AWS Backup で監査レポートはどのように生成すればよいですか？

簡単な説明

AWS Backup Audit Manager レポートを使用して、バックアップ、復元、コピージョブのステータスに関する情報を受け取ることができます。AWS Backup Audit Manager には、バックアップとコンプライアンスの 2 種類の監査レポートがあります。バックアップレポートはアカウントのバックアップアクティビティを監視し、対処が必要な障害があれば報告します。コンプライアンスレポートは、フレームワークで設定した制御にバックアップアクティビティとリソースがどのように準拠しているかに関する情報を提供します。

監査レポートを作成するには、次の手順を実行します:

1. レポートテンプレートを選択します。
2. レポートプランを作成します。
3. AWS Backup Audit Manager に日次レポートの配信、またはオンデマンドレポートの作成を許可します。

解決方法

**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーを受け取った場合は、最新の AWS CLI バージョンを使用していることを確認してください。

レポートテンプレートを選択してください

レポートテンプレートには、レポートに含まれる情報がレポートプランごとに記述されます。バックアップレポートテンプレートを使用するか、コンプライアンスレポートテンプレートを使用するかを選択できます。

レポートプランの作成

レポートプランを作成するには、[AWS Backup コンソール] または CreateReportPlan API 呼び出しのいずれかを使用してください。

レポートプランは、監査レポートの作成を自動化できるという点でバックアッププランに似ています。これを行うには、レポートプランが設定されている AWS アカウントに Amazon Simple Storage Service (Amazon S3) バケットを割り当てます。次に、Amazon S3 バケットを使用してレポートを配信します。

AWS Backup コンソールを使用してレポートプランを作成するには、以下の手順を実行します:

1. AWS Backup コンソールを開きます。
2. ナビゲーションペインの [Backup Audit Manager (バックアップ監査マネージャ)] の下で [Report (レポート)] を選択します。
3. [Create Report (レポートを作成)] を選択します。
4. [Report Template (レポートテンプレート)] の下で、ドロップダウンリストからレポートテンプレートを 1 つ選択します。
5. [Report plan name (レポートプラン名)] と [Report plan description (レポートプランの説明)] を入力します。(オプション) [Add tags to the report plan (レポートプランにタグを追加)] を選択して、プランにタグを追加します。
6. 現在ログインしているアカウントのみのレポートを生成するには、[Accounts (アカウント)] で [Only my account (マイアカウントのみ)] を選択します。管理アカウントを使用している場合は、レポートプランに複数のアカウントを含めることができます。これを行うには、[One or more accounts in my organization (組織の 1 つ以上のアカウント)] を選択します。このオプションは管理アカウントでのみ使用できます。
   **注:**もし [One or more accounts in my organization (組織の1 つ以上のアカウント)] を選択する場合、AWS Backup は指定されたアカウントの既存のすべてのフレームワークのレポートを作成します。アカウントまたはリージョンにフレームワークがない場合、AWS Backup は空のレポートを生成します。
7. ドロップダウンリストから、お使いの AWS リージョンと、そのリージョンから対応するフレームワークを選択します。次に、[Add framework (フレームワークを追加)] を選択します。 [Backup report template (バックアップレポートテンプレート)] を使用するを選択した場合、または [One or more accounts in my organization (組織の 1 つ以上のアカウント)] オプションを使用した場合は、この手順をスキップしてください。フレームワークの追加について詳しくは、「Working with audit frameworks (監査フレームワークの使用)」を参照してください。
   注:レポートに含める地域は複数選択できます。ドロップダウンリストを選択して利用可能なリージョンを表示するか、[All available Regions (使用可能なすべてのリージョン)] を選択します。
8. [ファイル形式] を選択します。すべてのレポートを .csv ファイルとしてエクスポートできます。1 つのリージョンと 1 つのアカウントのレポートを JSON 形式でエクスポートすることもできます。
9. [Choose an Amazon S3 bucket for report delivery (レポートを配信する Amazon S3 バケットを選択する)] で、レポートを配信する [S3 bucket name (S3 バケット名)] を選択します。(オプション) S3 バケットのプレフィックスを選択することもできます。
10. [Create Report (レポートを作成)] を選択します。

レポートプランを作成すると、AWS Backup Audit Manager は適用可能な S3 バケットアクセスポリシーを自動的に生成します。次の S3 バケットアクセスポリシーの例を参照してください:

{  "Version":"2012-10-17",  "Statement":[    {      "Effect":"Allow",      "Principal":{        "AWS":"arn:aws:iam::11111111:role/aws-service-role/reports.backup.amazonaws.com/AWSServiceRoleForBackupReports"      },      "Action":"s3:PutObject",      "Resource":[        "arn:aws:s3:::BucketName/*"      ],      "Condition":{        "StringEquals":{          "s3:x-amz-acl":"bucket-owner-full-control"        }      }    }  ]}

S3 バケットは、カスタム AWS Key Management Service (AWS KMS) キーを使用して暗号化される場合があります。この場合、キーポリシーにユーザーとして AWS Backup が含まれていることを確認してください。暗号化された S3 バケットへのユーザーとして AWS Backup を許可する次の CMK ポリシーの例を参照してください:

{  "Version":"2012-10-17",  "Statement":[    {      "Effect":"Allow",      "Principal":{        "AWS":"arn:aws:iam::11111111:role/aws-service-role/reports.backup.amazonaws.com/AWSServiceRoleForBackupReports"      },      "Action":[                "kms:GenerateDataKey",                "kms:Encrypt"            ],      "Resource":[        "*"      ]    }  ]}

AWS Backup Audit Manager に日次レポートの配信またはオンデマンドレポートの作成を許可する

AWS Backup 監査マネージャーは、設定した S3 バケットに日次レポートを配信します。AWS Backup Audit Manager はパフォーマンスを維持するために配信プロセスをランダム化するため、レポートの配信時間は異なる場合があります。

オンデマンドレポートを作成するには、次の手順を実行します:

1. AWS Backup コンソールを開きます。
2. ナビゲーションペインの [Backup Audit Manager (バックアップ監査マネージャ)] の下で [Report (レポート)] を選択します。
3. [Report plan name (レポートプラン名)] で、レポートプランを選択します。
4. [Create on-demand report（オンデマンドバックアップの作成）] を選択します。

**注:**特定の日付の間にバックアップレポートを生成するネイティブオプションはありません。AWS Backup コンソールを使用して、過去 30 日間のジョブを表示できます。ただし、このデータをレポートとしてエクスポートすることはできません。代わりに、次の AWS CLI コマンドを実行して、バックアップジョブを .csv ファイルとして一覧表示して収集します:

aws backup list-backup-jobs --by-created-before 2023-02-02 --by-created-after 2023-03-01 --max-results 1000 --output text > sample-report.csv

データをフィルターするには、—by-state などの追加パラメーターを含めます。