翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Backup 複数のリソースを管理 AWS アカウント
注記
AWS アカウント マルチインにまたがるリソースを管理する前に AWS Backup、 AWS Organizations アカウントはサービス内の同じ組織に属している必要があります。
のクロスアカウント管理機能を使用すると、 AWS アカウント で設定した複数のバックアップ、復元、コピーのジョブを管理および監視できます。 AWS Backup AWS OrganizationsAWS Organizationsは、1 AWS アカウント つの管理アカウントから複数のアカウントをポリシーベースで管理できるサービスです。これにより、バックアップポリシーの実装方法を標準化し、手作業によるエラーと労力を同時に最小化することができます。一元的なビューから、関心のある条件を満たす、すべてのアカウントのリソースを簡単に識別できます。
設定すると AWS Organizations、すべてのアカウントのアクティビティを 1 AWS Backup か所で監視するように設定できます。また、バックアップポリシーを作成して組織内の特定のアカウントに適用し、 AWS Backup バックアップジョブのアクティビティの集計をコンソールから直接表示することもできます。この機能により、バックアップ管理者は、単一の管理アカウントから、企業全体の何百ものアカウントのバックアップジョブのステータスを効果的にモニタリングできます。AWS Organizations クォータが適用されます。
たとえば、特定のリソースのバックアップを毎日作成し、そのバックアップを 7 日間保持するバックアップポリシー A を定義するとします。バックアップポリシー A は組織全体に適用することを選択します。これにより、組織内の各アカウントにそのバックアップポリシーが適用され、そのアカウントに表示される、対応するバックアッププランが作成されます。次に、Finance という名前の OU を作成し、バックアップを 30 日間だけ保持することにしました。この場合、ライフサイクル値を上書きするバックアップポリシー B を定義し、その Finance OU にアタッチします。これにより、指定されたすべてのリソースのバックアップを毎日作成し、それを 30 日間保持する新しい有効なバックアッププランが、Finance OU のすべてのアカウントに適用されます。
この例では、バックアップポリシー A とバックアップポリシー B が単一のバックアップポリシーにマージされ、これにより Finance という名前の OU の下にあるすべてのアカウントの保護戦略が定義されます。組織内の他のすべてのアカウントは、バックアップポリシー A によってそのまま保護されます。マージは、同じバックアップ名を共有するバックアップポリシーに対してのみ行われます。また、ポリシー A とポリシー B をマージせずにそのアカウントに共存させることができます。高度なマージ演算子は、コンソールの JSON ビューでのみ使用できます。マージポリシーの詳細については、ポリシー、ポリシーの構文、およびポリシー継承の定義 ユーザーガイドの「AWS Organizations 」を参照してください。その他の参考資料や使用事例については、ブログ「使用中の大規模なバックアップ管理」 AWS Backupと、ビデオチュートリアル「 AWS Organizations使用環境における大規模なバックアップ管理
AWS クロスアカウント管理機能が利用できる地域については、「地域別の機能の提供状況」をご覧ください。
クロスアカウント管理を使用するには、次のステップを実行する必要があります。
-
で管理アカウントを作成し AWS Organizations 、その管理アカウントにアカウントを追加します。
-
でクロスアカウント管理機能を有効にします。 AWS Backup
-
AWS アカウント 管理アカウントのすべてのユーザーに適用するバックアップポリシーを作成します。
注記
組織によって管理されるバックアッププランの場合、委任された管理者アカウントが 1 つ以上設定されていたとしても、管理アカウントでのリソースオプトイン設定がメンバーアカウントでの設定よりも優先されます。委任された管理者アカウントは、機能が強化されたメンバーアカウントであり、管理アカウントのように設定を上書きすることはできません。
-
すべてのバックアップ、復元、コピーのジョブを管理できます AWS アカウント。
トピック
Organizations での管理アカウントの作成
まず、組織を作成し、 AWS メンバーアカウントを設定する必要があります AWS Organizations。
AWS Organizations で管理アカウントを作成し、アカウントを追加するには
-
手順については、AWS Organizations ユーザーガイドの「チュートリアル: 組織の作成と設定」を参照してください。
クロスアカウント管理の有効化
でクロスアカウント管理を使用するには AWS Backup、この機能を有効にする (つまり、オプトインする) 必要があります。この機能を有効にすると、複数のアカウントの同時管理を自動化できるバックアップポリシーを作成できます。
クロスアカウント管理を有効にするには
-
AWS Backup コンソール https://console.aws.amazon.com/backup/
で開いてください。管理アカウントの認証情報を使用してサインインします。 -
左側のナビゲーションペインで [設定] を選択して、クロスアカウント管理ページを開きます。
-
[バックアップポリシー] セクションで [有効] を選択します。
これにより、すべてのアカウントにアクセスでき、組織内の複数のアカウントの同時管理を自動化するためのポリシーを作成できます。
-
[クロスアカウントモニタリング] セクションで、[有効にする] を選択します。
これにより、組織内のすべてのアカウントのバックアップ、コピー、および復元アクティビティを管理アカウントからモニタリングできます。
委任管理者
委任管理により、登録メンバーアカウントに割り当てられたユーザーは、 AWS Backup ほとんどの管理タスクを簡単に実行できます。の管理をメンバーアカウントに委任できるため AWS Organizations、 AWS Backup 管理アカウント外や組織全体から管理できるようになります。 AWS Backup
デフォルトでは、管理アカウントはポリシーの編集と管理に使用されるアカウントになっています。委任された管理者機能を使用すると、これらの管理機能を、指定したメンバーアカウントに委任できます。また、これらのアカウントは、管理アカウントに加えてポリシーも管理できます。
メンバーアカウントが委任された管理用に正常に登録されると、そのメンバーアカウントは委任された管理者アカウントになります。委任された管理者として指定されるのはユーザーではなくアカウントであることに注意してください。
委任された管理者アカウントを有効にすると、バックアップポリシーを管理できるようになり、管理アカウントにアクセスできるユーザーの数が最小限に抑えられ、ジョブのクロスアカウントモニタリングができるようになります。
次の表は、管理アカウント、Backup 管理者として委任されたアカウント、 AWS および組織内のメンバーであるアカウントの機能を示しています。
注記
委任された管理者アカウントは機能が強化されたメンバーアカウントですが、管理アカウントのように他のメンバーアカウントのサービスのオプトイン設定を上書きすることはできません。
権限 | 管理アカウント | 委任された管理者 | メンバーアカウント |
---|---|---|---|
委任された管理者アカウントの登録/登録解除 | はい | いいえ | [いいえ] |
のアカウント全体のバックアップポリシーを管理します。 AWS Organizations | はい | はい | いいえ |
ジョブのクロスアカウントモニタリング | はい | はい | いいえ |
前提条件
バックアップ管理を委任する前に、 AWS まず組織内の少なくとも 1 つのメンバーアカウントを委任管理者として登録する必要があります。アカウントを委任された管理者として登録するには、まず、以下を設定する必要があります。
AWS Organizations 既定の管理アカウントに加えて、少なくとも 1 つのメンバーアカウントを有効にして設定する必要があります。
-
AWS Backup コンソールで、バックアップポリシー、クロスアカウント監視、クロスアカウントバックアップ機能がオンになっていることを確認します。これらはコンソールの [委任管理者] ペインの下にあります。 AWS Backup
-
クロスアカウントモニタリングでは、管理アカウントと委任された管理者アカウントの両方から、組織内のすべてのアカウントのバックアップアクティビティをモニタリングできます。
-
オプション: クロスアカウントバックアップにより、組織内のアカウントが (バックアップがサポートされているクロスアカウントリソース用に) 他のアカウントにバックアップをコピーできます。
-
委任された管理の設定には 2 つのステップがあります。最初のステップは、ジョブのクロスアカウントモニタリングを委任することです。2 つ目のステップは、バックアップポリシー管理を委任することです。
委任された管理者のアカウントとしてのメンバーアカウントの登録
最初のセクションは、 AWS Backup コンソールを使用して委任された管理者アカウントを登録し、クロスアカウントジョブを監視することです。 AWS Backup ポリシーを委任するには、次のセクションのOrganizations コンソールを使用します。
AWS Backup コンソールを使用してメンバーアカウントを登録するには:
-
AWS Backup コンソール https://console.aws.amazon.com/backup/
で開きます。管理アカウントの認証情報を使用してサインインします。 コンソールの左側のナビゲーションにある [マイアカウント] で [設定] を選択します。
[委任された管理者] ペインで、[委任された管理者を登録] または [委任された管理者を追加] をクリックします。
[委任された管理者を登録] ページで、登録するアカウントを選択し、[アカウントを登録] を選択します。
これで、この指定されたアカウントが、委任された管理者として登録され、組織内のアカウント全体のジョブのモニタリングと、ポリシーの表示および編集 (ポリシー委任) を行うことができる管理者権限が付与されます。このメンバーアカウントは、他の委任された管理者のアカウントの登録や登録解除はできません。コンソールを使用して、委任された管理者として最大 5 つのアカウントを登録できます。
メンバーアカウントをプログラムで登録するには:
register-delegated-administrator
CLI コマンドを使用します。CLI リクエストでは、次のパラメータを指定できます。
service-principal
account-id
以下は、メンバーアカウントをプログラムで登録する CLI リクエストの例です。
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
メンバーアカウントの登録解除
以下の手順に従って、 AWS Backup AWS 以前に委任管理者として指定されていた組織のメンバーアカウントの登録を解除して管理者アクセスを削除します。
コンソールを使用してメンバーの登録を解除するには
-
https://console.aws.amazon.com/backup/ で開いてください。 AWS Backup コンソール
管理アカウントの認証情報を使用してサインインします。 コンソールの左側のナビゲーションにある [マイアカウント] で [設定] を選択します。
[委任された管理者] セクションで、[アカウントの登録を解除] をクリックします。
登録解除するアカウントを選択します。
[アカウントの登録を解除] ダイアログボックスで、セキュリティ上の影響を確認し、「
confirm
」と入力して登録解除を完了します。[
Deregister account
] を選択します。
メンバーアカウントをプログラムで登録解除するには:
deregister-delegated-administrator
CLI コマンドを使用して、委任された管理者のアカウントの登録を解除します。API リクエストでは、次のパラメータを指定できます。
service-principal
account-id
以下は、メンバーアカウントをプログラムで登録解除する CLI リクエストの例です。
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
AWS Backup 以下の方法でポリシーを委任してください。 AWS Organizations
AWS Organizations コンソールでは、Backup ポリシーを含む複数のポリシーの管理を委任できます。
AWS Organizations コンソール
バックアップポリシーの作成
クロスアカウント管理を有効にした後で、管理アカウントからクロスアカウントのバックアップポリシーを作成します。
バックアップポリシーを作成するには
-
左のナビゲーションペインで、[バックアップポリシー] を選択します。[バックアップポリシー] ページで、[バックアップポリシーの作成] を選択します。
-
[詳細] セクションで、バックアップポリシー名を入力し、説明を入力します。
-
[バックアッププランの詳細] セクションで、[ビジュアルエディタ] タブを選択し、次の操作を行います。
-
[バックアッププラン名] に名前を入力します。
-
[リージョン] でリストからリージョンを選択します。
-
-
[バックアップルールの設定] セクションで、[バックアップルールの追加] を選択します。
-
[ルール名] にルールの名前を入力します。ルール名では大文字と小文字が区別され、英数字またはハイフンのみを使用できます。
-
[スケジュール] の [頻度] リストでバックアップ頻度を選択し、[バックアップウィンドウ] のいずれかのオプションを選択します。[バックアップウィンドウのデフォルトを使用 — 推奨] を選択することをお勧めします。
-
-
[ライフサイクル] で、必要なライフサイクル設定を選択します。
-
[バックアップボールト名] に名前を入力します。これは、バックアップによって作成されたリカバリポイントが保存されるバックアップボールトです。
バックアップ保管庫がすべてのアカウントに存在することを確認してください。 AWS Backup このチェックは行いません。
-
(オプション) バックアップを別のリージョンにコピーしたい場合はリストからコピー先のリージョンを選び AWS リージョン、タグを追加します。クロスリージョンコピーの設定に関係なく、作成されるリカバリポイントのタグを選択できます。ルールを追加することもできます。
-
「リソース割り当て」セクションで、 AWS Identity and Access Management (IAM) ロールの名前を入力します。 AWS Backup サービスロールを使用するには、を指定します
service-role/AWSBackupDefaultServiceRole
。AWS Backup は、各アカウントでこの役割を引き受け、該当する場合は暗号化キー権限を含め、バックアップジョブとコピージョブを実行する権限を取得します。 AWS Backup また、このロールを使用してライフサイクル削除を実行します。
注記
AWS Backup そのロールが存在することや、そのロールを引き受けることができるかどうかは検証されません。
クロスアカウント管理によって作成されたバックアッププランでは、 AWS Backup 管理アカウントのオプトイン設定を使用し、特定のアカウントの設定よりも優先されます。
バックアップポリシーを追加するアカウントごとに、ボールトと IAM ロールを自分で作成する必要があります。
-
必要に応じて、バックアッププランにタグを追加します。許可されているタグの最大数は 20 です。
-
バックアップするリソースが、Amazon EC2 インスタンスで Microsoft Windows を実行している場合は、[詳細設定] セクションで [Windows VSS] を選択します。これにより、アプリケーション整合性のある Windows VSS バックアップを実行できます。
注記
AWS Backup 現在、Amazon EC2 で実行されているリソースのアプリケーションと整合性のあるバックアップのみをサポートしています。Windows VSS バックアップでは、すべてのインスタンスタイプまたはアプリケーションがサポートされているわけではありません。詳細については、「Windows VSS バックアップの作成」を参照してください。
注記
AWS Organizations ポリシーでは、Organizations ポリシーを使用してバックアップ計画を作成した場合、最大20個のタグを指定できます。複数のリソース割り当てを利用するか、JSON を通じて複数のバックアッププランを利用することで、タグを追加できます。
-
[バックアッププランの追加] を選択してポリシーに追加し、[バックアップポリシーの作成] を選択します。
バックアップポリシーを作成しても、アカウントにアタッチするまでリソースは保護されません。ポリシー名を選択し、詳細を確認できます。
以下は、 AWS Organizations バックアッププランを作成するポリシーの例です。Windows VSS バックアップを有効にする場合は、
advanced_backup_settings
ポリシーセクションで示しているように、アプリケーション整合性のとれたバックアップを実行できるアクセス権限を追加する必要があります。{ "plans": { "PiiBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } }
-
[ターゲット] セクションで、ポリシーをアタッチする組織単位またはアカウントを選択し、[アタッチ] を選択します。ポリシーは、個々の組織単位またはアカウントに追加することもできます。
注記
ポリシーを検証し、必ずすべての必須フィールドをポリシーに含めるようにしてください。ポリシーの一部が有効でない場合、 AWS Backup はそれらの部分を無視しますが、ポリシーの有効な部分は想定どおりに機能します。現在、 AWS Backup AWS Organizations ポリシーの正確性を検証していません。
管理アカウントに 1 つのポリシーを、メンバーアカウントに 1 つのポリシーを適用し、それらのポリシーが競合する場合 (たとえば、バックアップ保持期間が異なる) 場合、両方のポリシーは問題なく実行されます (つまり、ポリシーは各アカウントに対して個別に実行されます)。たとえば、管理アカウントポリシーが 1 日に 1 回 Amazon EBS ボリュームをバックアップし、ローカルポリシーが EBS ボリュームを週に 1 回バックアップする場合、両方のポリシーが実行されます。
(異なるポリシー間のマージなどの理由で) アカウントに適用される有効なポリシーに必須フィールドがない場合、 AWS Backup ポリシーはアカウントに適用されません。一部の設定が有効でない場合は、 AWS Backup それらを調整します。
バックアップポリシーから作成されたバックアッププランのメンバーアカウントのオプトイン設定にかかわらず、 AWS Backup 組織の管理アカウントで指定されているオプトイン設定を使用します。
組織単位にポリシーをアタッチすると、この組織単位に参加するすべてのアカウントがこのポリシーを自動的に取得し、組織単位から削除されたすべてのアカウントはこのポリシーを失います。対応するバックアッププランは、そのアカウントから自動的に削除されます。
複数の AWS アカウントでのアクティビティのモニタリング
アカウント間でバックアップ、コピー、および復元ジョブをモニタリングするには、クロスアカウントのモニタリングを有効にする必要があります。これにより、組織の管理アカウントからすべてのアカウントのバックアップアクティビティをモニタリングできます。オプトイン後は、オプトイン後に作成された組織全体のすべてのジョブが表示されます。オプトアウトすると、 AWS Backup はジョブを集約ビューに (終了状態に達してから) 30 日間保持します。オプトアウト後に作成されたジョブは表示されず、新しく作成されたバックアップジョブも表示されません。オプトイン手順については、「クロスアカウント管理の有効化」を参照してください。
複数のアカウントをモニタリングするには
-
https://console.aws.amazon.com/backup/ で開いてください AWS Backup コンソール 。
管理アカウントの認証情報を使用してサインインします。 -
左側のナビゲーションペインで [設定] を選択して、クロスアカウント管理ページを開きます。
-
[クロスアカウントモニタリング] セクションで、[有効にする] を選択します。
これにより、組織内のすべてのアカウントのバックアップおよび復元アクティビティを管理アカウントからモニタリングできます。
-
左のナビゲーションペインで、[クロスアカウントのモニタリング] を選択します。
-
[クロスアカウントのモニタリング] ページで、[バックアップジョブ]、[復元ジョブ]、または [コピージョブ] タブを選択して、すべてのアカウントで作成されたすべてのジョブを表示します。これらのジョブは AWS アカウント ID ごとに表示でき、特定のアカウントのすべてのジョブも表示できます。
-
検索ボックスでは、アカウント ID、ステータス、またはジョブ ID でジョブをフィルタリングできます。
たとえば、[バックアップジョブ] タブを選択すると、すべてのアカウントで作成されたすべてのバックアップジョブを表示できます。アカウント ID でリストをフィルタリングし、そのアカウントで作成されたすべてのバックアップジョブを表示できます。
リソースのオプトインルール
メンバーアカウントのバックアッププランがOrganizations レベルのバックアップポリシー (ID で始まるorgs-
) によって作成されている場合、Organizations AWS Backup 管理アカウントのオプトイン設定は、そのメンバーアカウントのオプトイン設定よりも優先されます。ただし、そのバックアッププランに限られます。
メンバーアカウントにユーザーが作成したローカルレベルのバックアッププランがある場合、これらのバックアッププランは Organizations 管理アカウントのオプトイン設定を参照せずに、メンバーアカウントのオプトイン設定に従います。
ポリシー、ポリシーの構文、およびポリシー継承の定義
以下のトピックはユーザーガイドに記載されています。 AWS Organizations
-
バックアップポリシー – 「バックアップポリシー」を参照してください。
-
ポリシーの構文 – 「バックアップポリシーの構文と例」を参照してください。
-
管理ポリシータイプの継承 – 「管理ポリシータイプの継承」を参照してください。