Primary backups to logically air-gapped vaults - AWS Backup
概要:仕組みコストに関する考慮事項論理エアギャップボールトのプライマリバックアップを設定する論理エアギャップボールトのプライマリバックアップをモニタリングするオンボーディングと移行トラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Primary backups to logically air-gapped vaults

概要:

論理エアギャップボールトのプライマリバックアップ機能では、スケジュールされたバックアップジョブとオンデマンドバックアップジョブの両方について、論理エアギャップボールトを同じアカウント内のプライマリバックアップ先として指定できます。これにより、標準バックアップボールトと論理エアギャップボールトの両方に個別のコピーを維持する必要がなくなり、論理エアギャップのセキュリティ上の利点を維持しながらコストを削減し、ワークフローを簡素化できます。

論理エアギャップボールトをバックアッププラン、組織全体のポリシー、またはオンデマンドバックアップのプライマリターゲットとして割り当てることができます。以前は、論理エアギャップボールトにバックアップするには、まずバックアップボールトにバックアップを作成し、論理エアギャップボールトにコピーする必要がありました。この機能 AWS Backup を使用すると、リソースタイプに応じて、論理エアギャップボールトでバックアップを直接作成することも、論理エアギャップボールトにコピーされて削除される一時バックアップを自動的に管理することもできます。

動作は 2 つの要因によって異なります。

  • リソースタイプが論理エアギャップボールトでサポートされているかどうか。

  • リソースタイプがフル AWS Backup 管理をサポートしているかどうか。

警告

この機能を採用する場合は、論理エアギャップボールトをマルチパーティー承認 (MPA) と統合することをお勧めします。これにより、ボールト所有者アカウントにアクセスできない場合でも、ボールト内のバックアップを復元できます。

この機能には新しい料金はありません。論理エアギャップボールトに保存されているバックアップと、該当するリソースの一時スナップショット (システム内の保持期間中) に対してのみ、一般的な料金が請求されます。詳細については、AWS Backup 料金を参照してください。

仕組み

この機能にオンボードするには、既存のバックアッププランを更新するか、新しいバックアッププランを作成し、論理エアギャップボールト ARN (フィールド名: TargetLogicallyAirGappedBackupVaultArn) をプライマリバックアップターゲットとして追加します。このオペレーションは、 AWS Backup コンソールまたは AWS Backup CLI コマンドを使用して実行できます。

"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",

バックアップボールトと論理エアギャップボールトの両方をバックアップジョブのターゲットとして指定すると、 はリソースタイプと暗号化設定に基づいて適切なワークフロー AWS Backup を決定します。

論理エアギャップボールトへのプライマリバックアップでサポートされているリソース

論理エアギャップボールトでサポートされているリソースの完全なリストを表示するには、AWS Backup 「 機能の可用性」を参照してください。論理エアギャップボールトをサポートするすべてのリソースは、この機能を使用する場合、2 つの個別のコピーを保存するのではなく、バックアップのコピーを 1 つだけ保持するという原則に従います。

警告

この機能で現在サポートされていないリソースでは、将来サポートが有効になる可能性があります。これが発生すると、新しくサポートされたリソースは、上記のワークフローを使用して論理エアギャップボールトで自動的にバックアップを開始します。

考慮事項と制限事項:

  • 同じアカウントとリージョンのみ – 論理エアギャップボールトは、この機能を使用するには、リソースと同じ AWS アカウントとリージョンに存在する必要があります。バックアップを直接クロスアカウントまたはクロスリージョンで作成することはできません。コピーを必要とせずにより迅速に復旧できるように、同じリージョンの論理エアギャップボールトにバックアップすることをお勧めします。ディザスタリカバリ (DR) の 2 番目のリージョンでデータのコピーが必要な場合は、高速フェイルオーバーのためにプライマリリソースのクロスリージョンレプリケーションを行うか、ロックされたバックアップボールトへのクロスリージョンリカバリポイントコピーを行うことをお勧めします。

  • AWS マネージドキーの使用に関する制約 – フル AWS Backup 管理をサポートしておらず、 AWS マネージドキー (、 などaws/rds) で暗号化されたリソースはaws/ebs、論理エアギャップボールトにコピーできません。これらのリソースは、カスタマーマネージド KMS キーで暗号化するか、暗号化されていない必要があります。フル AWS Backup 管理をサポートするリソースには、この制約はありません。

  • バックアップ頻度と同時コピー – 完全な AWS Backup 管理をサポートしていないリソースについては、バックアップ頻度でコピーが完了するまでの十分な時間を確保してください。バックアップがコピーが終了するよりも頻繁にスケジュールされている場合、コピージョブはキューに入れられ、最終的に失敗する可能性があります。同時コピーの制限に関するガイダンスについては、「クォータ」を参照してください

  • ライフサイクルの互換性 – バックアッププランで指定された保持期間は、論理エアギャップボールトに設定された最小および最大保持期間と互換性がある必要があります。

  • ロックされたバックアップボールト – ターゲットバックアップボールトでボールトロックが有効になっている場合、一時復旧ポイントは手動で削除できず、コピーが完了するか保持期間が終了するまで保持されます。

  • 復元テスト、インデックス作成、スキャン – 復元テスト、復旧ポイントインデックス作成、マルウェアスキャンでは、DELETE_AFTER_COPYライフサイクルの一時的な復旧ポイントは無視されます。復旧ポイントインデックス作成は、論理エアギャップボールトの復旧ポイントをサポートしていません。マルウェアスキャンは、コピーされた復旧ポイントのスケジュールされたスキャンをサポートしていません。これには、論理エアギャップボールトへのプライマリバックアップの一部として作成された自動コピーが含まれます。

フル AWS Backup 管理をサポートするリソース

Amazon EFS、Amazon S3、Amazon DynamoDB など、完全な AWS Backup 管理をサポートするAWS Backup 高度な機能を備えた一部のリソースタイプは、論理エアギャップボールトに直接バックアップできます。バックアップボールトに復旧ポイントが作成されず、コピー操作も必要ありません。バックアッププランのスケジュールされたコピーアクションでは、論理エアギャップボールトの復旧ポイントをソースとして使用します。

Amazon S3 などの継続的バックアップをサポートするリソースは、論理エアギャップボールトに直接継続的バックアップを実行することもできます。

フル AWS Backup 管理と論理エアギャップボールトをサポートするリソースタイプのリストについては、「フル管理」と「論理エアギャップボールト」というラベルの列の「リソースごとの機能の可用性」を参照してください。

リソースがフル AWS Backup 管理をサポートしていない

Amazon EBS/EC2、Amazon Aurora、Amazon FSx などのリソースは、論理エアギャップボールトに直接バックアップできません。これらのリソースタイプでは、 はバックアップボールトに一時的な復旧ポイント AWS Backup を作成し、論理エアギャップボールトに自動的にコピーします。

一時復旧ポイントには、 という特別なライフサイクル設定がありますDELETE_AFTER_COPY。論理エアギャップボールトへのコピーが正常に完了すると、 は一時復旧ポイント AWS Backup を自動的に削除します。バックアッププランの他のスケジュールされたコピーアクションはすべて、論理エアギャップボールトへのコピーと並行して開始され、現在のコピーエクスペリエンスには影響しません。

論理エアギャップボールトへのコピーが失敗した場合、一時復旧ポイントは、指定した保持期間に従ってバックアップボールトに保持されます。これにより、バックアップジョブの完了後に常に使用可能な復旧ポイントを確保できます。復旧ポイントが後で論理エアギャップボールトに手動でコピーされた場合、DELETE_AFTER_COPYルールに従って自動的にクリーンアップされます。

警告

AWS マネージドキー ( などaws/ebs) で暗号化されたリソースは、論理エアギャップボールトへのコピーではサポートされていません。これらのリソースは、 AWS Key Management Service カスタマーマネージドキーで暗号化するか、暗号化されていない必要があります。フル AWS Backup 管理をサポートするリソースには、この制約はありません。

コピーライフサイクル後に削除する

一時的な復旧ポイントには、 という値DeleteAfterEventを持つ新しいライフサイクル属性がありますDELETE_AFTER_COPY。この属性は、すべてのコピージョブが完了した後、または指定した保持期間のいずれか早い方後に復旧ポイントが自動的に削除されることを示します。

次の条件がすべて満たされると、一時的な復旧ポイントが削除されます。

  • 自動コピージョブとスケジュールされたコピージョブがすべて完了しました。

  • 少なくともソース復旧ポイントの保持期間を持つ、ターゲットの論理エアギャップボールトへの完了したコピージョブがあります。

コピーの進行中に一時復旧ポイントを手動で削除しないようにする必要がある場合は、ロックされたバックアップボールトをターゲットのバックアップボールトとして使用することを検討してください。

リソースの継続的なバックアップがフル AWS Backup 管理をサポートしていない

Amazon Aurora などのリソースの場合、継続的バックアップを有効にすると、 はバックアップボールトに継続的リカバリポイント AWS Backup を作成し、論理エアギャップボールトにコピーされる一時スナップショットを作成します。一時スナップショットは、バックアップボールトに継続的な復旧ポイントを保持するため、コピーが成功したか失敗したかに関係なく、コピーの完了後に常に削除されます。

バックアップボールトに Amazon Aurora の継続的リカバリポイントを作成するのではなく、論理エアギャップボールトに Amazon S3 の継続的リカバリポイントを作成する場合は、現在のプランで継続的バックアップ (EnableContinuousBackup) 設定を無効にし、別のプランから S3 継続的を有効にすることができます。

Aurora バックアップストレージの詳細については、「Amazon Aurora バックアップストレージの使用状況について」を参照してください。

サポートされていないデータソース

リソースタイプが論理エアギャップボールトでサポートされていない場合、または完全に管理されていないリソースが AWS マネージドキーで暗号化されている場合、 はバックアップボールトにのみバックアップ AWS Backup を作成します。論理エアギャップボールトのコピーは試行されません。バックアップジョブは正常に完了し、バックアップが論理エアギャップボールトに移動しなかった理由を示すメッセージが表示されます。

コストに関する考慮事項

  • この機能は新しい料金を発生させません。ボールト内のストレージに対してのみ料金が発生します。

  • フル AWS Backup 管理をサポートするリソースの場合、論理エアギャップボールトでのみバックアップを維持すると、バックアップボールトと論理エアギャップボールトの両方に 2 つのバックアップコピーを維持するよりも、大幅なコスト削減につながります。

  • フル AWS Backup 管理をサポートしていないリソースの場合、バックアップボールトの一時復旧ポイントと論理エアギャップボールトの復旧ポイントの両方に対して課金されます。

    • 1 つのバックアップコピーのみを保持することで大幅なコスト削減を実現できますが、これらの削減はバックアップの頻度と変更率によって異なる場合があります。

    • 通常、バックアップ頻度を低くすると、一時的な復旧ポイントが請求期間の短い割合でストレージを占めるため、削減額が大きくなります。

    • 一部のリソースには最小請求期間があるため、一時的な復旧ポイントのコストが増加します。

  • これらの S3 機能を使用しない場合は、バックアップ設定でタグまたは ACLs メタデータの取得を無効にします。これにより、コピーオペレーション中のメタデータチェックの API コールと関連する料金が削減されます。

論理エアギャップボールトのプライマリバックアップを設定する

論理エアギャップボールトのプライマリバックアップは、 AWS Backup コンソール、、 AWS CLI AWS CloudFormationまたは AWS Organizations バックアップポリシーを使用して設定できます。

バックアッププランを設定する

Console
バックアッププランの論理エアギャップボールトプライマリバックアップを設定するには

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. ナビゲーションペインで、バックアッププランを選択し、バックアッププランの作成を選択するか、編集する既存のバックアッププランを選択します。

  3. Backup ルール設定セクションで、バックアップルール設定を指定します。

  4. Backup ボールトでは、一時復旧ポイントが保存されるバックアップボールト (完全管理されていないリソースの場合)、または論理エアギャップボールトに配置することができないバックアップが保存されるバックアップボールトを選択します。

  5. 論理エアギャップボールト (オプション) では、バックアップを保存する論理エアギャップボールトを選択します。

    注記

    論理エアギャップボールトは、バックアップボールトと同じアカウントとリージョンに存在する必要があります。

  6. ライフサイクルオプションやコピーオプションなど、残りのバックアップルール設定を構成します。

  7. プランの作成または変更の保存を選択します。

AWS CLI

CLI コマンドを使用して新しいプランcreate-backup-planを作成するか、既存のプランupdate-backup-planを更新し、バックアップルールに TargetLogicallyAirGappedBackupVaultArnパラメータを含めます。

JSON ドキュメントを使用してバックアッププランを作成する CLI コマンドの例:

aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json

CLI で直接バックアッププランを作成する CLI コマンドの例:

aws backup create-backup-plan --backup-plan '{
  "BackupPlanName": "MyPlan",
  "Rules": [
    {
      "RuleName": "MyRule",
      "TargetBackupVaultName": "MyBackupVault",
      "TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
      "ScheduleExpression": "cron(0 1 ? * * *)",
      "ScheduleExpressionTimezone": "America/Los_Angeles",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 120,
      "Lifecycle": {
        "DeleteAfterDays": 35
      }
    }
  ]
}'

オンデマンドバックアップを設定する

Console
オンデマンドバックアップ用に論理エアギャップボールトプライマリバックアップを設定するには

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. ナビゲーションペインで、[保護されたリソース] を選択します。

  3. 保護されたリソースページで、オンデマンドバックアップの作成を選択します。

  4. バックアップするリソースタイプとリソース ARN を選択します。

  5. Backup ボールトで、バックアップボールトを選択します。

  6. 論理エアギャップボールト (オプション) では、バックアップを保存する論理エアギャップボールトを選択します。

  7. 残りの設定を構成し、オンデマンドバックアップの作成を選択します。

AWS CLI

新しい--logically-air-gapped-backup-vault-arnパラメータで start-backup-job コマンドを使用します。

aws backup start-backup-job \
  --backup-vault-name MyBackupVault \
  --logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault  \
  --resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234  \
  --iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole  \
  --lifecycle DeleteAfterDays=35

論理エアギャップボールトのプライマリバックアップをモニタリングする

AWS Backup コンソール、または Amazon EventBridge イベントを使用して AWS CLI、バックアップとコピージョブのステータスをモニタリングできます。

バックアップジョブのモニタリング

バックアップジョブのステータス (DescribeBackupJob) をモニタリングして、リソースが保護されていることを確認します。バックアップジョブが失敗した場合は、復旧ポイントが作成されていないことを示します。

  • 復旧ポイントの作成場所の確認 - バックアップジョブが正常に完了すると、ターゲットのバックアップボールトまたはターゲットの論理エアギャップボールトに復旧ポイントがあります。BackupVaultArn フィールドをチェックして、復旧ポイントが作成された場所を確認します。

  • ジョブステータスの確認 - リソースが論理エアギャップボールトでサポートされていない場合、バックアップジョブは MessageCategoryLOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED と、バックアップボールトでバックアップが作成された理由を説明するステータスメッセージで完了します。

  • 一時的な復旧ポイントタイプを検証する - 復旧ポイントが一時的なものであるかどうかを確認するには、 の値が の RecoveryPointLifecycle.DeleteAfterEventフィールドを探しますDELETE_AFTER_COPY

コピージョブのモニタリング

論理エアギャップボールトへのコピージョブ (ListCopyJobs) の障害をモニタリングします。コピージョブが失敗した場合、復旧ポイントは論理エアギャップボールト保護なしで標準バックアップボールトに残ります。

  • コピージョブのステータスを確認する - 既存の Copy Job State Change EventBridge イベントを使用してコピージョブのステータスをモニタリングできます。必要に応じて、送信先ボールト (destinationBackupVaultArn) をフィルタリングして、論理エアギャップボールトコピーに焦点を当てます。

  • ソース復旧ポイントのコピーを検証する - 新しいBySourceRecoveryPointArnフィルターで ListCopyJobs API を使用して、論理エアギャップボールトへの自動コピーと他の宛先へのスケジュールされたコピーの両方を含む、特定の復旧ポイントに関連付けられたすべてのコピージョブを検索します。

  • 一時的な復旧ポイントの削除を確認する - 一時的な復旧ポイントの削除の完了を追跡します。コピージョブの状態が の場合RUNNING、復旧ポイントはまだ削除されていません。論理エアギャップボールトへのコピーに がある場合FAILED、復旧ポイントは指定された保持期間ごとに保持されます。

注記

コピージョブレコードの有効期限が切れ、終了してから 30 日後に削除されます。この期間を過ぎるListCopyJobsと、 を使用して過去のコピーステータスを判断できなくなります。

復旧ポイントのモニタリング

EXPIRED 復旧ポイント (ListRecoveryPointsByBackupVault) をモニタリングします。これは、 AWS Backup が復旧ポイントを削除できなかったことを示している可能性があります (おそらくアクセス許可がないためです)。EXPIRED復旧ポイントはコストに影響する可能性があります。

  • 復旧ポイントの状態を確認する - 既存の復旧ポイントの状態変更 EventBridge イベントを使用して有効期限をモニタリングします。

  • 一時復旧ポイントの削除を確認する - を含む復旧ポイントが削除されていない場合DeleteAfterEvent: DELETE_AFTER_COPYは、 ListCopyJobs API を使用して、前述のように理由を特定します。

オンボーディングと移行

現在、コピーアクションを使用して論理エアギャップボールトにバックアップをコピーしている場合は、論理エアギャップボールトのプライマリバックアップに移行してコストを削減できます。既存の Amazon S3 継続的バックアップをバックアップボールトから論理エアギャップボールトに移行することもできます。このガイドでは、論理エアギャップボールトのプライマリバックアップ機能に移行するために必要な前提条件と手順について説明します。

前提条件とベストプラクティス

論理エアギャップボールトのプライマリバックアップ機能を効果的に使用する前に、前提条件と推奨されるベストプラクティスがあります。

前提条件

現在、プライマリバックアップターゲットとしての論理エアギャップボールトは、バックアップリソースと同じ AWS アカウントと AWS リージョン内のバックアップのみをサポートします。論理エアギャップボールトバックアップは本質的に別々のサービスアカウントに格納されるため、別のアカウントにコピーすることなく、クロスアカウント/クロスOrg 分離が可能になります。クロスリージョンバックアップが必要な場合は、論理エアギャップボールトをコピー先として使用し続けます。この機能に移行する前に、次の要件を満たしていることを確認してください。

  • リージョンとアカウントの要件

    • 論理エアギャップボールトは、リソースと同じ AWS アカウントとリージョンに存在する必要があります

  • リソースの互換性

    • リソースごとの機能の可用性で、リソースが論理エアギャップボールトでサポートされていることを確認します。

    • リソースが完全な AWS Backup 管理をサポートしているかどうかを確認します。エアギャップバックアップの作成経験は、両方の結果に似ていますが、これら 2 つのタイプのリソース間で異なります。

  • 暗号化要件

    • 完全な AWS Backup 管理をサポートしていないリソースは、暗号化されていないか、カスタマーマネージドキー (CMKs) で暗号化されている必要があります。 AWS マネージドキー (AMK) で暗号化されたリソースは、論理エアギャップボールトではサポートされていません。

ベストプラクティス

  • 重要でないリソースのパイロット移行から始めます。

  • コピージョブのパフォーマンスに基づいてバックアップ頻度を確認して調整します。

  • 完全な移行前に包括的なモニタリングを実装します。

  • 目的のボールトで復旧ポイントの作成を定期的に検証します。

移行の計画

  • 既存のバックアッププランとポリシーを確認します。

  • 完全な AWS Backup 管理をサポートするリソースとサポートしないリソースを特定します。

    • フル AWS Backup 管理をサポートするリソース (EFS、S3 など) - 論理エアギャップボールトに直接バックアップできます

    • フル AWS Backup 管理をサポートしていないリソース (EC2、EBS、FSx など) - 論理エアギャップボールトにコピーする前に、バックアップボールトに一時バックアップが必要です

  • 現在のバックアップボリュームと頻度を確認し、設定がフル AWS Backup 管理をサポートしていないすべてのリソースの同時コピー制限と一致していることを確認します。

    • このステップをスキップする 標準ボールトバックアップと同じ頻度で論理エアギャップボールトにすでにコピーしている場合。

    • コピージョブのキューイングを防ぐために、必要に応じてバックアップ頻度を調整することを検討してください。

    • コピージョブキューイングが発生した場合でも、論理エアギャップボールトへのコピーの完了を待っている間、標準のバックアップボールトに使用可能な復旧ポイントがあります。ただし、その復旧ポイントは、論理エアギャップボールトが提供する保護レベルを提供しません。

完全な AWS Backup 管理移行パスをサポートするリソース

フルマネージドリソースの場合、コピー操作を必要とせずに、論理エアギャップボールトに直接バックアップできます。

スナップショットベースのバックアップの場合

このプロセスは、バックアップボールトがロックされているかどうかにかかわらず、すべてのスナップショットシナリオに適用されます。既存のバックアッププランを移行する場合、または新しいバックアッププランで既存のバックアップボールト (プライマリ) と論理エアギャップボールト (コピー) を使用する場合:

  1. 既存のバックアップボールトを維持するか、バックアップターゲット () として追加しますTargetBackupVaultName。このボールトにはバックアップは保存されませんが、下位互換性のために提供する必要があります。

  2. バックアッププランを更新して、同じアカウントに存在する論理エアギャップボールト (TargetLogicallyAirGappedBackupVaultArn) をプライマリターゲットとして含めます。

  3. 別の論理エアギャップボールトへの既存のコピーアクションを確認して、まだ必要かどうかを判断します。このボールトが同じアカウントにある場合は、ステップ 2 でプライマリターゲットとして移動することもできます。

Amazon S3 継続的バックアップの場合

プライマリバックアップターゲットとしての論理エアギャップボールトは、Amazon S3 の継続的バックアップをサポートします。ただし、1 つのボールトでリソースごとに 1 つのアクティブな継続的復旧ポイントのみを維持できます。既存のアクティブな Amazon S3 継続的復旧ポイントがある場合は、別のボールトに新しいポイントを作成する前に、関連付けを解除または削除する必要があります。論理エアギャップボールトターゲット (同じアカウントから) を既存のアクティブな Amazon S3 継続的復旧ポイントでバックアッププランに追加すると、継続的バックアップジョブが失敗します。

Amazon S3 の継続的復旧ポイントを、ロック解除されたバックアップボールトから論理エアギャップボールトに移行するには:

  1. バックアッププランを更新して、論理エアギャップボールトにコピーアクションを追加します。これにより、論理エアギャップボールトで初期バックアップを生成するコストを削減できます。ローカルの論理エアギャップボールトにすでにコピーしている場合は、このステップをスキップします。

  2. 続行する前に、論理エアギャップボールトで少なくとも 1 つのスナップショットコピーが正常に完了していることを確認します。

  3. 既存の Amazon S3 継続的復旧ポイントの関連付けを解除します。DisassociateRecoveryPoint API を呼び出して、復旧ポイントのステータスを AVAILABLE から STOPPED に変更します。このアクションは、新しいデータの追加を停止しながら、既存のバックアップデータを保持します。

  4. バックアッププランを更新して、論理エアギャップボールト (TargetLogicallyAirGappedBackupVaultArn) をバックアップターゲットとして追加します。

  5. プラン内の以前のコピーアクションをすべて削除します。

  6. 次のバックアッププランの実行時に、論理エアギャップボールトに新しい継続的復旧ポイントが作成されます。この復旧ポイントは、ステップ 1 からコピーされたスナップショットに基づいて増分されます。

Amazon S3 継続的リカバリポイントを、ロックされたバックアップボールトから論理エアギャップボールトに移行するには:

  1. バックアッププランを更新して、論理エアギャップボールトにコピーアクションを追加します。これにより、論理エアギャップボールトで初期バックアップを生成するコストを削減できます。ローカルの論理エアギャップボールトにすでにコピーしている場合は、このステップをスキップします。

  2. 続行する前に、論理エアギャップボールトで少なくとも 1 つのスナップショットコピーが正常に完了していることを確認します。コピーしたスナップショットに、すべてのステップを完了するまで使用可能な保持期間があることを確認します。

  3. 論理エアギャップボールトをプライマリターゲットとして追加し、コピーアクションを削除します。

    1. ロックされたボールトは継続的な復旧ポイントの関連付け解除をサポートしていないため、このステップは必須です。

    2. ロックされたバックアップボールト内の既存の継続的復旧ポイントは、ライフサイクルに従って期限切れになるまでデータの蓄積を続けます。

    3. リソースごとに 1 つのアクティブな継続的復旧ポイントしか存在できないため、新しい継続的バックアップジョブは失敗します。これらのジョブは失敗するため、コピーアクションは実行されません。

  4. 既存の継続的復旧ポイントの有効期限が切れるまで待ちます。有効期限切れになると、論理エアギャップボールトに新しい継続的復旧ポイントが作成されます。この復旧ポイントは、スナップショットが論理エアギャップボールトにまだ存在する場合、ステップ 1 からコピーされたスナップショットに基づいて増分されます。

  5. 標準ボールトに蓄積されたデータは、有効期限が切れると失われます。論理エアギャップボールトで新しい復旧ポイントの作成後にバックアップされたデータのみが保持されます。

完全な AWS Backup 管理移行パスをサポートしていないリソース

完全に管理されていないリソースには、論理エアギャップボールトへのコピーオペレーションが必要です。このプロセスでは、標準バックアップボールトに一時的な復旧ポイント (請求可能) が作成され、論理エアギャップボールトに自動的にコピーされ、コピーが完了すると削除されます。論理エアギャップボールトターゲットを含めるようにバックアッププランを更新する場合:

  • バックアップジョブは、バックアップボールトに復旧ポイントを作成します。これには、DELETE_AFTER_COPYイベントによって決まるライフサイクルがあります。

  • コピージョブは、論理エアギャップボールトへの復旧ポイントの転送を自動的に開始します。

  • コピーが正常に完了すると、ボールトの一時復旧ポイントが削除されます。

  • コピーが失敗した場合、一時復旧ポイントは指定された保持期間に従って最大期間保持されるため、使用可能な復旧ポイントが確保されます。

トラブルシューティング

バックアップジョブまたはコピージョブがライフサイクル非互換性エラーで失敗する

バックアップジョブのエラー: Backup job failed because the lifecycle is outside the valid range for backup vault.

コピージョブのエラー: Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.

考えられる原因: 保持期間が論理エアギャップボールトの最小または最大保持設定と互換性がないため、バックアップジョブまたはコピージョブが失敗します。

解決策: バックアッププランを更新して、論理エアギャップボールトに設定された最小保持期間と最大保持期間以内の保持期間を指定します。

「既に継続的バックアップが有効になっています」で継続的バックアップジョブが失敗する

エラー: Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.

考えられる原因: 別のボールトにリソースの継続的な復旧ポイントがすでに存在するため、継続的なバックアップジョブが失敗します。

解決策: 各リソースには 1 つの継続的復旧ポイントのみを含めることができます。バックアップボールトがロック解除されている場合は、disassociate-recovery-point コマンドを使用して、既存の継続的復旧ポイントの関連付けを解除します。バックアップボールトがロックされている場合は、ライフサイクルに従って既存の継続的復旧ポイントの有効期限が切れるまで待ちます。

バックアップジョブが「Completed with issues」で完了 - サポートされていないリソースタイプ

メッセージ: Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.

考えられる原因: サポートされていない完全マネージド型リソースのバックアップジョブは、リソースがサポートされていないことを示すメッセージとともに「問題で完了した」と表示されます。

解決策: サポートされていないリソースタイプは、バックアップボールトにのみバックアップされます。これらのバックアップをバックアップボールトに保持する場合、アクションは必要ありません。サポートされていないリソースを論理エアギャップボールトと組み合わせたくない場合は、次のことができます。

  • これらのリソースのバックアッププランからリソースまたは論理エアギャップボールトターゲットを削除し、バックアップボールトにのみバックアップを続行します。その後、リソースを別のプランの一部として追加できます。

バックアップジョブが「問題で完了済み」で完了 - サポートされていない暗号化キー

メッセージ: Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.

考えられる原因: サポートされていない完全マネージド型リソースのバックアップジョブは、リソースが AWS マネージドキーで暗号化されていることを示すメッセージで「問題で完了した」と表示されます。

解決策: AWS マネージドキーで暗号化された完全に管理されていないリソースは、論理エアギャップボールトにコピーできません。これらのバックアップをバックアップボールトに保持する場合、アクションは必要ありません。サポートされていないリソースを論理エアギャップボールトと組み合わせたくない場合は、次のことができます。

  • カスタマーマネージド KMS キーを使用してリソースを再暗号化する、または

  • これらのリソースのバックアッププランからリソースまたは論理エアギャップボールトターゲットを削除し、バックアップボールトにのみバックアップを続行します。その後、リソースを別のプランの一部として追加できます。

復旧ポイントは EXPIRED状態のままです

考えられる原因: 一時的な復旧ポイントが EXPIRED状態に移行しますが、削除されません。

解決策: AWS Backup 復旧ポイントを削除するアクセス許可がない可能性があります。バックアップロールに必要な IAM アクセス許可があることを確認します。expired 復旧ポイントを手動で削除する必要がある場合があります。

バックアップ頻度が高いため、コピージョブがキューに入っているか失敗する

考えられる原因: 論理エアギャップボールトへのコピージョブは、コピーが完了するよりも頻繁にバックアップがスケジュールされるため、キューイングまたは失敗しています。

解決策: バックアップ間隔を短くするか、バックアップスケジュールを調整してバックアップ間隔を長くします。同時コピーの制限については、AWS Backup クォータのドキュメントを参照してください。