翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
論理エアギャップボールト (プレビュー)
注記
2023 年 8 月 9 日以降、 AWS Backup は論理エアギャップボールト を使用するためのプレビューを提供しています。このプレビューに登録するには、<aws-backup-vault-preview@amazon.com> にメールでリクエストを送信します。
プレビュー期間中、およびプレビュー期間後に、機能が変更または調整される場合があります。サービスの一般提供 (GA) が開始されると、プレビュー中に提供されたデータや構成は利用できなくなります。 AWS として、プレビューでは、実稼働データではなくテストデータを使用することをおすすめします。
概要
AWS Backup は、バックアップのコピーを他のボールトに保存できるセカンダリタイプのボールトをプレビューしています。論理エアギャップボールトは、特別なボールトとして、バックアップボールトの機能に加えてセキュリティ機能が強化されているほか、他のアカウントや組織とボールトへのアクセスを共有できるため、リソースの迅速な復旧が必要なインシデントが発生した場合に、復旧時間 (RTO) を速く、柔軟に行えるようになります。
論理エアギャップボールトには追加の保護機能が備わっています。これらのボールトはそれぞれ AWS 所有キーで暗号化され、各ボールトにはコンプライアンスモードでボールトロックが設定されています。
論理エアギャップボールトを組織やアカウント間で共有して、必要に応じてボールとを共有しているアカウントからその中に保存されているバックアップを復元できるようにすることもできます。
プレビュー期間中は、論理エアギャップボールトのストレージに追加料金はかかりません。論理エアギャップボールトにあるバックアップのコピーには課金されませんが、標準のバックアップボールトとクロスリージョンコピーのバックアップは、引き続き公表された料金 (「料金
ユースケース
論理エアギャップボールトは、データ保護戦略の一環として機能するセカンダリボールトです。このボールトは、次のようなバックアップ用ボールトを希望する場合に、組織的な保持と復元を強化するのに役立ちます。
コンプライアンスモードで自動的にボールトロックが設定されるもの
-
バックアップを作成したアカウントとは別のアカウントと共有したり復元したりできるバックアップが含まれているもの
AWS 所有キーで暗号化されている
論理エアギャップボールトでは、以下のリソースがサポートされます。
Amazon EC2
Amazon EBS
Amazon S3
Amazon EFS
Amazon RDS
論理エアギャップボールトの、このプレビューは、米国東部 (バージニア北部) リージョンでのみ利用できます。この機能は現在 1 つのリージョンでのみ利用できるため、このプレビュー期間中はクロスリージョンコピーはサポートされていません。
標準のバックアップボールトとの比較対照
バックアップボールトは、 で使用されるボールトのプライマリタイプおよび標準タイプです AWS Backup。バックアップが作成されると、各バックアップはバックアップボールトに保存されます。リソースベースのポリシーを割り当てて、ボールト内に保存されているバックアップのライフサイクルなど、ボールトに保存されているバックアップを管理できます。
論理エアギャップボールトは、セキュリティが強化され、復旧時間 (RTO) を短縮するための柔軟な共有機能を備えた特別なボールトです。このボールトには、最初に作成されて標準のバックアップボールトに保存されたバックアップのコピーが保管されます。
バックアップボールトはキーで暗号化できます。これは、アクセスを、意図されているユーザーに制限するセキュリティメカニズムです。これらのキーは、カスタマー管理でも AWS 管理でもかまいません。さらに、バックアップボールトはボールトロックによってさらに保護できます。論理エアギャップボールトには、コンプライアンスモードのボールトロックが装備されています。
初期リソースの作成時に AWS KMS キーを手動で変更またはカスタマーマネージドキー (CMK) として設定しなかった場合、バックアップを論理エアギャップボールトにコピーすることはできません。
| 機能 | バックアップボールト | 論理エアギャップボールト (プレビュー) |
|---|---|---|
バックアップが作成されると、復旧ポイントとして保存されます |
作成時にはバックアップはこのボールトには保存されません |
|
リソースの初期バックアップとバックアップのコピーを保存できます |
他のボールトからのバックアップのコピーを保存できます |
|
|
オプションでキーで暗号化可能 (カスタマー管理または AWS 管理) オプションでボールトロックでロック可能です |
AWS 所有キーで暗号化されている コンプライアンスモードでは常にボールトロックでロックされます |
|
共有性 |
アクセスはポリシーと AWS Organizations によって管理できます と互換性がありません AWS Resource Access Manager |
オプションとして、AWS RAM を用いてアカウント間で共有できます |
バックアップが、ボールトを所有しているのと同じアカウントで復元できます |
バックアップを所有しているアカウントとは別のアカウントでボールトが共有されている場合、その別のアカウントでバックアップを復元できます |
|
AWS Backup が動作するすべてのリージョンで使用可能 |
プレビュー中に米国東部 (バージニア北部) リージョンで使用できます |
|
|
リソースhttps://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources |
AWS Backup サポートされているすべてのリソースを含むバックアップを保存できます |
Amazon EC2、Amazon EBS、Amazon EFS、Amazon S3、または Amazon RDS データを含むバックアップを保存できます |
論理エアギャップボールトをコンソールから作成する
重要
ボールトが作成されると、ボールト名、ボールトタイプ、最小保持期間と最大保持期間を変更することはできません。また、ボールトロックを削除することもできません。
サービスが一般利用可能になると、プレビュー中に提供されるデータと設定は利用できなくなります。 AWS プレビューでは、本番データの代わりにテストデータを使用することをお勧めします。
https://console.aws.amazon.com/backup
で AWS Backup コンソールを開きます。 ナビゲーションペインで、[ボールト] を選択します。
どちらのタイプのボールトも表示されます。[新しいボールトを作成] を選択します。
-
バックアップボールトの名前を入力します。保存するものがわかるような名前や、必要なバックアップを検索しやすい名前を付けることができます。例えば、
FinancialBackupsのような名前を付けます。 [論理エアギャップボールト] ラジオボタンを選択します。
-
[最小保持期間] を設定します。
この値 (日単位、月単位、年単位) は、バックアップをこのボールトに保持できる最短期間です。保持期間がこの値より短いバックアップは、このボールトにコピーできません。
-
[最大保持期間] を設定します。
この値 (日単位、月単位、年単位) は、バックアップをこのボールトに保持できる最長期間です。保持期間がこの値を超えるバックアップは、このボールトにコピーできません。
(オプション) 論理エアギャップボールトを検索して識別するのに役立つタグを追加します。例えば、
BackupType:Financialというタグを追加できます。[ボールトを作成] を選択します。
設定を確認します。すべての設定が意図したとおりに表示されたら、[論理的にエアギャップのあるボールトを作成] を選択します。
コンソールに新しいボールトの詳細ページが表示されます。ボールトの詳細が想定どおりであることを確認します。
論理エアギャップボールトの詳細をコンソールに表示
https://console.aws.amazon.com/backup
で AWS Backup コンソールを開きます。 左側のナビゲーションペインで、[ボールト] を選択します。
-
ボールトの説明の下には、「このアカウントが所有するボールト」と「このアカウントと共有されるボールト」の 2 つのリストが表示されます。ボールトを表示するには、目的のタブを選択します。
-
[ボールト名] で、ボールトの名前をクリックして詳細ページを開きます。概要、復旧ポイント、保護対象リソース、アカウント共有、アクセスポリシー、タグの詳細を表示できます。
コンソールで、標準のバックアップボールトから、論理エアギャップボールトにコピーします。
論理エアギャップボールトは、バックアッププランではコピージョブのコピー先ターゲット、またはオンデマンドコピージョブのターゲットにしかなれません。
コピージョブを開始するには、次のものが必要です
バックアップボールト
論理エアギャップボールト
Amazon EC2、Amazon EBS、Amazon RDS、Amazon S3、または Amazon EFS データを含むバックアップ
-
コピーの作成に使用されているロールのアクセス許可
kms:CreateGrant。 論理エアギャップボールトへのコピージョブの一部として AWS マネージドキーで暗号化されたバックアップはありません
上記を確認したら、
https://console.aws.amazon.com/backup
で AWS Backup コンソールを開きます。 左側のナビゲーションペインで、[ボールト] を選択します。
-
ボールトの詳細ページには、そのボールト内のすべての復旧ポイントが表示されます。コピーする復旧ポイントの横にチェックマークを付けます。
次に [アクション] を選択し、ドロップダウンメニューから [編集] を選択します。
次の画面で、コピー先の詳細を入力します。
リージョンを米国東部 (バージニア北部) に設定する必要があります
-
コピー先バックアップボールトドロップダウンメニューに、対象となるコピー先ボールトが表示されます。そのうちの一つを選択し、「
logically air-gapped vault」と入力します。
すべての詳細設定を完了したら、[コピー] を選択します。
コンソールの [ジョブ] ページで [コピー] ジョブを選択すると、現在のコピージョブを表示できます。
詳細については、「バックアップのコピー」、「クロスリージョンバックアップ」、「クロスアカウントバックアップ」を参照してください。
論理エアギャップボールトをコンソールから共有する
注記
アカウントの共有や共有管理ができるのは、特定の IAM 権限を持つアカウントだけです。
AWS RAM を使用して、指定した他のアカウントと論理エアギャップボールトを共有できます。を使用して共有するには AWS RAM、以下があることを確認します。
にアクセスできる 2 つ以上のアカウント AWS Backup
-
共有するアカウントには、必要な RAM アクセス許可があります。この手順にはアクセス許可
ram:CreateResourceShareが必要です。ポリシーAWSResourceAccessManagerFullAccessには、必要な RAM 関連のアクセス許可がすべて含まれています。 少なくとも 1 つの論理エアギャップボールト
論理エアギャップボールトを共有するには、
https://console.aws.amazon.com/backup
で AWS Backup コンソールを開きます。 左側のナビゲーションペインで、[ボールト] を選択します。
-
ボールトの説明の下には、「このアカウントが所有するボールト」と、「このアカウントと共有されるボールト」の 2 つのリストが表示されます。目的のリストを選択すると、ボールトが表示されます。
[ボールト名]で、論理エアギャップボールトの名前を選択し、詳細ページを開きます。
[アカウント共有] ペインには、ボールトがどのアカウントと共有されているかが表示されます。
別のアカウントとの共有を開始したり、すでに共有されているアカウントを編集したりするには、[共有の管理] を選択します。
AWS RAM 共有の管理が選択されると、コンソールが開きます。 AWS RAM を使用してリソースを共有する手順については、AWS 「RAM でのリソース共有の作成」を参照してください。
適切なアクセス許可があることを確認します。Backup Administrator IAM ポリシー [AWSBackupFullAccessram:CreateResourceShare。
共有を受信する招待を承諾するよう招待されたアカウントは、12 時間以内にその招待を受け入れる必要があります。「AWS RAM ユーザーガイド」の「リソース共有の招待の承諾と拒否」を参照してください。
共有手順が完了して承諾されると、ボールトの概要ページが [アカウント共有] = [共有 - 下記のアカウント共有表をご覧ください] の下に表示されます。
コンソールを使用して、論理エアギャップボールトからバックアップを復元する
論理エアギャップボールトに保存されているバックアップは、そのボールトを所有しているアカウントから、またはそのボールトを共有している任意のアカウントから復元できます。
復旧ポイントを復元する方法については、「バックアップの復元」を参照してください。
コンソールを使用して、論理エアギャップボールトを削除
重要
サービスが一般利用可能になると、プレビュー中に提供されるデータと設定は利用できなくなります。 AWS プレビューでは、本番データの代わりにテストデータを使用することをお勧めします。
ボールトを削除するには、「バックアップボールトの削除」を参照してください。バックアップ (復旧ポイント) がまだ保存されているボールとは削除できません。削除操作を開始する前に、ボールトにバックアップがないことを確認してください。
CLI/API による論理エアギャップボールト
を使用して AWS CLI 、論理エアギャップボールトのオペレーションをプログラムで実行できます。各 CLI は、その CLI が発信される AWS サービスに固有です。共有に関連するコマンドには aws ram が付加されています。他のすべてのコマンドには aws backup が付加される必要があります。
作成
以下のサンプル CLI コマンド CreateLogicallyAirGappedBackupVault を変更して、論理的にエアギャップのあるバックアップボールトを作成できます。
aws backup create-logically-air-gapped-backup-vault \ --region us-east-1 \ --backup-vault-namesampleName\ --min-retention-days7\ --max-retention-days35\ --creator-request-id123456789012-34567-8901// optional
詳細を表示
以下のサンプル CLI コマンド DescribeBackupVault を変更して、ボールトに関する詳細を取得できます。
aws backup describe-backup-vault \ --region us-east-1 \ --backup-vault-nametestvaultname
共有
注記
アカウントを共有および共有管理できるのは、十分な IAM アクセス許可を持つアカウントだけです。
ユーザーがリソースを共有できるようにするサービスである AWS Resource Access Manager (RAM) を通じて、論理エアギャップボールトを共有できます。
AWS RAM は CLI コマンド を使用しますcreate-resource-share。このコマンドにアクセスできるのは、十分な許可を持つ管理者アカウントだけです。CLI の手順については、「AWS RAMでのリソース共有の作成」を参照してください。
ステップ 1~4 は、論理エアギャップボールトを所有するアカウントで行います。ステップ 5~8 は、論理エアギャップボールトを共有するアカウントで行います。
-
所有しているアカウントにログインするか、ソースアカウントにアクセスするための十分な認証情報を組織のユーザーに要求すると、次の手順は完了します。
-
リソース共有が以前に作成されており、それにリソースを追加する場合は、代わりに新しいボールトの ARN とともに CLI
associate-resource-shareを使用してください。
-
-
RAM 経由で共有するのに十分な許可を持つロールの認証情報を取得します。これらを CLI に入力します。
-
この手順にはアクセス許可
ram:CreateResourceShareが必要です。ポリシーAWSResourceAccessManagerFullAccessには、RAM 関連のアクセス許可がすべて含まれています。
-
-
を使用しますcreate-resource-share。
論理エアギャップボールトの ARN を含めます。
-
入力例:
aws ram create-resource-share \ --nameMyLogicallyAirGappedVault\ --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1\ --principals123456789012\ --region us-east-1出力例:
{ "resourceShare":{ "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543", "name":"MyLogicallyAirGappedVault", "owningAccountId":"123456789012", "allowExternalPrincipals":true, "status":"ACTIVE", "creationTime":"2021-09-14T20:42:40.266000-07:00", "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00" } }
-
出力内のリソース共有 ARN をコピーします (これは以降のステップで必要です)。共有の受け取りを招待するアカウントのオペレーターに ARN を渡します。
-
リソース共有 ARN を取得します
-
ステップ 1~4 を実行しなかった場合は、実行した resourceShareArn を取得します。
-
例:
arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543
-
CLI では、受取人のアカウントの認証情報を想定します。
-
「
get-resource-share-invitations」を使ってリソース共有の招待を取得します。詳細については、「AWS RAM ユーザーガイド」の「招待の承諾と拒否」を参照してください。 -
コピー先 (リカバリ) アカウントで招待を承諾します。
「
accept-resource-share-invitation」を使用します (「reject-resource-share-invitation」も可能です)。
リスト
CLI コマンド「ListBackupVaults」を変更して、アカウントが所有し、アカウント内に存在するすべてのボールトを一覧表示できます。
aws backup list-backup-vaults \ --region us-east-1
論理エアギャップボールトのみを一覧表示するには、以下のパラメーターを追加します
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
アカウントと共有されているボールトを一覧表示するには、お以下を使用します
aws backup list-backup-vaults \ --region us-east-1 \ --by-shared
[Copy] (コピー)
論理エアギャップボールトは、バックアップのコピージョブのターゲットにしかなれず、初期バックアップジョブのターゲットにはなれません。StartCopyJob を使用して、バックアップボールトにある既存のバックアップを、論理エアギャップボールトにコピーします。
論理エアギャップボールトへのコピージョブを作成するために使用するロールには、アクセス許可 kms:CreateGrant が含まれている必要があります。
CLI 入力のサンプル:
aws backup start-copy-job \ --region us-east-1 \ --recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567\ --source-backup-vault-namesourcevaultname\ --destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname\ --iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole
復元
論理エアギャップボールトからアカウントにバックアップが共有されたら、StartRestoreJob を使用してバックアップを復元できます。CLI 入力のサンプル:
aws backup start-restore-job \ --recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID\ --metadata {\"availabilityzone\":\"us-east-1d\"} \ --idempotency-tokenTokenNumber\ --resource-typeResourceType\ --iam-role arn:aws:iam::number:role/service-role/servicerole\ --region us-east-1
削除
以下のサンプル CLI コマンド「DeleteBackupVault」を変更して、ボールトを削除できます。ボールト を削除できるのは、ボールト内にバックアップ (復旧ポイント) がない場合のみです。
aws backup delete-backup-vault --region us-east-1 --backup-vault-nametestvaultname
プログラムによるその他のオプションには以下のものがあります。
