主な特徴#
AWS リソースのバックアップ、復元、ポリシーベースの保持のための単一ダッシュボードとして機能します。
対応しているリソース#
EBS(やってみた)#
2019/07/02に東京リージョンに対応したらしいので、触ってみました。
AWS Backup が東京リージョンに対応しました
「新しいプランを立てる」で「バックアッププラン名」には適当な名前を入力。
デフォルトにすると、午前 5 時 (UTC 時間) に開始に設定され、8 時間続きます。
今回は、直ぐに検証したかったので、「バックアップウィンドウの開始時間」と「数時間以内にバックアップを開始」は指定しました。
「タグ」もしくは「リソースID」で割り当てることができます。今回は「リソースID」で特定のEBSのみにしておきました。
デフォルトでは、「AWSBackupDefaultServiceRole」というロールが作成できる。
AWSBackupServiceRolePolicyForBackup
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dynamodb:DescribeTable",
"dynamodb:CreateBackup"
],
"Resource": "arn:aws:dynamodb:*:*:table/*",
"Effect": "Allow"
},
{
"Action": [
"dynamodb:DescribeBackup",
"dynamodb:DeleteBackup"
],
"Resource": "arn:aws:dynamodb:*:*:table/*/backup/*",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"rds:AddTagsToResource",
"rds:ListTagsForResource",
"rds:DescribeDBSnapshots",
"rds:CreateDBSnapshot",
"rds:CopyDBSnapshot",
"rds:DescribeDBInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"rds:DeleteDBSnapshot"
],
"Resource": [
"arn:aws:rds:*:*:snapshot:awsbackup:*"
]
},
{
"Effect": "Allow",
"Action": [
"storagegateway:CreateSnapshot",
"storagegateway:ListTagsForResource"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*/volume/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteSnapshot"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeTags"
],
"Resource": "*"
},
{
"Action": [
"elasticfilesystem:Backup",
"elasticfilesystem:DescribeTags"
],
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateSnapshot",
"ec2:DeleteSnapshot",
"ec2:DescribeVolumes",
"ec2:DescribeSnapshots"
],
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Action": "kms:DescribeKey",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "kms:CreateGrant",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Action": [
"tag:GetResources"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
AWSBackupServiceRolePolicyForRestores
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dynamodb:Scan",
"dynamodb:Query",
"dynamodb:UpdateItem",
"dynamodb:PutItem",
"dynamodb:GetItem",
"dynamodb:DeleteItem",
"dynamodb:BatchWriteItem",
"dynamodb:DescribeTable"
],
"Resource": "arn:aws:dynamodb:*:*:table/*",
"Effect": "Allow"
},
{
"Action": [
"dynamodb:RestoreTableFromBackup"
],
"Resource": "arn:aws:dynamodb:*:*:table/*/backup/*",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVolume",
"ec2:DeleteVolume"
],
"Resource": [
"arn:aws:ec2:*::snapshot/*",
"arn:aws:ec2:*:*:volume/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DeleteVolume",
"storagegateway:DescribeCachediSCSIVolumes",
"storagegateway:DescribeStorediSCSIVolumes"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*/volume/*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:DescribeGatewayInformation",
"storagegateway:CreateStorediSCSIVolume",
"storagegateway:CreateCachediSCSIVolume"
],
"Resource": "arn:aws:storagegateway:*:*:gateway/*"
},
{
"Effect": "Allow",
"Action": [
"storagegateway:ListVolumes"
],
"Resource": "arn:aws:storagegateway:*:*:*"
},
{
"Effect": "Allow",
"Action": [
"rds:DescribeDBInstances",
"rds:DescribeDBSnapshots",
"rds:ListTagsForResource",
"rds:RestoreDBInstanceFromDBSnapshot",
"rds:DeleteDBInstance",
"rds:AddTagsToResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:Restore",
"elasticfilesystem:CreateFilesystem",
"elasticfilesystem:DescribeFilesystems",
"elasticfilesystem:DeleteFilesystem"
],
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*"
},
{
"Action": "kms:DescribeKey",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "kms:CreateGrant",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
後は待つ。無事作成されたことが確認できた。
スナップショット側でも作成されたことが確認できる。
なお、AWS Backup側で管理されているため、スナップショット側から削除することはできない。
RDS#
[2021年3月12日]今まで「スナップショットバックアップ」には対応していたが、
「継続的バックアップ」と「Point-in-timeリカバリ」にも対応したらしいです。