AWS Backup で組織全体のバックアップを設定するにはどうすればよいですか?

簡単な説明

管理アカウントで Backup ポリシーを作成し、このポリシーをメンバーアカウントにアタッチして、メンバーアカウントにバックアップを作成できます。Backup ジョブと Backup はメンバーアカウントに存在します。管理アカウントでクロスアカウントモニタリングを有効にすると、メンバーアカウントで作成された Backup ジョブを確認できます。

警告: 次のプロセスでは、AWS Organization の管理アカウントとメンバーアカウントの両方でアクションを実行する必要があります。

組織全体のバックアップを行うには、次の手順を実行します。

1. AWS Organizations で管理アカウントを作成し、メンバーアカウントを追加します。
2. 管理アカウントでクロスアカウント管理を有効にします。
3. 管理アカウントで Backup のサービスのオプトインを有効にします。
4. メンバーアカウントでバックアップボールトを作成します。
5. メンバーアカウントでカスタムの AWS Identity and Access Management (IAM) ロールまたはデフォルトのサービスロールを作成します。
6. 管理アカウントでバックアップポリシーを設定し、メンバーアカウントまたは組織単位 (OU) にバックアップポリシーをアタッチします。
7. 管理アカウントでクロスアカウントモニタリングを有効にします。

解決策

AWS Organizations で管理アカウントを作成する

管理アカウントの作成手順については、「チュートリアル: 組織の作成と設定」を参照してください。管理アカウントを設定したら、管理アカウントの代わりに委任された管理者を使用して Backup ポリシーを作成できます。詳細については、「Delegated administrator support for AWS Backup」を参照してください。

注: 管理アカウントに設定する AWS アカウントは変更できません。

クロスアカウント管理を有効にする

クロスアカウント管理を有効にするには、次の操作を行います。

1. Organization の管理アカウントにサインインし、AWS Backup コンソールを開きます。
2. ナビゲーションペインで [設定] を選択します。
3. [バックアップポリシー] セクションで、[有効にする] を選択します。
4. [クロスアカウントモニタリング] セクションで、[有効にする] を選択します。

リソースのオプトイン

重要: リソースをオプトインする際は、リソースのオプトインルールを考慮してください。

サービスをオプトインして AWS Backup を使用するには、次を実行します。

1. Organization の管理アカウントにサインインし、AWS Backup コンソールを開きます。
2. ナビゲーションペインで [設定] を選択します。
3. [サービスのオプトイン] で、[リソースを設定] を選択します。
4. AWS Backup でサポートされている、有効化したい [リソース] を有効にします。
5. [確認] を選択します。

注:

• サービスのオプトイン設定は、AWS リージョンに固有です。バックアップを設定したすべての AWS リージョンでこの設定を確認してください。詳細については、「サービスのオプトイン」を参照してください。
• サービスのオプトインは、AWS 管理アカウントで有効にする必要があります。Organization によって管理されているバックアッププランでは、管理アカウントにおけるリソースのオプトイン設定がメンバーアカウントの設定よりも優先されます。

バックアップボールトの作成

バックアップボールトを作成するには、次の操作を行います。

1. メンバーアカウントとしてサインインし、AWS Backup コンソールを開きます。
2. ナビゲーションペインで [バックアップボールト]、[バックアップボールトを作成] の順に選択します。
3. バックアップボールトの名前を入力します。例えば、「myTargetBackupVault」などです。
4. AWS Key Management Service (AWS KMS) キーを選択します。新しいキーを作成するか、既存のキーを使用できます。
5. (オプション) バックアップボールトを検索および特定するのに役立つタグを追加します。
6. [バックアップボールトを作成] を選択します。

注: AWS Backup により、バックアップボールトと AWS Identity and Access Management (IAM) ロールがメンバーアカウントで作成されているかが確認されることはありません。バックアップボールトと IAM ロールが作成されていない場合、バックアッププランによってバックアップが作成されることはありません。

デフォルトのサービスロールまたはカスタム IAM ロールを作成する

メンバーアカウントにバックアップを作成するには、メンバーアカウントにデフォルトのサービスロールまたはカスタム IAM ロールのいずれかが含まれている必要があります。カスタム IAM ロールには、AWS Backup に対する信頼ポリシーと正しいアクセス許可が必要です。

AWS マネージドポリシーを使用して、カスタム IAM ロールを作成できます。

-または-

デフォルトのサービスロールを作成するには、次の操作を行います。

注: AWS Backup のデフォルトのサービスロールは、AWS アカウントでは AWSBackupDefaultServiceRole という名前です。

1. メンバーアカウントとしてサインインし、AWS Backup コンソールを開きます。
2. アカウントのロールを作成するには、バックアッププランにリソースを割り当てるか、オンデマンドバックアップを作成します。
   バックアッププランを作成してリソースを割り当てるには、「スケジュールされたバックアップの作成」を参照してください。
   オンデマンドバックアップを作成するには、「オンデマンドバックアップの作成」を参照してください。
3. AWS IAM コンソールを開き、AWSBackupDefaultServiceRole が作成されていることを確認します。
4. ナビゲーションペインで、[ロール] を選択します。
5. 検索で、「AWSBackupDefaultServiceRole」と入力します。ロールが存在する場合、AWS Backup のデフォルトのロールが正常に作成されています。

注: サービスロールを使用する場合、バックアップポリシーのパスに service-role/AWSBackupDefaultServiceRole を含める必要があります。カスタムロールを使用する場合は、role/custom-role の形式になります。

バックアップポリシーの設定

クロスアカウント管理を有効にしたら、管理アカウントからクロスアカウントのバックアップポリシーを作成します。

バックアップポリシーを作成するには、次を実行します。

1.    Organization の管理アカウントにサインインし、AWS Backup コンソールを開きます。

2.    ナビゲーションペインで、[バックアップポリシー] を選択します。[バックアップポリシー] ページで、[バックアップポリシーを作成] を選択します。

3.    [詳細] セクションに、バックアップポリシー名と説明を入力します。

4.    [バックアッププランの詳細] セクションで、[ビジュアルエディタ] タブを選択し、次の操作を行います。
[バックアッププラン名] に名前を入力します。
[バックアッププランのリージョン] のリストから、リージョンを選択します。

5.    [バックアップルールを追加] セクションで、次の操作を行います。
[ルール名] に、ルールの名前を入力します。
[バックアップ] ボールトに、名前を入力します。バックアップボールトがすべてのアカウントに存在することを確認します。AWS Backup により、すべてのアカウントにあるバックアップボールトが確認されることはありません。
[バックアップの頻度] の [頻度] リストでバックアップの頻度を選択し、[バックアップ****ウィンドウ] オプションのいずれかを選択します。[バックアップウィンドウのデフォルトを使用--推奨] を選択するのがベストプラクティスです。

6.    (オプション) 継続的バックアップを有効にして、Amazon Relational Database Service (Amazon RDS) または Amazon Simple Storage Service (Amazon S3) リソースのポイントインタイムリカバリ (PITR) を有効にします。詳細については、「ポイントインタイムリカバリ」を参照してください。

7.    [ライフサイクル] で、必要なライフサイクル設定を選択します。

8.    (オプション) バックアップを別の AWS リージョンにコピーする場合は、リストからコピー先のリージョンを選択し、タグを追加します。クロスリージョンコピーの設定に関係なく、作成されるリカバリポイントのタグを選択できます。また、ルールを追加することもできます。

9.    [リソースの割り当て] セクションで、AWS Identity and Access Management (IAM) ロールの名前を指定します。AWS Backup のサービスにリンクされたロールを使用するには、「service-role/AWSBackupDefaultServiceRole」と入力します。

注: AWS Backup では、各アカウントのこのロールを引き受け、バックアップおよびコピージョブを実行するアクセス許可を取得します。該当する場合は、暗号化キーのアクセス許可も取得します。AWS Backup では、ライフサイクルの削除を実行する際もこのロールを使用します。

10.    (オプション) バックアッププランにタグを追加します。追加できるタグの最大数は 20 です。

11.    バックアップするリソースが Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスを実行している場合は、詳細設定で Windows VSS を選択します。これにより、アプリケーションとの整合性がある Windows VSS バックアップを作成できます。詳細については、「Windows VSS バックアップの作成」を参照してください。

12.    [バックアッププランを追加] を選択してポリシーに追加し、その後 [バックアップポリシーを作成] を選択します。

注: バックアップポリシーを作成しても、ポリシーをアカウントにアタッチするまではリソースは保護されません。

組織のバックアッププランを作成する AWS Organizations JSON バックアップポリシーの例は次のとおりです。

{
  "plans": {
    "PiiBackupPlan": {
      "regions": {
        "@@append":[
          "us-east-1",
          "eu-north-1"
        ]
      },
      "rules": {
        "Hourly": {
          "schedule_expression": {
            "@@assign": "cron(0 0/1 ? * * *)"
          },
          "start_backup_window_minutes": {
            "@@assign": "60"
          },
          "complete_backup_window_minutes": {
            "@@assign": "604800"
          },
          "target_backup_vault_name": {
            "@@assign": "mySourceBackupVault"
          },
          "recovery_point_tags": {
            "owner": {
              "tag_key": {
                "@@assign": "Owner"
              },
              "tag_value": {
                "@@assign": "Backup"
              }
            }
          },
          "lifecycle": {
            "delete_after_days": {
              "@@assign": "365"
            },
            "move_to_cold_storage_after_days": {
              "@@assign": "180"
            }
          },
          "copy_actions": {
            "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault" : {
            "target_backup_vault_arn" : {
            "@@assign" : "arn:aws:backup:eu-north-1:$account:backup-vault:myTargetBackupVault"  },
              "lifecycle": {
                "delete_after_days": {
                  "@@assign": "365"
                },
                "move_to_cold_storage_after_days": {
                  "@@assign": "180"
                }
              }
            }
          }
        }
      },
      "selections": {
        "tags": {
          "SelectionDataType": {
            "iam_role_arn": {
              "@@assign": "arn:aws:iam::$account:role/service-role/AWSBackupDefaultServiceRole"
            },
            "tag_key": {
              "@@assign": "dataType"
            },
            "tag_value": {
              "@@assign": [
                "PII",
                "RED"
              ]
            }
          }
        }
      },
      "backup_plan_tags": {
        "stage": {
          "tag_key": {
            "@@assign": "Stage"
          },
          "tag_value": {
            "@@assign": "Beta"
          }
        }
      }
    }
  }
}

13.    [ターゲット] セクションで、ポリシーをアタッチする組織単位または個々のメンバーアカウントを選択し、[アタッチ] を選択します。詳細については、「バックアップポリシーのアタッチ」を参照してください。

クロスアカウントモニタリング

メンバーアカウントで作成されたジョブを管理アカウントで表示するには、管理アカウントでクロスアカウントモニタリングを有効にします。委任された管理者アカウントでクロスアカウントモニタリングを有効にして、メンバーアカウントで作成されたジョブを表示することもできます。

その他のトラブルシューティング

その他のトラブルシューティング手順については、「AWS組織のメンバーアカウントにジョブが作成されないバックアップポリシーをトラブルシューティングする方法を教えてください。」を参照してください。

関連情報

複数の AWS Backup アカウントにわたる AWS アカウント リソースの管理