背景・目的
AWS Backupについて触れる機会がありましたので、基本的な知識の整理と簡単な動作を確認します。
まとめ
下記に特徴を整理します。
| 特徴 | 説明 |
|---|---|
| AWS Backup | AWSサービス、クラウド、オンプレミスのデータ保護を集中管理、自動化を容易にできるフルマネージドサービス |
| Centralized backup management | 集中型のバックアップコンソール、一連のバックアップ API、CLIを提供 バックアップ要件を満たすバックアップポリシーを一元管理できる。 これを適用し、AWS サービス全体の AWS リソースに適用して、一貫性とコンプライアンスを維持した方法でアプリケーションデータをバックアップする バックアップとバックアップアクティビティログの統合ビューが提供されるため、バックアップの監査とコンプライアンスの確保が容易 |
| Policy-based backup | それぞれ特定のビジネス要件と規制コンプライアンス要件を満たす個別のバックアップ プランを作成できる。これにより、各 AWS リソースが要件に従ってバックアップされるようになる |
| Tag-based backup policies | タグ付けにより、すべてのアプリケーションにわたってバックアップ戦略を実装しやすくなり、すべての AWS リソースがバックアップされ、保護されることが保証される |
| Lifecycle management policies | 低コストのコールドストレージ層にバックアップを保存することで、コンプライアンス要件を満たしながらバックアップストレージコストを最小限に抑えることができる |
| Cross-Region backup | オンデマンドで、またはスケジュールされたバックアッププランの一部として自動的に、バックアップを複数の異なる AWS リージョンにコピーできる |
| Cross-account mangement and cross-account backup | AWS Backup を使用すると、AWS Organizations 構造内のすべての AWS アカウントのバックアップを管理できる |
| Auditing and reporting with AWS Backup Audit Manager | AWS Backup Audit Manager は、AWS 全体のバックアップのデータガバナンスとコンプライアンス管理を簡素化するのに役立つ |
| Incremental backups | AWS Backup は定期的なバックアップを効率的に増分保存する |
| Backup activity monitoring | AWSサービス全体のバックアップと復元アクティビティを簡単に監査できるダッシュボードを提供 |
| Secure your data in backup vaults | 各 AWS Backup バックアップの内容は不変であり、誰もその内容を変更することはできない |
概要
下記を基に整理します。
- AWS Backupは、AWSサービス、クラウド、オンプレミスのデータ保護を集中管理、自動化を容易にできるフルマネージドサービス
- バックアップポリシーを構成し、AWS リソースのアクティビティを 1 か所で監視できる
- バックアップ タスクを自動化および統合できるようになり、カスタム スクリプトや手動プロセスを作成する必要ない
- AWS Backupコンソールから数クリックで、データ保護ポリシーとスケジュールを自動化できる
- AWS Backup は、AWS Backup 外部の AWS 環境で実行されるバックアップには適用されない
- ビジネスおよび規制コンプライアンスの要件に対応する集中型のエンドツーエンドのソリューションが必要な場合は有用
Feature overview
Centralized backup management
- 集中型のバックアップコンソール、一連のバックアップ API、および AWS コマンドラインインターフェイス (AWS CLI) を提供
- バックアップ要件を満たすバックアップポリシーを一元管理できる
- 上記のポリシーを適用し、AWS サービス全体の AWS リソースに適用して、一貫性とコンプライアンスを維持した方法でアプリケーションデータをバックアップできるようになる
- AWS Backup の集中バックアップコンソールでは、バックアップとバックアップアクティビティログの統合ビューが提供されるため、バックアップの監査とコンプライアンスの確保が容易
Policy-based backup
- バックアップ プランと呼ばれるバックアップ ポリシーを作成する
- バックアップ計画を使用してバックアップ要件を定義し、使用する AWS サービス全体で保護する AWS リソースに適用する
- それぞれ特定のビジネス要件と規制コンプライアンス要件を満たす個別のバックアップ プランを作成できる。これにより、各 AWS リソースが要件に従ってバックアップされるようになる
- バックアップ プランを使用すると、組織全体およびアプリケーション全体にスケーラブルな方法でバックアップ戦略を簡単に適用できる
Tag-based backup policies
- AWS Backup を使用すると、タグ付けなどさまざまな方法で AWS リソースにバックアッププランを適用できる
- タグ付けにより、すべてのアプリケーションにわたってバックアップ戦略を実装しやすくなり、すべての AWS リソースがバックアップされ、保護されることが保証される
- AWS タグとの統合により、AWS リソースのグループにバックアップ プランをすばやく適用して、一貫性とコンプライアンスを維持した方法でバックアップできるようになる
Lifecycle management policies
- 低コストのコールドストレージ層にバックアップを保存することで、コンプライアンス要件を満たしながらバックアップストレージコストを最小限に抑えることができる
- 定義したスケジュールに従って、ウォーム ストレージからコールド ストレージにバックアップを自動的に移行するライフサイクル ポリシーを構成できる
Cross-Region backup
- オンデマンドで、またはスケジュールされたバックアッププランの一部として自動的に、バックアップを複数の異なる AWS リージョンにコピーできる
- クロスリージョン バックアップは、ビジネス継続性またはコンプライアンス要件により、運用データから最小限の距離を置いてバックアップを保存する場合に特に役立つ
Cross-account mangement and cross-account backup
- AWS Backup を使用すると、AWS Organizations 構造内のすべての AWS アカウントのバックアップを管理できる
- クロスアカウント管理を使用すると、バックアップポリシーを自動的に使用して、組織内の AWS アカウント全体にバックアッププランを適用できる。これにより、コンプライアンスとデータ保護が大規模に効率化され、運用上のオーバーヘッドが削減される
- 個々のアカウント間でバックアップ プランを手動で複製する必要がなくなる
Auditing and reporting with AWS Backup Audit Manager
- AWS Backup Audit Manager は、AWS 全体のバックアップのデータガバナンスとコンプライアンス管理を簡素化するのに役立つ
- AWS Backup Audit Manager には、組織の要件に合わせてカスタマイズできる組み込みのコントロールが用意されている
- これらのコントロールを使用して、バックアップ アクティビティとリソースを自動的に追跡することもできる
- AWS Backup Audit Managerは、定義したコントロールにまだ準拠していない特定のアクティビティやリソースを見つけるのに役立つ
- 全体的なコンプライアンス体制とともにバックアップコンプライアンスも考慮するには、AWS Backup Audit Manager の調査結果を AWS Audit Manager に自動的にインポートできる
Incremental backups
- AWS Backup は定期的なバックアップを効率的に増分保存する
- AWS リソースの最初のバックアップでは、データの完全なコピーがバックアップされる
- 連続する増分バックアップごとに、AWS リソースへの変更のみがバックアップされる
- 増分バックアップを使用すると、頻繁なバックアップによるデータ保護のメリットを享受しながら、ストレージ コストを最小限に抑えることができる
Full AWS Bacup management
- 一部のリソースタイプは、完全な AWS Backup 管理をサポートしている完全な AWS Backup 管理の利点は下記の通り
- Independent encryption
- ソースリソースと同じ暗号化キーを使用する代わりに、AWS Backup ボールトの KMS キーを使用してバックアップを自動的に暗号化する。これにより防御層が強化される
- awsbackup Amazon Resource Names (ARNs).
- バックアップ ARN は、arn:aws:source-resource ではなく、arn:aws:backup で始まる
- これにより、ソース リソースではなくバックアップにのみ適用されるアクセス ポリシーを作成できる
- Centralized backup billing and Cost Explorer cost allocation tags
- AWS Backup の料金 (ストレージ、データ転送、復元、早期削除を含む) は、サポートされている各リソースの下ではなく、Amazon Web Services の請求書の「バックアップ」の下に表示される
- Cost Explorer のコスト割り当てタグを使用して、バックアップ コストを追跡および最適化することもできる
- Independent encryption
Backup activity monitoring
- AWSサービス全体のバックアップと復元アクティビティを簡単に監査できるダッシュボードを提供
- コンソールで数回クリックするだけで、最近のバックアップジョブのステータスを表示できる
- AWS サービス全体でジョブを復元して、AWS リソースが適切に保護されていることを確認できる
- AWS Backup は、Amazon CloudWatch および Amazon EventBridge と統合される
- CloudWatch を使用すると、メトリクスを追跡し、アラームを作成できる
- EventBridge を使用すると、AWS Backup イベントを表示および監視できる
- AWS CloudTrail と統合される。CloudTrail は、バックアップアクティビティログの統合ビューを提供し、リソースのバックアップ方法を迅速かつ簡単に監査できるようにする
- AWS Backup は Amazon Simple Notification Service (Amazon SNS) とも統合されており、バックアップが成功したときや復元が開始されたときなどのバックアップアクティビティ通知を提供する
Secure your data in backup vaults
- 各 AWS Backup バックアップの内容は不変であり、誰もその内容を変更することはできない
- AWS Backup はバックアップボールト内のバックアップをさらに保護し、ソースインスタンスから安全に分離する
- たとえば、ソースの Amazon EC2 インスタンスと Amazon EBS ボリュームを削除した場合でも、ボールトは選択したライフサイクルポリシーに従って Amazon EC2 と Amazon EBS のバックアップを保持する
- バックアップ ボールトは、暗号化とリソース ベースのアクセス ポリシーを提供し、バックアップにアクセスできるユーザーを定義できる
- バックアップ ボールトにアクセス ポリシーを定義して、そのボールト内のバックアップにアクセスできるユーザーと、そのユーザーが実行できるアクションを定義できる
- AWS Backup Vault Lock を使用すると、他のユーザー (自分自身を含む) がバックアップを削除したり、保持期間を変更したりすることを防ぐことができる
- AWS Backup Vault Lock は、Write Once Read Many (WORM) モデルを強制し、多層防御にさらに別の防御層を追加するのに役立つ
考察
今回、AWS Backupに付いて整理しました。AWS Backupでは、下記に効果がありそうです。
-
自動化と効率化
AWS Backupはフルマネージドサービスで、クラウドとオンプレミスのデータ保護を自動化し、効率的に行えます。手作業の手間が減り、信頼性の高いバックアッププロセスが提供されます。 -
集中管理と柔軟なポリシー
集中管理されたコンソールとポリシーベースのバックアップにより、ビジネス要件や規制に適応した柔軟なデータ保護が可能です。タグ付けやクロスリージョン対応などで、リソースのバックアップも簡単に管理できます。 -
強力なセキュリティとコスト効率
バックアップデータの不変性やライフサイクル管理を通じて、セキュリティを確保しつつ、コスト効率を最大化できます。長期保存データの低コスト化が強みです。
今後、実際に設定して試してみたいと思います。
参考