復元テスト - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

復元テスト

が提供する機能である復元テスト は AWS Backup、復元の実行可能性の自動的かつ定期的な評価と、復元ジョブの所要時間をモニタリングする機能を提供します。

概要

まず、復元テストプランを作成します。復元テストプランには、プランの名前、復元テストの頻度、目標開始時間を指定します。次に、プランに含めるリソースを割り当てます。次に、test. AWS Backup backup に特定のリカバリポイントまたはランダムなリカバリポイントを含めることを選択します。backup は、復元ジョブを成功させるために必要なメタデータをインテリジェントに推測します。

プランのスケジュールされた時刻が到着すると、 はプランに基づいて復元ジョブ AWS Backup を開始し、復元の完了にかかる時間をモニタリングします。

復元テストプランの実行が完了したら、その結果を使用して、復元テストのシナリオの正常な完了や復元ジョブの完了時間など、組織またはガバナンス上の要件に準拠しているかどうかを確認できます。

オプションで、 復元テストの検証を使用して復元テスト結果を確認できます。

オプションの検証が完了すると、または検証ウィンドウが閉じると、 は復元テストに関連するリソース AWS Backup を削除し、リソースはサービス に従って削除されますSLAs。

テストプロセスが終了すると、テストの結果と完了時間を確認できます。

復元テストと復元プロセスの比較

復元テストでは、オンデマンド復元と同じ方法で復元ジョブを実行し、オンデマンド復元と同じ復旧ポイント (バックアップ) を使用します。復元テストによって開始されたジョブごとに、 StartRestoreJob への呼び出しが表示されます CloudTrail (オプトインの場合)。

ただし、スケジュールされた復元テストとオンデマンドの復元のオペレーションには、いくつかの違いがあります。

復元テスト 復元

アカウント

推奨されるベストプラクティスは、復元テストに使用するアカウントを指定することです。

特定のアカウントのリソースを復元できます。

AWS Backup Audit Manager

コントロールを有効にして、復元テストが指定された復元目標を満たしているかどうかを確認できます。

頻度

スケジュール設定されているプランの一環として定期的に実行されます。

オンデマンド

リソース

テストプランに割り当てることができるリソースタイプには、Aurora、Amazon DocumentDB 、Amazon DynamoDB 、Amazon EBS、Amazon EC2、Amazon EFS FSx (Lustre、ONTAP、Open ZFS、Windows)、Amazon Neptune 、Amazon RDS、Amazon S3 などがあります。

すべてのリソースを復元できます。

結果

復元テストジョブが完了すると、復元されたリソースは復元テストの検証ウィンドウの完了後に削除されます。

復元ジョブが完了すると、復元されたバージョンのリソースはそのまま残ります。

タグ

復元時にタグをサポートするリソースタイプでは、テストに際して復元時にタグが適用されます。

サポートされているリソースでは、タグは省略可能です。

復元テストの管理

復元テストプランは AWS Backup コンソールで作成、表示、更新、削除できます。

AWS CLI を使用すると、復元テストプランの操作をプログラムによって実行できます。各 CLIは、それが発信される AWS サービスに固有です。コマンドの先頭には aws backup を付ける必要があります。

データの削除

復元テストが完了すると、テストに関連するリソースの削除 AWS Backup が開始されます。この削除は即時には行われません。各リソースには、それらのリソースの保存方法とライフサイクル方法を決定する基盤となる設定があります。例えば、Amazon S3 バケットが復元テストに含まれている場合、ライフサイクルルールがバケットに追加されます。ルールが実行され、バケットとそのオブジェクトが完全に削除されるまでに数日かかることがありますが、これらのリソースに対して課金されるのは、このライフサイクルルールが開始される日 (デフォルトでは 1 日) までです。削除の速さはリソースタイプによって異なります。

復元テストプランに含まれるリソースには、awsbackup-restore-test というタグが含まれています。ユーザーがこのタグを削除した場合、テスト期間の終了時にリソースを削除 AWS Backup することはできません。代わりに手動で削除する必要があります。

リソースが想定どおりに削除されなかった理由を確認するには、コンソールで失敗したジョブを検索するか、コマンドラインインターフェイスを使用してAPIリクエストを呼び出しDescribeRestoreJobて削除ステータスメッセージを取得できます。

バックアッププラン (非復元テストプラン) は、復元テストによって作成されたリソース ( で始まるタグawsbackup-restore-testまたは名前を持つリソース) を無視しますawsbackup-restore-test

コスト管理

復元テストでは復元テスト 1 回ごとにコストがかかります。復元テストプランに含まれるリソースによっては、プランに含まれる復元ジョブにもコストがかかる場合があります。詳細については、「AWS Backup の料金」を参照してください。

復元テストプランを初めて設定するときは、機能、プロセス、および関連する平均コストについて理解するために、最小限のリソースタイプと保護対象リソースを含めることをお勧めします。プランの作成後に、リソースタイプや保護対象リソースをさらに追加してプランを更新できます。

復元テストプランの作成

復元テストプランには、プランの作成とリソースの割り当ての 2 つのステップがあります。

コンソールを使用する場合、これらのステップは順番に行われます。最初の部分では、名前、頻度、開始時間を設定します。2 番目の部分では、テストプランにリソースを割り当てます。

AWS CLI と を使用する場合はAPI、まず を使用しますcreate-restore-testing-plan。正常なレスポンスを受け取り、プランが作成されたら、各リソースタイプcreate-restore-testing-selectionに を使用してプランに含めます。

復元テストプランを作成すると、サービスにリンクされたロールが作成されます。詳細については、「復元テストでロールを使用する」を参照してください。

Console
パート I: コンソールを使用して復元テストプランを作成する
  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 左側のナビゲーションで、[復元テスト] を選択します。

  3. [復元テストプランを作成] を選択します。

  4. 全般

    1. 名前: 新しい復元テストプランの名前を入力します。作成後にこの名前を変更することはできません。名前には英数字とアンダースコアのみを使用できます。

    2. テスト頻度: 復元テストを実行する頻度を選択します。

    3. 開始時間: テストを開始する時間 (時間と分) を設定します。復元テストプランを実行するローカルタイムゾーンを設定することもできます。

    4. 開始時間: この値 (時間単位) は、復元テストの開始が指定されている期間です。 AWS Backup は、指定されたすべての復元ジョブを開始時間内に開始し、この期間内の開始時間をランダム化するために最善を尽くします。

  5. 回復ポイントの選択: ここでは、ソースボールト、復旧ポイントの範囲、およびプランに含める復旧ポイント (バックアップ) の選択基準を設定します。

    1. ソースボールト: 使用可能なすべてのボールトを含めるか、プランに追加する復旧ポイントを絞り込むために特定のボールトのみを含めるかを選択します。[特定のボールト] を選択した場合は、ドロップダウンメニューから目的のボールトを選択します。

    2. 対象となる復旧ポイント: 復旧ポイントを選択する期間を指定します。1~365 日、1 ~ 52 週間、1 ~ 12 か月、または 1 年を選択できます。

    3. 選択基準: 復旧ポイントの日付範囲を指定したら、直近の復旧ポイントをプランに含めるか、ランダムに 1 つの復旧ポイントを含めるかを選択できます。古いバージョンへの復元が必要になった場合に備えて、ランダムな選択によって復旧ポイントの全般的な状態をより定期的に測定することをお勧めします。

    4. P oint-in-time リカバリポイント: プランに継続的なバックアップ (point-in-time-restore/PITR) ポイントを持つリソースが含まれている場合は、このチェックボックスをオンにして、テストプランに対象となるリカバリポイントとして継続的なバックアップを含めることができます (リソースタイプがこの機能を持つリソースごとの機能の可用性を参照)。

  6. (オプション) 復元テストプランに追加されたタグ: 復元テストプランには最大 50 個のタグを追加できます。各タグは個別に追加する必要があります。タグを追加するには、[新しいタグを追加] を選択します。

パート II: コンソールを使用してプランにリソースを割り当てる

このセクションでは、復元テストプランに含めるバックアップ済みのリソースを選択します。リソース割り当ての名前を選択し、復元テストに使用するロールを選択して、クリーンアップまでの保持期間を設定します。次に、リソースタイプと範囲を選択し、必要に応じてタグを使用して選択内容を絞り込みます。

ヒント

リソースを追加する復元テストプランに戻るには、AWS Backup コンソールに移動して [復元テスト] を選択し、目的のテストプランを見つけて選択します。

  1. 全般

    1. リソース割り当て名: このリソース割り当ての名前を、英数字とアンダースコアを使用して入力します。スペースは使用できません。

    2. IAM ロールの復元: テストでは、指定した Identity and Access Management (IAM) ロールを使用する必要があります。 AWS Backup デフォルトのロールまたは別のロールを選択できます。このプロセスの完了時に AWS Backup デフォルトがまだ存在しない場合、 AWS Backup は必要なアクセス許可で自動的に作成します。復元テスト用に選択したIAMロールには、 にあるアクセス許可が含まれている必要があります。 AWSBackupServicePolicyForRestores.

    3. クリーンアップ前の保持期間: 復元テストにおいて、バックアップデータは一時的に復元されます。デフォルトでは、このデータはテスト完了後に削除されます。復元に関する検証を実行する場合は、このデータの削除を遅らせることもできます。

      検証の実行を予定している場合は、[特定の時間数について保持] を選択し、1~168 時間の値を入力します。検証はプログラムで実行できますが、 AWS Backup コンソールでは実行できないことに注意してください。

  2. 保護されたリソース

    1. リソースタイプを選択: 復元テストプランに含めるリソースタイプとそのタイプのバックアップの範囲を選択します。各プランには複数のリソースタイプを含めることができますが、各タイプのリソースを個別にプランに割り当てる必要があります。

    2. リソースの選択の範囲: タイプを選択したら、そのタイプの保護対象リソースをすべて含めるか、特定の保護対象リソースのみを含めるかを選択します。

    3. (オプション) タグを使用してリソースの選択を絞り込む: バックアップにタグが付いている場合は、タグでフィルタリングして特定の保護対象リソースを選択できます。タグキー、このキーを含めるか含めないかの条件、およびキーの値を入力します。次に、[タグを追加] ボタンを選択します。

      保護対象リソースが含まれるバックアップボールト内の直近の復旧ポイントのタグをチェックすることで、保護対象リソースのタグが評価されます。

  3. 復元パラメータ: 一部のリソースでは、復元ジョブの準備としてパラメータを指定する必要があります。ほとんどの場合、 AWS Backup は保存されたバックアップに基づいて値を推測します。

    通常、これらのパラメータはそのままにしておくことをお勧めしますが、ドロップダウンメニューから別のパラメータを選択して値を変更することもできます。値の変更が最適である例としては、暗号化キーの上書き、データを推測できない Amazon FSx設定、サブネットの作成などがあります。

    例えば、RDSデータベースが復元テストプランに割り当てるリソースタイプの 1 つである場合、アベイラビリティーゾーン、データベース名、データベースインスタンスクラス、VPCセキュリティグループなどのパラメータが、必要に応じて変更できる推定値とともに表示されます。

AWS CLI

CLI コマンドCreateRestoreTestingPlanは、復元テストプランを作成するために使用されます。

テストプランには以下が含まれている必要があります。

  • RestoreTestingPlan (固有の RestoreTestingPlanName が含まれている必要があります)

  • ScheduleExpression Cron 式

  • RecoveryPointSelection

    名前も同様ですが、これは NOTと同じですRestoreTestingSelection

    RecoveryPointSelection には 5 つのパラメータがあります (3 つのパラメータが必要、2 つのオプション)。指定した値によって、復元テストに含まれる復旧ポイントが決まります。で 内に最新の復旧ポイントが必要AlgorithmかどうかSelectionWindowDays、またはランダムな復旧ポイントが必要かどうかを指定し、どのボールトIncludeVaultsから復旧ポイントを選択できるかを指定する必要があります。

選択には、1 つ以上の保護されたリソースARNsを含めることも、1 つ以上の条件を含めることもできますが、両方を含めることはできません。

以下を含めることもできます。

CLI コマンド を使用しますcreate-restore-testing-plan

プランが正常に作成されたら、create-restore-testing-selection を使用してプランにリソースを割り当てる必要があります

これは、RestoreTestingSelectionNameProtectedResourceType と、以下のいずれかで構成されます。

  • ProtectedResourceArns

  • ProtectedResourceConditions

保護対象リソースのタイプごとに値を 1 つ設定できます。復元テスト選択には、ProtectedResourceArns のワイルドカード値 (「*」) を ProtectedResourceConditions と併せて含めることができます。または、最大 30 個の特定の保護されたリソースを ARNsに含めることもできますProtectedResourceArns

復旧ポイントの決定

テストプランを実行するたびに (指定した頻度と開始時間に応じて)、選択した保護されたリソースごとに 1 つの適格な復旧ポイントが復元テストによって復元されます。リソースのリカバリポイントがリカバリポイントの選択基準を満たさない場合、そのリソースはテストに含まれません。

テスト選択で保護されたリソースの復旧ポイントは、 が指定された時間枠の基準を満たし、復元テストプランにボールトが含まれている場合に適格です。

リソーステストの選択にリソースタイプが含まれ、次のいずれかの条件が当てはまる場合、保護されたリソースが選択されます。

  • リソースARNは、その選択で指定されます。または、

  • その選択のタグ条件は、リソースの最新の復旧ポイントのタグと一致します。

復元テストプランの更新

コンソールまたは AWS CLIを使用して、復元テストプランの一部と、プランで指定されたリソースの選択内容を更新できます。

Console
コンソールで復元テストプランと選択内容を更新する

コンソールで復元テストプランの詳細ページを表示すると、プランの設定の多くを編集 (更新) できます。以下の手順に従ってください。

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 左側のナビゲーションで、[復元テスト] を選択します。

  3. [編集] ボタンを選択します。

  4. 頻度、開始時間、選択した開始時間からテストを開始するまでの時間範囲を調整します。

  5. 変更を保存します。

AWS CLI
を使用して復元テストプランと選択を更新する AWS CLI

リクエストUpdateRestoreTestingPlanと を使用して、指定されたプランまたは選択に部分的な更新を送信UpdateRestoreTestingSelectionできます。名前は変更できませんが、他のパラメーターは更新できます。各リクエストには変更するパラメータのみを含めてください。

更新リクエストを送信する前に、 GetRestoreTestingPlanGetRestoreTestingSelection を使用して、 に RestoreTestingSelection特定の が含まれているかARNs、ワイルドカードと条件を使用しているかを判断します。

復元テストの選択で ARNs (ワイルドカードではなく) を指定し、条件付きでワイルドカードに変更する場合、更新リクエストにはARNワイルドカードと条件の両方を含める必要があります。選択には、保護されたリソースARNsを含めることも、条件付きでワイルドカードを使用することもできますが、両方を含めることはできません。

既存の復元テストプランの表示

Console
コンソールで既存の復元テストプランと割り当てられたリソースに関する詳細を表示する
  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 左側のナビゲーションで、[復元テスト] を選択します。ディスプレイに復元テストプランが表示されます。デフォルトでは、最後に実行されたプランから順に表示されます。

  3. プランからリンクを選択すると、プランの概要、名前、頻度、開始時間、開始までの時間範囲などの詳細が表示されます。

また、このプランに割り当てられている保護対象リソース、このプランに含まれる直近の 30 日間の復元テストジョブ、このテストプランの一部として作成されたタグも表示できます。

AWS CLI

コマンドラインを使用して、既存の復元テストプランとテストの選択内容に関する詳細を取得する

復元テストジョブの表示

Console
コンソールで既存の復元テストジョブを表示する

復元テストジョブは復元ジョブページに表示されます。

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. [ジョブ] ページに移動します。

    または、[復元テスト] を選択し、復元テストプランを選択すると、その詳細とプランに関連するジョブを確認できます。

  3. [復元ジョブ] タブを選択します。

    このページでは、復元ジョブのステータス、復元時間、復元タイプ、リソース ID、リソースタイプ、ジョブが属する復元テストプラン、作成時間、復旧ポイント ID を確認できます。

    復元テストプランに含まれるジョブは、復元タイプが [テスト] と表示されます。

復元テストジョブには複数のステータスカテゴリがあります。

  • 注意が必要なステータスタイプには下線が表示されており、ステータスにカーソルを合わせると、追加の詳細情報が表示されます (ある場合)。

  • テストで 復元テストの検証 が開始された場合 (コンソール内では使用できません)、検証ステータスが表示されます。

  • [削除ステータス] には、復元テストで生成されたデータのステータスが表示されます。削除ステータスには、[成功][削除中][失敗] の 3 つがあります。

    復元テストジョブの削除が失敗の場合、復元テストのフローでリソースが自動的に削除されていないないため、リソースを手動で削除する必要があります。多くの場合、awsbackup-restore-test のタグがリソースから削除されると、削除の失敗が起きる原因となります。

AWS CLI
コマンドラインから既存の復元テストジョブを表示する

復元テストプランの削除

Console
コンソールで復元テストプランを削除する
  1. 既存の復元テストプランの表示」に従って、既存の復元テストプランを確認します。

  2. 復元テストプランの詳細ページで、[削除] を選択してプランを削除します。

  3. [削除] を選択すると、プランを削除するかどうかを確認するポップアップ画面が表示されます。この画面には、特定の復元テストプランの名前が太字で表示されます。続行するには、このテストプランの正確な名前を、アンダースコア、ダッシュ、ピリオドをすべて含め、大文字と小文字を区別して入力します。

    [復元テストプランを削除] オプションが選択できない場合は、表示された名前と一致するまで名前を再入力します。名前が完全に一致すると、[復元テストプランを削除] オプションが選択可能になります。

AWS CLI
コマンドラインで復元テストプランを削除する

CLI コマンドを使用して、復元テストの選択を削除DeleteRestoreTestingSelectionできます。リクエストには RestoreTestingPlanNameRestoreTestingSelectionName 含めます。

テストプランを削除する前に、テストプランに関連付けられているすべてのテスト選択を削除する必要があります。すべてのテスト選択が削除されたら、APIリクエストを使用して復元テストプランDeleteRestoreTestingPlanを削除できます。RestoreTestingPlanName を含める必要があります。

復元テストの監査

Audit AWS Backup Manager とのテスト統合を復元して、復元されたリソースがターゲット復元時間内に完了したかどうかを評価できます。

詳細については、「AWS Backup Audit Manager のコントロールと修正」の「リソースが目標に達するまでの復元時間」を参照してください。

復元テストのクォータとパラメータ

  • 復元テストプラン 100 個

  • 復元テストプランごとに 50 個のタグを追加可能

  • プランあたり 30 件の選択

  • 選択ARNsごとに 30 個の保護されたリソース

  • 選択ごとに 30 個の保護対象リソース条件 (StringEqualsStringNotEquals の両方に含まれるものを含む)

  • 選択ごとに 30 のボールト選択項目

  • 選択期間の最大日数: 365 日

  • 開始期間の時間範囲: 最小: 1 時間、最大: 168 時間 (7 日間)

  • プラン名の最大長: 50 文字

  • 選択名の最大長: 50 文字

制限に関する追加情報については、「AWS Backup クォータ」を参照してください。

復元テストの失敗のトラブルシューティング

復元ステータスが の復元テストジョブがある場合Failed、次の理由が原因と修復方法を決定するのに役立ちます。

エラーメッセージは、 AWS Backup コンソールのジョブステータスの詳細ページ、または CLI コマンドlist-restore-jobs-by-protected-resourceまたは を使用して表示できます ( list-restore-jobs

  1. エラー: No default VPC for this user. GroupName is only supported for EC2-Classic and default VPC.

    解決策 1: 復元テストの選択を更新し、パラメータ を上書きしますSubnetId。 AWS Backup コンソールには、このパラメータが「サブネット」として表示されます。

    解決策 2: デフォルトの VPCを再作成します。

    影響を受けるリソースタイプ: Amazon EC2

  2. エラー: No subnets found for the default VPC [vpc]. Please specify a subnet.

    解決策 1: 復元テストの選択を更新し、SubnetId復元パラメータを上書きします。 AWS Backup コンソールには、このパラメータが「サブネット」として表示されます。

    解決策 2: デフォルトの にデフォルトのサブネットを作成しますVPC。

    影響を受けるリソースタイプ: Amazon EC2

  3. エラー: No default subnet detected in VPC. Please contact AWS Support to recreate default Subnets.

    解決策 1: 復元テストの選択を更新し、DBSubnetGroupName復元パラメータを上書きします。コンソールには AWS Backup 、このパラメータがサブネットグループとして表示されます。

    解決策 2: デフォルトの にデフォルトのサブネットを作成しますVPC。

    影響を受けるリソースタイプ: Amazon Aurora、Amazon DocumentDBAmazonRDS、Neptune

  4. エラー: IAM Role cannot be assumed by AWS Backup

    解決策: 復元ロールは、 によって引き受け可能である必要があります AWS Backup。でロールの信頼ポリシーを更新IAMして引き受けられるように"backup.amazonaws.com"するか、復元テストの選択を更新して、 が引き受けるロールを使用します AWS Backup。

    影響を受けるリソースタイプ: すべて

  5. エラー: Access denied to KMS key.または The specified AWS KMS key ARN does not exist, is not enabled or you do not have permissions to access it.

    解決策: 以下を確認します。

    1. 復元ロールは、バックアップの暗号化に使用される AWS KMS キーと、該当する場合は復元されたリソースの暗号化に使用されるKMSキーにアクセスできます。

    2. 上記のKMSキー (複数可) のリソースポリシーにより、復元ロールがそれらにアクセスできるようになります。

    上記の条件がまだ満たされていない場合は、適切なアクセスのために復元ロールとリソースポリシーを設定します。次に、復元テストジョブを再度実行します。

    影響を受けるリソースタイプ: すべて

  6. エラー: User ARN is not authorized to perform action on resource because no identity based policy allows the action.または Access denied performing s3:CreateBucket on awsbackup-restore-test-xxxxxx

    解決策: 復元ロールに適切なアクセス許可がありません。復元ロールIAMの のアクセス許可を更新します。

    影響を受けるリソースタイプ: すべて

  7. エラー: User ARN is not authorized to perform action on resource because no resource-based policy allows the action.または User ARN is not authorized to perform action on resource with an explicit deny in a resource based policy.

    解決策: 復元ロールに、メッセージで指定されたリソースへの適切なアクセス権限がありません。前述のリソースのリソースポリシーを更新します。

    影響を受けるリソースタイプ: すべて