翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# バックアッププランの作成
コンソール AWS Backup 、API、CLI、SDK、または AWS CloudFormation テンプレートを使用してバックアッププランを作成できます。
**Topics**
+ [AWS Backup コンソールを使用してバックアッププランを作成する](#create-backup-plan-console)
+ [を使用してバックアッププランを作成する AWS CLI](#create-backup-plan-cli)
+ [バックアッププランのオプションと設定](plan-options-and-configuration.md)
+ [CloudFormation バックアッププランの テンプレート](plan-cfn.md)
+ [バックアッププランの削除](deleting-a-backup-plan.md)
+ [バックアッププランの更新](updating-a-backup-plan.md)
## AWS Backup コンソールを使用してバックアッププランを作成する
[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。ダッシュボードから、[**バックアッププランを管理**] を選択します。または、ナビゲーションペインを使用して、[**バックアッププラン**] を選択してから、[**バックアッププランの作成**] を選択します。
**開始オプション**
新しいバックアッププランの開始には 3 つの選択肢があります。
+ 既存のプランに基づくバックアッププランの作成
+ 新しいプランを立てる
+ [を使用してバックアッププランを作成する AWS CLI](#create-backup-plan-cli)
この手順では、新しいプランを作成します。設定の各項目には、ページ内の拡張セクションへのリンクがあり、該当セクションに移動して詳細を確認できます。
1. **[[バックアッププラン名](plan-options-and-configuration.md#plan-name)]** にプラン名を入力します。プランの作成後にプラン名を変更することはできません。
既存のプランと同じバックアッププランを作成しようとすると、`AlreadyExistsException` エラーが発生します。
1. 必要に応じて、バックアッププランにタグを追加できます。
1. **バックアップルールの設定 : **[バックアップルールの設定] セクションでは、バックアップのスケジュール、期間、およびライフサイクルを設定します。
1. **スケジュール:**
1. テキストフィールドに**バックアップルール名**を入力します。
1. バックアップボールトのメニューで、**[デフォルト]** を選択するか、**[新しいバックアップボールトを作成]** を選択してボールトを作成します。
1. バックアップ頻度のメニューで、このプランでバックアップを作成する頻度を選択します。
1. **バックアップ期間:**
1. **[開始時刻]** のデフォルトは、システムのローカルタイムゾーンの午前 12:30 (24 時間システムの場合は 00:30) です。
1. **[次の時間以内に開始]** のデフォルトは、8 時間です。これを変更して、バックアップを開始する時間帯を指定できます。
1. **[次の時間以内に完了]** のデフォルトは、7 日です。ジョブが開始ウィンドウの最後に始まったとしても、バックアップが完了するまでに十分な時間があることを確認します。
1. **[継続的バックアップとポイントインタイムリカバリ (PITR)](point-in-time-recovery.md):** **ポイントインタイムリカバリ (PITR) の継続的バックアップ**を有効にできます。このタイプのバックアップでサポートされているリソースを確認するには、「[リソース別の機能の可用性](backup-feature-availability.md#features-by-resource) の表」を参照してください。
1. **ライフサイクル**
1. **コールドストレージ :** このボックスを選択すると、合計保持期間で指定したスケジュールに従って、対象となるリソースタイプをコールドストレージに移行できます。コールドストレージを使用するには、合計保持期間が 90 日以上である必要があります。ただし、次の点に注意してください。増分バックアップをサポートするサービスもあります。増分バックアップの場合、少なくとも 1 つのウォームフルバックアップが必要です。 AWS Backup 少なくとも 8 日後までバックアップをコールドストレージに移動しないようにライフサイクル設定を設定することをお勧めします。フルバックアップをコールドストレージに移行するのが早すぎると (例えば、1 日後にコールドストレージに移行するなど)、 AWS Backup でウォームフルバックアップがもう 1 つ作成されます。
1. **Amazon EBS のコールドストレージ**は [Amazon EBS Snapshots Archive](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-archive.html) です。アーカイブのストレージ階層に移行されたスナップショットは、コンソールにコールド階層として表示されます。コールドストレージを有効にしてバックアップ頻度を毎月以下にした場合は、バックアッププランで EBS スナップショットを移行できます。
1. **[合計保持期間]**は、リソースを AWS Backupに保持する日数です。ウォームストレージとコールドストレージを合計した日数となります。
1. (*オプション*) サポートされているリソースタイプの定期的なバックアップごとにバックアップインデックスを作成するようにオプトインできます (継続的なバックアップの場合は毎日インデックスが作成されます)。インデックスが関連付けられている復旧ポイント (バックアップ) のみを[バックアップ検索](backup-search.md)に含めることができます。
例えば、バックアッププランが S3 バックアップを作成するたびに、そのバックアップのバックアップインデックスを作成することもできます。これにより、その特定のバックアップを将来の検索対象に含めることができます。
インデックスを作成するリソースタイプ (複数可) の横にチェックを入れます。
1. (*オプション*) マルウェアスキャンを有効にして、作成後にバックアップを自動的にスキャンします。マルウェア保護を設定するときは、スキャンするリソースタイプ (Amazon EC2、Amazon EBS、Amazon S3、またはサポートされているすべてのリソース) とスキャンタイプ (フルまたは増分) を指定します。マルウェアスキャンは、選択したリソースタイプにのみ適用されます。たとえば、バックアッププランに Amazon S3 リソースと Amazon EC2 リソースの両方が含まれているが、Amazon EC2 に対してのみマルウェアスキャンを有効にすると、サービスは EC2 バックアップのみをスキャンします。バックアップルールごとに、使用するスキャンタイプを設定できます。バックアップルールのスケジュールによって、スキャンタイプが実行される頻度が決まります。
**重要**
マルウェア保護を有効にする前に、バックアップロールとスキャナーロールに必要なアクセス許可があることを確認してください。詳細については、アクセス[許可のドキュメント](https://docs.aws.amazon.com/aws-backup/latest/devguide/malware-protection.html#malware-access)を参照してください。
1. (*オプション*) バックアップのコピーを別の AWS リージョンに保存したい場合は、**[コピー先にコピー]** を使用して対象リソースのクロスリージョンコピーを作成します。
1. (*オプション*) 復旧ポイントにタグを追加します。
1. すべてのセクションを仕様に従って設定したら、**[バックアップルールを保存]** を選択します。
## を使用してバックアッププランを作成する AWS CLI
JSON ドキュメントでバックアッププランを定義して、 AWS Backup コンソールまたは AWS CLIを使用して提供することもできます。次の JSON ドキュメントには、太平洋標準時 1:00 (該当する場合、現地時間は標準時間または夏時間の条件に合わせて調整されます) に毎日バックアップを作成するサンプルバックアッププランが含まれています。バックアップは 1 年後に自動的に削除されます。
```
{
"BackupPlan":{
"BackupPlanName":"test-plan",
"Rules":[
{
"RuleName":"test-rule",
"TargetBackupVaultName":"test-vault",
"ScheduleExpression":"cron(0 1 ? * * *)",
"ScheduleExpressionTimezone":"America/Los_Angeles",
"StartWindowMinutes":integer, // Value is in minutes
"CompletionWindowMinutes":integer, // Value is in minutes
"IndexActions": [
{
"ResourceTypes": [ "string" ]
}
],
"Lifecycle":{
"DeleteAfterDays":integer, // Value is in days
}
}
]
}
}
```
JSON ドキュメントは任意の名前で保存できます。次の CLI コマンドは、`test-backup-plan.json` という名前の JSON がある [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) を表示します。
```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```
システムによっては曜日に 0~6 の番号が付けられていますが、AWS では 1~7 の番号が付けられています。詳細については、[cron 式と rate 式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html)の説明を参照してください。タイムゾーンの詳細については、「*Amazon Location Service API リファレンス*」の「[TimeZone](https://docs.aws.amazon.com/location/latest/APIReference/API_TimeZone.html)」を参照してください。
# バックアッププランのオプションと設定
AWS Backup コンソールでバックアッププランを定義するときは、次のオプションを設定します。
## バックアッププラン名
バックアッププラン名を指定する必要があります。名前は最大 50 文字で、英数字、ダッシュ、アンダースコア、ピリオドを含めることができます。
## バックアップルール
バックアッププランは、1 つ以上のバックアップルールで構成されます。バックアッププランにバックアップルールを追加するか、バックアッププラン内の既存ルールを編集するには、次の手順を実行します。
1. AWS Backup コンソールの左側のナビゲーションペインで、**バックアッププラン**を選択します。
1. [**バックアッププラン名**] で、バックアッププランを選択します。
1. [**バックアップルール**] セクションで、
+ バックアップルールを追加するには、[**バックアップルールの追加**] を選択します。
+ 既存のバックアップルールを編集するには、ルールを選択し [**編集**] を選択します。
**注記**
複数のルールを持つバックアッププランがあり、2 つのルールの時間枠が重複している場合、 はバックアップ AWS Backup を最適化し、保持時間が長いルールのバックアップを作成します。最適化では、毎日のバックアップが行われるときだけでなく、フルスタートウィンドウも考慮されます。
各バックアップルールは以下の要素で構成されています。
### バックアップルール名
バックアップルール名では大文字と小文字が区別されます。1 ~ 50 文字の英数字またはハイフンを含める必要があります。
### Backup frequency
バックアップ頻度によって、スナップショットバックアップ AWS Backup を作成する頻度が決まります。頻度はコンソールを使用して、12 時間、毎日、毎週または毎月から選択できます。また、スナップショットのバックアップを 1 時間ごとに作成する cron 式を作成することもできます。CLI を使用すると、スナップショットのバックアップを 1 AWS Backup 時間ごとにスケジュールできます。
毎週を選択する場合は、バックアップする曜日を指定できます。毎月を選択する場合は、月の特定の日を選択できます。
また、**サポートされているリソースの継続的なバックアップを有効にする**チェックボックスをオンにして、ポイントインタイム復元 (PITR) 対応の継続バックアップルールを作成します。スナップショットのバックアップとは異なり、連続バックアップでは、ポイントインタイム復元を実行できます。継続バックアップの詳細については、「[ポイントインタイムリカバリ](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)」を参照してください。
### バックアップウィンドウ
バックアップウィンドウは、そのバックアップウィンドウの開始時刻と、ウィンドウの期間 (時間単位) で構成されます。バックアップジョブは、このウィンドウ内で開始されます。コンソールのデフォルト設定は以下のとおりです。
+ システムのタイムゾーンの現地時間の**午前 12:30** (24 時間システムの場合は 0:30)
+ 8 時間**以内に開始**
+ 7 日**以内に完了**
(**[以内に完了]** パラメータは Amazon FSx リソースには適用されません)
cron 式を使用して、バックアップ頻度とバックアップウィンドウの開始時刻をカスタマイズできます。cron 式の 6 AWS つのフィールドを確認するには、*「Amazon EventBridge ユーザーガイド*」の[「Cron 式と rate 式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html)」を参照してください。cron AWS 式の 2 つの例は、 `15 * ? * * *` (1 時間ごとに 15 分後にバックアップを取る) と `0 12 * * ? *` (毎日正午 UTC にバックアップを取る) です。例の表については、前のリンクをクリックしてページを下にスクロールします。
AWS Backup は 00:00 から 23:59 までの cron 式を評価します。「12 時間ごと」のバックアップルールを作成し、11:59 より後の開始時刻を指定すると、1 日に 1 回のみ実行されます。
夏時間を採用しているタイムゾーンでは、時間が進むことによってバックアッププランに影響が出る可能性があります。UTC に切り替えるか、夏時間が開始される日に手動バックアップを作成できます。詳細については、「[EventBridge スケジューラの夏時間](https://docs.aws.amazon.com/scheduler/latest/UserGuide/schedule-types.html#daylist-savings-time)」を参照してください。
継続的バックアップとポイントインタイムリストア (PITR) は、一定期間に記録された変更を参照するため、時間式または cron 式でスケジュールすることはできません。
一般に、 AWS データベースサービスはメンテナンスウィンドウの 1 時間前または間にバックアップを開始できず、Amazon FSx はメンテナンスウィンドウまたは自動バックアップウィンドウの 4 時間前または間にバックアップを開始できません (Amazon Aurora はこのメンテナンスウィンドウの制限から除外されます)。その間にスケジュールされたスナップショットバックアップは失敗します。 AWS Backup を使用して、サポートされているサービスのスナップショットバックアップと継続的バックアップの両方にオプトインする場合、例外が発生します。 AWS Backup では、競合を避けるため、バックアップウィンドウを自動的にスケジュールします。サポートされているサービスのリストと、 AWS Backup を使用して継続的なバックアップを行う方法については、[Point-in-Timeリカバリ](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)」を参照してください。
### バックアップルールの重複
場合によっては、バックアッププランに複数の重複するルールが含まれている場合があります。異なるルールの開始ウィンドウが重複すると、 AWS Backup は保持期間が長いルールでバックアップを保持します。たとえば、次の 2 つのルールを持つバックアッププランを考えてみましょう。
1. 1 時間のスタートウィンドウを使用して、毎時バックアップし、1 日保持します。
1. 8 時間のスタートウィンドウを使用して、12 時間ごとにバックアップし、1 週間保持します。
24 時間後、2 番目のルールでは 2 つのバックアップを作成します (保持期間が長いため)。最初のルールでは 8 つのバックアップを作成します (2 番目のルールの 8 時間のスタートウィンドウでは、時間単位のバックアップの実行が妨げられるため)。具体的には次のとおりです。
| このスタートウィンドウ中 | このルールではバックアップを 1 つ作成します。 |
| --- | --- |
| 午前 0 時 ~ 午前 8 時 | 12 時間ごと |
| 8 ~ 9 | 毎時 |
| 9 ~ 10 | 毎時 |
| 10 ~ 11 | 毎時 |
| 11 ~ 正午 | 毎時 |
| 正午 ~ 午後8時 | 12 時間ごと |
| 8 ~ 9 | 毎時 |
| 9 ~ 10 | 毎時 |
| 10 ~ 11 | 毎時 |
| 11 ~ 午前 0 時 | 毎時 |
開始ウィンドウ中、バックアップジョブのステータスは、正常に開始されるか、開始ウィンドウの時間がなくなるまで `CREATED` ステータスのままになります。開始ウィンドウ時間内にジョブの再試行を許可するエラー AWS Backup を受け取った場合、 AWS Backup は、バックアップが正常に開始されるまで (ジョブステータスが に変わる)、またはジョブステータスが に変わるまで `EXPIRED` (開始ウィンドウ時間が終了すると予想される`RUNNING`)、少なくとも 10 分ごとにジョブの開始を自動的に再試行します。
### ライフサイクルとストレージ階層
バックアップが保持される指定された期間のことを、バックアップの「ライフサイクル」と呼びます。**バックアップはライフサイクルの終了時まで復元できます。
これは、 AWS Backup コンソールのバックアップルール設定のライフサイクルセクション**の合計保持期間**として設定されます。
を使用する場合 AWS CLI、これはパラメータ を使用して設定されます[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html)。スナップショットの保持期間は 1 日から 100 年 (入力しない場合は無期限) で、継続的バックアップの保持期間は 1 日から 35 日間です。バックアップの作成日は、バックアップジョブの開始日であり、完了日ではありません。バックアップジョブが開始日と同じ日に完了しない場合は、そのジョブの開始日を使用して保持期間を計算します。
バックアップはストレージ階層で保持されます。「[AWS Backup の料金](https://aws.amazon.com/backup/pricing/)」で説明されているように、ストレージと復元にかかるコストは階層ごとに異なります。作成されたバックアップはすべて、ウォームストレージに保存されます。バックアップの保持期間によっては、コールドストレージと呼ばれる低コストの階層にバックアップを移行した方がよい場合もあります。このオプション機能を利用できるリソースについては「[リソース別の機能の可用性](backup-feature-availability.md#features-by-resource)」を参照してください。
------
#### [ Console ]
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. バックアッププランを作成または編集します。
1. バックアップルール設定のライフサイクルセクションで、[**バックアップをウォームストレージからコールドストレージに移動**] チェックボックスをオンにします。
1. (*オプション*) Amazon EBS がバックアップ対象のリソースの 1 つで、バックアップ頻度が毎月以下の場合は、EBS Snapshots Archive を使用してそれらをコールド階層に移行できます。
1. バックアップをウォームストレージに保持する値 (日数) を入力します。 AWS Backup は少なくとも 8 日間を推奨します。
1. 合計保持期間の値 (日数) を入力します。合計保持期間とウォームストレージでの保持時間の差は、バックアップがコールドストレージに保持される日数になります。
------
#### [ AWS CLI ]
1. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) または [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html) を使用します。
1.
1. EBS リソースにはブール値パラメータ [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html) を指定します。
1. [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html) パラメータを指定します。
1. `DeleteAfterDays` パラメータを使用します。この値は、`MoveToColdStorageAfterDays` に指定した値に 90 (日) を加えた値にする必要があります。
------
コールドストレージは現在、以下のリソースタイプで利用できます。
| リソースタイプ | コールドストレージでの増分バックアップまたはフルバックアップ |
| --- | --- |
| AWS CloudFormation | 増分 |
| の高度な機能を備えた DynamoDB | フル。どの階層でも増分バックアップは不可 |
| Amazon EBS (EBS Snapshots Archive を使用) | フル。移行後、増分バックアップはフルバックアップになります。 |
| Amazon EFS | 増分 |
| Amazon EC2 インスタンスで実行される SAP HANA データベース | 増分 |
| Amazon Timestream | 増分 |
| VMware 仮想マシン | 増分 |
コンソールまたはコマンドラインでコールドストレージへの移行を有効にすると、コールドストレージ (またはアーカイブ) のバックアップには以下の条件が適用されます。
+ 移行されるバックアップは、ウォームストレージの時間に加えて、コールドストレージに最低 90 日間保存する必要があります。 では、保持期間を「日後のコールドへの移行」設定よりも 90 日間長く設定 AWS Backup する必要があります。バックアップがコールドに移行された後に、「コールドへの移行 (日数)」設定を変更することはできません。
+ 増分バックアップをサポートするサービスもあります。増分バックアップの場合、少なくとも 1 つのウォームフルバックアップが必要です。 AWS Backup 少なくとも 8 日後までバックアップをコールドストレージに移動しないようにライフサイクル設定を設定することをお勧めします。フルバックアップがコールドストレージに早すぎる場合 (1 日後にコールドストレージに移行するなど)、 AWS Backup は別のウォームフルバックアップを作成します。
+ 増分バックアップをサポートするリソースタイプの場合、 AWS Backup 移行されたデータがウォームバックアップによって参照されなくなった場合、 はデータをウォームストレージからコールドストレージに移行します。コールドストレージで保持されているバックアップ内のデータで、他のコールドストレージによってのみ参照されるデータには、コールドストレージ階層の料金が課金されます。それ以外のバックアップには、引き続きウォームストレージ階層の料金が適用されます。
### バックアップボールト
バックアップボールトは、バックアップを整理するためのコンテナです。バックアップルールによって作成されたバックアップは、バックアップルールで指定されたバックアップボールトに整理されます。バックアップボールトを使用して、バックアップボールト内のバックアップを暗号化するために使用される AWS Key Management Service (AWS KMS) 暗号化キーを設定し、バックアップボールト内のバックアップへのアクセスを制御できます。バックアップボールトを整理しやすいように、バックアップボールトにタグを追加することもできます。デフォルトのボールトを使用しない場合は、独自のものを作成できます。バックアップボールトを作成する詳細な手順については、「[バックアップボールトの作成と削除](create-a-vault.md)」を参照してください。
### リージョンにコピー
バックアッププランの一部として、同じ または別の にバックアップコピーをオプションで作成できます AWS リージョン。これらのコピーは、同じアカウントまたは別のアカウントで作成できます。詳細については、「[AWS リージョン全体でのバックアップのコピーの作成](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html)」を参照してください。
バックアップコピーを定義するときは、次のオプションを構成します。
#### 送信先リージョン
バックアップコピーの送信先リージョン。
#### (詳細設定) バックアップボールト
コピーの送信先バックアップボールト。
#### (詳細設定) IAM ロール
コピーの作成時に が AWS Backup 使用する IAM ロール。ロールは、 がロールを AWS Backup 引き受けることができる信頼されたエンティティとして AWS Backup リストされている必要があります。**デフォルト**を選択し、 AWS Backup デフォルトのロールがアカウントに存在しない場合、正しいアクセス許可を持つロールが作成されます。
#### (詳細設定) ライフサイクル
バックアップコピーをコールドストレージに移行するタイミングと、コピーの有効期限 (削除) を指定します。コールドストレージに移行したバックアップは、最低 90 日間コールドストレージに保存する必要があります。コピーがコールドストレージに移行された後には、この値を変更できません。
**[有効期限切れ]** で、コピーが作成されてから削除されるまでの日数を指定します。これは、**[コールドストレージへの移行]** の値より 90 日以上大きい数値にする必要があります。
[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CopyAction.html#Backup-Type-CopyAction-Lifecycle](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CopyAction.html#Backup-Type-CopyAction-Lifecycle) の値 (コンソールでは **[期限切れ]** と表示) がコピー設定で指定されていない場合、コピーはコピー元のバックアップのライフサイクル設定に従います。
### 復旧ポイントに追加されるタグ
ここにリストするタグは、バックアップ作成時に自動的に追加されます。
## バックアッププランに追加されるタグ
これらのタグは、バックアッププラン自体に関連付けられます。バックアッププランの整理と追跡に便利です。
## バックアップの詳細設定
高度なバックアップ設定を使用すると、さまざまな AWS サービスのリソース固有のバックアップオプションを設定できます。
### Amazon EC2 の高度なバックアップ設定
Amazon EC2 インスタンスで、実行中のサードパーティアプリケーションのアプリケーション整合性のあるバックアップを有効にします。現在、 は Windows VSS backups AWS Backup をサポートしています。Windows VSS バックアップから特定の Amazon EC2 インスタンスタイプ AWS Backup を除外します。詳細については、「[Windows VSS バックアップの作成](windows-backups.md)」を参照してください。
### Amazon S3 の高度なバックアップ設定
AWS Backup には、Amazon S3 バックアップに含まれるメタデータを制御するための高度な設定が用意されています。必要に応じて、バックアップからアクセスコントロールリスト (ACL) とオブジェクトタグを除外できます。これは、オブジェクトレベルの ACL の代わりにバケットレベルのアクセス許可を使用する Amazon S3 のベストプラクティスとも合致しています。
ACL とオブジェクトタグの Amazon S3 バックアップオプションの設定の詳細については、「[Amazon S3 の高度なバックアップ設定](s3-backups.md#s3-advanced-backup-settings)」を参照してください。
**重要**
バックアップから ACL を除外すると、ACL なしで復元されたオブジェクトは、レプリケート先バケットのデフォルトの所有権設定を使用します。レプリケート先バケットには、適切なオブジェクト所有権設定が必要です。
**注記**
Amazon S3 バケットに対して継続的バックアップジョブが実行されていて、スナップショットバックアップジョブを開始すると、スナップショットジョブに指定された設定に関係なく、スナップショットは継続的バックアップと同じ ACL およびオブジェクトタグ設定を使用します。
## マルウェアスキャン
AWS Backup は Amazon GuardDuty と統合され、復旧ポイントの自動マルウェアスキャンを提供します。バックアッププランでマルウェアスキャンを有効にすると、 はバックアップでマルウェア AWS Backup を自動的にスキャンし、データの復元について情報に基づいた意思決定に役立つスキャン結果を提供します。
バックアッププランのマルウェアスキャンを設定するには:
1. を信頼する IAM ロール`malware-protection.guardduty.amazonaws.com`を作成し、 AWS 管理ポリシー をアタッチします`AWSBackupGuardDutyRolePolicyForScans`。
1. AWS 管理ポリシーをバックアップ選択の IAM ロール`AWSBackupServiceRolePolicyForScans`にアタッチします。
1. バックアッププラン設定で、以下を指定するスキャン設定を追加します。
+ スキャンサービス (GuardDuty)
+ スキャンするリソースタイプ (Amazon EC2、Amazon EBS、Amazon S3)
+ GuardDuty が引き受ける IAM ロール ARN
1. バックアップルールでスキャンアクションを設定して、以下を指定します。
+ スキャンサービス (GuardDuty)
+ スキャンタイプ (増分スキャンまたはフルスキャン)
管理ポリシーの詳細については、[AWSBackupGuardDutyRolePolicyForScans](security-iam-awsmanpol.md#AWSBackupGuardDutyRolePolicyForScans)「」および「」を参照してください[AWSBackupServiceRolePolicyForScans](security-iam-awsmanpol.md#AWSBackupServiceRolePolicyForScans)。
# CloudFormation バックアッププランの テンプレート
参照用に 3 つのサンプル CloudFormation テンプレートが用意されています。最初のテンプレートでは、シンプルなバックアッププランを作成します。2 番目のテンプレートでは、バックアッププランで VSS バックアップが有効になります。3 番目のテンプレートは、バックアッププランで Amazon GuardDuty Malware Protection スキャンを有効にします。
**注記**
デフォルトのサービスロールを使用している場合は、*サービスロール*を `AWSBackupServiceRolePolicyForBackup` に置き換えます。
```
Description: backup plan template to back up all resources daily at 5am UTC, and tag all recovery points with backup:daily.
Resources:
KMSKey:
Type: AWS::KMS::Key
Properties:
Description: "Encryption key for daily"
EnableKeyRotation: True
Enabled: True
KeyPolicy:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
"AWS": { "Fn::Sub": "arn:${AWS::Partition}:iam::${AWS::AccountId}:root" }
Action:
- kms:*
Resource: "*"
BackupVaultWithDailyBackups:
Type: "AWS::Backup::BackupVault"
Properties:
BackupVaultName: "BackupVaultWithDailyBackups"
EncryptionKeyArn: !GetAtt KMSKey.Arn
BackupPlanWithDailyBackups:
Type: "AWS::Backup::BackupPlan"
Properties:
BackupPlan:
BackupPlanName: "BackupPlanWithDailyBackups"
BackupPlanRule:
- RuleName: "RuleForDailyBackups"
TargetBackupVault: !Ref BackupVaultWithDailyBackups
ScheduleExpression: "cron(0 5 ? * * *)"
DependsOn: BackupVaultWithDailyBackups
DDBTableWithDailyBackupTag:
Type: "AWS::DynamoDB::Table"
Properties:
TableName: "TestTable"
AttributeDefinitions:
- AttributeName: "Album"
AttributeType: "S"
KeySchema:
- AttributeName: "Album"
KeyType: "HASH"
ProvisionedThroughput:
ReadCapacityUnits: "5"
WriteCapacityUnits: "5"
Tags:
- Key: "backup"
Value: "daily"
BackupRole:
Type: "AWS::IAM::Role"
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
Service:
- "backup.amazonaws.com"
Action:
- "sts:AssumeRole"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/service-role/service-role"
TagBasedBackupSelection:
Type: "AWS::Backup::BackupSelection"
Properties:
BackupSelection:
SelectionName: "TagBasedBackupSelection"
IamRoleArn: !GetAtt BackupRole.Arn
ListOfTags:
- ConditionType: "STRINGEQUALS"
ConditionKey: "backup"
ConditionValue: "daily"
BackupPlanId: !Ref BackupPlanWithDailyBackups
DependsOn: BackupPlanWithDailyBackups
```
```
Description: backup plan template to enable Windows VSS and add backup rule to take backup of assigned resources daily at 5am UTC.
Resources:
KMSKey:
Type: AWS::KMS::Key
Properties:
Description: "Encryption key for daily"
EnableKeyRotation: True
Enabled: True
KeyPolicy:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
"AWS": { "Fn::Sub": "arn:${AWS::Partition}:iam::${AWS::AccountId}:root" }
Action:
- kms:*
Resource: "*"
BackupVaultWithDailyBackups:
Type: "AWS::Backup::BackupVault"
Properties:
BackupVaultName: "BackupVaultWithDailyBackups"
EncryptionKeyArn: !GetAtt KMSKey.Arn
BackupPlanWithDailyBackups:
Type: "AWS::Backup::BackupPlan"
Properties:
BackupPlan:
BackupPlanName: "BackupPlanWithDailyBackups"
AdvancedBackupSettings:
- ResourceType: EC2
BackupOptions:
WindowsVSS: enabled
BackupPlanRule:
- RuleName: "RuleForDailyBackups"
TargetBackupVault: !Ref BackupVaultWithDailyBackups
ScheduleExpression: "cron(0 5 ? * * *)"
DependsOn: BackupVaultWithDailyBackups
```
```
Description: Backup plan template with Amazon GuardDuty Malware Protection scanning enabled.
Resources:
BackupVault:
Type: "AWS::Backup::BackupVault"
Properties:
BackupVaultName: "MalwareScanBackupVault"
BackupPlanWithMalwareScanning:
Type: "AWS::Backup::BackupPlan"
Properties:
BackupPlan:
BackupPlanName: "BackupPlanWithMalwareScanning"
BackupPlanRule:
- RuleName: "DailyBackupWithIncrementalScan"
TargetBackupVault: !Ref BackupVault
ScheduleExpression: "cron(0 5 ? * * *)"
Lifecycle:
DeleteAfterDays: 35
ScanActions:
- MalwareScanner: GUARDDUTY
ScanMode: INCREMENTAL_SCAN
- RuleName: "MonthlyBackupWithFullScan"
TargetBackupVault: !Ref BackupVault
ScheduleExpression: "cron(0 5 1 * ? *)"
Lifecycle:
DeleteAfterDays: 365
ScanActions:
- MalwareScanner: GUARDDUTY
ScanMode: FULL_SCAN
ScanSettings:
- MalwareScanner: GUARDDUTY
ResourceTypes:
- EBS
ScannerRoleArn: !GetAtt ScannerRole.Arn
DependsOn: BackupVault
ScannerRole:
Type: "AWS::IAM::Role"
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
Service:
- "malware-protection.guardduty.amazonaws.com"
Action:
- "sts:AssumeRole"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/AWSBackupGuardDutyRolePolicyForScans"
BackupRole:
Type: "AWS::IAM::Role"
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
Service:
- "backup.amazonaws.com"
Action:
- "sts:AssumeRole"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/service-role/service-role"
- "arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForScans"
TagBasedBackupSelection:
Type: "AWS::Backup::BackupSelection"
Properties:
BackupSelection:
SelectionName: "MalwareScanSelection"
IamRoleArn: !GetAtt BackupRole.Arn
ListOfTags:
- ConditionType: "STRINGEQUALS"
ConditionKey: "backup"
ConditionValue: "true"
BackupPlanId: !Ref BackupPlanWithMalwareScanning
DependsOn: BackupPlanWithMalwareScanning
```
# バックアッププランの削除
バックアッププランは、関連付けられた選択リソースがすべて削除された後に削除できます。これらの選択は、*リソース割り当て*とも呼ばれます。これらがバックアッププランの削除前に削除されていない場合、「関連するバックアッププランの選択は、バックアッププランの削除前に削除する必要があります」というエラーがコンソールに表示されます。コンソールまたは [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupSelection.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupSelection.html) を使用します。
バックアッププランを削除すると、そのプランの現在のバージョンが削除されます。現在のバージョンと以前のバージョン (存在する場合) はまだ存在しますが、それらはコンソールの [**Backup plans (バックアッププラン)**] に表示されなくなります。
**注記**
バックアッププランを削除しても、既存のバックアップは削除されません。既存のバックアップを削除するには、[バックアップの削除](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html)のステップを使用してバックアップボールトから削除します。
**AWS Backup コンソールを使用してバックアッププランを削除するには**
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. 左側にあるナビゲーションペインで、[**Backup plans (バックアッププラン)**] を選択します。
1. リストで、バックアッププランを選択します。
1. そのバックアッププランに関連付けられているリソース割り当てがあればそれを選択します。
1. **[削除]** を選択します。
# バックアッププランの更新
バックアップ計画の作成後に、プランを編集できます。たとえば、タグを追加したり、バックアップルールを追加、編集、削除したりできます。バックアッププランに対する変更は、そのバックアッププランによって作成された既存のバックアップには影響しません。変更後に作成されるバックアップのみに適用されます。
たとえば、バックアップルールでバックアップの保持期間を更新しても、更新前に作成されたバックアップの保持期間は変わりません。今後そのルールによって作成されたバックアップには、更新された保持期間が反映されます。
プランの作成後にプラン名を変更することはできません。
**AWS Backup コンソールを使用してバックアッププランを編集するには**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. ナビゲーションペインで、**[バックアッププラン]** を選択します。
1. 2 番目のペインの **[バックアッププラン]** の下に、既存のバックプランが表示されます。**[バックアッププラン名]** 列で下線付きのリンクを選択すると、選択したバックアッププランの詳細が表示されます。
1. バックアップルールの編集、リソース割り当ての表示、バックアップジョブの表示、タグの管理、Windows VSS 設定の変更を行うことができます。
1. バックアップルールを更新するには、バックアップルールの名前を選択します。
タグを追加または削除するには、**[タグを管理]** を選択します。
Windows VSS のオンまたはオフを切り替えるには、**[アドバンストバックアップ設定]** の横にある **[編集]** を選択します。
1. 希望する設定を変更し、**[保存]** を選択します。