AWS Backup の特徴

AWS Backup は、AWS のストレージ、データベース、コンピューティングサービス、および VMware などのハイブリッドワークロードを含むアプリケーションリソースを保護することができます。AWS Backup は、サポートするすべてのサービスとサードパーティーアプリケーションに対して、自動バックアップスケジュールと保持管理、一元的データ保護のモニタリング、AWS KMS 統合バックアップ暗号化、AWS Organizations によるクロスアカウント管理、AWS Backup Audit Manager によるデータ保護監査とコンプライアンスレポート、AWS Backup Vault Lock によるライトワンスリードメニー (WORM) の機能をサポートします。

AWS Backup は、AWS のストレージ、データベース、コンピューティングサービス、および VMware などのハイブリッドワークロードを含むアプリケーションリソースを保護することができます。AWS Backup は、サポートするすべてのサービスとサードパーティーアプリケーションに対して、自動バックアップスケジュールと保持管理、一元的データ保護のモニタリング、AWS KMS 統合バックアップ暗号化、AWS Organizations によるクロスアカウント管理、AWS Backup Audit Manager によるデータ保護監査とコンプライアンスレポート、AWS Backup Vault Lock によるライトワンスリードメニー (WORM) の機能をサポートします。

AWS Backup は、バックアップコンソール、パブリック API、コマンドラインインターフェイスを提供し、アプリケーションが稼働する AWS ストレージ、コンピューティング、データベース、ハイブリッドサービス全体のバックアップを一元管理します。それには、Amazon Simple Storage Service (S3)、Amazon Elastic Block Store (EBS)、Amazon FSx、Amazon Elastic File System (EFS)、AWS Storage Gateway、Amazon Elastic Compute Cloud (EC2)、Amazon Relational Database Service (RDS)、Amazon Aurora、Amazon DynamoDB、Amazon Neptune、Amazon DocumentDB (MongoDB 互換)、Amazon Timestream、Amazon Redshift、SAP HANA on Amazon EC2、AWS CloudFormation で定義されたアプリケーションスタック全体、さらにオンプレミスおよび VMware CloudTM on AWS や AWS Outposts で稼働する VMware ワークロードなどのハイブリッドアプリケーションを含みます。

AWS Backup ボールトは、暗号化されたバックアップを保存および管理する論理コンテナです。バックアップボールトの作成時に、このボールトに置かれたバックアップを暗号化する AWS Key Management Service (AWS KMS) 暗号化キーを指定する必要があります。コピーされたすべてのバックアップは、ターゲットボールトのキーで暗号化されます。暗号化の詳細については、AWS でのバックアップの暗号化の表を参照してください。

AWS Backup では、保管と移行の際にバックアップデータが暗号化されます。バックアップデータを保護してコンプライアンス要件を満たすための、包括的な暗号化ソリューションが実現します。バックアップデータは、AWS Key Management Service (KMS) によって管理される暗号化キーを使用して暗号化されるため、キー管理インフラストラクチャ構築および維持する必要はありません。AWS Backup データの暗号化に使用するキーは、バックアップのベースになっているリソースの暗号化に使用するキーとは異なります。本番稼働用データとバックアップデータで別個の暗号化キーを使用することで、アプリケーション用の重要な保護レイヤーが得られます。

バックアッププランによって管理されるバックアップを作成することで、バックアップ要件を定義し、保護したい AWS リソースにこれらのポリシーを適用することができます。バックアッププランは、アプリケーションや組織全体のデータ保護戦略を簡素化し、スケールすることができます。

AWS リソースにタグ付けることで、バックアッププランを適用することができます。AWS タグは、AWS リソースを一貫して整理および分類するのに最適です。

バックアップスケジュールをカスタマイズしたり、一般的なベストプラクティスに基づいた定義済みのバックアップスケジュールから選択することができます。AWS Backup は、定義したポリシーとスケジュールに従ってアプリケーションリソースを自動的にバックアップし、本番環境との競合を回避します。

バックアップの保持ポリシーを設定すると、バックアップが自動的に保持され、有効期限が切れるので、バックアップのストレージコストを最小限に抑えることができます。バックアップをウォームストレージからコールドストレージに自動的に移行するライフサイクルポリシーを設定し、低コストのコールドストレージ層にバックアップを保存することで、バックアップストレージコストを削減することができます。

異なる AWS リージョンやアカウント間のバックアップを中央コンソールからコピーして、コンプライアンスとディザスタリカバリのニーズを満たすことができます。バックアップを手動でオンデマンドコピーするか、スケジュールされたバックアッププランの一部として自動的に複数の異なるリージョンやアカウントにコピーし、それらのバックアップを新しいリージョンやアカウントで回復することができます。

データ保護ポリシーを作成し、AWS Organizations を使用して、その組織内のすべてのアカウントに保護ポリシーを適用することができます。これにより、複数アカウントのバックアップが可能となり、ソースアカウントが偶発的または悪意のある削除、災害、またはランサムウェアによる中断を経験した場合でも、強化された保護手段を提供することができます。

AWS Backup では、バックアップオペレーターがこれらのリソースに直接アクセスすることなく、AWS 上のサポートされるすべてのリソースをバックアップすることができます。これにより、リソースの所有者はバックアップの保持に影響を与えることができず、バックアップオペレーターはデータの変異や流出を行うことができない、制御の分離が実現します。

バックアップボールトでリソースベースのアクセスポリシーを設定できます。リソースベースのアクセスポリシーを使用すれば、ユーザー別に許可を定義しなくても、全ユーザーについてバックアップボールト内のバックアップへのアクセスを管理できます。

AWS Organizations のバックアップポリシー管理、AWS Backup のクロスアカウントモニタリングを委任することができる。これにより、バックアップ管理を専用のバックアップ管理アカウントに委任することができ、メンバーアカウントがバックアップ管理のために管理アカウントにアクセスする必要がなくなります。バックアップ管理者は、バックアップポリシーの作成と管理、およびアカウント間のバックアップアクティビティをモニタリングできます。AWS Organizations による組織全体のバックアップ管理権限の委任により、大規模なバックアップ管理を安全に一元化することができます。

AWS Backup コンソールには Amazon CloudWatch ダッシュボードが含まれ、完了または失敗したバックアップ、コピー、復元ジョブのメトリクスを表示します。このダッシュボード内では、希望するスケジュールにカスタマイズして、期間ごとにジョブのステータスを確認することができます。

AWS Backup は AWS CloudTrail と統合されており、バックアップアクティビティログの統合ビューを提供し、保護されたリソースの監査プロセスを簡素化することができます。

AWS Backup を Amazon Simple Notification Service (Amazon SNS) と統合すれば、バックアップの成功や復元の開始などのバックアップアクティビティについて、自動的にアラートが表示されます。

フルマネージドエクスペリエンスのために、AWS Backup Audit Manager を使用すると、アカウントとリージョン全体のバックアップアクティビティをモニタリングすることができます。