AWS Backup のよくある質問

復旧点とは、指定された時刻におけるリソースのコンテンツを表したものです。復旧点にはさらに、リソースに関する情報や復元パラメータ、タグなどのメタデータも含まれます。

バックアッププランは、DynamoDB テーブルや EFS ファイルシステムなどの AWS リソースをいつどのようにバックアップするかを定義するポリシー式です。バックアッププランにリソースを割り当てると、バックアッププランに基づき、自動的にそれらのリソースは AWS Backup により作成、保持されます。バックアッププランは、1 つ以上のバックアップルールで構成されています。各バックアップルールは、1) バックアップ頻度 (目標復旧時点 [RPO]) およびバックアップウィンドウを含むバックアップスケジュール、2) ストレージ層から別のストレージ層にバックアップを移行させるタイミングと復旧点を失効させるタイミングを指定するライフサイクルルール、3) 作成した復旧点を配置するバックアップボールト、4) 作成時にバックアップに追加されるタグから構成されています。例えば、バックアッププランには「日次バックアップルール」と「月間バックアップルール」が含まれる場合があります。 日次ルールは毎日深夜にリソースをバックアップし、それらを 1 か月保持します。月間ルールは毎月はじめにバックアップを取り、それらを 1 年保持します。

バックアップボールトは、AWS アカウント内で暗号化されたストレージの場所であり、バックアップ (復旧時点) を保存して整理します。AWS Backup が利用可能な各 AWS リージョンで、新しいバックアップボールトを作成することができます。AWS Backup Vault Lock を使用してバックアップボールトの削除保護を有効にし、悪意のある行為者によるデータの再暗号化を防止します。AWS Backup は、継続的なバックアップと定期的なスナップショットをお好みのバックアップボールトに保存し、要件に応じて参照および復元できるようにします。

AWS Backup のライフサイクル機能を使用すると、復旧時点をウォームストレージ階層からコストの低いコールドストレージ階層に自動的に移行できます。コールドストレージ層は、EFS、DynamoDB、Timestream、VMware 仮想マシンのバックアップにのみ使用できます。

EFS、DynamoDB、S3、Timestream、および VMware 仮想マシンのバックアップは、転送中および保管時にソースサービスから独立して暗号化され、追加保護レイヤーが追加されます。暗号化はバックアップボールトレベルで設定されています。他のサービス (EC2、EBS、Amazon FSx、RDS、Aurora、Amazon DocumentDB、Neptune、Storage Gateway) からのバックアップは、ソースサービスのバックアップ暗号化方法を使用して暗号化されます。例えば、EBS スナップショットは、スナップショットが作成されたボリュームの暗号化キーを使用して暗号化されます。

AWS Backup では、リソースベースのポリシーをバックアップボールトに設定できます。これによってバックアップボールトおよびバックアップボールト内のバックアップへのアクセスを管理できます。

AWS Backup に基づいて構築されたバックアップ機能を備えたサービスは、低コストのストレージ階層へのバックアップのライフサイクル階層化、ソースデータから独立したバックアップストレージと暗号化、バックアップアクセスポリシーなどの高度なバックアップ機能をサポートします。現在、AWS Backup に統合されたバックアップ機能と AWS Backup の高度な機能は、S3、EFS、Timestream、SAP HANA on EC2、および DynamoDB がサポートします。DynamoDB の AWS Backup の高度な機能を有効にするには、設定からオプトインする必要があります。EFS、S3、Timestream、SAP HANA on EC2、VMware 仮想マシンは、AWS Backup の高度な機能を自動的にサポートします。S3 の AWS Backup は、バックアップのアクセスポリシーや別のキーによるバックアップの暗号化をサポートしていますが、コールドストレージ階層はサポートしていません。

AWS Organizations のバックアップポリシー管理と AWS Backup のクロスアカウントモニタリングを委任します。これにより、バックアップ管理を専用のバックアップ管理アカウントに委任することができ、メンバーアカウントがバックアップ管理のために管理アカウントにアクセスする必要がなくなります。バックアップ管理者は、バックアップポリシーの作成と管理、およびアカウント間のバックアップアクティビティをモニタリングできます。組織全体のバックアップ管理権限の委任により、大規模なバックアップ管理を安全に一元化することができます。

AWS Backup Audit Manager を使用したデータ保護ポリシーのコンプライアンスについて監査を実施したり、レポートを作成したりします。 AWS Backup を使用すると、組織のベストプラクティスと規制基準に基づいて、AWS のサービス全体でデータ保護ポリシーを一元化および自動化できます。AWS Backup Audit Manager は、これらのポリシーの遵守を維持、証明するのに役立ちます。

AWS Backup Audit Manager を使用して、AWS で作成した (または AWS に移行した) ワークロードがデータ保護要件を満たしているかどうかを確認します。AWS Backup Audit Manager は、バックアップガバナンスとコンプライアンスポリシーの実装、追跡、および遵守の実証を簡素化します。

AWS Backup Audit Manager は、AWS マネジメントコンソール、CLI、API、または SDK を介して使用できます。AWS Backup Audit Manager は、内蔵のコンプライアンスコントロールを提供します。これらのコントロールは、データ保護ポリシーを定義するためにカスタマイズすることができます。定義したデータ保護ポリシーの違反を自動的に検出するよう設計されており、迅速な是正措置を促します。AWS Backup Audit Manager を使用すると、バックアップアクティビティを継続的に評価でき、規制要件のコンプライアンスを実証するのに役立つ監査レポートを生成します。

AWS Backup Audit Manager コントロールとは、バックアップ頻度やバックアップ保持期間などのバックアップ要件のコンプライアンスを監査するために設計された手順です。AWS Backup Audit Manager フレームワークは、単一のエンティティとしてデプロイ、管理できるコントロールの集合体です。

AWS Backup Audit Manager コントロールは、定義された構成設定に対してバックアップリソースの構成を評価します。リソースがコントロールで定義された構成を満たしていれば、そのコントロールに対するリソースのコンプライアンスステータスは COMPLIANT となります。満たされていない場合、ステータスは NON_COMPLIANT となります。AWS Backup Audit Manager のコントロールで評価されたすべてのリソースが準拠している場合、そのコントロールのコンプライアンス状態は COMPLIANT となります。同様に、フレームワーク内のすべてのコントロールが準拠している場合、フレームワークのコンプライアンスステータスは COMPLIANT となります。

AWS Backup コンソールで、AWS Backup Audit Manager Frameworks セクションに移動し、フレームワーク名を選択すると、フレームワークとコントロールのコンプライアンスステータスを見ることができます。

AWS Backup アクティビティに関連するレポートを作成できます。これらのレポートは、バックアップ、コピー、およびリストアのジョブの詳細を得るのに役立ちます。これらのレポートを使用して、運用姿勢をモニタリングし、さらなるアクションが必要な障害を特定することができます。

AWS Config は AWS リソースの設定を継続的にモニタリングおよび記録するため、特定の設定に照らして、記録された設定の評価を自動化できます。AWS Backup Audit Manager は、AWS Config と統合し、バックアップアクティビティを追跡し、データ保護ポリシーをバックアップコントロールに転記します。バックアップコントロールをデプロイすると、AWS Backup Audit Manager はコントロールに対するバックアップアクティビティを評価し、バックアップのコンプライアンスステータスを記録します。また、監査やモニタリングを目的としたレポートを作成することもできます。AWS Backup Audit Manager を使用すると、AWS 組織の管理アカウントから複数リージョンおよび複数アカウントのレポートを作成することができます。

AWS のコンプライアンスプログラムはクラウドで最も長く実行されており、AWS はコンプライアンス要件を満たせるようお客様を支援することを固く決意しています。AWS Backup は、世界および業界のセキュリティ基準に適合していると評価されています。PCI DSS、ISO 9001、27001、27017、27018 に適合しており、さらに HIPAA 対応です。これにより、お客様が AWS のセキュリティを確認し、ご自身の義務を果たすことが容易になります。詳細とリソースについては、コンプライアンスページを参照してください。また、「コンプライアンスプログラムによる対象範囲内のサービス」のページにアクセスして、サービスおよび認定の詳細な一覧もご覧いただけます。

復元テストの頻度、目標開始時間、および復旧点の選択基準を定義する復元テストプランを使用して、復元テストを自動化できます。次に、リソースをプランに割り当て、クリーンアップ前に内部テストを実行するためのデフォルトの復元パラメータと保持期間を指定します。

復元テスト計画の実行が完了したら、その結果を使用して、復元テストシナリオが正常に完了したこと、および復元ジョブの完了時間を示すことで、コンプライアンス要件とガバナンス要件を満たすことができます。 

はい。AWS Backup は PCI-DSS に準拠しており、支払い情報の転送に使用できます。AWS Artifact で PCI コンプライアンスパッケージをダウンロードして、AWS で PCI 準拠を実現する方法の詳細をご覧いただけます。

はい。AWS Backup は HIPAA 対応です。つまり、AWS で HIPAA BAA を使用している場合、AWS Backup を利用して、保護対象医療情報 (PHI) を転送できます。

AWS Backup Vault Lock は、バックアップのライフサイクルの変更を防ぎ、バックアップのマニュアルでの削除を防止することで、コンプライアンス要件を満たすことができる機能です。AWS Backup Vault Lock は、Write-Once-Read-Many (WORM) モデルを使用してバックアップを保存していることを確認するセーフガードを実装しています。

AWS Backup Vault Lock を使用して、管理者や悪意のあるアクションの加害者を含むユーザーが、バックアップを削除したり、保持期間やコールドストレージへの移行などのライフサイクル設定を変更できないように確認します。 AWS Backup は、これらのバックアップをスケジュールされた保持期間に従って保持し、事業継続の目標を達成するのに役立ちます。AWS Backup Vault Lock は、保持期間、コールドストレージの移行、アカウント/リージョンをまたがるコピーなどのバックアップポリシーとも連動しています。これは、追加の保護レイヤーを提供し、コンプライアンス要件を満たすのに役立ちます。AWS Backup Vault Lock は、許容される最小および最大保持期間を満たさないバックアップの保持からお客様を保護します。

AWS Backup Vault Lock が AWS Backup バックアップボールトに存在するデータに適用されるのに対し、S3 Glacier Vault Lock は個々の S3 Glacier Vault に適用されます。 AWS Backup Vault Lock は、バックアップのマニュアルでの削除とバックアップのライフサイクル設定の変更を防ぎ、AWS のサービス全体のバックアップを集中的に保護するのに役立ちます。S3 Glacier Vault Lock では、個々の S3 Glacier ボールドの長期的な記録保持をサポートするように設計されたコンプライアンス制御を実施することができます。 

AWS Backup Vault Lock は、AWS Backup ボールトレベルのオプション設定で、最小許容保持日数、最大許容保持日数、猶予時間の 3 つのプロパティで構成されています。バックアップの削除操作やライフサイクルの変更をブロックします。

AWS Backup Vault Lock の設定を有効にすると、AWS Backup はボールト内で新しく作成されたすべてのリカバリーポイントを、削除やライフサイクルの変更から保護します。また、AWS Backup は、AWS Backup Vault Lock の許容保持期間を満たさない保持期間を持つすべてのバックアップジョブを失敗させます。

AWS Backup Vault Lock は、保持期間に達して期限切れになるまで、バックアップが利用可能であることを確認します。 ルートアカウントのユーザを含むユーザーが、ロックされたボールトでバックアップの削除やライフサイクルプロパティの更新を行おうとすると、AWS Backup はその操作を拒否します。

猶予期間では、定義した日数の間、機能をテストすることができます。猶予時間が経過していない限り、AWS Backup Vault Lock の設定を更新および削除することができます。猶予時間が終了すると、AWS Backup は設定の変更を許可しません。

リーガルホールドは、訴訟ホールドとも呼ばれ、組織が保存、監査、法的手続きや e-Discovery における証拠として、特定のデータを保持しなければならない場合に使用されます。これらのホールドは、たとえ保持期間が終了していても、バックアップが削除されるのを防ぎ、明示的に解除されるまでそのままの状態を維持します。

AWS Backup を使用すれば、中央のバックアップポリシーを定義して、コンピューティング、ストレージ、データベースのサービスの AWS のサービス全体でアプリケーションのバックアップと復元を管理できます。 バックアップポリシーを定義して S3 リソースを割り当てると、AWS Backup は S3 バックアップを自動的に作成し、暗号化されたストレージボールトを指定して、それらのバックアップを保存します。オブジェクトデータ、オブジェクトタグ、アクセスコントロールリスト (ACL)、ユーザー定義のメタデータなど、S3 バケットの継続的なポイントインタイムバックアップまたは定期的なバックアップを作成できます。最初のバックアップは完全なスナップショットですが、後続のバックアップは増分バックアップになります。データ中断イベントが発生した場合は、バックアップボールトからバックアップを選択し、S3 バケット (または個々の S3 オブジェクト) を新規または既存の S3 バケットに復元できます。AWS Backup の一元化されたポリシーにより、アクセス制御を定義し、AWS Organizations 内のすべてのアカウントにわたるバックアップアクセスの管理を自動化することもできます。

AWS Backup と Simple Storage Service (Amazon S3) はどちらも、アプリケーションのビジネス継続性を管理できる機能を提供します。AWS Backup を使用すると、複数の AWS のサービスでアプリケーションのバックアップと復元を一元管理できるのに対し、Amazon S3 を使用すると、S3 バケットとオブジェクトのデータを管理できます。複数の AWS のサービスにわたるアプリケーションのバックアップ、復元、コンプライアンスを担当するバックアップ管理者の場合は、AWS Backup を使用してこれらのニーズを満たすことができます。バージョニング、Object Lock、レプリケーションなどの Amazon S3 の機能は、ストレージ管理者がデータを保持し、意図しない Amazon S3 データの削除を回避するのに役立ちます。両方の一連の機能を一緒に使用して、組織全体のバックアップと復元を管理できます。

すでにアプリケーションのバックアッププランがあり、それを Amazon S3 に使用したい場合、タグまたは S3 バケット ARN を使用して、Amazon S3 リソースを既存のバックアッププランに追加します。AWS Backup は、S3 バケット内のタグをバックアッププランに割り当てられたタグと照らし合わせ、アプリケーションが使用する他の AWS サービスとともに、これらのリソースをバックアップします。

AWS Backup の Amazon S3 リソースでは、連続的および定期的という 2 つのバックアップオプションを使用できます。継続的なバックアップでは、Amazon S3 リソースを過去 35 日以内の任意の時点に復元することができます。ポイントインタイム機能を使用して、直近 35 日以内であればいつでも Amazon S3 リソースを元の状態に復元できます。定期的なバックアップは、無限の期間データを保持します。スナップショットは、1 時間、12 時間、1 日、1 週間、または 1 か月などの頻度でスケジュールすることも、オンデマンドで作成することもできます。継続的なバックアップは意図せずに削除したものを元に戻す場合に便利ですが、定期的なスナップショットは長期的なデータ保持というニーズを満たすのに役立ちます。

はい、S3 バージョニングをオンにすることが S3 バケットとオブジェクトのバックアップを作成するための前提条件です。バージョンにライフサイクルの有効期限を設定することも挙げられます。設定しない場合、AWS Backup は S3 データの有効期限が切れていないバージョンすべてをバックアップして保存するため、S3 のコストが増加する可能性があります。詳細については、テクニカルドキュメントを参照してください。

AWS Backup は、クラウド内のフルマネージドサービス機能を VMware 環境に拡張し、AWS およびオンプレミスの AWS 環境全体を通してバックアップの統合ビューを提供できるようにします。AWS Backup は VMware ESXi VM と統合し、VMware バックアップをスケジュールおよび管理し、バックアップを AWS に保存して、AWS からの VMware データ保護を完全に管理できるようにします。AWS Backup を使用すれば、バックアップを効率的に AWS に保存し、AWS リージョン間でコピーして、ビジネス継続性とランサムウェア保護を実現できます。オンプレミスまたは AWS で VMware バックアップを復元して、ビジネス継続性の検証とテスト/開発のユースケースを実現できます。AWS Backup のポリシー主導アプローチにより、VMware ワークロードの保護と、コンピューティング、ストレージ、およびデータベース用にサポートされている AWS のサービスを、自動化されたスケーラブルな方法で一元管理できます。

AWS Backup は、VMware 環境にデプロイされる AWS Backup ゲートウェイを使用して VMware ワークロードに接続します。AWS Backup ゲートウェイは、VMware vCenter Server を介して VM を検出し、VM スナップショットを取得し、AWS Backup と VMware 環境の間のバックアップおよび復元データを管理します。タグ、VM リソース ID、または VM フォルダやハイパーバイザによるグループ割り当てを使用して、VM をバックアップポリシーに割り当てることができます。これらは、サポートされている AWS Backup サービスを使用して、VMware VM のデータ保護を一元的に管理します。これらのステップを完了すると、AWS Backup は VM をそのストレージボールトに安全にバックアップし始めます。VMware バックアップは AWS Backup から表示でき、要件に応じてオンプレミスまたは AWS 内のバックアップを復元できます。

AWS Backup は、オンプレミスの NFS、VMFS、VSAN データストア、VMware CloudTM on AWS、VMware CloudTM on AWS Outposts で実行される VMware ESXi 6.7.X および 7.0.X VM をサポートします。さらに、AWS Backup は、ソース仮想マシン (VM) から AWS にデータをコピーするための SCSI ホットアドとネットワークブロックデバイス (NBD) の両方の転送モードをサポートしています。

AWS Backup を使用して、VMware CloudTM on AWS Outposts 上の VM を保護することができます。AWS Backup は、VM のバックアップを VMware CloudTM on AWS Outposts が接続されている AWS リージョンに保存します。VMware CloudTM を使用して、アプリケーションデータの低レイテンシーおよびローカルデータ処理のニーズを満たす場合、AWS Backup を使用して VMware CloudTM on AWS Outposts VM を保護することができます。データレジデンシー要件に基づいて、Outposts が接続されている親 AWS リージョンにアプリケーションデータのバックアップを保存するために AWS Backup を選択することができます。

AWS Backup コンソールから、VMware バックアップを新しいオンプレミスの VMware 仮想ホスト、VMware CloudTM on AWS、VMware CloudTM on AWS Outposts、Amazon EBS、または Amazon EC2 に復元できます。

はい。組織のニーズに基づいて、AWS Backup でライフサイクルポリシーを設定し、VMware バックアップをウォームストレージからコストの低いコールドストレージに自動的に移行できます。コールドストレージに移行されたバックアップの保存期間は最低で 90 日間です。90 日が経過する前にバックアップが削除された場合、その 90 日の残りのストレージ料金が日割りで請求されます。

AWS Backup は、VMware VM の最初のフルバックアップ、次に永久的な増分バックアップをサポートします。オンデマンドで、またはバックアッププランで構成されたスケジュールを介して作成できます。

AWS Backup は、デフォルトで、VM の VMware Tools 静止設定を使用して、VMware VM でアプリケーション整合性のあるバックアップをキャプチャします。静止機能が利用できない場合、AWS Backup は Crash-consistent のあるバックアップをキャプチャします。

はい、AWS Backup は AWS への転送中に VMware バックアップを圧縮し、AWS へのネットワーク接続を最適に使用できるようにします。

はい、VM バックアップは、AES-256 暗号化アルゴリズムを使用して転送中および保存時に暗号化されます。カスタマーマネージドキーを使用して、クラウドに保存されているバックアップを暗号化することもできます。

VMware バックアップのコピーを本番バックアップとは別の AWS リージョンに保存し、ビジネス継続性、ディザスタリカバリ、およびコンプライアンスの要件を満たします。

はい、VMware バックアップを別の AWS アカウントにコピーして、本稼働環境と開発/テスト環境の間、または異なる部門のアカウントとプロジェクトのアカウント間でバックアップを使用できるように設定できます。 VMware バックアップを別の AWS アカウントにコピーすると、AWS Backup と AWS Organizations との統合が可能になり、アカウントの分離とセキュリティのレベルがさらに向上します。

必要なネットワーク帯域幅は、保護する VMware VM、各 VM のサイズ、VM ごとに生成される増分データ、およびバックアップウィンドウと復元の要件によって異なります。AWS Backup を使用してオンプレミスの VMware VM をバックアップするには、AWS に対して 100-Mbps 以上のの帯域幅を確保することをお勧めします。

はい。ネットワークが Direct Connect または VPN 経由で Amazon VPC に接続されていれば、ルーティングできないプライベートネットワークにも AWS Backup ゲートウェイをデプロイできます。バックアップゲートウェイのトラフィックは、AWS PrivateLink を搭載した VPC エンドポイントを介しててルーティングされ、VPC 内のプライベート IP と Elastic Network Interface (ENI) を使用することにより、AWS のサービス間のプライベート接続を実現します。

VPC エンドポイントをプロビジョニングしている間は時間単位で料金が発生します。また、データ処理料金は、トラフィックの送信元か送信先かにかかわらず、VPC エンドポイントで処理されたデータ量 (ギガバイト単位) に対して請求されます。詳細については、AWS PrivateLink の料金をご覧ください。