最近ランサムウェア対策、コンプライアンス要件への対応はホットな話題になったため、
AWSが提供各サービスに応じた強力な保護機能である3つの主要なロック機能について、それぞれんの違いと適切な使い分けを纏めます。
Amazon EBS スナップショットロック
EBSスナップショットを個別に保護する機能です。指定した期間、スナップショットの削除を防止できます。
主な特徴:
・スナップショット単位での保護
・ガバナンスモードとコンプライアンスモードを選択可能
・保持期間:1日~100年
・クーリングオフ期間: 1~72 時間の範囲で設定できます。
Tips
■The only way to delete a snapshot that is locked in compliance mode before its lock expires is to close the associated AWS account.
If you close your AWS account while you have locked snapshots, AWS suspends your account for 90 days with your snapshots intact. If you do not reopen your account within the 90 days, AWS deletes your snapshots, even if they are locked.
AWS Backup Vault Lock
AWS Backupサービスのバックアップボールト全体にWORM保護を適用します。ボールト内のすべてのリカバリポイントを一括で保護できます。
主な特徴:
・バックアップボールト全体を保護
・複数のAWSサービスに対応(EBS、RDS、DynamoDB、EFS等※4)
・最小・最大保持期間を設定
・設定後は変更不可
Amazon S3 Object Lock
S3バケット内のオブジェクトにWORM保護を適用します。個別オブジェクトまたはバケット全体のデフォルト設定が可能です。
主な特徴:
・オブジェクト単位での保護(S3 バケットにデフォルトの保持期間を設定できます)
・2つ方法:保持期間およびリーガルホールドを提供
・リーガルホールド機能で無期限保持も可能
・バージョニングが必須
Tips:
■オブジェクトロックを有効にしたバケットを作成した後、オブジェクトロックを無効にしたり、バケットのバージョニングを停止することはできません。
■S3 オブジェクトロックが有効になっている S3 バケットは、サーバーアクセスログの送信先バケットとしては使用できません。
■バケットポリシーを使用してバケットの最小と最大の許容保持期間を設定できます。最大保存期間は 100 年です。
機能比較表
まとめ
3つのロック機能は、それぞれ異なる用途に最適化されています:
EBSスナップショットロック:柔軟な個別保護が必要な場合
Backup Vault Lock:複数サービスの統合的なコンプライアンス対応
S3 Object Lock:オブジェクトストレージの不変性確保
適切な機能を選択し、必要に応じて組み合わせることで、セキュリティ、コンプライアンス、コストのバランスが取れたデータ保護戦略を実現できます。
参考リンク:
※1 EBSスナップショットロック
https://docs.aws.amazon.com/ja_jp/ebs/latest/userguide/ebs-snapshot-lock.html
※2 AWS Backup Vault Lock
https://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/vault-lock.html
※3 S3 Object Lock
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/object-lock.html
※4 AWS Backup supports
https://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/backup-feature-availability.html