バックアップポリシーの作成、更新、削除 - AWS Organizations

バックアップポリシーの作成、更新、削除

このトピックの内容

バックアップポリシーの作成

最小限必要なアクセス権限

バックアップポリシーを作成するには、次のアクションを実行するアクセス許可が必要です。

  • organizations:CreatePolicy

AWS Management Console

AWS Management Console にバックアップポリシーを作成するには、次の 2 つの方法があります。

  • オプションを選択し、JSON ポリシーテキストを生成できるビジュアルエディタ。

  • JSON ポリシーテキストを直接作成できるテキストエディタ。

ビジュアルエディタを使用すると、プロセスが簡単になりますが、柔軟性は制限されます。これは、最初のポリシーを作成し、使用に慣れるのに最適な方法です。これらの機能の仕組みを理解し、ビジュアルエディタが提供するものによって制限され始めたら、JSON ポリシーテキストを自分で編集して、ポリシーに高度な機能を追加できます。ビジュアルエディタは、@@assign 値設定演算子のみを使用し、子制御演算子へのアクセスは提供しません。子制御演算子は、JSON ポリシーテキストを手動で編集した場合にのみ追加できます。

バックアップポリシーを作成するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. バックアップポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  3. [Create policy] (ポリシーの作成) ページで、ポリシー名と、オプションでポリシーの説明を入力します。

  4. (オプション) [Add tag] (タグの追加) を選択してキーとオプションの値を入力することで、ポリシーに 1 つ以上のタグを追加できます。値を空白のままにすると、空の文字列が設定され、null にはなりません。1 つのポリシーに最大 50 個のタグをアタッチできます。タグ付けの詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

  5. この手順で説明するように、[ビジュアルエディタ] を使用してポリシーを構築できます。また、[JSON] タブにポリシーテキストを入力または貼り付けることもできます。バックアップポリシーの構文については、バックアップポリシーの構文と例 を参照してください。

    [ビジュアルエディタ] を使用する場合は、シナリオに適したバックアップオプションを選択します。バックアッププランは 3 つの部分で構成されます。こうしたバックアッププランの要素について詳しくは、AWS Backup デベロッパーガイドのバックアッププランの作成、およびリソースの割り当てを参照してください。

    1. バックアッププランの全般的な説明

      • [バックアッププラン名] には、英数字、ハイフン、下線のみを使用できます。

      • リストから少なくとも 1 つの [バックアッププランリージョン] を選択する必要があります。プランでは、選択した AWS リージョン でのみリソースをバックアップできます。

    2. AWS Backup の動作方法とタイミングを指定する 1 つ以上のバックアップルール。各バックアップルールは、次の項目を定義します。

      • バックアップの頻度、およびバックアップを実行できるタイムウィンドウを含むスケジュール。

      • 使用するバックアップボールトの名前。[バックアップボールト名] は、英数字、ハイフン、下線のみで構成できます。プランを正常に実行するには、バックアップボールトが存在している必要があります。AWS Backup コンソールまたは AWS CLI コマンドを使用して、ボールトを作成します。

      • (オプション) 1 つ以上のリージョンにコピールールで、バックアップを他の AWS リージョン のボールトにもコピーします。

      • このバックアッププランを実行するたびに作成されるバックアップリカバリポイントに関連付ける 1 つ以上のタグキーと値のペア。

      • バックアップがコールドストレージに移行するタイミングとバックアップの期限を指定するライフサイクルオプション。

      [Add rule] (ルールの追加) を選択し、必要な各ルールをプランに追加します。

      バックアップルールの詳細については、AWS Backup デベロッパーガイドバックアップルールを参照してください。

    3. このプランで AWS Backup がバックアップするリソースを指定するリソース割り当て。この割り当ては、リソースの検索と照合に AWS Backup が使用するタグのペアを指定することによって行われます。

      • [リソースの割り当て名] には、英数字、ハイフン、下線のみを使用できます。

      • AWS Backup 用の [IAM role] (IAM ロール) を指定します。バックアップはこの名前で実行されます。

        コンソールでは、Amazon リソースネーム (ARN) の全体は指定しません。ロール名とロールのタイプを指定するプレフィックスの両方を含める必要があります。通常、プレフィックスは role または service-role で、ロール名とはスラッシュ (「/」) で区切られます。例えば、role/MyRoleName または service-role/MyManagedRoleName と入力します。これは、基本となる JSON に保存される際に完全な ARN に自動で変換されます。

        重要

        指定した IAM ロールは、ポリシーが適用されるアカウントにすでに存在している必要があります。存在しない場合、バックアッププランはバックアップジョブを正常に開始する可能性がありますが、それらのバックアップジョブは失敗します。

      • [Resource tag key] (リソースタグキー) と [Tag values] (タグ値) のペアを 1 つ以上指定し、バックアップするリソースを特定します。複数のタグ値がある場合は、値をカンマで区切ります。

      [Add assignment] (割り当てを追加) を選択し、バックアッププランに設定した各リソース割り当てを追加します。

      詳細については、AWS Backup デベロッパーガイドバックアッププランへのリソースの割り当てを参照してください。

  6. ポリシーの作成が完了したら、[Create policy] (ポリシーの作成) を選択します。使用可能なバックアップポリシーのリストにポリシーが表示されます。

AWS CLI & AWS SDKs

バックアップポリシーを作成するには

次のいずれかを使用して、バックアップポリシーを作成できます。

  • AWS CLI: create-policy

    バックアッププランを次のような JSON テキストとして作成し、テキストファイルとして保存します。構文のすべてのルールについては、バックアップポリシーの構文と例 を参照してください。

    { "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": { "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "10" }, "delete_after_days": { "@@assign": "100" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII" ] } } } } } } }

    このバックアップポリシーは、指定した AWS リージョン 内の該当する AWS アカウント にあり、かつ、値が PII のタグ dataType を持つすべてのリソースが AWS Backup によってバックアップされるよう指定します。

    次に、JSON ポリシーファイルをインポートして、組織内に新しいポリシーを作成します。出力のポリシー ARN の末尾にあるポリシー ID を書き留めます。

    $ aws organizations create-policy \ --name "MyBackupPolicy" \ --type BACKUP_POLICY \ --description "My backup policy" \ --content file://policy.json{ "Policy": { "PolicySummary": { "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5", "Description": "My backup policy", "Name": "MyBackupPolicy", "Type": "BACKUP_POLICY" } "Content": "...a condensed version of the JSON policy document you provided in the file...", } }
  • AWS SDK: CreatePolicy

次のステップ

バックアップポリシーを作成したら、ポリシーを有効にできます。これを行うには、組織ルート、組織単位 (OU)、組織内の AWS アカウント、またはこれらすべてにポリシーをアタッチします。

バックアップポリシーの更新

組織の管理アカウントにサインインすると、組織内で変更が必要なポリシーを編集できます。

最小限必要なアクセス権限

バックアップポリシーを更新するには、次のアクションを実行するアクセス許可が必要です。

  • 更新するポリシー (または "*") の ARN を含む同じポリシーステートメントの organizations:UpdatePolicy 要素を持つ Resource

  • 更新するポリシー (または "*") の ARN を含む同じポリシーステートメントの organizations:DescribePolicy 要素を持つ Resource

AWS Management Console

バックアップポリシーを更新するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. バックアップポリシーページで、更新するポリシーの名前を選択します。

  3. [Edit policy (ポリシーの編集)] を選択します。

  4. 新しいポリシー名ポリシーの説明を入力できます。ポリシーの内容を変更するには、[Visual editor] (ビジュアルエディタ) を使用するか、直接 JSON を編集します。

  5. ポリシーの更新が完了したら、[変更を保存] を選択します。

AWS CLI & AWS SDKs

バックアップポリシーを更新するには

次のいずれかを使用して、バックアップポリシーを更新できます。

  • AWS CLI: update-policy

    次の例では、バックアップポリシーの名前を変更しています。

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed policy" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" } }

    次の例では、バックアップポリシーの説明を追加、変更しています。

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new description" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" } }

    次の例では、バックアップポリシーにアタッチされた JSON ポリシードキュメントを変更しています。この例では、次のようなテキストを含む policy.json というファイルから、内容が取得されています。

    { "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": { "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "10" }, "delete_after_days": { "@@assign": "100" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII" ] } } } } } } }
    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --content file://policy.json { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" }
  • AWS SDK: UpdatePolicy

バックアップポリシーにアタッチされたタグの編集

組織の管理アカウントにサインインすると、バックアップポリシーにアタッチされたタグの追加と削除を行うことができます。タグ付けの詳細については、「AWS Organizations リソースのタグ付け」を参照してください。

最小限必要なアクセス権限

AWS 組織のバックアップポリシーにアタッチされたタグを編集するには、次のアクセス許可が必要です。

  • organizations:DescribeOrganization (コンソールのみ - ポリシーに移動するために使用)

  • organizations:DescribePolicy (コンソールのみ - ポリシーに移動するために使用)

  • organizations:TagResource

  • organizations:UntagResource

AWS Management Console

バックアップポリシーにアタッチされたタグを編集するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. バックアップポリシーページ

  3. 編集するタグを含むポリシーの名前を選択します。

    ポリシーの詳細ページが表示されます。

  4. [Tags (タグ)] タブで、[Manage tags (タグ管理)] を選択します。

  5. このページでは次のアクションを実行できます。

    • 古い値に上書きして新しい値を入力し、任意のタグの値を編集します。キーは変更できません。キーを変更するには、古いキーを持つタグを削除し、新しいキーを持つタグを追加する必要があります。

    • [Remove] (削除) を選択すると、既存のタグが削除されます。

    • 新しいタグのキーと値のペアを追加します。[Add tag] (タグの追加) を選択し、表示されたボックスに新しいキー名とオプションの値を入力します。[Value] (値) ボックスを空白のままにすると、値は空の文字列に設定され、null にはなりません。

  6. 必要な追加、削除、編集をすべて終えたら、[Save changes] (変更の保存) を選択します。

AWS CLI & AWS SDKs

バックアップポリシーにアタッチされたタグを編集するには

バックアップポリシーにアタッチされたタグを編集するには、次のいずれかのコマンドを使用します。

バックアップポリシーの削除

組織の管理アカウントにサインインすると、組織に不要になったポリシーを削除できます。

ポリシーを削除するには、まずそのポリシーをすべての添付エンティティからデタッチする必要があります。

最小限必要なアクセス権限

ポリシーを削除するには、次のアクションを実行するアクセス許可が必要です。

  • 指定されたポリシー (または "*") の ARN を含む同じポリシーステートメントの organizations:DeletePolicy 要素を持つ Resource

AWS Management Console

バックアップポリシーを削除するには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. バックアップポリシーページから、削除するバックアップポリシーの名前を選択します。

  3. 削除するバックアップポリシーは、まず、すべてのルート、OU、アカウントからデタッチする必要があります。[Targets] (ターゲット) タブを選択し、[Targets] (ターゲット) リストの各ルート、OU、アカウントの横にあるラジオボタンをクリックしてから、[Detach] (デタッチ) を選択します。確認ダイアログボックスで、[Detach] (デタッチ) を選択します。すべてのターゲットを削除するまで繰り返します。

  4. ページの上部で、[Delete] (削除) を選択します。

  5. 確認ダイアログボックスで、ポリシーの名前を入力し、[Delete] (削除) を選択します。

AWS CLI & AWS SDKs

バックアップポリシーを削除するには

次のいずれかを使用して、ポリシーを削除できます。

  • AWS CLI: delete-policy

    次の例では、特定のポリシーを削除しています。このコマンドは、ポリシーがルート、OU、アカウントにアタッチされていない場合にのみ機能します。

    $ aws organizations delete-policy \ --policy-id p-i9j8k7l6m5

    このコマンドが成功した場合、出力は生成されません。

  • AWS SDK: DeletePolicy