翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
バックアップポリシーを使用する場合のベストプラクティス
AWS では、バックアップポリシーを使用する際に次のベストプラクティスを推奨しています。
バックアップポリシー戦略を決定する
継承およびマージされた不完全な部分でバックアップポリシーを作成し、各メンバーアカウントの完全なポリシーを作成できます。これを行う場合、あるレベルで、そのレベルより低いすべてのアカウントに対する変更の影響を慎重に考慮せずに変更を加えると、不完全な効果的なポリシーになる危険性があります。これを回避するために、すべてのレベルで実装するバックアップポリシーが単独で完全であるようにすることをお勧めします。親ポリシーは、子ポリシーで指定された設定によってオーバーライドできるデフォルトポリシーとして扱います。これにより、子ポリシーが存在しない場合でも、継承されたポリシーは完全であり、デフォルト値が使用されます。子制御継承演算子を使用して、子ポリシーで追加、変更、または削除できる設定を制御できます。
GetEffectivePolicy
を使用してバックアップポリシーの変更を検証する
バックアップポリシーを変更した後、変更を行ったレベルより低い代表アカウントの有効なポリシーを確認します。有効なポリシーを表示するには、AWS Management Console を使用するか、GetEffectivePolicy API 操作または AWS CLI あるいは AWS SDK バリアントのいずれかを使用します。加えた変更が、有効なポリシーに意図した影響を与えていることを確認します。
単純なものから始めて、小さな変更を加える
デバッグを簡素化するには、単純なポリシーから開始し、一度に 1 つの項目を変更します。次の変更を行う前に、各変更の動作と影響を検証します。こうすることで、エラーや予期しない結果が発生した場合に考慮する必要がある変数が減ります。
組織内の他の AWS リージョン とアカウントにバックアップのコピーを保存する
バックアップのコピーを保存しておくと、災害対策の強化につながります。
-
別のリージョン - バックアップのコピーを別の AWS リージョン に追加で保存することで、元のリージョンで偶発的な破損や削除からバックアップを保護できます。ポリシーの
copy_actions
セクションを使用し、バックアッププランが実行されるアカウントの 1 つ以上のリージョンにボールトを指定します。これを行うには、バックアップのコピーを保存するバックアップボールトの ARN を指定する際に$account
変数を使用し、アカウントを特定します。$account
変数は、バックアップポリシーが実行されているアカウント ID に、実行時に自動的に置き換えられます。 -
別のアカウント - バックアップのコピーを別の AWS アカウント に追加で保存することで、アカウントを侵害する悪意のある人物に対するセキュリティの障壁を追加し、保護を強化できます。ポリシーの
copy_actions
セクションを使用し、組織内の 1 つ以上のアカウントにボールトを指定します。バックアッププランを実行するアカウントとは別にする必要があります。これを行うには、バックアップのコピーを保存するバックアップボールトの ARN を指定する際に実際のアカウント ID 番号を使用し、アカウントを特定します。
ポリシーごとのプラン数を制限する
複数のプランを含むポリシーは、すべてを検証する必要がある多数の出力のため、トラブルシューティングが複雑になります。デバッグとトラブルシューティングを簡素化するために、各ポリシーにはバックアッププランを 1 つだけ含めるようにします。その後、他の要件を満たすために、他のプランにポリシーを追加できます。こうすることで、プランに関する問題が 1 つのポリシーに分離され、他のポリシーとそのプランに関する問題のトラブルシューティングが複雑になるのを防ぐことができます。
スタックセットを使用して必要なバックアップボールトと IAM ロールを作成する
AWS CloudFormation スタックセットの Organizations との統合を使用し、組織内の各メンバーアカウントに必要なバックアップボールトと AWS Identity and Access Management (IAM) ロールを自動的に作成します。組織内のすべての AWS アカウント で自動的に利用可能になるリソースを含むスタックセットを作成できます。こうすることで、依存関係がすでに満たされていることが保証された状態でバックアッププランを実行できます。詳細については、AWS CloudFormation ユーザーガイドのセルフマネージド型のアクセス許可を持つスタックセットの作成を参照してください。
各アカウントで作成された最初のバックアップを確認して、結果をチェックします。
ポリシーを変更するときは、その変更後に作成された次のバックアップをチェックして、変更が目的の影響を与えたことを確認します。こうすることで、有効なポリシーを確認すると同時に、確実に意図したとおりに AWS Backup がポリシーを解釈してバックアッププランを実装するようにできます。