複数の AWS Backup リソースの管理 AWS アカウント - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

複数の AWS Backup リソースの管理 AWS アカウント

注記

AWS アカウント で複数のリソースを管理する前に AWS Backup、アカウントは AWS Organizations サービス内の同じ組織に属している必要があります。

のクロスアカウント管理機能を使用して、 で AWS アカウント 設定した 全体のバックアップ、復元、コピージョブ AWS Backup を管理およびモニタリングできます AWS Organizations。 AWS Organizationsは、単一の管理アカウント AWS アカウント から複数の に対してポリシーベースの管理を提供するサービスです。これにより、バックアップポリシーの実装方法を標準化し、手作業によるエラーと労力を同時に最小化することができます。一元的なビューから、関心のある条件を満たす、すべてのアカウントのリソースを簡単に識別できます。

をセットアップすると AWS Organizations、すべてのアカウントのアクティビティを 1 か所でモニタリング AWS Backup するように を設定できます。また、バックアップポリシーを作成して、組織の一部である選択したアカウントに適用し、 AWS Backup コンソールから直接集計バックアップジョブアクティビティを表示することもできます。この機能により、バックアップ管理者は、単一の管理アカウントから、企業全体の何百ものアカウントのバックアップジョブのステータスを効果的にモニタリングできます。AWS Organizations クォータが適用されます。

たとえば、特定のリソースのバックアップを毎日作成し、そのバックアップを 7 日間保持するバックアップポリシー A を定義するとします。バックアップポリシー A は組織全体に適用することを選択します。これにより、組織内の各アカウントにそのバックアップポリシーが適用され、そのアカウントに表示される、対応するバックアッププランが作成されます。次に、Finance という名前の OU を作成し、バックアップを 30 日間だけ保持することにしました。この場合、ライフサイクル値を上書きするバックアップポリシー B を定義し、その Finance OU にアタッチします。これにより、指定されたすべてのリソースのバックアップを毎日作成し、それを 30 日間保持する新しい有効なバックアッププランが、Finance OU のすべてのアカウントに適用されます。

この例では、バックアップポリシー A とバックアップポリシー B が単一のバックアップポリシーにマージされ、これにより Finance という名前の OU の下にあるすべてのアカウントの保護戦略が定義されます。組織内の他のすべてのアカウントは、バックアップポリシー A によってそのまま保護されます。マージは、同じバックアップ名を共有するバックアップポリシーに対してのみ行われます。また、ポリシー A とポリシー B をマージせずにそのアカウントに共存させることができます。高度なマージ演算子は、コンソールのJSONビューでのみ使用できます。マージポリシーの詳細については、ポリシー、ポリシーの構文、およびポリシー継承の定義 ユーザーガイドの「AWS Organizations 」を参照してください。その他のリファレンスとユースケースについては、ブログ「 AWS Organizations を使用した大規模なバックアップの管理 AWS Backup」と「 AWS Organizations を使用した大規模なバックアップの管理 AWS Backup」のビデオチュートリアルを参照してください。

クロスアカウント管理機能が利用可能な場所については、AWS リージョン別の機能の可用性を参照してください。

クロスアカウント管理を使用するには、次のステップを実行する必要があります。

  1. で管理アカウントを作成し AWS Organizations 、管理アカウントの下にアカウントを追加します。

  2. でクロスアカウント管理機能を有効にします AWS Backup。

  3. 管理アカウントの AWS アカウント すべての に適用するバックアップポリシーを作成します。

    注記

    組織によって管理されるバックアッププランの場合、委任された管理者アカウントが 1 つ以上設定されていたとしても、管理アカウントでのリソースオプトイン設定がメンバーアカウントでの設定よりも優先されます。委任された管理者アカウントは、機能が強化されたメンバーアカウントであり、管理アカウントのように設定を上書きすることはできません。

  4. すべての のバックアップ、復元、コピージョブを管理します AWS アカウント。

Organizations での管理アカウントの作成

まず、組織を作成し、 AWS のメンバーアカウントで設定する必要があります AWS Organizations。

で管理アカウントを作成し AWS Organizations 、アカウントを追加するには

クロスアカウント管理の有効化

でクロスアカウント管理を使用する前に AWS Backup、管理アカウントが機能を有効にする (つまり、オプトイン) 必要があります。管理アカウントがクロスアカウント管理を有効にしたら、複数のアカウントのリソースを管理するバックアップポリシーを作成できます。

クロスアカウント管理を有効にするには
  1. AWS Backup コンソール で を開きますhttps://console.aws.amazon.com/backup/。管理アカウントの認証情報を使用してサインインします。

  2. 左側のナビゲーションペインで [設定] を選択して、クロスアカウント管理ページを開きます。

  3. [バックアップポリシー] セクションで [有効] を選択します。

    これにより、すべてのアカウントにアクセスでき、組織内の複数のアカウントの同時管理を自動化するためのポリシーを作成できます。

  4. [クロスアカウントモニタリング] セクションで、[有効にする] を選択します。

    これにより、組織内のすべてのアカウントのバックアップ、コピー、および復元アクティビティを管理アカウントからモニタリングできます。

委任管理者

委任管理は、登録済みメンバーアカウントの割り当てられたユーザーがほとんどの AWS Backup 管理タスクを実行するための便利な方法です。の管理 AWS Backup を のメンバーアカウントに委任することを選択できます。これにより AWS Organizations、管理アカウントの外部 AWS Backup から組織全体で管理できるようになります。

デフォルトでは、管理アカウントはポリシーの編集と管理に使用されるアカウントになっています。委任された管理者機能を使用すると、これらの管理機能を、指定したメンバーアカウントに委任できます。また、これらのアカウントは、管理アカウントに加えてポリシーも管理できます。

メンバーアカウントが委任された管理用に正常に登録されると、そのメンバーアカウントは委任された管理者アカウントになります。委任された管理者として指定されるのはユーザーではなくアカウントであることに注意してください。

委任された管理者アカウントを有効にすると、バックアップポリシーを管理できるようになり、管理アカウントにアクセスできるユーザーの数が最小限に抑えられ、ジョブのクロスアカウントモニタリングができるようになります。

以下は、管理アカウント、バックアップ管理者として委任されたアカウント、および AWS 組織内のメンバーであるアカウントの関数を示す表です。

注記

委任された管理者アカウントは機能が強化されたメンバーアカウントですが、管理アカウントのように他のメンバーアカウントのサービスのオプトイン設定を上書きすることはできません。

PRIVILEGES MANAGEMENT ACCOUNT DELEGATED ADMINISTRATOR MEMBER ACCOUNT
委任された管理者アカウントの登録/登録解除 可能 いいえ なし
クロスアカウント管理を有効にする 可能 いいえ なし
のアカウント間でバックアップポリシーを管理する AWS Organizations あり はい 不可
ジョブのクロスアカウントモニタリング あり はい 不可

前提条件

バックアップ管理を委任する前に、まず AWS 組織内の少なくとも 1 つのメンバーアカウントを委任管理者 として登録する必要があります。アカウントを委任された管理者として登録するには、まず、以下を設定する必要があります。

委任された管理の設定には 2 つのステップがあります。最初のステップは、ジョブのクロスアカウントモニタリングを委任することです。2 つ目のステップは、バックアップポリシー管理を委任することです。

委任された管理者のアカウントとしてのメンバーアカウントの登録

これは最初のセクションです。 AWS Backup コンソールを使用して委任された管理者アカウントを登録し、クロスアカウントジョブをモニタリングします。 AWS Backup ポリシーを委任するには、次のセクションの Organizations コンソールを使用します。

AWS Backup コンソールを使用してメンバーアカウントを登録するには:

  1. AWS Backup コンソール で を開きますhttps://console.aws.amazon.com/backup/。管理アカウントの認証情報を使用してサインインします。

  2. コンソールの左側のナビゲーションにある [マイアカウント][設定] を選択します。

  3. [委任された管理者] ペインで、[委任された管理者を登録] または [委任された管理者を追加] をクリックします。

  4. [委任された管理者を登録] ページで、登録するアカウントを選択し、[アカウントを登録] を選択します。

これで、この指定されたアカウントが、委任された管理者として登録され、組織内のアカウント全体のジョブのモニタリングと、ポリシーの表示および編集 (ポリシー委任) を行うことができる管理者権限が付与されます。このメンバーアカウントは、他の委任された管理者のアカウントの登録や登録解除はできません。コンソールを使用して、委任された管理者として最大 5 つのアカウントを登録できます。

委任された管理者に、 によって付与されたアクセス許可があることを確認しますAWSBackupOrganizationAdminAccess

メンバーアカウントをプログラムで登録するには:

CLI コマンド を使用しますregister-delegated-administrator。CLI リクエストで次のパラメータを指定できます。

  • service-principal

  • account-id

以下は、プログラムでメンバーアカウントを登録するCLIリクエストの例です。

aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"

メンバーアカウントの登録解除

以下の手順に従って、以前に委任管理者として指定された AWS 組織のメンバーアカウントを登録解除 AWS Backup して、 から管理アクセスを削除します。

コンソールを使用してメンバーの登録を解除するには

  1. AWS Backup コンソール で を開きますhttps://console.aws.amazon.com/backup/。管理アカウントの認証情報を使用してサインインします。

  2. コンソールの左側のナビゲーションにある [マイアカウント][設定] を選択します。

  3. [委任された管理者] セクションで、[アカウントの登録を解除] をクリックします。

  4. 登録解除するアカウントを選択します。

  5. [アカウントの登録を解除] ダイアログボックスで、セキュリティ上の影響を確認し、「confirm」と入力して登録解除を完了します。

  6. [Deregister account] を選択します。

メンバーアカウントをプログラムで登録解除するには:

CLI コマンドを使用してderegister-delegated-administrator、委任された管理者アカウントを登録解除します。API リクエストで次のパラメータを指定できます。

  • service-principal

  • account-id

以下は、プログラムでメンバーアカウントを登録解除するCLIリクエストの例です。

aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"

を通じて AWS Backup ポリシーを委任する AWS Organizations

AWS Organizations コンソール内では、バックアップポリシーを含む複数のポリシーの管理を委任できます。

AWS Organizations コンソールにログインした管理アカウントから、組織のリソースベースの委任ポリシーを作成、表示、または削除できます。ポリシーを委任する手順については、「AWS Organizations ユーザーガイド」の「リソースベースの委任ポリシーの作成」を参照してください。

バックアップポリシー

バックアッププランと のポリシー AWS Organizationsのスケーラビリティを組み合わせることで、組織全体の管理を簡素化するバックアップポリシーを作成できます。

組織のバックアップポリシーを有効にする方法の詳細については、AWS Organizations 「 ユーザーガイド」を参照してください。

ポリシーに含まれる要素の AWS Backup固有のクォータAWS Backup クォータについては、「」を参照してください。

複数の AWS アカウントでのアクティビティのモニタリング

アカウント間でバックアップ、コピー、および復元ジョブをモニタリングするには、クロスアカウントのモニタリングを有効にする必要があります。これにより、組織の管理アカウントからすべてのアカウントのバックアップアクティビティをモニタリングできます。オプトイン後は、オプトイン後に作成された組織全体のすべてのジョブが表示されます。オプトアウトすると、 AWS Backup はジョブを集約ビューに (終了状態に達してから) 30 日間保持します。オプトアウト後に作成されたジョブは表示されず、新しく作成されたバックアップジョブも表示されません。オプトイン手順については、「クロスアカウント管理の有効化」を参照してください。

複数のアカウントをモニタリングするには
  1. AWS Backup コンソール で を開きますhttps://console.aws.amazon.com/backup/。管理アカウントの認証情報を使用してサインインします。

  2. 左側のナビゲーションペインで [設定] を選択して、クロスアカウント管理ページを開きます。

  3. [クロスアカウントモニタリング] セクションで、[有効にする] を選択します。

    これにより、組織内のすべてのアカウントのバックアップおよび復元アクティビティを管理アカウントからモニタリングできます。

  4. 左のナビゲーションペインで、[クロスアカウントのモニタリング] を選択します。

  5. [クロスアカウントのモニタリング] ページで、[バックアップジョブ]、[復元ジョブ]、または [コピージョブ] タブを選択して、すべてのアカウントで作成されたすべてのジョブを表示します。これらのジョブは AWS アカウント ID ごとに表示でき、特定のアカウントのすべてのジョブを表示できます。

  6. 検索ボックスでは、アカウント IDステータス、またはジョブ ID でジョブをフィルタリングできます。

    たとえば、[バックアップジョブ] タブを選択すると、すべてのアカウントで作成されたすべてのバックアップジョブを表示できます。アカウント ID でリストをフィルタリングし、そのアカウントで作成されたすべてのバックアップジョブを表示できます。

リソースのオプトインルール

メンバーアカウントのバックアッププランが Organizations レベルのバックアップポリシーによって作成された場合、Organizations 管理アカウントの AWS Backup オプトイン設定は、そのメンバーアカウントのオプトイン設定を上書きしますが、そのバックアッププランに対してのみ上書きされます。

メンバーアカウントにユーザーが作成したローカルレベルのバックアッププランがある場合、これらのバックアッププランは Organizations 管理アカウントのオプトイン設定を参照せずに、メンバーアカウントのオプトイン設定に従います。

ポリシー、ポリシーの構文、およびポリシー継承の定義

以下のトピックについては、 AWS Organizations ユーザーガイド に記載されています。