Amazon Web Services ブログ

AWS Backupを使用したAmazon FSxのクロスリージョン及びクロスアカウントバックアップ

このブログはAdam Hunter (Sr.Enterprise Solution Architect)とFathima Kamal (Sr.Solution Architect)によって執筆された内容を日本語化した物です。原文はこちらを参照して下さい。

AWS Backupは、 Amazon FSxのクロスリージョンおよびクロスアカウントバックアップ(CRAB)をサポートしました。AWS Backupは、費用対効果が高く、フルマネージドのポリシーベースのサービスを提供し、大規模なデータ保護をさらに簡素化します。また、AWS Backupは、コンプライアンス遵守をサポートし、事業継続の目標を達成するのに役立ちます。Amazon FSxは、機能豊富でパフォーマンスの高いファイルシステムを簡単かつコスト効率よく提供します。今回のリリースにより、ストレージやアプリケーションの管理者は、AWSリージョン間でバックアップをコピーし、リージョン間の事業継続を実施することができます。また、管理者は、AWSアカウント間でバックアップをコピーすることで、ユーザーの偶発的な誤操作、アカウントの侵害、ランサムウェアからバックアップを保護することができます。

あらゆる規模の企業が、ファイルデータセットをAmazon FSxに移行し、AWSでフルマネージドのファイルストレージを利用することで、俊敏性、拡張性、コスト効率の良さを享受しています。Amazon FSxは、業界標準のSMB(Server Message Block)プロトコルでアクセス可能な共有ファイルストレージを提供するAmazon FSx for Windows File Serverと、コンピュートワークロードの高速処理を可能にする高性能な共有ファイルストレージを提供するAmazon FSx for Lustreの2つのファイルシステムから選択できます。Amazon FSxは、お客様がファイルシステムの安全で耐久性の高いバックアップを作成することを可能にします。しかし、これまでは、これらのバックアップは、ファイルシステムと同じAWSリージョンおよびアカウントにしか作成できませんでした。

本機能のサポートにより、お客様はAmazon FSxのバックアップを他のAWSリージョンにコピーしてリージョン間のビジネス継続性の目標を達成したり、アカウント間でコピーしてバックアップのコンプライアンスニーズを満たすことができるようになりました。これらの機能により、お客様は偶発的または悪意のあるユーザーアクセスの際にデータを回復することができ、プライマリアカウントのバックアップや暗号化キーの喪失を防ぐことができます。また、アプリケーションのバックアップを管理するための運用負荷を排除し、企業はより簡単にコンプライアンス要件を満たすことができます。また、取得したバックアップを活用する事で、品質保証やテストのために、本番データに影響を与えることなく、データに簡単にアクセスして共有することができます。

お客様は、AWS Backup コンソールで数回クリックするだけで、自動バックアッププランを作成し、Amazon FSxファイルシステムのバックアップや他のAWSリソースのバックアップを、追加のAWSリージョンやアカウントに定期的に作成・コピーすることができます。

このブログでは、クロスアカウントバックアップ(CRAB)のコピーを自動的に実行するAWSバックアッププランの作成を実施します。まず、ソリューションを導入するために必要な前提条件について説明します。次に、バックアッププランを設定する方法を説明します。最後に、ファイルシステムを復元することで、バックアッププランをテストする方法を確認します。

アーキテクチャ: クロスリージョン・クロスアカウントバックアップ(CRAB)

以下の図は、Amazon FSxへのCRABサポートの展開に関わる主要なコンポーネントを示しています。このアーキテクチャには、AWS BackupでバックアップされたAmazon FSx for Windows File Serverに接続されたAmazon EC2インスタンスが含まれています。CRABを実装するために、ソースアカウントからのバックアップをデスティネーションアカウントの第2のバックアップボールトにコピーします。この例では、Region間の接続にTransit Gatewayを使用していますが、VPC peeringを使用することもできます。前述のコピーを行った後、宛先アカウントのAmazon FSx for Windows File Serverをリストアすることができます。

key components involved in deploying Amazon FSx cross-region - cross-account copy jobs

前提条件

Amazon FSx for Windows File ServerのCRABサポートを有効にする前に、以下の前提条件が必要です。

  1. AWS Organizationsで定義されている、同じ組織に属する2つのアカウントが必要です。詳細については、組織の作成と構成に関するドキュメントを参照してください。
  2. AWS Organizations コンソールから、設定を選択し、AWS Backupが有効になっていることを確認します。

From the AWS Organizations console, select settings and ensure that you have AWS Backup enabled

  1. Amazon FSx for Windows File Serverのファイルシステムを設定します。詳細については、Amazon FSxの開始に関するドキュメントをご覧ください。Amazon FSxは、Amazon FSx for Windows File ServerのファイルシステムをActive Directoryと統合するための2つのオプションを提供します。AWS Directory Service for Microsoft Active Directoryと共にAmazon Fsxを使用、または、自己管理のMicrosoft Active Directoryと共にAmazon FSxを使用することができます。

クロスリージョン・クロスアカウント(CRAB)コピーの設定

以下は、AWS Backupを使用してAmazon FSx for Windows File ServerのCRABを有効にする手順です。

Step 1: 管理アカウントでのクロスアカウントの有効化

us-east-1(N.Virginia)リージョンのソースアカウントのAWSマネジメントコンソールにログインし、AWS Backupを選択します。AWS Backupコンソールで、設定を選択し、Cross-account managementBackup policiesCross-account monitoringCross-account backupが有効になっていることを確認します。

Source account settings under cross-account management - enable backup policies, cross-acct. monitoring, and cross-acct. backup

Step 2: Amazon FSxのサービスオプトイン

同じページのサービスオプトインで、FSxが有効になっていることを確認してください。有効になっていない場合は、Configure resourcesを選択して有効にすることができます。

Under Service opt-in, ensure that you have enabled FSx. If not, please enable it by selecting Configure resources

Step 3: 送信先のアカウント/リージョンにVaultを作成する

us-west-2(オレゴン)リージョンの宛先アカウントのAWSマネジメントコンソールにログインし、AWS Backupを選択します。AWS Backupコンソールで、Backup vaultsを選択し、Create Backup vaultをクリックします。

In the AWS Backup console, select Backup vaults, and then click Create Backup vault.

Backup Vault名には、識別しやすい名前を使用してください。暗号化には、前提条件の一部として作成したカスタマーマネージドカスタマーマスターキー(CMK)、または既存のカスタマーマネージドCMKを選択します。AWS Key Management Service (AWS KMS) コンソールでのCMKの作成については、このガイドを参照してください。

Creating a vault in the destination account - Region

Vault を作成したら、Backup Vault ARN をメモしておきます。Access Policy セクションで、Add permissions を選択し、セキュリティのニーズに基づいてアクセスを選択します。このソリューションでは、Allow account level access to a Backup vaultを選択します。

Selecting permissions for newly created backup vault - Allow account level access to a backup vault

組織、部門、およびアカウントからBackup Vaultへのアクセスを許可することができます。また、denyステートメントを指定して、ユーザーによるVaultやBackup Vault内のリソースへのアクセスを拒否することもできます。Allow account level access to a Backup vault を選択したら、JSON ステートメントにソース アカウント番号を入力します。Save policy を選択します。

After selecting Allow account level access to a Backup vault, provide the source account number in the JSON statement. Select Save policy.

これで、送信先Vaultがソースアカウントからのバックアップを受信する準備が整いました。

Step 4: ソースアカウント/ソースリージョンにソースVaultを作成する

us-east-1(N.Virginia)リージョンのソースアカウントのAWS Management コンソールにログインし、AWS Backupを選択します。AWS Backup コンソールで、Backup vaultsを選択し、Create Backup vaultをクリックします。

In the AWS Backup console, select Backup vaults, and then click Create Backup vault (2).

Backup Vault名には、識別しやすい名前を使用してください。暗号化には、前提条件の一部として作成したカスタマーマネージドカスタマーマスターキー(CMK)、または既存のカスタマーマネージドCMKを選択します。Create Backup Vault をクリックします。

Creating an AWS Backup backup vault (2)

Vaultを作成したら、Access PolicyセクションでAdd permissionsを選択し、Allow account level access to a Backup vaultを選択します。

Once you have created a vault, select Add permissions in the Access Policy section and select Allow account level access to a Backup vault.

JSONポリシーステートメントの中に、宛先アカウント番号を追加します。これは、宛先アカウントのバックアップをソースアカウントにコピーバックできるようにするためです。Save policyを選択します。

Add in the destination account number in the JSON policy statement.

AWS Backupコンソール、API、またはCLIを介して自動化されたバックアッププランを作成することで、CRABを自動化することができます。

Step 5: ソースアカウントでのバックアッププランの作成

AWS Backupコンソールで、Backup plansを選択し、Create Backup planを選択します。

In the AWS Backup console, select Backup plans, and select Create Backup plan.

  1. 既存のプランから始めることも、ゼロから新しいプランを作ることも、JSONを使ってプランを定義することもできます。
    • Build a new plan を選択します。Backup planのセクションで、Backup planの名前を入力します
      • Backup plan name: fsx-cab-backup

You can start from an existing plan, build a new plan from scratch, or define one using JSON.

  1. Backup rule configurationセクションで、以下の情報を入力します。
    • Backup rule name: daily
    • Backup vault: fsx-vault-use1
    • Backup frequency: Daily
  1. Backup windowセクションでは、backup window defaultsを選択します。この設定では、UTC(協定世界時)の午前5時にバックアップジョブが開始され、8時間継続します。バックアップの頻度をカスタマイズしたい場合は、ドキュメントを参照してください。Transition to cold storageはデフォルトのままです。Retention periodセクションでは、Daysを選択し、30と入力します。また、任意の数字を入力することもできます。

AWS Backup backup rule configuration

  1. Copy to destinationUS West (Oregon)を選択します。Copy to another account’s vault を有効にして、ステップ3でメモした External vault ARNを指定します。Advanced settingsでは、Transition to cold storageはデフォルトのままにします。Retention periodセクションで、Daysを選択し、”30″または任意の日数を入力します。

AWS Backup backup rule configuration part 2

Allowを選択すると、宛先アカウントでのBackup vaultへのアクセスが可能になります。

Select Allow, allowing for backup vault access in the destination account

  1. Advanced backup settingsでは、デフォルトオプションを選択します。Create planを選択します。デイリールールは、バックアッププランの作成時に適用されます。In the Advanced backup settings, select the default option. Select Create plan
  2. Assign resourcesを選択してリソースを割り当てます。Select on Assign resources to assign resources
  3. Assign resourcesセクションで、以下の情報を入力します。そして、Assign resourcesを選択します。
    • Resource assignment name: fsx-resources
    • IAM role: デフォルトロールを選択します。Default role以外のロールを選択した場合、そのロールがAmazon FSxリソースをバックアップするのに必要な権限を持っていることを確認してください。
    • Assign resources: Assign byResource IDを選択、Resource TypeにはFSxを選択し、File system IDを選択します。
      • リソースは、TagsまたはResource IDで割り当てることができます。タグは、複数のリソースをバックアップするための、よりシンプルでスケーラブルな方法です。Assigning resources while creating an AWS Backup backup plan

これで、自動バックアッププランが完成しました。プランは、そのルールで定義されたスケジュールに基づいて実行されます。AWS BackupコンソールJobsをブラウズし、バックアップジョブをチェックして、バックアップジョブのステータスを得ることができます。また、Amazon CloudWatchインテグレーションを使用して、バックアップジョブの完了に関する通知を受けることもできます。

You can browse to Jobs in the AWS Backup console and check the backup job to get a status of the backup job

バックアップが完了したら、Backup vaultsを選択し、バックアップ元のVault: fsx-vault-use1を選択します。

Once the backups are completed, select Backup vaults, and select the source backup vault - fsx-vault-use1.

リカバリーポイントはBackupsセクションに表示されます。

The recovery point will appear under the backups section.

Step 6: Amazon FSx for Windows File Serverのファイルシステムを宛先のアカウントに復元する

us-west-2(オレゴン)リージョンの宛先アカウントのAWSマネジメントコンソールにログインし、AWS Backupを選択します。AWS BackupコンソールBackup vaultsを選択し、クロスアカウントバックアップ用に作成された保存先Vault – fs-vault-usw2-を選択します。

宛先のVaultにリカバリーポイントが表示されるようになり、バックアップをコピーしたSource account IDが表示されます。最新のリカバリーポイントを選択し、Restoreを選択します。

select Backup vaults, and select the destination vault – fs-vault-usw2 – created for cross-account backups.

バックアップのリカバリーポイントを使用して、新しいファイルシステムを作成したり、別のファイルシステムのスナップショットを復元したりすることができます。Amazon FSxファイルシステムをリストアする際、AWS Backupは新しいファイルシステムを作成し、そこにデータを復元します。

  • ファイルシステムの詳細では、Backup IDにバックアップのIDが、File system typeにファイルシステムの種類が表示されます。
    • ファイルシステム名を入力します。
    • Deployment typeはデフォルトを使用します。復元中にデプロイメントタイプを変更する事は出来ません。
    • Storage typeもデフォルトを使用します。
    • 推奨される16MB/sを使用する場合はRecommended throughput capacityを、またはSpecify throughput capacityを選択して新しいレートを入力します。

In the file system details, you can see the ID of the backup under Backup ID, and the file system type under File system type.

  • Network and securityセクションでは、Virtual Private Cloud (VPC)VPC security groupsPreferred subnetStandby subnetを指定します。
  • Amazon FSx for Windows File Serverのファイルシステムをリストアする際には、ファイルシステムへのアクセスに使用されたWindows認証情報を提供する必要があります。また、新しいディレクトリを作成するオプションもあります。バックアップの復元中に、ファイルシステム上のActive Directoryの種類を変更することはできません。

In the Network and security section, provide the Virtual Private Cloud (VPC), VPC security groups, Preferred subnet, and the Standby subnet.

  • Encryptionセクションでは、新しいAmazon FSxファイルシステムに使用する暗号化キーを選択できます。
  • Backup and maintenanceでは、バックアップに関する設定を入力します。

AWS Backupで作成したバックアップは、AWS Backupコンソール、API、AWS CLIを使ってリストアすることができます。

Encryption and backup and maintenance sections

  • Restore roleセクションでは、AWS Backupがバックアップの作成と管理に使用するデフォルトのIAMロールを選択します。
  • Restore backupをクリックします。これにより、ソースアカウントから宛先アカウントにコピーされたバックアップの復元が実行されます。

Restore role section - AWS Backup console

Step 7: 宛先アカウントのバックアップをソースアカウントにコピーする

us-west-2(オレゴン)リージョンの宛先アカウントのAWSマネジメントコンソールにログインし、AWS Backupを選択します。AWS BackupコンソールBackup vaultsを選択し、クロスアカウントバックアップ用に作成した保存先Vault – fs-vault-usw2を選択します。

Vaultにリカバリーポイントが表示されるようになり、バックアップのコピー元であるSource account IDも表示されます。最新のリカバリーポイントを選択し、Copyを選択します。

select Backup vaults, and select the destination vault – fs-vault-usw2 – created for cross-account backups.

Copy configurationセクションで、Copy back to source accountを選択すると、バックアップがソースアカウントにコピーされます。別の宛先にコピーしたい場合は、copy to different destinationを選択し、Vaultのxternal vault ARNを貼り付けます。Retention periodには、バックアップを保持する日数を入力します。

Backup details with Copy configuration section

Choose an IAM roleを選択し、リソースへのアクセス権を持ち、アカウント間の信頼関係を持つIAMロールを選択してクロスアカウントコピーを実行します。また、Default roleを選択することもできます。

Choose an IAM role and choose the IAM role that has access to the resources and has trust relationship between the accounts

Copyを選択します。この操作により、バックアップがソースアカウントにコピーされます。

クリーンアップ

意図しない課金を回避する為に、以下の手順に従ってリソースをクリーンアップして下さい:

  1. ソースアカウントにログインし、本ガイドに従ってソースVault内のバックアッププランとリカバリーポイントを削除します。
  2. 宛先アカウントにログインし、本ガイドに従ってソースVault内のバックアッププランとリカバリーポイントを削除します。

まとめ

このブログ記事では、us-east-1のソースアカウントからus-west-2の宛先アカウントへのAmazon FSxファイルシステムのクロスリージョンおよびクロスアカウントバックアップ(CRAB)を有効にするために、自動バックアッププランを設定するために必要な手順を詳細に説明しました。次に、宛先アカウントでAmazon FSx for Windows File Serverファイルシステムのリストアを実行することで、宛先アカウントでのバックアップを検証しました。最後に、宛先アカウントのリカバリーポイントをソースアカウントに戻すクロスアカウントコピーを実行しました。

この記事で紹介されている新機能を使えば、AWS Backupを活用して、Amazon FSxファイルシステムのマルチリージョン、マルチアカウントのデータバックアップ戦略を構築することができます。AWS Backupは、費用対効果が高く、フルマネージドのポリシーベースのサービスを提供し、大規模なデータ保護をさらに簡素化します。クロスアカウントのバックアップ戦略を持つことで、AWS Organizations内のアカウント間でバックアップを安全にコピーすることができます。クロスアカウントのバックアップコピーは、偶発的または悪意のある削除やランサムウェアの保護からの追加の保護層を提供します。

この記事を読んでいただきありがとうございました。