View a markdown version of this page

クロスアカウントバックアップの設定 (リージョン内) - AMS Advanced Application Developer's Guide

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスアカウントバックアップの設定 (リージョン内)

AWS Backup は、2 つのアカウントが同じ AWS Organization 内にある限り、1 つのアカウントから同じ AWS リージョン内の別のアカウントにスナップショットをコピーする機能をサポートします。例えば、AMS Advanced マルチアカウントランディングゾーン (MALZ) では、このクイックスタートを使用して、同じ AWS リージョン内にクロスアカウントスナップショットコピーを設定できます。

詳細については、AWS Backup」およびAWS Organizations Bring cross-account backup feature」を参照してください。

ディザスタリカバリ (DR) 用にスナップショットのクロスアカウントをコピーします。データ保護のために、スナップショットを同じ AWS リージョン内に保持し、アカウントの境界を越えて保持する必要がある場合があります。

AWS Backup クロスアカウントスナップショットコピープロセス

概要:

大まかに言うと、AMS 内のクロスアカウントバックアップの手順は次のとおりです。

  • AMS ランディングゾーンがホストされている AWS リージョンでバックアップをホストする送信先アカウントを作成する (ステップ 1)

  • 送信先アカウントでバックアップを暗号化するための KMS キーを作成する (ステップ 3)

  • AMS Advanced ランディングゾーンと同じリージョンの送信先アカウントにバックアップボールトを作成する (ステップ 4)

  • 管理アカウントでクロスアカウント設定を有効にする (ステップ 5)

  • ソースアカウントのバックアッププランとルールを作成または変更する (ステップ 6)

注記

送信元アカウントと送信先アカウントの両方が同じリージョンにあることを確認します。リージョン間でバックアップをコピーする場合は、CA または CSDM にお問い合わせください。

クロスアカウントバックアップを有効にして設定するには:

  1. バックアップをホストする送信先アカウントを作成します。そのようなアカウントがすでにある場合は、このステップをスキップできます。アカウントを作成するには、デプロイ | マネージドランディングゾーン | 管理アカウント | アプリケーションアカウントの作成 (VPC を使用) 変更タイプ (ct-1zdasmc2ewzrs) を使用して、Management Payer アカウントから RFC を送信します。

  2. [オプション] リソースまたはスナップショットがソースアカウント (Prod など) で暗号化されている場合は、暗号化に使用される KMS キーを送信先アカウントと共有します。これを行うには、 管理 | 高度なスタックコンポーネント | KMS キー | 更新変更タイプ (ct-3ovo7px2vsa6n) を使用して RFC を送信します。

  3. 送信先アカウントで、バックアップボールトの暗号化に使用する KMS キーを作成します。これを行うには、デプロイ | 高度なスタックコンポーネント | KMS キー | 変更タイプ (ct-1d84keiri1jhg) を使用して RFC を送信します。

  4. 送信先アカウントで、前に作成したキーを使用して Backup Vault を作成します。AWS Backup Vault は、CFN 取り込み自動変更タイプである Deployment | Ingestion | Stack from CloudFormation Template | Create (ct-36cn2avfrrj9v) を使用して作成できます。同じリクエストで、ソースアカウント (複数可) にボールトへのアクセスを許可するには、ボールトアクセスポリシーを変更する必要があります。ポリシーの例を次に示します。

    Backup Vault の CloudFormation テンプレートの例:

    {
  "Description": "Test infrastructure",
  "Resources": {
  "BackupVaultForTesting": {
    "Type": "AWS::Backup::BackupVault",
    "Properties": {
      "BackupVaultName": "backup-vault-for-test",
      "EncryptionKeyArn" : "arn:aws:kms:us-east-2:123456789012:key/227d8xxx-aefx-44ex-a09x-b90c487b4xxx",
        "AccessPolicy" : {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Sid": "AllowSrcAccountPermissionsToCopy",
              "Effect": "Allow",
              "Action": "backup:CopyIntoBackupVault",
              "Resource": "*",
              "Principal": {
                "AWS": ["arn:aws:iam::987654321098:root"]
              }
            }
          ]
        }
      }
    }
  }
}

  5. Management Payer アカウントから、クロスアカウントバックアップを有効にします。これを行うには、 Management | AWS Backup | Backup plan | Enable cross account copy (Management account) change type (ct-2yja7ihh30ply) を使用して RFC を送信します。

  6. 最後に、バックアップのソースとなるソースアカウントから、バックアップを管理するバックアッププランのルールを作成して、スナップショットをクロスアカウントにコピーします。これを行うには、デプロイ | AWS Backup | Backup plan | Create change type(ct-2hyozbpa0sx0m) を使用して RFC を送信します。既存のバックアッププランを更新する必要がある場合は、管理 | その他 | その他 | 更新変更タイプ (ct-0xdawir96cy7k) を使用して RFC をこの情報とともに送信します。

    1. 更新するバックアッププラン名とルール名。

    2. 送信先/ICE アカウントのバックアップボールト ARN。

    3. スナップショットをターゲット ICE ボールトに保持する保持日/月。