バックアップポリシー - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

バックアップポリシー

すべてのポリシータイプに共通の情報と手順については、以下のトピックを参照してください。

AWS Backupを使用すると、バックアップ計画バックアップする方法を定義するAWSリソースの使用料金を見積もることができます。プランのルールには、バックアップの頻度、バックアップが実行されるタイムウィンドウ、 AWS リージョン バックアップするリソースと、バックアップを保存するボールトを含む。その後、タグを使用して識別された AWS リソースのグループにバックアッププランを適用できます。また、識別する必要がありますAWS Identity and Access Management(IAM) ロールを付与するAWS Backupユーザーに代わってバックアップオペレーションを実行します。

AWS Organizations のバックアップポリシーは、これらのすべての要素を JSON テキストドキュメントに結合します。バックアップポリシーは、ルート、組織単位 (OU)、個々のアカウントなど、組織の構造内の任意の要素にアタッチできます。Organizations は、継承ルールを適用して、組織のルート、親 OU のポリシー、またはアカウントにアタッチされたポリシーを結合します。これにより、各アカウントに対して 有効なバックアップポリシー が生成されます。この有効なポリシーは、AWS Backup に AWS リソースを自動的にバックアップする方法を指示します。

バックアップポリシーを使用すると、組織が必要とするあらゆるレベルでリソースのバックアップをきめ細かく制御できます。たとえば、組織のルートにアタッチされたポリシーで、すべての Amazon DynamoDB テーブルをバックアップする必要があることを指定できます。このポリシーには、デフォルトのバックアップ頻度を含めることができます。その後、各 OU の要件に従ってバックアップ頻度を上書きするバックアップポリシーを OU にアタッチできます。たとえば、Developers OU ではバックアップ頻度を週に 1 回指定し、Production OU では 1 日に 1 回指定することができます。

リソースを正常にバックアップするために必要な情報の一部だけを個別に含む部分的なバックアップポリシーを作成できます。これらのポリシーは、ルート OU や親 OU など、組織ツリーのさまざまな部分にアタッチできます。これは、下位レベルの OU とアカウントに継承されることを意図しています。Organizations が、継承ルールを使用してアカウントのポリシーをすべて組み合わせると、結果として得られる有効なポリシーに必要な要素をすべて備えている必要があります。そうでない場合は、AWS Backupは、ポリシーが無効であると判断し、影響を受けるリソースをバックアップしません。

重要

AWS Backup は、必要なすべての要素を含む 完全な 有効なポリシーによって起動された場合にのみ、バックアップを正常に実行できます。

前に説明した部分的なポリシー戦略は機能しますが、アカウントの有効なポリシーが不完全になった場合、エラーやリソースが正常にバックアップされません。代替戦略として、すべてのバックアップポリシーが単独で完全かつ有効であることが必要であることを検討してください。階層の上位にアタッチされたポリシーによって提供される デフォルト値を使用し、継承子制御演算子を含めることによって、子ポリシーで必要に応じてオーバーライドします。

それぞれの効果的なバックアップ計画 AWS アカウント 組織の [] は、[] に表示されます。AWS Backupコンソールを、そのアカウントの不変のプランとして使用します。表示することはできますが、変更することはできません。

AWS Backup がポリシーによって作成されたバックアッププランに基づいてバックアップを開始すると、AWS Backup コンソールでバックアップジョブのステータスを確認できます。メンバーアカウントのユーザーは、そのメンバーアカウントのバックアップジョブのステータスとエラーを確認できます。信頼されたサービスアクセスをAWS Backup組織の管理アカウントのユーザーは、組織内のすべてのバックアップジョブのステータスとエラーを表示できます。詳細については、「」を参照してください。クロスアカウント管理の有効化()AWS Backup開発者ガイド

バックアップポリシーの使用開始

バックアップポリシーの使用を開始するには、次のステップを実行します。

これらすべてのステップでは、IAM ユーザーとしてサインインして IAM ロールを引き受けるか、ルートユーザー (非推奨) を組織の管理アカウントに追加します。