翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
複数の にわたる AWS Backup リソースの管理 AWS アカウント
注記
AWS アカウント の複数の にまたがるリソースを管理する前に AWS Backup、アカウントは AWS Organizations サービス内の同じ組織に属している必要があります。
のクロスアカウント管理機能を使用して、 で AWS アカウント 設定した 全体のバックアップ、復元、コピージョブ AWS Backup を管理およびモニタリングできます AWS Organizations。 AWS Organizationsは、単一の管理アカウント AWS アカウント から複数の のポリシーベースの管理を提供するサービスです。これにより、バックアップポリシーの実装方法を標準化し、手作業によるエラーと労力を同時に最小化することができます。一元的なビューから、関心のある条件を満たす、すべてのアカウントのリソースを簡単に識別できます。
をセットアップすると AWS Organizations、すべてのアカウントのアクティビティを 1 か所でモニタリング AWS Backup するように を設定できます。バックアップポリシーを作成して、組織の一部である選択したアカウントに適用し、 AWS Backup コンソールから直接集計バックアップジョブアクティビティを表示することもできます。この機能により、バックアップ管理者は、単一の管理アカウントから、企業全体の何百ものアカウントのバックアップジョブのステータスを効果的にモニタリングできます。AWS Organizations クォータが適用されます。
たとえば、特定のリソースのバックアップを毎日作成し、そのバックアップを 7 日間保持するバックアップポリシー A を定義するとします。バックアップポリシー A は組織全体に適用することを選択します。これにより、組織内の各アカウントにそのバックアップポリシーが適用され、そのアカウントに表示される、対応するバックアッププランが作成されます。次に、Finance という名前の OU を作成し、バックアップを 30 日間だけ保持することにしました。この場合、ライフサイクル値を上書きするバックアップポリシー B を定義し、その Finance OU にアタッチします。これにより、指定されたすべてのリソースのバックアップを毎日作成し、それを 30 日間保持する新しい有効なバックアッププランが、Finance OU のすべてのアカウントに適用されます。
この例では、バックアップポリシー A とバックアップポリシー B が単一のバックアップポリシーにマージされ、これにより Finance という名前の OU の下にあるすべてのアカウントの保護戦略が定義されます。組織内の他のすべてのアカウントは、バックアップポリシー A によってそのまま保護されます。マージは、同じバックアップ名を共有するバックアップポリシーに対してのみ行われます。また、ポリシー A とポリシー B をマージせずにそのアカウントに共存させることができます。高度なマージ演算子は、コンソールの JSON ビューでのみ使用できます。マージポリシーの詳細については、ポリシー、ポリシーの構文、およびポリシー継承の定義 ユーザーガイドの「AWS Organizations 」を参照してください。その他のリファレンスとユースケースについては、ブログ「 AWS Organizations を使用した での大規模なバックアップの管理 AWS Backup
クロスアカウント管理機能が利用できる場所については、AWS 「リージョン別の機能の可用性」を参照してください。
クロスアカウント管理を使用するには、次のステップを実行する必要があります。
-
で管理アカウントを作成し AWS Organizations 、管理アカウントの下にアカウントを追加します。
-
でクロスアカウント管理機能を有効にします AWS Backup。
-
AWS アカウント 管理アカウントのすべての に適用するバックアップポリシーを作成します。
注記
組織によって管理されるバックアッププランの場合、委任された管理者アカウントが 1 つ以上設定されていたとしても、管理アカウントでのリソースオプトイン設定がメンバーアカウントでの設定よりも優先されます。委任された管理者アカウントは、機能が強化されたメンバーアカウントであり、管理アカウントのように設定を上書きすることはできません。
-
すべての でバックアップ、復元、コピージョブを管理します AWS アカウント。
トピック
Organizations での管理アカウントの作成
まず、組織を作成し、 AWS のメンバーアカウントで設定する必要があります AWS Organizations。
で管理アカウントを作成し AWS Organizations 、アカウントを追加するには
-
手順については、AWS Organizations ユーザーガイドの「チュートリアル: 組織の作成と設定」を参照してください。
クロスアカウント管理の有効化
でクロスアカウント管理を使用する前に AWS Backup、この機能を有効にする (つまり、オプトインする) 必要があります。この機能を有効にすると、複数のアカウントの同時管理を自動化できるバックアップポリシーを作成できます。
クロスアカウント管理を有効にするには
-
https://console.aws.amazon.com/backup/
AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。 -
左側のナビゲーションペインで [設定] を選択して、クロスアカウント管理ページを開きます。
-
[バックアップポリシー] セクションで [有効] を選択します。
これにより、すべてのアカウントにアクセスでき、組織内の複数のアカウントの同時管理を自動化するためのポリシーを作成できます。
-
[クロスアカウントモニタリング] セクションで、[有効にする] を選択します。
これにより、組織内のすべてのアカウントのバックアップ、コピー、および復元アクティビティを管理アカウントからモニタリングできます。
委任管理者
委任管理は、登録されたメンバーアカウントの割り当てられたユーザーがほとんどの AWS Backup 管理タスクを実行するのに便利な方法を提供します。の管理を AWS Backup のメンバーアカウントに委任することを選択できます。これにより AWS Organizations、管理アカウントの外部 AWS Backup から組織全体で を管理する機能を拡張できます。
デフォルトでは、管理アカウントはポリシーの編集と管理に使用されるアカウントになっています。委任された管理者機能を使用すると、これらの管理機能を、指定したメンバーアカウントに委任できます。また、これらのアカウントは、管理アカウントに加えてポリシーも管理できます。
メンバーアカウントが委任された管理用に正常に登録されると、そのメンバーアカウントは委任された管理者アカウントになります。委任された管理者として指定されるのはユーザーではなくアカウントであることに注意してください。
委任された管理者アカウントを有効にすると、バックアップポリシーを管理できるようになり、管理アカウントにアクセスできるユーザーの数が最小限に抑えられ、ジョブのクロスアカウントモニタリングができるようになります。
以下は、管理アカウント、バックアップ管理者として委任されたアカウント、および AWS 組織内のメンバーであるアカウントの機能を示す表です。
注記
委任された管理者アカウントは機能が強化されたメンバーアカウントですが、管理アカウントのように他のメンバーアカウントのサービスのオプトイン設定を上書きすることはできません。
| 権限 | 管理アカウント | 委任された管理者 | メンバーアカウント |
|---|---|---|---|
| 委任された管理者アカウントの登録/登録解除 | はい | いいえ | いいえ |
| のアカウント間でバックアップポリシーを管理する AWS Organizations | はい | はい | いいえ |
| ジョブのクロスアカウントモニタリング | はい | はい | いいえ |
前提条件
バックアップ管理を委任する前に、まず AWS 組織内の少なくとも 1 つのメンバーアカウントを委任管理者 として登録する必要があります。アカウントを委任された管理者として登録するには、まず、以下を設定する必要があります。
AWS Organizations は、デフォルトの管理アカウントに加えて、少なくとも 1 つのメンバーアカウントで有効化および設定する必要があります。
-
AWS Backup コンソールで、バックアップポリシー 、クロスアカウントモニタリング 、およびクロスアカウントバックアップ機能が有効になっていることを確認します。これらは、 AWS Backup コンソールの委任管理者ペインの下にあります。
-
クロスアカウントモニタリングでは、管理アカウントと委任された管理者アカウントの両方から、組織内のすべてのアカウントのバックアップアクティビティをモニタリングできます。
-
オプション: クロスアカウントバックアップ。組織内のアカウントがバックアップを他のアカウント (バックアップがサポートするクロスアカウントリソース用) にコピーできるようにします。
-
でサービスアクセスを有効にします AWS Backup。
-
委任された管理の設定には 2 つのステップがあります。最初のステップは、ジョブのクロスアカウントモニタリングを委任することです。2 つ目のステップは、バックアップポリシー管理を委任することです。
委任された管理者のアカウントとしてのメンバーアカウントの登録
これは最初のセクションです。 AWS Backup コンソールを使用して委任管理者アカウントを登録し、クロスアカウントジョブをモニタリングします。 AWS Backup ポリシーを委任するには、次のセクションで Organizations コンソールを使用します。
AWS Backup コンソールを使用してメンバーアカウントを登録するには:
-
https://console.aws.amazon.com/backup/
AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。 コンソールの左側のナビゲーションにある [マイアカウント] で [設定] を選択します。
[委任された管理者] ペインで、[委任された管理者を登録] または [委任された管理者を追加] をクリックします。
[委任された管理者を登録] ページで、登録するアカウントを選択し、[アカウントを登録] を選択します。
これで、この指定されたアカウントが、委任された管理者として登録され、組織内のアカウント全体のジョブのモニタリングと、ポリシーの表示および編集 (ポリシー委任) を行うことができる管理者権限が付与されます。このメンバーアカウントは、他の委任された管理者のアカウントの登録や登録解除はできません。コンソールを使用して、委任された管理者として最大 5 つのアカウントを登録できます。
メンバーアカウントをプログラムで登録するには:
register-delegated-administrator CLI コマンドを使用します。CLI リクエストでは、次のパラメータを指定できます。
service-principalaccount-id
以下は、メンバーアカウントをプログラムで登録する CLI リクエストの例です。
aws organizations register-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
メンバーアカウントの登録解除
委任された管理者として以前に指定された AWS 組織内のメンバーアカウントを登録解除 AWS Backup して、 から管理アクセスを削除するには、次の手順に従います。
コンソールを使用してメンバーの登録を解除するには
-
https://console.aws.amazon.com/backup/
AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。 コンソールの左側のナビゲーションにある [マイアカウント] で [設定] を選択します。
[委任された管理者] セクションで、[アカウントの登録を解除] をクリックします。
登録解除するアカウントを選択します。
[アカウントの登録を解除] ダイアログボックスで、セキュリティ上の影響を確認し、「
confirm」と入力して登録解除を完了します。[
Deregister account] を選択します。
メンバーアカウントをプログラムで登録解除するには:
deregister-delegated-administrator CLI コマンドを使用して、委任された管理者のアカウントの登録を解除します。API リクエストでは、次のパラメータを指定できます。
service-principalaccount-id
以下は、メンバーアカウントをプログラムで登録解除する CLI リクエストの例です。
aws organizations deregister-delegated-administrator \ --account-id 012345678912 \ --service-principal "backup.amazonaws.com"
による AWS Backup ポリシーの委任 AWS Organizations
AWS Organizations コンソール内では、バックアップポリシーを含む複数のポリシーの管理を委任できます。
AWS Organizations コンソール
バックアップポリシーの作成
クロスアカウント管理を有効にした後で、管理アカウントからクロスアカウントのバックアップポリシーを作成します。
警告
JSON を使用してポリシーを作成すると、重複するキー名は拒否されます。複数のプラン、ルール、または選択が 1 つのポリシーに含まれている場合、各キーの名前は一意である必要があります。
AWS Backup コンソールからバックアップポリシーを作成する
-
左のナビゲーションペインで、[バックアップポリシー] を選択します。[バックアップポリシー] ページで、[バックアップポリシーの作成] を選択します。
-
[詳細] セクションで、バックアップポリシー名を入力し、説明を入力します。
-
[バックアッププランの詳細] セクションで、[ビジュアルエディタ] タブを選択し、次の操作を行います。
-
[バックアッププラン名] に名前を入力します。
-
[リージョン] でリストからリージョンを選択します。
-
-
[バックアップルールの設定] セクションで、[バックアップルールの追加] を選択します。
バックアッププランあたりのルールの最大数は 10 です。プランに 10 を超えるルールが含まれている場合、バックアッププランは無視され、バックアップは作成されません。
-
[ルール名] にルールの名前を入力します。ルール名では大文字と小文字が区別され、英数字またはハイフンのみを使用できます。
-
[スケジュール] の [頻度] リストでバックアップ頻度を選択し、[バックアップウィンドウ] のいずれかのオプションを選択します。[バックアップウィンドウのデフォルトを使用 — 推奨] を選択することをお勧めします。
-
-
[ライフサイクル] で、必要なライフサイクル設定を選択します。
-
[バックアップボールト名] に名前を入力します。これは、バックアップによって作成されたリカバリポイントが保存されるバックアップボールトです。
バックアップボールトがすべての accounts. AWS Backup doesn't check for this に存在することを確認してください。
-
(オプション) バックアップを別の にコピーする場合は、リストから送信先リージョンを選択し AWS リージョン、タグを追加します。クロスリージョンコピーの設定に関係なく、作成されるリカバリポイントのタグを選択できます。ルールを追加することもできます。
-
「リソース割り当て」セクションで、 AWS Identity and Access Management (IAM) ロールの名前を指定します。 AWS Backup サービスロールを使用するには、 を指定します
service-role/AWSBackupDefaultServiceRole。AWS Backup は、各アカウントでこのロールを引き受け、必要に応じて暗号化キーのアクセス許可を含むバックアップジョブとコピージョブを実行するアクセス許可を取得します。 AWS Backup は、このロールを使用してライフサイクルの削除も実行します。
注記
AWS Backup は、ロールが存在するかどうか、またはロールを引き受けることができるかどうかを検証しません。
クロスアカウント管理によって作成されたバックアッププランの場合、 AWS Backup は管理アカウントのオプトイン設定を使用し、特定のアカウントの設定を上書きします。
バックアップポリシーを追加するアカウントごとに、ボールトと IAM ロールを自分で作成する必要があります。
-
タグを追加して、バックアップするリソースを選択します。許可されるタグの最大数は 30 です。
AWS Organizations ポリシーでは、バックアッププランが Organizations ポリシーを介して作成されている場合、最大 30 個のタグを指定できます。複数のリソース割り当てを利用するか、複数のバックアッププランをエンゲージすることで、追加のタグを含めることができます。
既存の選択を変更するか、 を使用して、同じバックアップ選択でタグの数が 30 を超える場合
@@append、バックアッププランは無効になり、ローカルアカウントから削除されます。 -
バックアップするリソースが、Amazon EC2 インスタンスで Microsoft Windows を実行している場合は、[詳細設定] セクションで [Windows VSS] を選択します。これにより、アプリケーション整合性のある Windows VSS バックアップを実行できます。
注記
AWS Backup は現在、Amazon EC2 でのみ実行されているリソースのアプリケーション整合性のあるバックアップをサポートしています。Windows VSS バックアップでは、すべてのインスタンスタイプまたはアプリケーションがサポートされているわけではありません。詳細については、「Windows VSS バックアップの作成」を参照してください。
-
[バックアッププランの追加] を選択してポリシーに追加し、[バックアップポリシーの作成] を選択します。
バックアップポリシーを作成しても、アカウントにアタッチするまでリソースは保護されません。ポリシー名を選択し、詳細を確認できます。
バックアッププランを作成する AWS Organizations ポリシーの例を次に示します。Windows VSS バックアップを有効にする場合は、
advanced_backup_settingsポリシーセクションで示しているように、アプリケーション整合性のとれたバックアップを実行できるアクセス権限を追加する必要があります。{ "plans": { "PiiBackupPlan": { "regions": { "@@append":[ "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "complete_backup_window_minutes": { "@@assign": "604800" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "recovery_point_tags": { "owner": { "tag_key": { "@@assign": "Owner" }, "tag_value": { "@@assign": "Backup" } } }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" }, "lifecycle": { "delete_after_days": { "@@assign": "365" }, "move_to_cold_storage_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "SelectionDataType": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "backup_plan_tags": { "stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": "Beta" } } } } } } -
[ターゲット] セクションで、ポリシーをアタッチする組織単位またはアカウントを選択し、[アタッチ] を選択します。ポリシーは、個々の組織単位またはアカウントに追加することもできます。
注記
ポリシーを検証し、必ずすべての必須フィールドをポリシーに含めるようにしてください。ポリシーの一部が有効でない場合、 AWS Backup はそれらの部分を無視しますが、ポリシーの有効な部分は想定どおりに機能します。現在、 AWS Backup は AWS Organizations ポリシーの正確性を検証しません。
管理アカウントに 1 つのポリシーを、メンバーアカウントに 1 つのポリシーを適用し、それらのポリシーが競合する場合 (たとえば、バックアップ保持期間が異なる) 場合、両方のポリシーは問題なく実行されます (つまり、ポリシーは各アカウントに対して個別に実行されます)。たとえば、管理アカウントポリシーが 1 日に 1 回 Amazon EBS ボリュームをバックアップし、ローカルポリシーが EBS ボリュームを週に 1 回バックアップする場合、両方のポリシーが実行されます。
(異なるポリシー間のマージなどの理由で) アカウントに適用される有効なポリシーに必須フィールドがない場合、 AWS Backup ポリシーはアカウントに適用されません。一部の設定が有効でない場合は、 によって AWS Backup 調整されます。
バックアップポリシーから作成されたバックアッププランのメンバーアカウントのオプトイン設定にかかわらず、 AWS Backup は組織の管理アカウントで指定されたオプトイン設定を使用します。
組織単位にポリシーをアタッチすると、この組織単位に参加するすべてのアカウントがこのポリシーを自動的に取得し、組織単位から削除されたすべてのアカウントはこのポリシーを失います。対応するバックアッププランは、そのアカウントから自動的に削除されます。
複数の AWS アカウントでのアクティビティのモニタリング
アカウント間でバックアップ、コピー、および復元ジョブをモニタリングするには、クロスアカウントのモニタリングを有効にする必要があります。これにより、組織の管理アカウントからすべてのアカウントのバックアップアクティビティをモニタリングできます。オプトイン後は、オプトイン後に作成された組織全体のすべてのジョブが表示されます。オプトアウトすると、 AWS Backup はジョブを集約ビューに (終了状態に達してから) 30 日間保持します。オプトアウト後に作成されたジョブは表示されず、新しく作成されたバックアップジョブも表示されません。オプトイン手順については、「クロスアカウント管理の有効化」を参照してください。
複数のアカウントをモニタリングするには
-
https://console.aws.amazon.com/backup/
AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。 -
左側のナビゲーションペインで [設定] を選択して、クロスアカウント管理ページを開きます。
-
[クロスアカウントモニタリング] セクションで、[有効にする] を選択します。
これにより、組織内のすべてのアカウントのバックアップおよび復元アクティビティを管理アカウントからモニタリングできます。
-
左のナビゲーションペインで、[クロスアカウントのモニタリング] を選択します。
-
[クロスアカウントのモニタリング] ページで、[バックアップジョブ]、[復元ジョブ]、または [コピージョブ] タブを選択して、すべてのアカウントで作成されたすべてのジョブを表示します。これらの各ジョブは AWS アカウント ID ごとに表示でき、特定のアカウントのすべてのジョブを表示できます。
-
検索ボックスでは、アカウント ID、ステータス、またはジョブ ID でジョブをフィルタリングできます。
たとえば、[バックアップジョブ] タブを選択すると、すべてのアカウントで作成されたすべてのバックアップジョブを表示できます。アカウント ID でリストをフィルタリングし、そのアカウントで作成されたすべてのバックアップジョブを表示できます。
リソースのオプトインルール
メンバーアカウントのバックアッププランが Organizations レベルのバックアップポリシーによって作成された場合、Organizations 管理アカウントの AWS Backup オプトイン設定は、そのメンバーアカウントのオプトイン設定を上書きしますが、そのバックアッププランに対してのみ上書きされます。
メンバーアカウントにユーザーが作成したローカルレベルのバックアッププランがある場合、これらのバックアッププランは Organizations 管理アカウントのオプトイン設定を参照せずに、メンバーアカウントのオプトイン設定に従います。
ポリシー、ポリシーの構文、およびポリシー継承の定義
以下のトピックは、 AWS Organizations ユーザーガイド に記載されています。
-
バックアップポリシー – 「バックアップポリシー」を参照してください。
-
ポリシーの構文 – 「バックアップポリシーの構文と例」を参照してください。
-
管理ポリシータイプの継承 – 「管理ポリシータイプの継承」を参照してください。
