複数の AWS アカウントにわたる AWS Backup をコピーする方法を教えてください。

簡単な説明

AWS を使用する際は、複数の AWS アカウントにわたるアクションを実行するための適切なアクセス許可を設定する必要があります。また、AWS Backup を使用してクロスアカウントリソースを管理するには、使用しているアカウントが AWS Organizations サービスの同じ組織に属している必要があります。

AWS Backup がサポートしているほとんどのリソースは、クロスアカウントバックアップの作成に対応しています。詳細については、「リソース別の機能の可用性」を参照してください。

解決策

ソースアカウントの要件

本稼働用の AWS リソースとプライマリバックアップをホストするアカウントは、ソースアカウントと呼ばれています。クロスアカウントバックアップを設定する前に、ソースアカウントの要件を確認してください。

• ソースアカウントのリソースがカスタマーマネージドキーで暗号化されている場合は、このキーを宛先アカウントと共有します。クロスアカウントバックアップ機能は、完全な AWS Backup Management をサポートするサービス以外のサービスにおいて、カスタマーマネージドキーのみをサポートします。AWS キーはアカウント間で共有できないため、サポートされていません。
• ソースアカウントのユーザーに、AWSBackupFullAccess などのコピージョブを作成するための適切なアクセス許可があることを確認します。このアクセス許可により、バックアップ管理者にアクセスが提供されます。バックアップ管理者は、バックアッププランの作成と変更、バックアップの復元の実行など、あらゆる AWS Backup オペレーションを監督します。

宛先アカウントの要件

宛先アカウントとは、バックアップのコピーを保持する AWS アカウントです。宛先アカウントは複数選択できます。宛先アカウントは、AWS Organizations のソースアカウントと同じ組織にある必要があります。

クロスアカウントバックアップを設定する前に、次の手順を実行して宛先アカウントを設定します。

• 宛先アカウントにバックアップボールトを作成して、バックアップを暗号化するためのカスタマーマネージドキーを割り当てます。
• 宛先アカウントのバックアップボールトの Amazon リソースネーム (ARN) を書き留めておきます。ARN には、アカウント ID とその AWS リージョンが含まれます。
• 宛先バックアップボールトのアクセスポリシー backup:CopyIntoBackupVault を許可する必要があります。このポリシーがない場合、宛先アカウントへのコピーは拒否されます。アクセスを提供するための、次のポリシーの例を参照してください。

{"Version": "2012-10-17","Statement": [{"Sid": "Allow account to copy into backup vault","Effect": "Allow","Action": "backup:CopyIntoBackupVault","Resource": "*","Principal": {"AWS": "arn:aws:iam::account-id:root"}}]}

宛先アカウントの要件についての詳細は、「バックアップボールトを別の AWS アカウントと共有する」を参照してください。

クロスアカウントバックアップでのセキュリティに関する考慮事項

AWS Backup でクロスアカウントバックアップを実行する際は、次の点を考慮することが重要です。

• デフォルトのボールトを、完全な AWS Backup Management をサポートしていないリソースの宛先ボールトとして使用することはできません。
• クロスアカウントバックアップは、最終的な整合性のため、無効にした後も最大 15 分間継続することがあります。
• 宛先アカウントが後で組織を離れる場合でも、バックアップは保持されます。データ漏洩の可能性を防ぐには、「組織からのメンバーアカウントの削除」を参照してください。
• クロスアカウントのコピー中にコピージョブのロールを削除すると、AWS Backup はコピージョブの完了時に、ソースアカウントからスナップショットの共有を解除できなくなります。

AWS Organizations でクロスアカウントバックアップを許可する

クロスアカウントバックアップを使用するには、AWS Organizations 管理アカウント内で、クロスアカウントバックアップ機能を有効にします。AWS Organizations 管理アカウントは、組織のプライマリアカウントです。

組織のクロスアカウントバックアップを有効にするには、次の手順を実行してください。

1. AWS Organizations 管理アカウントの認証情報を使用して、AWS Backup コンソールにログインします。クロスアカウントバックアップを有効にする際は、これらの認証情報のみを使用できます。
2. [自分のアカウント] セクションで、[設定] を選択します。
3. [クロスアカウントバックアップ] を有効にします。

これらの手順を実行すると、組織内の任意のアカウントが、バックアップボールトの内容を組織内の他のアカウントと共有できるようになります。詳細については、「バックアップボールトを別の AWS アカウントと共有する」を参照してください。

クロスアカウントバックアップをスケジュールする

クロスアカウントバックアップをスケジュールするには、AWS Backup コンソールを使用して、次の手順を実行します。

1. AWS Backup コンソールを開きます。
2. [自分のアカウント] セクションで、[バックアッププラン] を選択し、[バックアッププランを作成] を選択します。
3. [バックアッププランを作成] ページで、[新しいプランを立てる] を選択します。
4. [バックアップルールの設定] セクションで、バックアップスケジュール、バックアップウィンドウ、ライフサイクルルールを含むバックアップルールを作成します。後で必要になる他のバックアップルールも追加できます。
5. [スケジュール] で、バックアップを実行する頻度を選択します。
6. バックアップウィンドウ のデフォルト設定を使用するのがベストプラクティスです。
7. バックアップの復旧ポイントを保存するバックアップボールトを選択するか、新規のバックアップボールトを作成します。バックアップボールトを使用すると、ローカル (ソース) アカウントにバックアップを保存できます。
8. [コピーを生成] セクションで、バックアップコピー用の宛先の AWS リージョンを選択し、新しいコピールールを追加します。
9. [別のアカウントのボールトにコピー] オプションを有効にします。このオプションが有効になると、青色に変わります。[外部ボールト ARN] オプションが表示されます。
10. 宛先アカウントのバックアップボールトの ARN を入力します。AWS Backup により、バックアップが宛先アカウントのボールトにコピーされます。宛先リージョンのリストは、外部ボールト ARN のリージョンで自動的に更新されます。
11. [バックアップボールトアクセスを許可] で、[許可] を選択します。その後、開いたウィザードでもう一度 [許可] を選択します。
12. [コールドストレージへの移行] で、バックアップコピーをコールドストレージに移行するタイミングと、コピーを期限切れにする (削除する) タイミングを選択します。
13. [プランを作成] を選択します。

暗号化されたボールト

デフォルトのボールトは、AWS Key Management Service (AWS KMS) マネージドキーで暗号化されます。AWS KMS マネージドキーは、他のアカウントと共有できません。代わりに、カスタマーマネージドキーで暗号化されるカスタマーボールトを使用するのがベストプラクティスです。

Amazon Elastic Compute Cloud (Amazon EC2) などの完全な AWS Backup Management をサポートしない暗号化リソースのクロスアカウントバックアップを実行することもできます。この場合、リソースはカスタマーマネージドキーで暗号化される必要があります。AWS マネージドキーは、クロスアカウントコピーではサポートされていません。詳細については、「Encryption for backups in AWS Backup」を参照してください。

完全な AWS Backup Managemen をサポートするサービスの場合、クロスアカウントコピーでは SMK がサポートされます。詳細については、「リソース別の機能の可用性」を参照してください。「クロスアカウントおよびクロスリージョンバックアップで Amazon Relational Database Service (Amazon RDS) の暗号化された DB インスタンスを保護する」も参照してください。

関連情報

Guidance for disaster recovery using Amazon Aurora