AWS Backup: および AWS Organizations - AWS Organizations

AWS Backup: および AWS Organizations

AWS Backup は、組織内の AWS Backup ジョブを管理およびモニタリングできるサービスです。組織の管理アカウントのユーザーとしてサインインすると、AWS Backup を使用して組織全体のバックアップ保護とモニタリングを有効にできます。バックアップポリシーを使用して、組織内のすべてのアカウントのリソースに AWS Backup 計画を一元的に適用することで、コンプライアンスを達成できます。AWS Backup と AWS Organizations を一緒に使用すると、次の利点が得られます。

保護

組織でバックアップポリシータイプを有効にし、バックアップポリシーを作成して、組織のルート、OU、またはアカウントにアタッチできます。バックアップポリシーによって、AWS Backup プランと、そのプランを自動的にアカウントに適用するために必要なその他の詳細情報を組み合わせることができます。アカウントに直接アタッチされたポリシーが、組織のルートおよび親 OU から継承されたポリシーとマージされて、アカウントに適用できる有効なポリシーを作成します。ポリシーには、アカウントのリソースで AWS Backup を実行するアクセス許可を持つ IAM ロールの ID が含まれます。AWS Backup はその IAM ロールを使用し、有効なポリシーのバックアッププランで指定されているとおりに、ユーザーに代わってバックアップを実行します。

モニタリング

組織で AWS Backupに対して信頼されたアクセスを有効にすると、AWS Backup コンソールを使用して、組織内の任意のアカウントのバックアップ、復元、およびコピージョブの詳細を表示できます。詳細については、AWS Backup デベロッパーガイドMonitor your backup jobs を参照してください。

AWS Backup の詳細については、AWS Backup デベロッパーガイドを参照してください。

AWS Backup と AWS Organizations の統合には、次の情報を参考にしてください。

AWS Backup との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

AWS Backup コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に AWS Backup コンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が AWS Backup で実行可能になります。ここに示す手順は、統合の有効化に AWS Backup が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

AWS Backup コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

AWS Backup を使用して信頼されたアクセスを有効にするには、AWS Backup デベロッパーガイドEnabling backup in multiple AWS アカウント を参照してください。

AWS Backup との信頼されたアクセスの無効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

組織のアカウント全体でジョブのバックアップ、復元、コピーのモニタリングを有効にするにあたり、AWS Backup には AWS Organizations との信頼されたアクセスが必要です。信頼されたアクセス AWS Backup を無効にすると、現在のアカウント以外のジョブを表示できなくなります。AWS Backup で作成される AWS Backup ロールは残ります。信頼されたアクセスを後で再度有効にすると、AWS Backup は以前のように動作し続けます。サービスを再設定する必要はありません。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスの無効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、AWS Backup を Organizations で信頼されたサービスとして無効にすることができます。

    $ aws organizations disable-aws-service-access \ --service-principal backup.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess