複数の AWS アカウントにわたる AWS バックアップをコピーするにはどうすれば良いでしょうか?

簡単な説明

AWS を使用する場合は、複数の AWS アカウントにわたるアクションを実行できる適切なアクセス許可を設定する必要があります。また、AWS Backup を使用してクロスアカウントリソースを管理するには、使用しているアカウントが AWS Organizations サービスの同じ組織に属している必要があります。

AWS Backup がサポートしているほとんどのリソースがクロスアカウントバックアップの作成に対応しています。詳細については、「Feature availability by resource」を参照してください。

解決方法

ソースアカウントの要件

本稼働用 AWS リソースとプライマリバックアップをホストするアカウントは、「ソースアカウント」と呼ばれています。クロスアカウントバックアップを設定する前に、ソースアカウントの要件をご確認ください。

• ソースアカウントのリソースがカスタマーマネージドキーで暗号化されている場合は、このキーを宛先アカウントと共有します。クロスアカウントバックアップ機能は、完全な AWS Backup Management をサポートするサービス以外のサービスにおいて、カスタマーマネージドキーのみをサポートします。AWS キーはアカウント間で共有されていないため、サポートされていません。
• ソースアカウントのユーザーに、AWSBackupFullAccess などのコピージョブを作成するための適切なアクセス許可があることを確認します。このアクセス許可により、バックアップ管理者にアクセスを提供します。バックアップ管理者は、バックアッププランの作成と変更、バックアップ復元の実行など、あらゆる AWS Backup オペレーションを監督します。

宛先アカウントの要件

宛先アカウントとは、バックアップのコピーを保持する AWS アカウントです。複数の宛先アカウントを選択することができます。宛先アカウントは、AWS Organizations の送信元アカウントと同じ組織に属している必要があります。

クロスアカウントバックアップを設定する前に、以下の手順を実行して宛先アカウントを設定してください。

• 宛先アカウントにバックアップボールトを作成して、バックアップを暗号化するためのカスタマーマネージドキーを割り当てます。
• 宛先アカウントのバックアップボールトの Amazon リソースネーム (ARN) をメモしておきます。ARN には、アカウント ID とその AWS リージョンが含まれています。
• 宛先バックアップボールトのアクセスポリシー「backup:CopyIntoBackupVault」を許可する必要があります。このポリシーがない場合、宛先アカウントへのコピーは拒否されます。アクセスを提供するための、以下のポリシー例を参照してください。

{"Version": "2012-10-17","Statement": \[{"Sid": "Allow account to copy into backup vault","Effect": "Allow","Action": "backup:CopyIntoBackupVault","Resource": "\*","Principal": {"AWS": "arn:aws:iam::account-id:root"}}\]}

宛先アカウントの要件の詳細については、「Sharing a backup vault with a different AWS account」を参照してください。

クロスアカウントバックアップでの、セキュリティに関する考慮事項

AWS Backup でクロスアカウントバックアップを実行する際は、次の点を考慮することが重要となります。

• デフォルトのボールトを宛先ボールトとして使用することはできません。その理由は、デフォルトのボールトが他のアカウントと共有できない AWS マネージドキーで暗号化されているためです。
• クロスアカウントバックアップは、最終的な整合性を持たせるため、オフにしてから最大 15 分間変更することができません。
• 宛先アカウントが後で組織を離れる場合でも、バックアップは保持されます。データ漏洩の可能性を防ぐ方法としては、「Removing a member account from your organization」を参照してください。
• クロスアカウントコピー中にコピージョブロールを削除した場合、コピージョブの完了時に、AWS Backup がソースアカウントからスナップショットの共有を解除できません。

AWS Organizations でのクロスアカウントバックアップを許可

クロスアカウントバックアップを使用するには、AWS Organizations 管理アカウント内で、クロスアカウントバックアップ機能を有効にします。AWS Organizations 管理アカウントは、組織のプライマリアカウントです。
組織のクロスアカウントバックアップを有効にするには、以下の手順に従ってください。

1. AWS Organizations の管理アカウントの認証情報を使用して、AWS Backup コンソールにログインします。クロスアカウントバックアップは、これらの認証情報のみを使用して有効にできます。
2. [マイアカウント] セクションで、[設定] を選択します。
3. クロスアカウントバックアップを有効化します。

これらの手順を実行することで、組織内の任意のアカウントが、バックアップボールトの内容を組織内の他のアカウントと共有できるようになります。詳細については、「Sharing a backup vault with a different AWS account」を参照してください。

クロスアカウントバックアップのスケジュール

クロスアカウントバックアップをスケジュールするには、AWS Backup コンソールを使用して、以下の手順に従ってください。

1. AWS Backup コンソールを開きます。
2. [マイアカウント] セクションで、[バックアッププラン] を選択し、[バックアッププランを作成] を選択します。
3. [バックアッププランを作成] ページで、[新しいプランを立てる] を選択します。
4. [バックアップルールの設定] セクションで、バックアップスケジュール、バックアップウィンドウ、ライフサイクルルールを含むバックアップルールを作成します。後で必要が生じる他のバックアップルールも追加できます。
5. [スケジュール] で、バックアップを実行する頻度を選択します。
6. ベストプラクティスは、バックアップウィンドウのデフォルト設定を使用することです。
7. バックアップの復旧ポイントを保存するためのバックアップボールトを選択するか、新規のバックアップボールトを作成します。バックアップボールトを使用すると、ローカル (送信元) アカウントにバックアップを保存できます
8. [コピーを生成] セクションで、バックアップコピーの宛先 AWS リージョンを選択し、新規のコピールールを追加します。
9. [別のアカウントのボールトにコピー] オプションを有効にします。このオプションを有効にすると青色に変わります。[外部ボールト ARN] オプションが表示されます。
10. 宛先アカウントのバックアップボールトの ARN を入力します。AWS Backup は、バックアップを宛先アカウントのボールトにコピーします。宛先リージョンリストは、外部ボールト ARN のリージョンに自動的に更新されます。
11. [バックアップボールトアクセスを許可] で、[許可] を選択します。次に、開いたウィザード内で、もう一度 [許可] を選択します。
12. [コールドストレージへの移行] で、バックアップコピーをコールドストレージに移行するタイミングと、コピーを期限切れにする (削除する) タイミングを選択します。
13. [プランを作成] を選択します。

暗号化ボールト

デフォルトのボールトは AWS マネージドキーで暗号化されています。AWS マネージドキーを他のアカウントと共有することはできません。代わりに、カスタマーマネージドキーで暗号化されるカスタマーボールトを使用することをお勧めします。

Amazon Elastic Compute Cloud (Amazon EC2) などの完全な AWS Backup Managemen をサポートしない暗号化リソースのクロスアカウントバックアップを実行することもできます。この場合、リソースは、カスタマーマネージドキーで暗号化する必要があります。AWS マネージドキーは、クロスアカウントコピーではサポートされていません。詳細については、「Encryption for backups in AWS Backup」を参照してください。

完全な AWS Backup Managemen をサポートするサービスの場合、クロスアカウントコピーでは SMK がサポートされます。詳細については、「Feature availability by resource」を参照してください。「Protecting encrypted Amazon RDS instances with cross-account and cross-Region backups」も参照してください。