復元テスト

が提供する機能である復元テスト は AWS Backup、復元の実行可能性を自動的かつ定期的に評価し、復元ジョブの継続時間をモニタリングする機能を提供します。

内容

• 概要
• 復元テストと復元プロセスの比較
• 復元テストの管理
• 復元テストプランの作成
• 復元テストプランの更新
• 既存の復元テストプランの表示
• 復元テストジョブの表示
• 復元テストプランの削除
• 復元テストの監査
• 復元テストのクォータとパラメータ
• 復元テストの失敗のトラブルシューティング
• 復元テストの推定メタデータ
• 復元テストの検証

概要

まず、復元テストプランを作成します。復元テストプランには、プランの名前、復元テストの頻度、目標開始時間を指定します。次に、プランに含めるリソースを割り当てます。次に、test. AWS Backup backup に特定の復旧ポイントまたはランダムな復旧ポイントを含めることを選択します。バックアップは、復元ジョブを成功させるために必要なメタデータをインテリジェントに推測します。

プランのスケジュールされた時刻が到着すると、 はプランに基づいて復元ジョブ AWS Backup を開始し、復元の完了にかかる時間をモニタリングします。

復元テストプランの実行が完了したら、その結果を使用して、復元テストのシナリオの正常な完了や復元ジョブの完了時間など、組織またはガバナンス上の要件に準拠しているかどうかを確認できます。

オプションで、 復元テストの検証を使用して復元テスト結果を確認できます。

オプションの検証が完了するか、検証ウィンドウが閉じると、 は復元テストに関連するリソース AWS Backup を削除し、リソースはサービス SLAs に従って削除されます。

テストプロセスが終了すると、テストの結果と完了時間を確認できます。

復元テストと復元プロセスの比較

復元テストでは、オンデマンド復元と同じ方法で復元ジョブを実行し、オンデマンド復元と同じ復旧ポイント (バックアップ) を使用します。復元テストによって開始されたジョブごとに CloudTrail 、 (オプトインされている場合) StartRestoreJobで への呼び出しが表示されます。

ただし、スケジュールされた復元テストとオンデマンドの復元のオペレーションには、いくつかの違いがあります。

	復元テスト	復元
アカウント	推奨されるベストプラクティスは、復元テストに使用するアカウントを指定することです。	特定のアカウントのリソースを復元できます。
AWS Backup Audit Manager	コントロールを有効にして、復元テストが指定された復元目標を満たしているかどうかを確認できます。
頻度	スケジュール設定されているプランの一環として定期的に実行されます。	オンデマンド
リージョナリティー	イスラエル (テルアビブ) を除く、 が AWS Backup 運営するすべての商用リージョンで利用可能 利用不可 AWS GovCloud （米国東部）、 AWS GovCloud （米国西部）、中国 (北京）、中国 (寧夏）。	AWS Backup が運営されているすべての商用リージョンで利用可能
リソース	テストプランに割り当てることができるリソースタイプには、Aurora、Amazon DocumentDB、Amazon DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、Amazon FSx (Lustre、ONTAP、OpenZFS、Windows)、Amazon Neptune、Amazon RDS、Amazon S3 があります。	すべてのリソースを復元できます。
結果	復元テストジョブが完了すると、復元されたリソースは復元テストの検証ウィンドウの終了後に削除されます。	復元ジョブが完了すると、復元されたバージョンのリソースはそのまま残ります。
タグ	復元時にタグをサポートするリソースタイプでは、テストに際して復元時にタグが適用されます。	サポートされているリソースでは、タグは省略可能です。

復元テストの管理

復元テストプランは AWS Backup コンソールで作成、表示、更新、削除できます。

AWS CLI を使用すると、復元テストプランの操作をプログラムによって実行できます。各 CLI は、その CLI が発信される AWS サービスに固有です。コマンドの先頭には aws backup を付ける必要があります。

データの削除

復元テストが完了すると、 はテストに関係するリソースの削除 AWS Backup を開始します。この削除は即時には行われません。各リソースには、それらのリソースの保存方法とライフサイクル方法を決定する基盤となる設定があります。例えば、Amazon S3 バケットが復元テストに含まれている場合、ライフサイクルルールがバケットに追加されます。ルールが実行され、バケットとそのオブジェクトが完全に削除されるまでに数日かかることがありますが、これらのリソースに対して課金されるのは、このライフサイクルルールが開始される日 (デフォルトでは 1 日) までです。削除の速さはリソースタイプによって異なります。

復元テストプランに含まれるリソースには、awsbackup-restore-test というタグが含まれています。ユーザーがこのタグを削除した場合、テスト期間の終了時にリソースを削除 AWS Backup することはできません。代わりに手動で削除する必要があります。

リソースが想定どおりに削除されなかった理由を確認するには、コンソールで失敗したジョブを検索するか、コマンドラインインターフェイスを使用して API リクエスト DescribeRestoreJob を呼び出し、削除ステータスメッセージを取得します。

バックアッププラン (非復元テストプラン) は、復元テストによって作成されたリソース ( で始まるタグawsbackup-restore-testまたは名前を持つもの) を無視しますawsbackup-restore-test。

コスト管理

復元テストでは復元テスト 1 回ごとにコストがかかります。復元テストプランに含まれるリソースによっては、プランに含まれる復元ジョブにもコストがかかる場合があります。詳細については、「AWS Backup の料金」を参照してください。

復元テストプランを初めて設定するときは、機能、プロセス、および関連する平均コストについて理解するために、最小限のリソースタイプと保護対象リソースを含めることをお勧めします。プランの作成後に、リソースタイプや保護対象リソースをさらに追加してプランを更新できます。

復元テストプランの作成

復元テストプランには、プランの作成とリソースの割り当ての 2 つのステップがあります。

コンソールを使用する場合、これらのステップは順番に行われます。最初の部分では、名前、頻度、開始時間を設定します。2 番目の部分では、テストプランにリソースを割り当てます。

AWS CLI と API を使用する場合は、まず を使用しますcreate-restore-testing-plan。正常な応答を受け取り、計画が作成されたら、各リソースタイプcreate-restore-testing-selectionに を使用して計画に含めます。

復元テストプランを作成すると、サービスにリンクされたロールが作成されます。詳細については、「復元テストでロールを使用する」を参照してください。

Console

パート I: コンソールを使用して復元テストプランを作成する

1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

2. 左側のナビゲーションで、[復元テスト] を選択します。

3. [復元テストプランを作成] を選択します。

4. 全般

   1. 名前: 新しい復元テストプランの名前を入力します。作成後にこの名前を変更することはできません。名前には英数字とアンダースコアのみを使用できます。

   2. テスト頻度: 復元テストを実行する頻度を選択します。

   3. 開始時間: テストを開始する時間 (時間と分) を設定します。復元テストプランを実行するローカルタイムゾーンを設定することもできます。

   4. 開始時間： この値 (時間単位) は、復元テストの開始が指定されている期間です。 は AWS Backup 、指定されたすべての復元ジョブを開始時間内に開始し、この期間内の開始時間をランダム化するために最善を尽くします。

5. 回復ポイントの選択: ここでは、ソースボールト、復旧ポイントの範囲、およびプランに含める復旧ポイント (バックアップ) の選択基準を設定します。

   1. ソースボールト: 使用可能なすべてのボールトを含めるか、プランに追加する復旧ポイントを絞り込むために特定のボールトのみを含めるかを選択します。[特定のボールト] を選択した場合は、ドロップダウンメニューから目的のボールトを選択します。

   2. 対象となる復旧ポイント: 復旧ポイントを選択する期間を指定します。1～365 日、1 ～ 52 週間、1 ～ 12 か月、または 1 年を選択できます。

   3. 選択基準: 復旧ポイントの日付範囲を指定したら、直近の復旧ポイントをプランに含めるか、ランダムに 1 つの復旧ポイントを含めるかを選択できます。古いバージョンへの復元が必要になった場合に備えて、ランダムな選択によって復旧ポイントの全般的な状態をより定期的に測定することをお勧めします。

   4. P oint-in-time リカバリポイント： プランに継続的バックアップ (point-in-time-restore/PITR) ポイントを持つリソースが含まれている場合は、このチェックボックスをオンにして、テストプランに適格なリカバリポイントとして継続的バックアップを含めることができます (リソースタイプにこの機能があるリソース別の機能の可用性を参照）。

6. (オプション) 復元テストプランに追加されたタグ: 復元テストプランには最大 50 個のタグを追加できます。各タグは個別に追加する必要があります。タグを追加するには、[新しいタグを追加] を選択します。

パート II: コンソールを使用してプランにリソースを割り当てる

このセクションでは、復元テストプランに含めるバックアップ済みのリソースを選択します。リソース割り当ての名前を選択し、復元テストに使用するロールを選択して、クリーンアップまでの保持期間を設定します。次に、リソースタイプと範囲を選択し、必要に応じてタグを使用して選択内容を絞り込みます。

ヒント

リソースを追加する復元テストプランに戻るには、AWS Backup コンソールに移動して [復元テスト] を選択し、目的のテストプランを見つけて選択します。

1. 全般

   1. リソース割り当て名: このリソース割り当ての名前を、英数字とアンダースコアを使用して入力します。スペースは使用できません。

   2. IAM ロールを復元: テストでは、指定した Identity and Access Management (IAM) ロールを使用する必要があります。 AWS Backup デフォルトのロールまたは別のロールを選択できます。このプロセスの完了時に AWS Backup デフォルトがまだ存在しない場合、 AWS Backup は必要なアクセス許可でデフォルトを自動的に作成します。復元テスト用に選択する IAM ロールには、「AWSBackupServicePolicyForRestores」に記載されているアクセス許可が付与されている必要があります。

   3. クリーンアップ前の保持期間: 復元テストにおいて、バックアップデータは一時的に復元されます。デフォルトでは、このデータはテスト完了後に削除されます。復元に関する検証を実行する場合は、このデータの削除を遅らせることもできます。

      検証の実行を予定している場合は、[特定の時間数について保持] を選択し、1～168 時間の値を入力します。検証はプログラムで実行できますが、 AWS Backup コンソールでは実行できないことに注意してください。

2. 保護されたリソース

   1. リソースタイプを選択: 復元テストプランに含めるリソースタイプとそのタイプのバックアップの範囲を選択します。各プランには複数のリソースタイプを含めることができますが、各タイプのリソースを個別にプランに割り当てる必要があります。

   2. リソースの選択の範囲: タイプを選択したら、そのタイプの保護対象リソースをすべて含めるか、特定の保護対象リソースのみを含めるかを選択します。

   3. (オプション) タグを使用してリソースの選択を絞り込む: バックアップにタグが付いている場合は、タグでフィルタリングして特定の保護対象リソースを選択できます。タグキー、このキーを含めるか含めないかの条件、およびキーの値を入力します。次に、[タグを追加] ボタンを選択します。

      保護対象リソースが含まれるバックアップボールト内の直近の復旧ポイントのタグをチェックすることで、保護対象リソースのタグが評価されます。

3. 復元パラメータ: 一部のリソースでは、復元ジョブの準備としてパラメータを指定する必要があります。ほとんどの場合、 AWS Backup は保存されたバックアップに基づいて値を推測します。

   通常、これらのパラメータはそのままにしておくことをお勧めしますが、ドロップダウンメニューから別のパラメータを選択して値を変更することもできます。値の変更が適している例としては、暗号化キーの上書き、データを推定できない Amazon FSx 設定、サブネットの作成などがあります。

   例えば、復元テストプランに割り当てるリソースタイプの 1 つが RDS データベースである場合、アベイラビリティーゾーン、データベース名、データベースインスタンスクラス、VPC セキュリティグループなどのパラメータが推定値とともに表示され、必要に応じて値を変更できます。

AWS CLI

復元テストプランの作成には CLI コマンド CreateRestoreTestingPlan を使用します。

テストプランには以下が含まれている必要があります。

• RestoreTestingPlan (固有の RestoreTestingPlanName が含まれている必要があります)

• ScheduleExpression Cron 式

• RecoveryPointSelection

  同じように名前が付けられていますが、これは と同じではありませんRestoreTestingSelection。

  RecoveryPointSelection には 5 つのパラメータがあります (3 つは必須、2 つはオプション）。指定した値によって、復元テストに含まれる復旧ポイントが決まります。内で最新の復旧ポイントが必要AlgorithmかどうかSelectionWindowDays、またはランダムな復旧ポイントが必要かどうか、および復旧ポイントを選択できるボールトIncludeVaultsから を指定する必要があります。

選択には 1 つ以上の保護リソース ARN を含めることも、1 つ以上の条件を含めることもできますが、両方を含めることはできません。

以下を含めることもできます。

• ScheduleExpressionTimezone

• Tags

• CreatorRequestId

• StartWindowHours

CLI コマンド create-restore-testing-plan を使用します。

プランが正常に作成されたら、create-restore-testing-selection を使用してプランにリソースを割り当てる必要があります

これは、RestoreTestingSelectionName、ProtectedResourceType と、以下のいずれかで構成されます。

• ProtectedResourceArns

• ProtectedResourceConditions

保護対象リソースのタイプごとに値を 1 つ設定できます。復元テスト選択には、ProtectedResourceArns のワイルドカード値 (「*」) を ProtectedResourceConditions と併せて含めることができます。または、ProtectedResourceArns に保護対象リソースの ARN を最大 30 個まで含めることもできます。

復旧ポイントの決定

テストプランが実行されるたびに (指定した頻度と開始時刻に従って）、選択した保護されたリソースごとに 1 つの適格な復旧ポイントが復元テストによって復元されます。リソースのリカバリポイントがリカバリポイントの選択基準を満たしていない場合、そのリソースはテストに含まれません。

テスト選択内の保護されたリソースの復旧ポイントは、 が指定された時間枠の基準を満たし、復元テストプランにボールトが含まれている場合に適格です。

リソーステストの選択にリソースタイプが含まれ、次のいずれかの条件が満たされた場合、保護されたリソースが選択されます。

• リソース ARN はその選択で指定されます。または、

• その選択のタグ条件は、リソースの最新の復旧ポイントのタグと一致します。

復元テストプランの更新

コンソールまたは AWS CLIを使用して、復元テストプランの一部と、プランで指定されたリソースの選択内容を更新できます。

Console

コンソールで復元テストプランと選択内容を更新する

コンソールで復元テストプランの詳細ページを表示すると、プランの設定の多くを編集 (更新) できます。以下の手順に従ってください。

1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

2. 左側のナビゲーションで、[復元テスト] を選択します。

3. [編集] ボタンを選択します。

4. 頻度、開始時間、選択した開始時間からテストを開始するまでの時間範囲を調整します。

5. 変更を保存します。

AWS CLI

による復元テストプランと選択の更新 AWS CLI

リクエストUpdateRestoreTestingPlanと UpdateRestoreTestingSelection は、指定したプランまたは選択に部分的な更新を送信するために使用できます。名前は変更できませんが、他のパラメーターは更新できます。各リクエストには変更するパラメータのみを含めてください。

更新リクエストを送信する前に、 GetRestoreTestingPlanと を使用して、 に RestoreTestingSelection特定の ARNs、ワイルドカードと条件を使用しているかGetRestoreTestingSelectionを判断します。

復元テストの選択で (ワイルドカードではなく) ARN が指定されていて、それを条件付きのワイルドカードに変更する場合は、更新リクエストに ARN のワイルドカードと条件の両方を含める必要があります。選択内容には、保護対象リソースの ARN を含めることも、条件付きのワイルドカードを使用することもできますが、両方を含めることはできません。

• get-restore-testing-plan

• get-restore-testing-selection

• update-restore-testing-plan

• update-restore-testing-selection

既存の復元テストプランの表示

Console

コンソールで既存の復元テストプランと割り当てられたリソースに関する詳細を表示する

1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

2. 左側のナビゲーションで、[復元テスト] を選択します。ディスプレイに復元テストプランが表示されます。デフォルトでは、最後に実行されたプランから順に表示されます。

3. プランからリンクを選択すると、プランの概要、名前、頻度、開始時間、開始までの時間範囲などの詳細が表示されます。

また、このプランに割り当てられている保護対象リソース、このプランに含まれる直近の 30 日間の復元テストジョブ、このテストプランの一部として作成されたタグも表示できます。

AWS CLI

コマンドラインを使用して、既存の復元テストプランとテストの選択内容に関する詳細を取得する

• list-restore-testing-plan

• list-restore-testing-selections

• get-restore-testing-plan

• get-restore-testing-selection

復元テストジョブの表示

Console

コンソールで既存の復元テストジョブを表示する

復元テストジョブは復元ジョブページに表示されます。

1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

2. [ジョブ] ページに移動します。

   または、[復元テスト] を選択し、復元テストプランを選択すると、その詳細とプランに関連するジョブを確認できます。

3. [復元ジョブ] タブを選択します。

   このページでは、復元ジョブのステータス、復元時間、復元タイプ、リソース ID、リソースタイプ、ジョブが属する復元テストプラン、作成時間、復旧ポイント ID を確認できます。

   復元テストプランに含まれるジョブは、復元タイプが [テスト] と表示されます。

復元テストジョブには複数のステータスカテゴリがあります。

• 注意が必要なステータスタイプには下線が表示されており、ステータスにカーソルを合わせると、追加の詳細情報が表示されます (ある場合)。

• テストで 復元テストの検証が開始された場合 (コンソールでは使用できません）、検証ステータスが表示されます。

• [削除ステータス] には、復元テストで生成されたデータのステータスが表示されます。削除ステータスには、[成功]、[削除中]、[失敗] の 3 つがあります。

  復元テストジョブの削除が失敗の場合、復元テストのフローでリソースが自動的に削除されていないないため、リソースを手動で削除する必要があります。多くの場合、awsbackup-restore-test のタグがリソースから削除されると、削除の失敗が起きる原因となります。

AWS CLI

コマンドラインから既存の復元テストジョブを表示する

• list-restore-jobs-by-protected-resource

復元テストプランの削除

Console

コンソールで復元テストプランを削除する

1. 「既存の復元テストプランの表示」に従って、既存の復元テストプランを確認します。

2. 復元テストプランの詳細ページで、[削除] を選択してプランを削除します。

3. [削除] を選択すると、プランを削除するかどうかを確認するポップアップ画面が表示されます。この画面には、特定の復元テストプランの名前が太字で表示されます。続行するには、このテストプランの正確な名前を、アンダースコア、ダッシュ、ピリオドをすべて含め、大文字と小文字を区別して入力します。

   [復元テストプランを削除] オプションが選択できない場合は、表示された名前と一致するまで名前を再入力します。名前が完全に一致すると、[復元テストプランを削除] オプションが選択可能になります。

AWS CLI

コマンドラインで復元テストプランを削除する

CLI コマンドを使用して、復元テストの選択を削除DeleteRestoreTestingSelectionできます。リクエストには RestoreTestingPlanName と RestoreTestingSelectionName 含めます。

テストプランを削除する前に、テストプランに関連付けられているすべてのテスト選択を削除する必要があります。すべてのテスト選択が削除されたら、 API リクエストDeleteRestoreTestingPlanを使用して復元テストプランを削除できます。RestoreTestingPlanName を含める必要があります。

• delete-restore-testing-selection

• delete-restore-testing-plan

復元テストの監査

復元テストと AWS Backup Audit Manager の統合は、復元されたリソースがターゲット復元時間内に完了したかどうかを評価するのに役立ちます。

詳細については、「AWS Backup Audit Manager のコントロールと修正」の「リソースが目標に達するまでの復元時間」を参照してください。

復元テストのクォータとパラメータ

• 復元テストプラン 100 個

• 復元テストプランごとに 50 個のタグを追加可能

• プランあたり 30 件の選択

• 選択ごとに 30 個の保護対象リソース ARN

• 選択ごとに 30 個の保護対象リソース条件 (StringEquals と StringNotEquals の両方に含まれるものを含む)

• 選択ごとに 30 のボールト選択項目

• 選択期間の最大日数: 365 日

• 開始期間の時間範囲: 最小: 1 時間、最大: 168 時間 (7 日間)

• プラン名の最大長: 50 文字

• 選択名の最大長: 50 文字

制限に関する追加情報については、「AWS Backup クォータ」を参照してください。

復元テストの失敗のトラブルシューティング

復元ステータスが の復元テストジョブがある場合Failed、次の理由が原因と修復方法を決定するのに役立ちます。

エラーメッセージは、コンソールのジョブステータスの詳細ページ、または CLI コマンドlist-restore-jobs-by-protected-resourceまたは を使用して表示できますlist-restore-jobs。 AWS Backup

1. エラー: No default VPC for this user. GroupName is only supported for EC2-Classic and default VPC.

   解決策 1: 復元テストの選択内容を更新し、パラメータ を上書きしますSubnetId。 AWS Backup コンソールには、このパラメータが「サブネット」と表示されます。

   解決策 2: デフォルトの VPC を再作成します。

   影響を受けるリソースタイプ： Amazon EC2

2. エラー: No subnets found for the default VPC [vpc]. Please specify a subnet.

   解決策 1: 復元テストの選択内容を更新し、SubnetId復元パラメータを上書きします。 AWS Backup コンソールには、このパラメータが「サブネット」と表示されます。

   解決策 2: デフォルト VPC にデフォルトサブネットを作成します。

   影響を受けるリソースタイプ： Amazon EC2

3. エラー: No default subnet detected in VPC. Please contact AWS Support to recreate default Subnets.

   解決策 1: 復元テストの選択内容を更新し、DBSubnetGroupName復元パラメータを上書きします。コンソールには AWS Backup 、このパラメータがサブネットグループとして表示されます。

   解決策 2: デフォルト VPC にデフォルトサブネットを作成します。

   影響を受けるリソースタイプ： Amazon Aurora、Amazon DocumentDB、Amazon RDS、Neptune

4. エラー： IAM Role cannot be assumed by AWS Backup。

   解決策： 復元ロールは によって引き受け可能である必要があります AWS Backup。IAM でロールの信頼ポリシーを更新して による引き受けを許可するか、復元テストの選択"backup.amazonaws.com"を更新して が引き受けることができるロールを使用します AWS Backup。

   影響を受けるリソースタイプ： すべて

5. エラー： Access denied to KMS key.または The specified AWS KMS key ARN does not exist, is not enabled or you do not have permissions to access it.

   解決策： 以下を確認します。

   1. 復元ロールは、バックアップの暗号化に使用される AWS KMS キーと、該当する場合は、復元されたリソースの暗号化に使用される KMS キーにアクセスできます。

   2. 上記の KMS キーのリソースポリシー (複数可) により、復元ロールがそれらにアクセスできるようになります。

   上記の条件がまだ満たされていない場合は、適切なアクセスのために復元ロールとリソースポリシーを設定します。次に、復元テストジョブを再度実行します。

   影響を受けるリソースタイプ： すべて

6. エラー： User ARN is not authorized to perform action on resource because no identity based policy allows the action.または Access denied performing s3:CreateBucket on awsbackup-restore-test-xxxxxx。

   解決策： 復元ロールに適切なアクセス許可がありません。復元ロールの IAM のアクセス許可を更新します。

   影響を受けるリソースタイプ： すべて

7. エラー: User ARN is not authorized to perform action on resource because no resource-based policy allows the action.または User ARN is not authorized to perform action on resource with an explicit deny in a resource based policy.

   解決策： 復元ロールに、メッセージで指定されたリソースへの適切なアクセス権がありません。前述のリソースのリソースポリシーを更新します。

   影響を受けるリソースタイプ： すべて