアップボールトを組織と共有します。PrincipalOrgID 「o-a1b2c3d4e5"。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":"*", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":[ "o-a1b2c3d4e5" ] } } } ] }

アカウントを宛先アカウントとして設定する

を使用してクロスアカウントバックアップを初めて有効にしたときAWS Organizations管理アカウントの場合、メンバーアカウントのすべてのユーザーは、自分のアカウントを宛先アカウントに設定できます。で次のアクセス制御を 1 つ以上設定することをお勧めします。AWS Organizations宛先アカウントを制限します。

タグを使用して宛先アカウントを制限する

次のポリシーでは、宛先アカウントがタグ付けされたバックアップボルトのアカウントに制限されます。DestinationBackupVault

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "Null":{ "aws:ResourceTag/DestinationBackupVault":"true" } } } ] }

アカウント番号とボールト名を使用して宛先アカウントを制限する

次のポリシーでは、宛先アカウントを 2 つのアカウントのみに制限します。最初の宛先アカウントはアカウントです。112233445566バックアップボールト名の接頭辞を付けてcab。2番目の宛先アカウントはアカウントです。123456789012がAWS リージョンus-west-1 という名前のバックアップボールトのfort-knox

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyFromBackupVault", "Resource":"arn:aws:ec2:*:snapshot/*", "Condition":{ "ForAllValues:ArnNotLike":{ "backup:CopyTargets":[ "arn:aws:backup:*:112233445566:backup-vault:cab-*", "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox" ] } } } ] }

で組織単位を使用して宛先アカウントを制限するAWS Organizations

次のポリシーでは、宛先アカウントを特定の組織単位内のアカウントに制限します。このポリシーをAWS Organizationsソースアカウントを含むノード。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyFromBackupVault", "Resource":"*", "Condition":{ "ForAllValues:StringNotLike":{ "backup:CopyTargetOrgPaths":[ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*" ] } } } ] }

クロスアカウントバックアップのセキュリティに関する考慮事項

でクロスアカウントバックアップを実行する場合は、次の点に注意してください。AWS Backup:

  • デスティネーションボールトを既定のボールトにすることはできません。これは、デフォルトの Vault が他のアカウントと共有できないキーで暗号化されているためです。

  • クロスアカウントバックアップを無効にした後も、クロスアカウントバックアップが最大 15 分間実行されることがあります。これは最終的な整合性が原因で、クロスアカウントバックアップを無効にした後でも、クロスアカウントジョブが開始または完了することがあります。

  • 宛先アカウントが後で組織を離れる場合、そのアカウントはバックアップを保持します。潜在的なデータ漏洩を回避するには、organizations:LeaveOrganization宛先アカウントに接続されたサービスコントロールポリシー (SCP) のアクセス許可。SCP の詳細については、「」を参照してください。組織からのメンバーアカウントの削除Organizations ユーザーガイド

  • クロスアカウントコピー中にコピージョブのロールを削除すると、AWS Backupコピージョブの完了時に、ソースアカウントからスナップショットの共有を解除できません。この場合、バックアップジョブは終了しますが、コピージョブのステータスは次のように表示されます。スナップショットの共有解除に失敗しました