論理エアギャップボールト - AWS Backup
論理エアギャップボールトの概要論理エアギャップボールトのユースケース標準のバックアップボールトとの比較対照論理エアギャップボールトの作成論理エアギャップボールトの詳細の表示論理エアギャップボールトでのバックアップの作成論理エアギャップボールトの共有論理エアギャップボールトからのバックアップの復元論理エアギャップボールトの削除論理エアギャップボールトのその他のプログラムオプション論理エアギャップボールトの暗号化キータイプについて論理エアギャップボールトの問題のトラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

論理エアギャップボールト

論理エアギャップボールトの概要

AWS Backup には、セキュリティ機能を追加したコンテナにバックアップを保存できるセカンダリタイプのボールトが用意されています。論理エアギャップボールトは、特別なボールトとして、標準バックアップボールトを超えた追加のセキュリティを提供するほか、他のアカウントとボールトへのアクセスを共有できるため、リソースの迅速な復旧が必要なインシデントが発生した場合に、目標復旧時間 (RTO) を速くし、柔軟性を高めることができます。

論理エアギャップボールトには追加の保護機能が備わっています。各ボールトは AWS 所有キー (デフォルト) またはオプションでカスタマーマネージド KMS キーで暗号化され、各ボールトにはAWS Backup ボールトロックのコンプライアンスモードが備わっています。暗号化キータイプの情報は、透明性とコンプライアンスレポートのために AWS Backup APIsとコンソールを通じて表示されます。

論理エアギャップボールトをマルチパーティー承認 (MPA) と統合することで、ボールトを所有するアカウントにアクセスできない場合でもボールト内のバックアップを復旧できるため、ビジネス継続性の維持に役立ちます。さらに、 AWS Resource Access Manager (RAM) と統合して論理エアギャップボールトを他の AWS アカウント (他の組織内のアカウントを含む) と共有し、データ損失の回復または復元テストの必要に応じて、ボールト内に保存されたバックアップをボールトが共有されているアカウントから復元できるようにすることもできます。このセキュリティ強化の一環として、論理エアギャップボールトはバックアップを AWS Backup サービス所有のアカウントに保存します (その結果、バックアップは AWS CloudTrail ログの属性項目の変更で組織外の共有として表示されます)。

論理エアギャップボールト所有アカウントが閉鎖されている (悪意のある、またはその他の方法で) シナリオでは、閉鎖後期間が終了するまで、MPA 経由でボールト内のバックアップにアクセス (復元またはコピー) できます。閉鎖後期間が終了すると、バックアップにアクセスできなくなります。閉鎖後期間中は、AWS アカウント管理ドキュメントを参照して、復旧作業中にアカウントの制御を回復できます。

耐障害性を高めるには、同じアカウントまたは別々のアカウントの論理エアギャップボールトにクロスリージョンコピーを作成することをお勧めします。ただし、1 つのコピーだけを維持することでストレージコストを削減する場合は、 AWS MPA へのオンボーディング後にプライマリバックアップを使用して論理エアギャップボールトを使用できます。

論理エアギャップボールトでサポートされているサービスのバックアップのストレージ料金は、[AWS Backup の料金] ページで確認できます。

論理エアギャップボールトにコピーできるリソースタイプについては、「リソース別の機能の可用性」を参照してください。

トピック

論理エアギャップボールトのユースケース

論理エアギャップボールトは、データ保護戦略の一環として機能するセカンダリボールトです。このボールトは、次のようなバックアップ用ボールトを希望する場合に、組織的な保持戦略と復元を強化するのに役立ちます。

  • コンプライアンスモードで自動的にボールトロックが設定されるもの

  • デフォルトでは、 AWS 所有キーによる暗号化が提供されます。必要に応じて、カスタマーマネージドキーを指定できます。

  • AWS RAM または MPA を介して、バックアップを作成したアカウントとは異なるアカウントと共有して復元できるバックアップが含まれます。

考慮事項と制限事項

  • 論理エアギャップボールトとの間のクロスリージョンコピーは、現在のところ、Amazon Aurora、Amazon DocumentDB、および Amazon Neptune を含むバックアップでは利用できません。

  • 暗号化されていない Amazon Aurora、Amazon DocumentDB、Amazon Neptune クラスターは、暗号化されていない DB クラスタースナップショットの暗号化をサポートしていないため、論理エアギャップボールトではサポートされていません。

  • Amazon EC2 は EC2 で許可された AMI を提供します。アカウントでこの設定が有効になっている場合は、エイリアス aws-backup-vault を許可リストに追加します。

    このエイリアスが含まれていない場合、論理エアギャップボールトからバックアップボールトへのコピーオペレーションと論理エアギャップボールトからの EC2 インスタンスの復元オペレーションは失敗し、「Source AMI ami-xxxxxx not found in Region」などのエラーメッセージが表示されます。

  • 論理エアギャップボールトに保存されている復旧ポイントの ARN (Amazon リソースネーム) は、基盤となるリソースタイプの代わりに backup を持ちます。例えば、元の ARN が arn:aws:ec2:region::image/ami-* で始まる場合、論理エアギャップボールトの復旧ポイントの ARN は arn:aws:backup:region:account-id:recovery-point:* になります。

    ARN は、CLI コマンド list-recovery-points-by-backup-vault を使用して調べることができます。

標準のバックアップボールトとの比較対照

バックアップボールトは、 AWS Backupで使用されているプライマリ標準タイプです。バックアップが作成されると、各バックアップはバックアップボールトに保存されます。リソースベースのポリシーを割り当てて、ボールト内に保存されているバックアップのライフサイクルなど、ボールトに保存されているバックアップを管理できます。

論理エアギャップボールトは、セキュリティが強化され、復旧時間 (RTO) を短縮するための柔軟な共有機能を備えた特別なボールトです。このボールトには、最初に作成され、標準バックアップボールト内に保存されたプライマリバックアップまたはバックアップのコピーが保存されます。

バックアップボールトはキーで暗号化されます。これは、アクセスを、意図されているユーザーに制限するセキュリティメカニズムです。これらのキーは、カスタマー管理でも AWS マネージドでもかまいません。論理エアギャップボールトへのコピーなど、コピージョブ中の暗号化動作については、「コピーの暗号化」を参照してください。

さらに、バックアップボールトはボールトロックを通じてさらに保護できます。論理エアギャップボールトには、コンプライアンスモードのボールトロックが備わっています。

バックアップボールトと同様に、論理エアギャップボールトは Amazon EC2 バックアップの制限付きタグもサポートしています。

機能 バックアップボールト 論理エアギャップボールト
AWS Backup Audit Manager AWS Backup Audit Manager を使用してバックアップボールトをコントロールと修正モニタリングできます。 特定のリソースのバックアップが、標準ボールトで使用できるコントロールに加えて、決定したスケジュールで論理エアギャップボールトに少なくとも 1 つ保存されていることを確認します。

請求

AWS Backup によって完全に管理されるリソースのストレージおよびデータ転送料金は、「AWS Backup」で発生します。その他のリソースタイプのストレージおよびデータ転送料金は、それぞれのサービスで発生します。

例えば、Amazon EBS バックアップは「Amazon EBS」で発生し、Amazon S3 バックアップは「AWS Backup」で発生します。

これらのボールト (ストレージまたはデータ転送) からのすべての請求料金は、「AWS Backup」で発生します。

リージョン

が AWS Backup 動作するすべてのリージョンで利用可能

でサポートされているほとんどのリージョンで使用できます AWS Backup。現在、アジアパシフィック (マレーシア)、カナダ西部 (カルガリー)、メキシコ (中部)、アジアパシフィック (タイ)、アジアパシフィック (台北)、アジアパシフィック (ニュージーランド)、中国 (北京)、中国 (寧夏)、 AWS GovCloud (米国東部)、または AWS GovCloud (米国西部) ではご利用いただけません。

リソース

クロスアカウントコピーをサポートするほとんどのリソースタイプのバックアップのコピーを保存できます。

このボールトにコピーできるリソースについては、リソース別の機能の可用性 の論理エアギャップボールトの列を参照してください。

復元

バックアップは、ボールトが属しているのと同じアカウントで復元できます。

ボールトが属しているのとは別のアカウントでボールトが共有されている場合、その別のアカウントでバックアップを復元できます。

セキュリティ

オプションでキー (カスタマーマネージドキーまたは AWS マネージドキー) による暗号化が可能です

オプションで、コンプライアンスモードまたはガバナンスモードでボールトロックを使用できます

AWS 所有キーまたはカスタマーマネージドキーで暗号化可能

コンプライアンスモードでは常にボールトロックでロックされます

暗号化キータイプの情報は、ボールトが AWS RAM または MPA を通じて共有されると保持され、表示されます。

共有

アクセスはポリシーと AWS Organizations によって管理できます

と互換性がありません AWS RAM

オプションとして、AWS RAM を用いてアカウント間で共有できます

論理エアギャップボールトの作成

論理エアギャップボールトは、 AWS Backup コンソールまたは AWS Backup と AWS RAM CLI コマンドの組み合わせを使用して作成できます。

論理エアギャップには、それぞれコンプライアンスモードのボールトロックが備わっています。オペレーションに最適な保持期間値を決定するには、「AWS Backup ボールトロック」を参照してください。

Console
論理エアギャップボールトをコンソールから作成する

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. ナビゲーションペインで、[ボールト] を選択します。

  3. どちらのタイプのボールトも表示されます。[新しいボールトを作成] を選択します。

  4. バックアップボールトの名前を入力します。保存するものがわかるような名前や、必要なバックアップを検索しやすい名前を付けることができます。例えば、FinancialBackups のような名前を付けます。

  5. [論理エアギャップボールト] ラジオボタンを選択します。

  6. (オプション) 暗号化キーを選択します。カスタマー管理の KMS キーを選択して暗号化をさらに制御することも、デフォルト AWS所有のキーを使用することもできます (推奨)。

  7. [最小保持期間] を設定します。

    この値 (日単位、月単位、年単位) は、バックアップをこのボールトに保持できる最短期間です。保持期間がこの値より短いバックアップは、このボールトにコピーできません。

    許容される最小値は 7 日です。月と年の値は、この最小値を満たします。

  8. [最大保持期間] を設定します。

    この値 (日単位、月単位、年単位) は、バックアップをこのボールトに保持できる最長期間です。保持期間がこの値を超えるバックアップは、このボールトにコピーできません。

  9. (オプション) 暗号化キーを設定します。

    ボールトで使用するキーを指定します。AWS 所有キー ( によって管理 AWS Backup) を選択するか、カスタマーマネージドキーの ARN を入力できます。この ARN は、アクセス可能な別のアカウントに属することが推奨されます。 AWS Backup は、 AWS 所有キーを使用することをお勧めします。

  10. (オプション) 論理エアギャップボールトを検索して識別するのに役立つタグを追加します。例えば、BackupType:Financial というタグを追加できます。

  11. [ボールトを作成] を選択します。

  12. 設定を確認します。すべての設定が意図したとおりに表示されたら、[論理的にエアギャップのあるボールトを作成] を選択します。

  13. コンソールに新しいボールトの詳細ページが表示されます。ボールトの詳細が想定どおりであることを確認します。

  14. [ボールト] を選択して、アカウントのボールトを表示します。論理エアギャップボールトが表示されます。KMS キーは、ボールトの作成から約 1~3 分後に使用可能になります。ページを更新して、関連するキーを確認します。キーが表示されると、ボールトは使用可能な状態になり、使用できます。

AWS CLI

CLI からの論理エアギャップボールトの作成

を使用して AWS CLI 、論理エアギャップボールトのオペレーションをプログラムで実行できます。各 CLI は、作成元の AWS サービスに固有です。共有に関連するコマンドには aws ram が付加されています。他のすべてのコマンドには aws backup が付加される必要があります。

CLI コマンド create-logically-air-gapped-backup-vault を、以下のパラメータで変更して使用します。

aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional

オプションの --encryption-key-arnパラメータを使用すると、ボールト暗号化用のカスタマーマネージド KMS キーを指定できます。指定しない場合、ボールトは AWS所有のキーを使用します。

論理エアギャップボールトを作成する CLI コマンドの例:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional

カスタマーマネージド暗号化を使用して論理エアギャップボールトを作成する CLI コマンドの例:

aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional

作成オペレーション後の情報については、「CreateLogicallyAirGappedBackupVault API レスポンス要素」を参照してください。オペレーションが成功すると、新しい論理エアギャップボールトの VaultState は CREATING になります。

作成が完了し、KMS 暗号化キーが割り当てられると、VaultState は AVAILABLE に移行します。使用可能になったら、ボールトを使用できます。VaultState は、DescribeBackupVault または ListBackupVaults を呼び出して取得できます。

論理エアギャップボールトの詳細の表示

概要、復旧ポイント、保護されたリソース、アカウント共有、アクセスポリシー、タグなどのボールトの詳細は、 AWS Backup コンソールまたは AWS Backup CLI で確認できます。

Console

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 左側のナビゲーションペインで、[ボールト] を選択します。

  3. ボールトの説明の下には、このアカウントによって作成されたボールトRAM を通じて共有されたボールトマルチパーティー承認を通じてアクセス可能なボールトの 3 つのリストがあります。ボールトを表示するには、目的のタブを選択します。

  4. [ボールト名] で、ボールトの名前をクリックして詳細ページを開きます。概要、復旧ポイント、保護対象リソース、アカウント共有、アクセスポリシー、タグの詳細を表示できます。

    アカウントタイプに応じて詳細が表示されます。ボールトを所有するアカウントはアカウント共有を表示できます。ボールトを所有していないアカウントはアカウント共有を表示できません。共有ボールトの場合、暗号化キータイプ (AWS所有またはカスタマー管理の KMS キー) がボールトの概要に表示されます。

AWS CLI

CLI を通じた論理エアギャップボールト詳細の表示

CLI コマンド describe-backup-vault を使用して、ボールトに関する詳細を取得できます。パラメータ backup-vault-name は必須で、region はオプションです。

aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname

レスポンスの例:

{
"BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
"BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
"VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
"EncryptionKeyType": "AWS_OWNED_KMS_KEY",
"CreationDate": "2024-07-25T16:05:23.554000-07:00",
"NumberOfRecoveryPoints": 0,
"Locked": true,
"MinRetentionDays": 8,
"MaxRetentionDays": 30,
"LockDate": "2024-07-25T16:05:23.554000-07:00"
}

論理エアギャップボールトでのバックアップの作成

論理エアギャップボールトは、バックアッププランのコピージョブの送信先ターゲットでも、オンデマンドコピージョブのターゲットでもかまいません。また、プライマリバックアップターゲットとしても使用できます。「論理エアギャップボールトのプライマリバックアップ」を参照してください。

互換性のある暗号化

バックアップボールトから論理エアギャップボールトへのコピージョブが成功するためには、コピーするリソースタイプによって決定される暗号化キーが必要です。

フルマネージド型のリソースタイプのバックアップを作成またはコピーする場合、ソースリソースはカスタマーマネージドキーまたは AWS マネージドキーで暗号化できます。

他のリソースタイプ (完全マネージド型ではないリソース) のバックアップを作成またはコピーする場合、ソースはカスタマーマネージドキーで暗号化する必要があります。完全 AWS マネージド型ではないリソースのマネージドキーはサポートされていません。

バックアッププランを通じて論理エアギャップボールトにバックアップを作成またはコピーする

バックアップ (復旧ポイント) を標準バックアップボールトから論理エアギャップボールトにコピーするには、新しいバックアッププランを作成する、コンソールで既存のバックアッププランを更新するか、 AWS CLI コマンドcreate-backup-planと を使用しますupdate-backup-plan。 AWS Backup バックアップをプライマリターゲットとして使用して、論理エアギャップボールトに直接作成することもできます。詳細については、「論理エアギャップボールトへのプライマリバックアップ」を参照してください。

バックアップは、論理エアギャップボールトから別の論理エアギャップボールトにオンデマンドでコピーできます (このタイプのバックアップはバックアッププランではスケジュールできません)。コピーがカスタマー管理キーで暗号化されている限り、論理エアギャップボールトから標準バックアップボールトにバックアップをコピーできます。

論理エアギャップボールトへのオンデマンドバックアップコピー

論理エアギャップボールトへのバックアップのワンタイムのオンデマンドコピーを作成するには、標準のバックアップボールトからコピーします。リソースタイプがコピータイプをサポートしている場合は、クロスリージョンコピーまたはクロスアカウントコピーを使用できます。

コピーの可用性

バックアップのコピーは、ボールトが属しているアカウントから作成できます。ボールトが共有されているアカウントは、バックアップを表示または復元できますが、コピーを作成することはできません。

クロスリージョンコピーまたはクロスアカウントコピーをサポートするリソースタイプのみを含めることができます。

Console

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 左側のナビゲーションペインで、[ボールト] を選択します。

  3. ボールトの詳細ページには、そのボールト内のすべての復旧ポイントが表示されます。コピーする復旧ポイントの横にチェックマークを付けます。

  4. 次に [アクション] を選択し、ドロップダウンメニューから [編集] を選択します。

  5. 次の画面で、コピー先の詳細を入力します。

    1. コピー先リージョンを指定します。

    2. コピー先バックアップボールトドロップダウンメニューに、対象となるコピー先ボールトが表示されます。そのうちの一つを選択し、「logically air-gapped vault」と入力します。

  6. すべての詳細設定を完了したら、[コピー] を選択します。

コンソールの [ジョブ] ページで [コピー] ジョブを選択すると、現在のコピージョブを表示できます。

AWS CLI

start-copy-job を使用して、バックアップボールトにある既存のバックアップを、論理エアギャップボールトにコピーします。

CLI 入力のサンプル:

aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole

詳細については、「バックアップのコピー」、「クロスリージョンバックアップ」、「クロスアカウントバックアップ」を参照してください。

論理エアギャップボールトの共有

AWS Resource Access Manager (RAM) を使用して、指定した他のアカウントと論理エアギャップボールトを共有できます。ボールトを共有する場合、暗号化キータイプ情報 (AWS所有またはカスタマー管理の KMS キー) は保持され、ボールトが共有されているアカウントに表示されます。

ボールトは、組織のアカウントまたは別の組織のアカウントと共有できます。ボールトを組織全体と共有することはできません。共有できるのは組織内のアカウントのみです。

ボールトの共有や共有管理ができるのは、特定の IAM 権限を持つアカウントだけです。

を使用して共有するには AWS RAM、以下があることを確認します。

  • にアクセスできる 2 つ以上のアカウント AWS Backup

  • 共有対象の、ボールトを所有するアカウントには、必要な RAM アクセス許可があります。この手順にはアクセス許可 ram:CreateResourceShare が必要です。ポリシー AWSResourceAccessManagerFullAccess には、必要な RAM 関連のアクセス許可がすべて含まれています。

    • backup:DescribeBackupVault

    • backup:DescribeRecoveryPoint

    • backup:GetRecoveryPointRestoreMetadata

    • backup:ListProtectedResourcesByBackupVault

    • backup:ListRecoveryPointsByBackupVault

    • backup:ListTags

    • backup:StartRestoreJob

  • 少なくとも 1 つの論理エアギャップボールト

Console

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 左側のナビゲーションペインで、[ボールト] を選択します。

  3. ボールトの説明の下には、「このアカウントが所有するボールト」と「このアカウントと共有されるボールト」の 2 つのリストが表示されます。アカウントが所有するボールトは共有の対象となります。

  4. [ボールト名]で、論理エアギャップボールトの名前を選択し、詳細ページを開きます。

  5. [アカウント共有] ペインには、ボールトがどのアカウントと共有されているかが表示されます。

  6. 別のアカウントとの共有を開始したり、すでに共有されているアカウントを編集したりするには、[共有の管理] を選択します。

  7. 共有の管理が選択されると、 AWS RAM コンソールが開きます。 AWS RAM を使用してリソースを共有する手順については、「RAM AWS ユーザーガイド」の「RAM でのリソース共有の作成」を参照してください。 AWS

  8. 共有を受信する招待を承諾するよう招待されたアカウントは、12 時間以内にその招待を受け入れる必要があります。「AWS RAM ユーザーガイド」の「リソース共有の招待の承諾と拒否」を参照してください。

  9. 共有手順が完了して承諾されると、ボールトの概要ページが [アカウント共有] = [共有 - 下記のアカウント共有表をご覧ください] の下に表示されます。

AWS CLI

AWS RAM は CLI コマンド を使用しますcreate-resource-share。このコマンドにアクセスできるのは、十分なアクセス許可を持つアカウントだけです。CLI の手順については、「AWS RAMでのリソース共有の作成」を参照してください。

ステップ 1~4 は、論理エアギャップボールトを所有するアカウントで行います。ステップ 5~8 は、論理エアギャップボールトを共有するアカウントで行います。

  1. 所有しているアカウントにログインするか、ソースアカウントにアクセスするための十分な認証情報を組織のユーザーに要求すると、次の手順は完了します。

    1. リソース共有が以前に作成されており、それにリソースを追加する場合は、代わりに新しいボールトの ARN とともに CLI associate-resource-share を使用してください。

  2. RAM 経由で共有するのに十分な許可を持つロールの認証情報を取得します。これらを CLI に入力します

    1. この手順にはアクセス許可 ram:CreateResourceShare が必要です。すべての RAM 関連のアクセス許可は、ポリシー AWSResourceAccessManagerFullAccess に含まれています。

  3. [create-resource-share] を選択します。

    1. 論理エアギャップボールトの ARN を含めます。

    2. 入力例:

      aws ram create-resource-share
--name MyLogicallyAirGappedVault
--resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
--principals 123456789012
--region us-east-1

    3. 出力例:

      {
   "resourceShare":{
      "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
      "name":"MyLogicallyAirGappedVault",
      "owningAccountId":"123456789012",
      "allowExternalPrincipals":true,
      "status":"ACTIVE",
      "creationTime":"2021-09-14T20:42:40.266000-07:00",
      "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
   }
}

  4. 出力内のリソース共有 ARN をコピーします (これは以降のステップで必要です)。共有の受け取りを招待するアカウントのオペレーターに ARN を渡します。

  5. リソース共有 ARN を取得します

    1. ステップ 1~4 を実行しなかった場合は、実行したユーザーから resourceShareArn を入手してください。

    2. 例: arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543

  6. CLI では、受取人のアカウントの認証情報を想定します。

  7. get-resource-share-invitations」を使ってリソース共有の招待を取得します。詳細については、「AWS RAM ユーザーガイド」の「招待の承諾と拒否」を参照してください。

  8. コピー先 (リカバリ) アカウントで招待を承諾します。

    1. accept-resource-share-invitation」を使用します (「reject-resource-share-invitation」も可能です)。

AWS RAM CLI コマンドを使用して、共有項目を表示できます。

  • 共有したリソース:

    aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1

  • プリンシパルを表示:

    aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1

  • 他のアカウントによって共有されるリソース:

    aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1

論理エアギャップボールトからのバックアップの復元

論理エアギャップボールトに保存されているバックアップは、そのボールトを所有しているアカウントから、またはそのボールトを共有している任意のアカウントから復元できます。

AWS Backup コンソールを通じて復旧ポイントを復元する方法については、「バックアップの復元」を参照してください。

論理エアギャップボールトからアカウントにバックアップが共有されたら、start-restore-job を使用してバックアップを復元できます。

サンプル CLI 入力には、次のコマンドとパラメータを含めることができます。

aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1

論理エアギャップボールトの削除

ボールトの削除」を参照してください。バックアップ (復旧ポイント) がまだ保存されているボールとは削除できません。削除操作を開始する前に、ボールトにバックアップがないことを確認してください。

ボールトを削除すると、キー削除ポリシーに従って、ボールトが削除されてから 7 日後に、ボールトに関連付けられたキーも削除されます。

以下のサンプル CLI コマンド「delete-backup-vault」を変更して、ボールトを削除できます。

aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname

論理エアギャップボールトのその他のプログラムオプション

CLI コマンド「list-backup-vaults」を変更して、アカウントが所有し、アカウント内に存在するすべてのボールトを一覧表示できます。

aws backup list-backup-vaults
--region us-east-1

論理エアギャップボールトのみを一覧表示するには、以下のパラメーターを追加します

--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT

by-shared パラメータを含め、返されたボールトのリストをフィルタリングして、共有された論理エアギャップボールトのみを表示します。レスポンスには、各共有ボールトの暗号化キータイプ情報が含まれます。

aws backup list-backup-vaults
--region us-east-1
--by-shared

暗号化キータイプ情報を示すレスポンスの例:

{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}

論理エアギャップボールトの暗号化キータイプについて

論理エアギャップボールトはさまざまな暗号化キータイプをサポートし、この情報は AWS Backup APIs とコンソールを通じて表示されます。または MPA AWS RAM を介してボールトを共有する場合、暗号化キータイプの情報は保持され、ボールトが共有されているアカウントに表示されます。この透明性により、ボールトの暗号化設定を理解し、バックアップおよび復元オペレーションについて情報に基づいた意思決定を行うことができます。

暗号化キータイプの値

EncryptionKeyType フィールドには、次の値を含めることができます。

  • AWS_OWNED_KMS_KEY - ボールトは AWS所有のキーで暗号化されます。これは、カスタマーマネージドキーが指定されていない場合の論理エアギャップボールトのデフォルトの暗号化方法です。

  • CUSTOMER_MANAGED_KMS_KEY - ボールトは、お客様が管理するカスタマー管理の KMS キーで暗号化されます。このオプションを使用すると、暗号化キーとアクセスポリシーをさらに制御できます。

注記

  • AWS Backup では、論理エアギャップボールトで AWS 所有キーを使用することをお勧めします。

  • 組織ポリシーでカスタマーマネージドキーを使用する必要がある場合、 AWS はテストを除き、同じアカウントのキーを使用することはお勧めしません。本番ワークロードでは、復旧専用のセカンダリ組織の別のアカウントのカスタマーマネージドキーをベストプラクティスとして使用します。ブログ「Encrypt AWS Backup logically air-gapped vaults with customer-managed keys」を参照して、CMK ベースの論理エアギャップボールトのセットアップに関するより多くのインサイトを収集できます。

  • KMS AWS 暗号化キーは、ボールトの作成時にのみ選択できます。作成されると、ボールトに含まれるすべてのバックアップはそのキーで暗号化されます。別の暗号化キーを使用するようにボールトを変更または移行することはできません。

CMK で暗号化された論理エアギャップボールト作成のキーポリシー

カスタマーマネージドキーを使用して論理エアギャップボールトを作成する場合は、 AWSマネージドポリシーAWSBackupFullAccessをアカウントロールに適用する必要があります。このポリシーには、バックアップ AWS Backup 、コピー、およびストレージオペレーション中に が KMS キーで許可を作成 AWS KMS するために とやり取りできるようにするAllowアクションが含まれています。さらに、カスタマーマネージドキー (使用する場合) ポリシーに特定の必要なアクセス許可が含まれていることを確認する必要があります。

  • CMK は、論理エアギャップボールトが存在するアカウントと共有する必要があります

{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}

コピー/復元のキーポリシー

ジョブの失敗を防ぐには、 AWS KMS キーポリシーを確認して、必要なすべてのアクセス許可が含まれ、オペレーションをブロックする可能性のある拒否ステートメントが含まれていないことを確認します。以下の条件が適用されます。

  • すべてのコピーシナリオでは、CMKs をソースコピーロールと共有する必要があります。

{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}

  • CMK で暗号化された論理エアギャップボールトからバックアップボールトにコピーする場合、CMK を送信先アカウント SLR と共有する必要があります。

{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

  • RAM/MPA 共有論理エアギャップボールトを使用して復旧アカウントからコピーまたは復元する場合

{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}

IAM ロール

論理エアギャップボールトコピーオペレーションを実行する場合、お客様は AWSマネージドポリシー AWSBackupDefaultServiceRole を含む を利用できますAWSBackupServiceRolePolicyForBackup。ただし、お客様が最小特権ポリシーアプローチを実装する場合は、IAM ポリシーに特定の要件を含める必要があります。

  • ソースアカウントのコピーロールには、ソース CMK と宛先 CMKs の両方へのアクセス許可が必要です。

{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}

したがって、最も一般的な顧客エラーの 1 つは、顧客が CMKs に対する十分なアクセス許可とコピーロールを提供しなかった場合に、コピー中に発生します。

暗号化キータイプの表示

暗号化キータイプの情報は、 AWS Backup コンソールと、 AWS CLI または SDKs を使用してプログラムで表示できます。

コンソール: AWS Backup コンソールで論理エアギャップボールトを表示すると、暗号化キータイプがセキュリティ情報セクションのボールトの詳細ページに表示されます。

AWS CLI/API: 暗号化キータイプは、論理エアギャップボールトをクエリするときに、次のオペレーションのレスポンスで返されます。

  • list-backup-vaults (共有ボールト--by-sharedを含む)

  • describe-backup-vault

  • describe-recovery-point

  • list-recovery-points-by-backup-vault

  • list-recovery-points-by-resource

ボールト暗号化に関する考慮事項

論理エアギャップボールトと暗号化キータイプを使用する場合は、次の点を考慮してください。

  • 作成時のキー選択: 論理エアギャップボールトを作成するときに、オプションでカスタマーマネージド KMS キーを指定できます。指定しない場合、 AWS所有のキーが使用されます。

  • 共有ボールトの可視性: ボールトが共有されているアカウントは、暗号化キータイプを表示できますが、暗号化設定を変更することはできません。

  • 復旧ポイント情報: 暗号化キータイプは、論理エアギャップボールト内の復旧ポイントを表示するときにも使用できます。

  • 復元オペレーション: 暗号化キータイプを理解すると、復元オペレーションを計画し、潜在的なアクセス要件を理解するのに役立ちます。

  • コンプライアンス: 暗号化キータイプの情報は、バックアップデータに使用される暗号化方法に透明性を提供することで、コンプライアンスレポートと監査の要件をサポートします。

論理エアギャップボールトの問題のトラブルシューティング

ワークフロー中にエラーが発生した場合は、次のエラー例と推奨される解決策を参照してください。

AccessDeniedException

エラー: An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."

考えられる原因: RAM によって共有されたボールトで次のリクエストのいずれかが実行されたときに、--backup-vault-account-id パラメータが含まれていませんでした。

  • describe-backup-vault

  • describe-recovery-point

  • get-recovery-point-restore-metadata

  • list-protected-resources-by-backup-vault

  • list-recovery-points-by-backup-vault

解決策: エラーを返したコマンドを再試行します。ただし、ボールトを所有するアカウントを指定するパラメータ --backup-vault-account-id を含めます。

OperationNotPermittedException

エラー: CreateResourceShare を呼び出した後に OperationNotPermittedException が返されます。

考えられる原因: 論理エアギャップボールトなどのリソースを別の組織と共有しようとすると、この例外が発生する可能性があります。ボールトは別の組織のアカウントと共有できますが、他の組織自体と共有することはできません。

解決策: 組織または OU の代わりに principals の値としてアカウントを指定して、オペレーションを再試行します。

暗号化キータイプが表示されない

問題: 論理エアギャップボールトまたはその復旧ポイントを表示すると、暗号化キータイプは表示されません。

考えられる原因:

  • 暗号化キータイプのサポートが追加される前に作成された古いボールトを表示している

  • 古いバージョンの AWS CLI または SDK を使用している

  • API レスポンスに暗号化キータイプフィールドが含まれていない

解決策:

  • を最新バージョン AWS CLI に更新する

  • 古いボールトの場合、暗号化キータイプは自動的に入力され、以降の API コールに表示されます。

  • 暗号化キータイプ情報を返す正しい API オペレーションを使用していることを確認します。

  • 共有ボールトの場合、ボールトが を介して適切に共有されていることを確認します。 AWS Resource Access Manager

CloudTrail ログの AccessDeniedException を使用した「FAILEDVaultState

CloudTrail のエラー: "User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"

考えられる原因:

  • ボールトはカスタマーマネージドキーを使用して作成されましたが、引き受けたロールには、ボールト作成にキーを使用するために必要なキーポリシーに対する CreateGrant アクセス許可がありません

解決策: