Amazon Web Services ブログ

新規 – Amazon EBS スナップショットロック

データ保持ポリシーへのコンプライアンスを強化するために、個々の Amazon Elastic Block Store (Amazon EBS) スナップショットをロックできるようになりました。ロックされたスナップショットは、ロックの有効期限が切れるか、またはロックが解除されるまで削除できないため、意図しない削除や、ランサムウェア攻撃などの悪意のある削除から、重要なバックアップを安全に維持できます。

ロックの必要性
AWS のお客様は、バックアップ、ディザスタリカバリ、データ移行、コンプライアンスのために EBS スナップショットを使用しています。金融サービスやヘルスケア分野のお客様は多くの場合、所定の保持期間にわたって特定のコンプライアンス要件を満たす必要があるほか、スナップショットが真に Write Once Read Many (WORM) であるようにする必要もあります。これらの要件を満たすために、お客様は、複数の AWS アカウントを使用し、それらの間に一方向の「エアギャップ」を備えたソリューションを実装しました。

EBS スナップショットロック
新しい EBS スナップショットロック機能は、カスタムソリューションを必要とせずに、保持とコンプライアンスの要件を満たすのに役立ちます。1 日から約 100 年の範囲で設定できるロック期間を使用して、新規および既存の EBS スナップショットをロックできます。スナップショットは指定された期間にわたってロックされ、削除することはできません。

次の 2 つのロックモードが用意されています。

[ガバナンス] – このモードは、すべてのユーザーによる削除からスナップショットを保護します。ただし、適切な IAM 許可がある場合は、ロック期間の延長または短縮、ロックの削除、[ガバナンス] モードから [コンプライアンス] モードへのモード変更が可能です。

[コンプライアンス] – このモードは、ルートユーザーおよびすべての IAM ユーザーによるアクションからスナップショットを保護します。最大 72 時間のクーリングオフ期間が経過した後は、ロック期間が経過するまでスナップショットとロックのいずれも削除できず、モードを変更することもできません。適切な IAM 許可がある場合、ロック期間を延長することはできますが、短縮することはできません。

どちらのモードでも、スナップショットを共有またはコピーすることはできます。これらは、低コストの Amazon EBS Snapshots Archive 層にアーカイブできます。また、既にアーカイブされたスナップショットにロックを適用できます。

スナップショットロックの使用
EBS コンソールからスナップショット (Snap-Monthly-2023-09) を選択し、[アクション] メニューの [スナップショットの設定] から [スナップショットロックを管理] を選択します。

これは月次スナップショットであり、私はこれを 1 年間ロックしたいと考えています。[ガバナンス] モードを選択し、期間を選択してから、[ロックの設定を保存] をクリックします。

このスナップショットを削除しようとすると、次のように削除が失敗します。

次に、[コンプライアンス] モードを使用して、年次スナップショットの 1 つを 5 年間ロックしたいと思います。

考えが変わった場合に備えて、クーリングオフ期間を 24 時間に設定します。おそらく、スナップショットを 5 年間保持することを確定する前に、スナップショットに対して何らかの監査や最終日付の検証を実行する必要があるでしょう。

EBS スナップショットのロックを確立および制御するために、プログラムで新しい API 関数を使用できます。

LockSnapshot – ガバナンスモードまたはコンプライアンスモードでスナップショットをロックするか、または既にロックされているスナップショットの設定を変更します。

UnlockSnapshot – ガバナンスモードのスナップショット、またはコンプライアンスモードに設定されているが、クーリングオフ期間内のスナップショットのロックを解除します。

DescribeLockedSnapshots – ロックの状態に基づくオプションのフィルタリングを使用して、スナップショットのロックステータスに関する情報を取得します。

これらの機能を使用するには、適切な許可 (ec2:lockSnapshotec2:UnlockSnapshotec2:DescribeLockedSnapshots) が IAM ユーザーに付与されている必要があります。

知っておくべきこと
この新機能に関して留意すべき点がいくつかあります。

AWS BackupAWS Backup は、作成したスナップショットの保持を独立して管理します。これらをロックすることは推奨されていません。

料金 – この機能の使用には追加料金はかかりません。スナップショットおよびアーカイブされたスナップショットのストレージの通常料金はお支払いいただきます。

リージョン – EBS スナップショットロックは、すべての商用 AWS リージョンでご利用いただけます。

KMS キーの保持 – EBS ボリュームとスナップショットの暗号化にカスタマーマネージド AWS Key Management Service (AWS KMS) キーを使用している場合は、スナップショットの存続期間中、キーが有効であり続けるようにする必要があります。

Jeff;

原文はこちらです。