AWS Backup のスケジュールされたバックアッププランが実行されないのはなぜですか?

所要時間2分

AWS Backup で予定していた時間帯にバックアッププランが実行されない理由をトラブルシューティングしたい。

簡単な説明

スケジュールされたバックアッププランが自動的に開始されない場合のトラブルシューティングを行うには、以下の設定を確認してください。

バックアップ保護のリソースタイプが有効になっている。
バックアップルールのバックアップウィンドウが適切な時間に設定されている。
バックアッププランにリソースを割り当てるために使用する AWS Identity and Access Management (IAM) ロールに、リソースを割り当てるための十分な権限がある。
リソースのタグが、リソース割り当てで設定されているタグキーと値と一致している。
クロスアカウント管理の場合クロスアカウント管理バックアップのバックアップポリシーが正しく設定されている。

解決策

バックアップ保護のリソースタイプを有効にする

バックアップ保護のため、必ずリソースタイプを有効にしてください。サービスオプトイン機能では、バックアッププランで保護されるリソースタイプを選択できます。

バックアップ保護のためにリソースタイプを有効にするには、次の手順を実行します。

AWS Backup コンソールを開きます。
ナビゲーションペインで、[マイアカウント] を展開します。
[設定] を選択します。
[サービスのオプトイン] で、[リソースを設定] を選択します。
保護したいリソースを有効にします。
注: Amazon Aurora や Amazon FSx などのサービスは、デフォルトでは有効になっていません。
[確認] を選択します。

注: サービスのオプトイン設定は、AWS リージョンに固有です。バックアップを設定したすべての AWS リージョンに必ずオプトインしてください。詳細については、「サービスのオプトイン」を参照してください。

バックアップウィンドウを設定する

バックアップルールを設定すると、バックアップウィンドウをカスタマイズできます。バックアップウィンドウは、バックアップジョブの開始時刻と、バックアップジョブの期間 (時間単位) から構成されます。デフォルトでは、[バックアップウィンドウの開始時間] は UTC 05:00 AM、[開始期限] は 8 時間に設定されています。バックアップジョブは、このウィンドウ内でいつでも開始できます。バックアップウィンドウは、正確には UTC 05:00 AM に開始されない場合があります。

バックアップウィンドウをカスタマイズするには、[バックアップウィンドウの開始時間] と [開始期限] フィールドのデフォルト値を変更します。

AWS Backup コンソールを開きます。
ナビゲーションペインで、[バックアッププラン] を選択します。
更新するバックアッププランを選択します。
更新するバックアップルールを選択し、[編集] を選択します。
[バックアップルール設定] セクションで、[バックアップウィンドウのカスタマイズ] を選択します。
[バックアップウィンドウの開始時間] で、希望する開始時間を選択します。
[開始期限] で、希望する期間を選択します。
[保存] を選択します。

リソース割り当て用の IAM ロールを設定する

バックアッププランにリソースを割り当てる際は、IAM ロールを選択する必要があります。AWS CloudFormation などのデプロイサービスを通じてリソースを割り当てる場合は、以下の設定を確認してください。

AWS::Backup::BackupSelection リソースに関連付けられている IAM ロールは、CloudFormation テンプレートがデプロイされている AWS アカウントに存在します。詳細については、「AWS Backup と AWS CloudFormation」を参照してください。
IAM ロールには、バックアッププランに割り当てられたリソースでバックアップジョブを開始するのに十分な権限があります。詳細については、「バックアッププランへのリソースの割り当て」を参照してください。

リソースタグがタグキーと一致することを確認する

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、最新バージョンの AWS CLI を使用していることを確認してください。

リソースタグが、リソース割り当てで設定されているタグキーと値と一致していることを確認してください。

大文字と小文字の区別: タグのキーと値は大文字と小文字が区別されます。タグの値が true の場合、TRUE や True は異なる値とみなされます。たとえば、backup:true というキーと値のペアを持つリソースがあるとします。このリソースは、タグベースのポリシーのキーと値のペアがリソースのキーと値のペアと完全に一致する場合にのみバックアップされます。
ホワイトスペースなし: 一部の AWS リソースのタグを作成する場合、末尾の空白がタグ名と値の許容文字として受け入れられる場合があります。たとえば、末尾にスペースがある AWSBackup というタグ名 (「AWSBackup 」) は AWSBackup とは異なります。AWS Backup コンソールでは、タグの末尾にスペースが表示されない場合があります。末尾にスペースがないか確認するには、get-backup-selection AWS CLI コマンドを実行します。

aws backup get-backup-selection --backup-plan-id abcd-efgh-ijkl-mnop --selection-id 11111111-2222-3333-4444-55555example

注: abcd-efgh-ijkl-mnop と 11111111-2222-3333-4444-55555example をバックアッププラン ID とセレクション ID に置き換えてください。

出力は次のようになります。

{
......
        "ListOfTags": [
            {
                "ConditionType": "STRINGEQUALS",
                "ConditionKey": "examplekey ",
                "ConditionValue": "examplevalue "
            }
        ]
    },
......
}

上記の出力では、examplekey と examplevalue の後の末尾にスペースが表示されています。

クロスアカウントバックアップのバックアップポリシーを設定する

スケジュールされたバックアップ計画の一部として、複数のアカウントをオンデマンドでバックアップできます。クロスアカウント管理のバックアップポリシーを設定するには、まず上記の手順をすべて完了してください。次に、以下の設定を確認します。

バックアップポリシーで設定されているバックアップボルトは、バックアップポリシーがアタッチされているアカウントに存在します。
バックアップポリシーは正しいアカウントに添付されています。
バックアップポリシーで設定されているバックアップボールト名は、ターゲットアカウントの既存のバックアップボルトの名前と一致します。
注: バックアップボールト名は大文字と小文字が区別されます。
AWS Organizations で設定するバックアッププランでは、管理アカウントのリソースオプトイン設定が他のアカウントの設定よりも優先されます。組織の管理アカウントで、バックアッププランに含まれる各リソースタイプを必ず選択してください。

詳細については、「複数の AWS Backup アカウントにわたる AWS アカウントリソースの管理」を参照してください。