Amazon S3 バックアップ

AWS Backup S3 に単独で、またはデータベース、ストレージ、 AWS コンピューティング用の他のサービスと並行してデータを保存するアプリケーションの一元的なバックアップと復元をサポートします。S3 バックアップでは、多くの機能を使用できます (Backup Audit Manager を含む)。

では AWS Backup 1 つのバックアップポリシーを使用して、アプリケーションデータのバックアップ作成を一元的に自動化できます。 AWS Backup AWS さまざまなサービスやサードパーティアプリケーションのバックアップを、暗号化された一元化された場所 (バックアップ保管庫) に自動的に整理します。これにより、アプリケーション全体のバックアップを一元的に管理できます。S3 では、連続的なバックアップを作成して S3 に保存されているアプリケーションデータを復元し、1 回のクリックでバックアップをに復元できます。 point-in-time

AWS Backupでは、オブジェクトデータ、タグ、アクセスコントロールリスト (ACL)、ユーザー定義メタデータなど、S3 バケットの次の種類のバックアップを作成できます。

• 継続的バックアップでは、過去 35 日間の任意のポイントインタイムに復元できます。S3 バケットの継続的バックアップは、1 つのバックアッププランでのみ設定してください。

  サポートされているサービスの一覧と、継続的バックアップの作成方法については、「Point-in-Time Recovery」を参照してください。 AWS Backup

• 定期的バックアップでは、データのスナップショットを使用して、指定した期間 (最大 99 年間) データを保持できます。定期バックアップは、1 時間、12 時間、1 日、1 週間、1 か月などの頻度でスケジュールできます。 AWS Backup バックアッププランで定義したバックアップ期間中に定期的にバックアップを行います。

  AWS Backup バックアップ計画がリソースにどのように適用されるかを理解するには、「バックアップ計画の作成」を参照してください。

S3 バックアップにはクロスアカウントコピーとクロスリージョンコピーを使用できますが、 point-in-time 継続的バックアップのコピーには復元機能がありません。

S3 バケットの継続的バックアップと定期的バックアップは、どちらも同じバックアップボールトにある必要があります。

どちらのバックアップタイプでも、最初のバックアップはフルバックアップで、後続のバックアップは増分バックアップです。例えば、1 GB のオブジェクトに 1 KB の変更があった場合、その後のバックアップでは、バックアップボールトに新しい 1 GB のオブジェクトが作成されます。

注記

Amazon S3 AWS Backup で使用するには、S3 バケットで S3 バージョニングを有効にする必要があります。データ保護のベストプラクティスとして AWS では S3 バージョニングを推奨しているため、この前提条件を維持しています。

S3 バージョンの場合、「ライフサイクルの有効期限を設定する」ことをお勧めします。ライフサイクルの有効期限を設定しないと、S3 AWS Backup データの有効期限が切れていないすべてのバージョンをバックアップして保存するため、S3 コストが増加する可能性があります。S3 ライフサイクルポリシーの設定について詳しくは、このページの指示に従ってください。

S3 バックアップタイプの比較

S3 リソースのバックアップ戦略には、継続的バックアップのみ、定期的 (スナップショット) バックアップのみ、あるいはその両方の組み合わせが含まれます。以下の情報は、組織にとって最適な方法を選択するのに役立ちます。

継続的バックアップの場合のみ、次の項目が該当します。

• 既存データの最初のフルバックアップが完了すると、S3 バケットデータの変更は発生時に追跡されます。

• 変更を追跡することで、継続的バックアップの保持期間に PITR (point-in-time 復元) を使用できます。復元ジョブを実行するには、復元するポイントインタイムを選択します。

• 各継続的バックアップの保持期間は最大 35 日間です。

定期的 (スナップショット) バックアップ（定期的またはオンデマンド）の場合のみ、次の項目が該当します。

• AWS Backup S3 バケット全体をスキャンし、各オブジェクトの ACL とタグを取得し (該当する場合と機能が有効になっている場合)、前のスナップショットにはあったが、作成中のスナップショットには見つからなかったすべてのオブジェクトに対して HEAD リクエストを開始します。

• バックアップには一貫性があります。 point-in-time

• 記録されたバックアップ日時は、バックアップジョブが作成された時点ではなく、 AWS Backup バケットのトラバーサルが完了した時刻です。

• バケットの最初のバックアップはフルバックアップです。それ以降の各バックアップは増分となり、前回のスナップショットからのデータの変化を表します。

• 定期的バックアップによって作成されたスナップショットの保持期間は最大 99 年です。

継続的バックアップと定期的/スナップショットバックアップの組み合わせの場合に、次の項目が該当します。

• 既存データ (各バケット) の最初のフルバックアップが完了すると、バケット内の変更は発生時に追跡されます。

• point-in-time 継続的な回復ポイントから復元を実行できます。

• point-in-time スナップショットには一貫性があります。

• スナップショットは継続的復旧ポイントから直接取得されることから、バケットを再スキャンする必要がないため、処理を速められます。

• スナップショットと継続的復旧ポイントはデータ系列を共有するため、スナップショットと継続的復旧ポイント間のデータの保存は重複しません。

サポートされている S3 ストレージクラス

AWS Backup 次の S3 ストレージクラスに保存されている S3 データをバックアップできます。

• S3 Standard

• S3 Standard - アクセス頻度 (IA)

• S3 1 ゾーン - IA

• S3 Glacier インスタント取得

• S3 Intelligent-Tiering (S3 INT)

Glacier Instant Retrieval の場合を除き、アーカイブ済みストレージクラス (S3 INT - Glacier、Glacier Flexible Retrieval、Glacier Deep Archive を含む) はサポートされていません。

Amazon S3 AWS Backup に関する考慮事項

S3 リソースをバックアップする際には、以下の点を考慮する必要があります。

• AWS Backup 対象オブジェクトメタデータのサポート:タグ、アクセスコントロールリスト (ACL)、ユーザー定義メタデータ、オリジナル作成日、バージョン ID などのメタデータをサポートします。これにより、元の作成日、バージョン ID、ストレージクラス、および ETag を除くバックアップデータとメタデータをすべて復元できます。

• S3 オブジェクトキー名は、ほとんどの UTF-8 エンコード可能な文字列で構成できます。Unicode 文字 #x9 | #xA | #xD | #x20 to #xD7FF | #xE000 to #xFFFD | #x10000 to #x10FFFF を使用できます。

  このリストにない文字を含むオブジェクトキー名は、バックアップから除外される場合があります。詳細については、文字に関するW3C仕様を参照してください。

• コールドストレージ移行: AWS Backupのライフサイクル管理ポリシーでは、バックアップ有効期限のタイムラインを定義できますが、現時点では S3 バックアップのコールドストレージ移行はサポートされていません。

• 同時に作成された、同じオブジェクトの複数のバージョンを含む S3 バケットのバックアップは、現時点ではサポートされていません。

• 定期的なバックアップでは、 AWS Backup オブジェクトメタデータへのすべての変更を追跡するよう最善を尽くします。ただし、1 分以内にタグまたは ACL を複数回更新すると、 AWS Backup すべての中間状態がキャプチャされない場合があります。

• AWS Backup 現在、SSE-C で暗号化されたオブジェクトのバックアップはサポートされていません。 AWS Backup また、現在、バケットポリシー、設定、名前、アクセスポイントなどのバケット設定のバックアップもサポートしていません。

• S3 Intelligent Tier (INT) オブジェクトのバックアップを作成すると、ソースオブジェクトは現在のストレージ階層よりも高価なストレージ階層に移動します。

• AWS Backup 現時点では S3 のバックアップはサポートされていません AWS Outposts。

重要

データ読み取りイベントをログに記録するアカウントでは、 CloudTrail ログが有効になっている S3 バケットのアクセスログを別のターゲットバケットに保存する必要があります。 CloudTrail ログが記録されるのと同じバケットにログを保存すると、無限ループが発生します。このループにより、予期しない不要な料金が発生する可能性があります。

詳細については、『CloudTrail ユーザーガイド』の「データイベント」を参照してください。

S3 バックアップ完了ウィンドウ

以下の表は、S3 バケットの最初のフルバックアップの完了時間の目安となるように、さまざまなサイズのサンプルバケットを示しています。バックアップ時間は、各バケットのサイズ、内容、構成、設定によって異なります。

バケットサイズ	プロジェクト数	初期バックアップが完了するまでの推定時間
425 GB (ギガバイト)	1 億 3500 万	31 時間
800 TB (テラバイト)	6 億 7000 万	38 時間
6 PB (ペタバイト)	50 億	100 時間
370 TB (テラバイト)	75 億	180 時間

Amazon S3 のバックアップと復元のアクセス許可とポリシー

S3 リソースをバックアップ、コピー、復元するには、ロールに適切なポリシーが必要です。これらのポリシーを追加するには、「AWS 管理ポリシー」を参照してください。S3 AWSBackupServiceRolePolicyForS3BackupAWSBackupServiceRolePolicyForS3Restoreバケットのバックアップと復元に使用するロールにとを追加します。

十分なアクセス許可がない場合は、組織の管理者 (admin) アカウントの管理者に、目的のロールにポリシーを追加するよう依頼してください。

詳細については、「IAM ユーザーガイド」の「管理ポリシーとインラインポリシー」を参照してください。https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html

AWS Backup for S3は、 EventBridge Amazonを通じてS3イベントを受信することに依存しています。S3 バケット通知設定でこの設定を無効にすると、設定がオフになっているバケットの継続的バックアップは停止します。詳細については、「使用 EventBridge」を参照してください。

S3 バックアップのベストプラクティスとコスト最適化

ベストプラクティス

3 億個を超えるオブジェクトを含むバケットの場合:

• 3 億個を超えるオブジェクトを含むバケットでは、バケットの最初のフルバックアップ時にバックアップ速度が 1 秒あたり最大 17,000 オブジェクトに達することがあります (増分バックアップでは速度が異なります)。3 億個未満のオブジェクトを含むバケットは、1 秒あたり 1,000 オブジェクトに近い速度でバックアップされます。

• 継続的バックアップが推奨されます。

• バックアップのライフサイクルを 35 日以上に予定している場合は、継続的バックアップが保存されているのと同じボールトにあるバケットのスナップショットバックアップを有効にすることもできます。

コスト最適化

• S3 ライフサイクルポリシーには、「期限切れのオブジェクト削除マーカーを削除」というオプション機能があります。この機能をオフにすると、削除マーカー (場合によっては数百万単位) がクリーンアッププランなしで期限切れになります。この機能のないバケットをバックアップすると、時間とコストに影響する問題が 2 つ生じます。

  • 削除マーカーはオブジェクトと同様にバックアップされます。オブジェクトと削除マーカーの比率によっては、バックアップ時間と復元時間が影響を受ける可能性があります。

  • バックアップされるオブジェクトとマーカーにはそれぞれ最低料金が適用されます。各削除マーカーには 128 KiB のオブジェクトと同じ料金がかかります。

• 少なくとも毎日、またはそれ以上の頻度でバックアップを行うアカウントでは、バックアップ内のデータについてのバックアップ間の変更が最小限であれば、継続的バックアップを使用することでコスト上のメリットが得られます。

• より大きなバケットで、変更の頻度が低いものは、継続的バックアップのメリットがあります。これは、バケット全体のスキャンとオブジェクトごとの複数のリクエストを、既存のオブジェクト (前回のバックアップから変更されていないオブジェクト) に対して実行する必要がない場合にコスト削減につながるためです。

• 1 億個を超えるオブジェクトを含むバケットで、全体のバックアップサイズに比べて削除率が小さい場合、2 日間の保持期間の継続的バックアップと、保持期間の長いスナップショットバックアップの両方を含むバックアッププランでは、コスト面でのメリットが得られる可能性があります。

• 定期的 (スナップショット) バックアップ時間は、バケットスキャンが不要なときのバックアッププロセスの開始時間と一致します。継続的バックアップとスナップショットバックアップの両方を含むバケットでは、スナップショットバックアップは継続的復旧ポイントから取得されるため、スキャンは不要です。

• AWS KMSバックアップ戦略の一部である CloudTrail、、および Amazon CloudWatch の機能により、S3 バケットデータストレージ以外の追加コストが発生する可能性があります。これらの機能の調整に関する詳細については、以下を参照してください。

  • Amazon S3 ユーザーガイドの Amazon S3 バケットキーを使用した SSE-KMS のコストの削減。

  • AWS KMS イベントを除外したり S3 データイベントを無効にしたりすることで、 CloudTrail コストを削減できます。

    • AWS KMS イベントの除外:CloudTrail ユーザーガイドでは、コンソールで証跡を作成すると（基本イベントセレクター）、 AWS KMS イベントを除外してこれらのイベントを追跡記録から除外できます（デフォルト設定ではすべての KMS イベントが含まれます）。

    • KMS イベントをログまたは除外するオプションは、証跡の管理イベントをログに記録する場合にのみ使用できます。管理イベントをログに記録しないように選択した場合は、KMS イベントはログに記録されず、KMS イベントログ設定は変更できません。

    • AWS KMS Encrypt、、などのアクションではDecrypt、GenerateDataKey通常、大量（99% 以上）のイベントが生成されます。これらのアクションは、[読み取り] イベントとしてログに記録されるようになりました。Disable、Delete、および ScheduleKey などのボリュームの小さい関連 KMS アクション (通常、KMS イベントボリュームの 0.5% 未満を占める) は、[書き込み] イベントとしてログに記録されます。

    • 、、などの大量のイベントを除外しEncryptDecrypt、GenerateDataKey、などの関連イベントは引き続き記録するにはDisableDelete、書き込み管理イベントをログに記録することを選択し、[ AWS KMS 除外イベント] のチェックボックスをオフにします。ScheduleKey

    • S3 データイベントを無効にする: デフォルトでは、証跡とイベントデータストアはデータイベントを記録しません。コスト削減のため、初回バックアップの前に S3 データイベントを無効にします。

  • CloudWatch コストを削減するために、 CloudWatch 記録を更新してログ設定を無効にしたときに、 CloudTrail CloudWatch ログへのイベントの送信を停止できます。

S3 バックアップの復元

を使用してバックアップした S3 データを S3 AWS Backup スタンダードストレージクラスに復元できます。S3 データは、元のバケットを含め、既存のバケットに復元できます。復元中に、復元ターゲットとして新しい S3 バケットを作成することもできます。S3 バックアップは、 AWS リージョン バックアップが保存されている場所と同じ場所にのみ復元できます。

S3 バケット全体、またはバケット内のフォルダまたはオブジェクトを復元できます。 AWS Backup は、そのオブジェクトの現在のバージョンを復元します。

を使用して S3 データを復元するには AWS Backup、を参照してくださいS3 データの復元。