Amazon Web Services ブログ
AWS Backup を使用して AWS Organizations で大規模なバックアップを管理する
お客様は、AWS Backup と AWS Organizations を使用して、大規模なバックアップを管理する標準化された方法を使用できるようにしたいと考えています。AWS Backup は、AWS Storage Gateway を使用してクラウド内およびオンプレミスの AWS サービス全体でデータをバックアップするための集中管理サービスを提供します。AWS Backup は、次のようなさまざまな AWS リソースのバックアップ、復元、およびポリシーベースを保持する単一のダッシュボードとして機能します。
- Amazon EBS ボリューム
- Amazon EC2 インスタンス
- Amazon RDS データベース
- Amazon Aurora クラスター
- Amazon DynamoDB テーブル
- Amazon EFS ファイルシステム
- AWS Storage Gateway ボリューム
数千には及ばないまでも数百の AWS アカウントで AWS ワークロードをスケールアップする顧客がいるため、顧客はバックアップを一元管理および監視における必要性を表明しています。AWS Backup は AWS Organizations と提携して、お客様が組織のマスターアカウントから直接 AWS アカウント全体のバックアップを集中管理および監視できる、新しいクロスアカウント管理機能を立ち上げました。以前は何千ものアカウント間でバックアップ構成を手動で複製する必要があった管理者が、単一のマスターアカウントから単一のプロセスを通じてバックアップを管理および監視できるようになりました。
お客様は、組織全体のバックアッププランをデプロイして、AWS Organizations で選択したすべてのアカウント全体にわたりコンプライアンスを確保できます。これにより、お客様はバックアップポリシーの実装方法を標準化し、エラーのリスクを最小限に抑え、手動オーバーヘッドを削減できます。AWS Organizations を介した AWS Backup のクロスアカウント管理機能は、単一のバックアップポリシーを体系的にアカウント全体に適用できるようになったため、データ保護規制への準拠に関して透明性が向上します。お客様は、AWS Backup コンソールから直接一元化されたビューを使用して、コンプライアンスから外れたリソースまたはアカウントを数分で簡単に特定できます。
このブログでは、AWS Organizations を介した AWS Backup の新しいクロスアカウント管理機能で解決されるお客様のユースケースについて説明します。さらに、開始するためのステップバイステップガイドを提供します。
お客様はマルチアカウントのバックアップ管理を望みます
最初に、いくつかの異なる顧客タイプについて説明し、クロスアカウント管理機能が顧客にとって重要である理由を説明します。
金融サービスのお客様
金融サービス業界の最大顧客の 1 人から、アカウントまたは組織単位 (OU、組織内アカウントのコレクション) ごとに複数のバックアッププランがある場合、バックアップ管理のオーバーヘッドと複雑さが幾何学的に増すとのコメントをお寄せいただきました。お客様は、アカウント全体で均一性とスケーラビリティを実現するために AWS CloudFormation テンプレートをデプロイすることで、この問題に取り組みました。AWS CloudFormation はアカウント間でバックアッププランを標準化する方法を提供しましたが、顧客はまた、数百または数千のアカウント間で変更セットを管理するスケーラブルな方法を必要としていました。
メディアとエンターテイメントのお客様
また、お客様がすべてのアカウントを企業ポリシーに確実に準拠させるための回避策を模索していることもわかりました。メディアとエンターテインメント分野での主要顧客の 1 人は、スクリプトとデータベースを通じてアカウントを保護するために、変更のための独自のロールアウトメカニズムを作成してデプロイする必要がありました。お客様は、ネイティブの AWS ソリューションを使用して、どのアカウントが含まれているか、または除外されているか、どのアカウントがデプロイメントを受け取っているか、どのアカウントがコンプライアンス違反であるかを追跡したいというフィードバックを提供されました。ポリシーに変更を適用すると、変更が特定のアカウントにデプロイできなかった場合に、トラブルシューティングが複雑になることがよくあります。
ISV のお客様
デプロイの課題に加えて、特に管理対象のアカウント数が増加し続けているため、一部のお客様にとってはバックアップコンプライアンスの監視も課題となっています。アカウントが少数の場合、コンソールにログインしてステータスを確認するだけで十分な場合があります。しかし、数百または数千のアカウントがある AWS 環境では、すぐに許容できなくなります。一部のお客様は、シングルビューのダッシュボードを使用してサードパーティーソリューションを導入しています。SNS や SQS を介して中央アカウントからバックアップステータスを監視する通知構造を構築している企業もあります。
顧客はクロスアカウント管理を使用することでメリットを得ます
AWS Organizations を介した AWS Backup からのクロスアカウント管理により、顧客はアカウント全体のバックアップを一元的に管理、維持、監視できます。マルチアカウント環境でのバックアップと復元の一般的な使用例をいくつか見てみましょう。
一元管理
企業が迅速に AWS を採用しているため、ほとんどのお客様はマルチアカウント戦略を使用してリソースを分離し、セキュリティを向上させています。AWS Organizations により、お客様は多数の AWS アカウントをセットアップ、グループ化、および一元管理できます。これにより、単一のアカウント (マスターアカウント) から一元管理を維持しながら、AWS アカウントに固有の自然なアクセス許可の境界を利用できます。新しいクロスアカウント管理機能を使用すれば、AWS Organizations の一元管理機能とガバナンス機能を使用して、AWS Backup のコンプライアンス機能とデータ保護機能を活用できます。これで、マスターアカウントからすべてのアカウントのバックアップを一元管理および監視できるようになりました。
IT ガバナンス
IT ガバナンスの一環として、多くのお客様は最初に、データの重要度に基づいてすべてのデータを階層に分類します。各データ層には、目標復旧時点 (RPO) やバックアップ保持期間など、固有のデータ保護要件があります。次にその一例を示します。
| ティア 0 | ティア 1 | ティア 2 | ティア 3 | |
| 目標復旧時点 (RPO) | 1 時間 | 4 時間未満 | 24 時間未満 | 30 日未満 |
| 保存期間 | 1 年 | 6 ヶ月 | 3 月 | 30 日 |
AWS Backup を使用すれば、RPO や保持期間などのビジネス要件を 1 つの AWS アカウント内のバックアッププランにパッケージ化できます。ただし、多数のアカウントを持つ顧客は、各データ層の標準化されたバックアッププランをすべてのアカウントに確実かつ安全に伝達する機能も必要です。新しいアプリケーションが導入され、新しい AWS アカウントが追加されると、IT ガバナンスポリシーはバックアッププランを適用するときに一貫性を要求します。AWS Organizations を介した AWS Backup からのクロスアカウント管理により、お客様は新しいアプリケーションやアカウントにバックアップポリシーを自動的に適用できます。
企業コンプライアンス
多くのお客様はコンプライアンス基準を満たす必要があり、業界固有の規制機関による監視対象となります。多くの場合、バックアップおよび復元機能の標準は、規制によって規定されています。特にデータやリソースが複数のアカウントに分散している複雑な環境では、バックアップの実装を標準化および自動化する必要があります。自動化により、コンプライアンス違反を引き起こす可能性のある手動プロセスによるエラーのリスクが最小限に抑えられます。
さらに、規制では、すべてのアカウントと完了ステータスでバックアップジョブの監査証跡を作成する機能が必要です。AWS Organizations を介した AWS Backup からのクロスアカウント管理により、お客様はマスターアカウントにログインし、アカウント全体で発生するバックアップ操作を単一のダッシュボードビューで確認できます。クロスアカウント管理では、顧客がアカウント全体に不変のバックアップポリシーを適用することもできます。不変の共有ポリシーがあると、選択したアカウントが同じデータ保護スケジュールにあることが保証されます。顧客は、異常をすばやく特定し、必要に応じて修正することもできます。また、組織全体のすべてのバックアップジョブと復元ジョブの単一の証跡を生成できるため、規制のニーズを容易に準拠することができます。
強化されたセキュリティ
お客様がミッションクリティカルなワークロードを AWS に移行するにつれて、潜在的なランサムウェア攻撃や不正な攻撃者からデータが保護および保護されることも期待しています。お客様が AWS Backup を介してアカウント全体のバックアップを自動化および管理できるようにすることで、AWS Identity and Access Management (IAM) と AWS Organizations はこれらのリスクを軽減する機能を提供します。
詳細なアクセス制御を適用し、これらのサービスを組み合わせて使用してデータを保護する方法を詳しく見てみましょう。AWS Backup では、バックアップボールトはバックアップのコンテナです。これらは、Amazon EBS スナップショットや DynamoDB バックアップなど、サポートされているすべての AWS サービスからのバックアップである可能性があり、総称して「リカバリポイント」と呼ばれます。 IAM ポリシーを使用して、ボールトにリカバリポイントを作成したり、リカバリポイントから復元したり、それらを削除したりできる IAM ユーザーおよびロールを規制できます。例として、ec2:* アクセス許可を付与された EC2 管理者であっても、AWS Backup 内でそのアクセス許可が付与されていない限り、AWS Backup 復旧ポイントで動作することはできません。AWS Backup のセキュリティ管理については、ドキュメントをご覧ください。
お客様は、選択した組織単位 (OU) 内の任意のアカウントに適用できるサービスコントロールポリシー (SCP) を介して、「DeleteRecoveryPoint」などの特定の API アクションに対する権限をグローバルに拒否することにより、作成されたすべての復旧ポイントをさらに保護できます。
AWS Backup のクロスアカウント管理とモニタリングのセットアップ:
開始する前に、AWS Organizations ですべての機能が有効になっていることを確認してください。
AWS Organizations を介して AWS Backup のクロスアカウント管理を有効にする
開始するには、マスターアカウントにサインインし、AWS Backup コンソールに移動します。[設定] ページで、[バックアップポリシー] を有効にします。
![[設定] ページで、[バックアップポリシー] を有効にします。](https://d2908q01vomqb2.cloudfront.net/e1822db470e60d090affd0956d743cb0e7cdf113/2020/06/24/On-the-Settings-page-enable-Backup-policies..png)
これで、[私の組織] の [バックアップポリシー] ページで最初のバックアップポリシーを作成できます。
![これで、[私の組織] の [バックアップポリシー] ページで最初のバックアップポリシーを作成できます。](https://d2908q01vomqb2.cloudfront.net/e1822db470e60d090affd0956d743cb0e7cdf113/2020/06/24/You-can-now-create-your-first-backup-policy-on-the-backup-policy-page-under-“My-organization.”.png)
新しいバックアップポリシーを作成する
バックアップポリシーを作成する場合、重要なコンポーネントはバックアッププランを追加することです。複数の AWS リージョンにまたがってバックアップポリシーを設定することはできないので、ご注意ください。Visual Editor または JSON テンプレートを挿入して、リソースを選択してバックアッププランを作成します。
バックアップポリシーが作成されたので、新しく作成したバックアップポリシーをクリックして、アカウントまたは組織の組織単位に添付する準備が整いました。
ターゲットをバックアップポリシーに添付する
バックアップポリシーの詳細ページから、個々のアカウント、OU、または組織全体にポリシーを添付できます。ページ下部の [ターゲット] セクションで [添付] を選択します。
![バックアップポリシーの詳細ページから、個々のアカウント、OU、または組織全体にポリシーを添付できます。ページ下部の [ターゲット] セクションで [添付] を選択します。](https://d2908q01vomqb2.cloudfront.net/e1822db470e60d090affd0956d743cb0e7cdf113/2020/06/24/FROMTH1-2.png)
[添付] をクリックすると、組織内のすべての個別アカウントと OU のツリービューを表示するモデルが開きます。[ルート] を選択すると、ポリシーが組織内のすべてのアカウントに添付され、OU を選択すると、ポリシーがその中のすべてのサブ OU とアカウントに添付されます。詳細を指定する必要がある場合は、ポリシーを単一のアカウントに関連付けることができます。
![[添付] をクリックすると、組織内のすべての個別アカウントと OU のツリービューを表示するモデルが開きます。](https://d2908q01vomqb2.cloudfront.net/e1822db470e60d090affd0956d743cb0e7cdf113/2020/06/24/Clicking-Attach-opens-a-model-that-displays-a-tree-view-of-all-individual-accounts-and-OUs-in-your-organization..png)
選択したターゲットにバックアップポリシーが添付されています
ポリシーがターゲットに添付されると、バックアップポリシーで作成したバックアッププランが、選択したアカウントに自動的に追加されます。バックアップポリシーに加えた変更は、接続されているアカウントのバックアッププランに自動的に適用されます。アカウントが選択された OU に参加する場合、アカウントは自動的にバックアップポリシーを受け取ります。同様に、アカウントが選択された OU を離れた場合、以前の有効なバックアップポリシーは適用されなくなります。
追加の設定:
1 回の操作で複数のアカウントとリージョンにまたがるセキュリティをさらに強化するには、AWS CloudFormation StackSets を使用してバックアップボールト、AWS KMS、および IAM を構成します。
以下は CloudFormation スタックのサンプルです。
Resources:
KMSKey:
Type: AWS::KMS::Key
Properties:
Description: "Encryption key for daily"
EnableKeyRotation: True
Enabled: True
KeyPolicy:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
"AWS": { "Fn::Sub": "arn:${AWS::Partition}:iam::${AWS::AccountId}:root" }
Action:
KMS
Resource: "*"
BackupVaultWithDailyBackups:
Type: "AWS::Backup::BackupVault"
Properties:
BackupVaultName: "DistributedVault"
EncryptionKeyArn: !GetAtt KMSKey.Arn
BackupRole:
Type: "AWS::IAM::Role"
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
-
Effect: "Allow"
Principal:
Service:
- "backup.amazonaws.com"
Action:
- "sts:AssumeRole"
ManagedPolicyArns:
-
"arn:aws:iam::aws:policy/service-role/AWSBackupServiceRolePolicyForBackup"マスターアカウントでの監視
クロスアカウントのモニタリングページでは、高度なフィルターを適用して、組織全体で特定のアカウント、Backup ジョブ ID まで作成されたジョブのステータスを監視できます。
まとめ
このブログ投稿では、AWS Organizations を介した AWS Backup からのクロスアカウント管理の背後にある顧客の動機について説明しました。また、マルチアカウント環境でバックアップを一元管理および監視するために新機能がどのように機能するかについて、詳細なステップバイステップガイドを提供しました。AWS Organizations を介した AWS Backup からのクロスアカウント管理により、データを保護する運用上の負担が大幅に軽減され、すべてのアカウントのリソースが一貫して保護されます。最も重要なのは、クロスアカウント管理により、誤って構成されたバックアップポリシーによって引き起こされるコンプライアンス問題のリスクが最小限に抑えられることです。
AWS Organizations による AWS Backup からのクロスアカウント管理について説明しているこのブログ記事をお読みいただきありがとうございます。コメント欄にコメントをお寄せください。