Edited at

AWS Backupを使い始める前に覚えておきたいこと


AWS Backup is 何

AWS上のバックアップを一元的に管理できるAWS Backupが利用可能になりました。

AWS Backup – Automate and Centrally Manage Your Backups

https://aws.amazon.com/jp/blogs/aws/aws-backup-automate-and-centrally-manage-your-backups/

※以降は2019/1/17 時点の情報です。

2019/6/27 に東京リージョンで利用可能になったため情報を更新しました

AWS Backup が新たに 6 つのリージョンで利用可能に

https://aws.amazon.com/jp/about-aws/whats-new/2019/06/aws-backup-is-now-available-in-six-additional-regions/


バックアップ取得可能なリソース


  • EFSファイルシステム

  • DynamoDBテーブル

  • EBSボリューム

  • RDSデータベース

  • Storage Gatewayのボリューム


対応リージョン


  • バージニア北部

  • オレゴン

  • オハイオ

  • アイルランド

  • 東京

  • ソウル

  • ロンドン

  • カナダ

  • 北カリフォルニア


料金

AWS Backupは追加利用金無しで利用可能。

各サービスで取得されるバックアップデータには通常どおり料金が発生する。


既存のバックアップ機能との違い

AWS Backupは、AWSサービスの既存のバックアップ機能を使用して、その集中管理機能を提供する。

そのため、EBSボリュームの場合であれば、Data Lifecycle Managerや

EC2 APIによるスナップショット取得は引き続き利用可能。

ただしAWS Backupで取得されたスナップショットをEBSコンソールから削除するようなことはできない。

EFS/Storage Gatewayに関してはバックアップ機能がAWS Backupに統合されている。


用語


Backup Plan

各リソースをいつ、どのようにバックアップするのかを定義する。

1つ以上のBackup Rule と バックアップ対象の紐づけ(Resource assignments)が必要。

Backup Planを削除するには紐づくResource assignmentsを全て削除する必要がある。


Backup Rule

バックアップスケジュールと使用するBackup vaultを定義する。

スケジュールは後述するBackup Windowとライフサイクル(保存期間)を指定する必要がある。


Backup Window

指定した時間内でバックアップ処理が起動する。

デフォルトのウインドウではUTCの午前5時からの8時間に設定されているため、

Backup Ruleの中で個別に定義した方が良い。

ウィンドウ幅は最低1時間となっている。

JSTでAM5-6時にバックアップ処理を起動したい場合は以下のような設定となる。

image.png


Transition to cold storage

AWS Backupと統合されているサービスの場合、Glacierベースの低コストステージへの移行と

リストアがサポートされている。

現状対応しているリソースは EFSファイルシステムのみであることに注意。

Backup RuleでTransition to cold storageを設定しても、対応リソース以外は無視される。

またコールドステージへの移行後、最低90日間は保存する必要がある。

image.png


Backup Vault

各バックアップをグループとして整理するための論理的なコンテナ。

バックアップを保護するためのKMSキーを指定することができる。

ここで指定するKMSキーは現状、EFSファイルシステムのバックアップでのみ使用される。

その他のリソースは元となるボリュームやデータベースの暗号化に使用されたキーがそのまま使用される。

更にもともと暗号化していないリソースはバックアップも暗号化されない。詳細は以下を参照。

Encryption for Backups in AWS

https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html

またValutに対しリソースベースのアクセスポリシーを定義することができる。

例えば以下のようなポリシーでVaultの削除を防ぐことが可能。

{

"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "backup:DeleteRecoveryPoint",
"Resource": "arn:aws:backup:us-east-1:<your account ID>:backup-vault:<backup vault name>"
}
]
}

Vaultを削除する場合は格納されているバックアップリソースを事前に全て削除する必要がある。

DefaultのVaultは削除できない。


On-Demand Backup

バックアップはスケジュール実行だけでなく、オンデマンドでも取得可能。

Backup windowで Create backup nowを選択すれば即時取得可能。

image.png


Resource assignments

対象のリソースをTagまたはリソースIDベースで指定する。

バックアップ時に使用するIAMロールも指定可能。


Recovery Points

取得されVaultに格納された個々のバックアップのことをRecovery Pointsと呼んでいる。

各バックアップのライフサイクルは取得後にも編集可能だったりする。

image.png


restore parameters(Resource Types)

例えばEBSスナップショットの場合、

EBSに復元するかStorage Gatewayボリュームで復元できるかを選択できる。

パラメータが選択可能かどうかは対象のリソースによって異なる。

image.png


制限事項

リソース
Limit

アカウントごとのBackup Vault
100

アカウントあたりのBackup Plan
100

Backup Placnごとのバージョン数
2,000

リソースあたりの同時バックアップジョブ数
1

Backup Planごとのリソース割り当て数
100

Backup Vaultあたりのリカバリポイント数
1,000,000


参考

AWS Backup Documentation

https://docs.aws.amazon.com/aws-backup/index.htm

AWS Backup FAQs

https://aws.amazon.com/jp/backup/faqs/