Veeam Backup & Replication を使用してデータを Amazon S3 にバックアップおよびアーカイブする - AWS 規範ガイダンス
概要前提条件と制限アーキテクチャツールベストプラクティスエピック関連リソース追加情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Veeam Backup & Replication を使用してデータを Amazon S3 にバックアップおよびアーカイブする

Jeanna James、Anthony Fiore (AWS)、William Quigley (Amazon Web Services)

概要

このパターンは、Veeam Backup & Replicationによって作成されたバックアップを、Veeamのスケールアウトバックアップリポジトリ機能を使用して、サポートされている Amazon Simple Storage Service (Amazon S3) のオブジェクトストレージクラスに送信するプロセスを詳しく説明しています。 

Veeam は、お客様固有のニーズに最適な複数の Amazon S3 ストレージクラスをサポートしています。ストレージのタイプは、バックアップまたはアーカイブデータのデータアクセス、耐障害性、コスト要件に基づいて選択できます。たとえば、30 日以上使用する予定のないデータを Amazon S3 の低頻度アクセス (IA) に保存して、コストを抑えることができます。データを 90 日以上アーカイブする場合は、S3 Glacier Flexible Retrieval または S3 Glacier Deep Archive を Veeam のアーカイブ階層で使用できます。S3 Object Lock を使用して、Amazon S3 内に不変のバックアップを作成することもできます。

このパターンでは、 AWS Storage Gatewayのテープゲートウェイを使用して Veeam Backup & Replication をセットアップする方法については説明していません。このトピックについては、Veeamウェブサイトの「AWS VTL ゲートウェイを使用した Veeam の Backup とレプリケーション-デプロイガイド」 を参照してください。

警告: このシナリオでは、プログラムによるアクセスと長期的な認証情報を持つ AWS Identity and Access Management (IAM) ユーザーが必要です。これはセキュリティリスクをもたらします。このリスクを軽減するために、これらのユーザーにはタスクの実行に必要な権限のみを付与し、不要になったユーザーは削除することをお勧めします。アクセスキーは、必要に応じて更新できます。詳細については、「IAM ユーザーガイド」の「アクセスキーの更新」を参照してください。

前提条件と制限

前提条件

  • Veeam Availability SuiteまたはVeeam Backup Essentialsを含むVeeamBackup &レプリケーションがインストールされています(「無料トライアル」 に登録できます)

  • Veeam ユニバーサルライセンス (VUL) を含む、エンタープライズまたはエンタープライズプラス機能を備えた Veeam Backup &レプリケーションライセンス

  • Amazon S3 バケットにアクセスできるアクティブな IAM ユーザー

  • アーカイブ階層を利用している場合、Amazon Elastic Compute Cloud (Amazon EC2) および Amazon Virtual Private Cloud (Amazon VPC) へのアクセス権を持つアクティブな IAM ユーザー

  • オンプレミスから へのネットワーク接続 AWS のサービス と、パブリックインターネット接続または AWS Direct Connect パブリック仮想インターフェイス (VIF) を介したトラフィックのバックアップと復元に使用できる帯域幅

  • オブジェクトストレージリポジトリと正しく通信できるように、以下のネットワークポートとエンドポイントが開かれました。

    • Amazon S3 ストレージ — TCP — ポート 443: Amazon S3 ストレージとの通信に使用されます。

    • Amazon S3 ストレージ – クラウドエンドポイント – AWS リージョン および *.amazonaws.comの場合 AWS GovCloud (US) Regions、または中国リージョン*.amazonaws.com.rproxy.govskope.ca.cnの場合: Amazon S3 ストレージとの通信に使用されます。接続エンドポイントの完全なリストについては、 AWS ドキュメントのAmazon S3 エンドポイント」を参照してください。

    • Amazon S3 ストレージ — TCP HTTP — ポート 80: 証明書のステータスを確認するために使用されます。証明書検証エンドポイント (証明書失効リスト (CRL) の URL と Online Certificate Status Protocol (OCSP) サーバー) は変更される可能性があることを考慮します。実際のアドレス一覧は、証明書自体に記載されています。

    • Amazon S3 ストレージ – 証明書検証エンドポイント – *.amazontrust.com: 証明書のステータスを検証するために使用されます。証明書検証エンドポイント (CRL URL と OCSP サーバー) は変更される可能性があることを考慮します。実際のアドレス一覧は、証明書自体に記載されています。

機能制限

  • Veeamは、Veeamオブジェクトストレージリポジトリとして使用されるS3バケットのS3ライフサイクルポリシーをサポートしていません。これには、Amazon S3 ストレージクラスの移行と S3 ライフサイクルの有効期限ルールを含むポリシーが含まれます。これらのオブジェクトを管理するのは Veeam だけでなければなりません。S3 ライフサイクルポリシーを有効にすると、データ損失などの予期しない結果が生じる可能性があります。

製品バージョン

  • Veeam Backup & Replication v9.5 Update 4 以降(バックアップのみまたは容量階層)

  • Veeam Backup & Replication v10 以降(バックアップ、または容量階層と S3 Object Lock)

  • Veeam Backup & Replication v11 以降(バックアップまたはキャパシティ層、アーカイブまたはアーカイブ層、S3 Object Lock)

  • Veeam Backup & Replication v12 以降 (パフォーマンス階層、バックアップまたはキャパシティ階層、アーカイブまたはアーカイブ層、S3 Object Lock)

  • S3 Standard

  • S3 Standard – IA

  • S3 1 ゾーン - IA

  • S3 Glacier Flexible Retrieval (v11 以降のみ)

  • S3 Glacier Deep Archive (v11 以降のみ)

  • S3 Glacier Instant Retrieval (v12 以降のみ)

アーキテクチャ

ソーステクノロジースタック

  • VeeamBackup サーバーまたは Veeam ゲートウェイサーバーから Amazon S3 に接続するオンプレミスの Veeam バックアップ&レプリケーションインストール

ターゲットテクノロジースタック

  • Amazon S3

  • Amazon VPC と Amazon EC2 (アーカイブ階層を使用する場合)

ターゲットアーキテクチャ SOBR

次の図は、スケールアウトバックアップリポジトリ (SOBR) アーキテクチャを示しています。

Veeam から Amazon S3 S3 にデータをバックアップするための SOBR アーキテクチャ

Veeam Backup and Replication ソフトウェアは、システム障害、アプリケーションエラー、偶発的な削除などの論理的エラーからデータを保護します。この図では、バックアップは最初にオンプレミスで実行され、セカンダリコピーは直接 Amazon S3 に送信されます。バックアップは、データのポイントインタイムコピーです。

このワークフローは、Amazon S3 へのバックアップの階層化またはコピーに必要な 3 つの主要コンポーネントと、1 つのオプションコンポーネントで構成されています。

  • Veeam Backup & Replication (1) — バックアップインフラストラクチャ、設定、ジョブ、リカバリータスク、およびその他のプロセスの調整、制御、管理を行うバックアップサーバー。

  • Veeam ゲートウェイサーバー(図には示されていません)— Veeam バックアップサーバーがAmazon S3 へのアウトバウンド接続を持たない場合に必要な、オプションのオンプレミスゲートウェイサーバー。

  • スケールアウト・バックアップ・リポジトリ (2) — データの多層ストレージ用の水平スケーリングをサポートするリポジトリ・システム。スケールアウトバックアップリポジトリは、データへの高速アクセスを提供する 1 つ以上のバックアップリポジトリで構成され、長期ストレージ (容量階層) とアーカイブ (アーカイブ層) 用に Amazon S3 オブジェクトストレージリポジトリで拡張できます。Veeamはスケールアウトバックアップリポジトリを使用して、ローカル(パフォーマンス階層)とAmazon S3 オブジェクトストレージ(容量層とアーカイブ層)の間でデータを自動的に階層化します。

    注記

    Veeam Backup & Replication v12.2 以降、Direct to S3 Glacier 機能は S3 容量階層をオプションにします。SOBR は、パフォーマンス階層と S3 Glacier アーカイブ階層で設定できます。この設定は、キャパシティ階層のローカル (オンプレミス) ストレージに多額の投資を行い、クラウドで長期アーカイブ保持のみを必要とするユーザーに役立ちます。詳細については、「Veeam Backup & Replication のドキュメント」を参照してください。

  • Amazon S3 (3) – スケーラビリティ、データの可用性、セキュリティ、パフォーマンスを提供する AWS オブジェクトストレージサービス。

ターゲットアーキテクチャ DTO

次の図は、ダイレクト・トゥ・オブジェクト (DTO) アーキテクチャを示しています。

Veeam から Amazon S3 にデータをバックアップするための DTO アーキテクチャ

この図では、バックアップデータは最初にオンプレミスに保存されることなく Amazon S3 に直接送信されます。セカンダリコピーは S3 Glacier に保存できます。

自動化とスケール

VeeamHub GitHub リポジトリで提供されている CloudFormation テンプレートを使用して、IAM リソースと S3 バケットの作成を自動化できます。テンプレートには標準オプションと不変オプションの両方が含まれています。

ツール

ツールと AWS のサービス

  • Veeam Backup & Replication」 は、仮想ワークロードと物理ワークロードを保護、バックアップ、レプリケーション、復元するための Veeam のソリューションです。

  • CloudFormation は、 AWS リソースのモデル化とセットアップ、迅速かつ一貫したプロビジョニング、ライフサイクル全体の管理に役立ちます。リソースを個別に管理する代わりに、テンプレートを使用してリソースとその依存関係を記述し、それらをスタックとしてまとめて起動して設定できます。複数の と にまたがるスタックを管理 AWS アカウント およびプロビジョニングできます AWS リージョン。

  • Amazon Elastic Compute Cloud (Amazon EC2) は、 AWS クラウドでスケーラブルなコンピューティング容量を提供します。Amazon EC2 を使用して必要な分だけ仮想サーバーを起動できます。

  • AWS Identity and Access Management (IAM) は、 へのアクセスを安全に制御するためのウェブサービスです AWS のサービス。IAM を使用すると、ユーザー、アクセスキーなどのセキュリティ認証情報、およびユーザーとアプリケーションがアクセスできる AWS リソースを制御するアクセス許可を一元管理できます。

  • Amazon Simple Storage Service (Amazon S3)は、オブジェクトストレージを提供します。Simple Storage Service (Amazon S3) を使用すると、いつでもウェブ上の任意の場所から任意の量のデータを保存および取得できます。

  • Amazon S3 Glacier (S3 Glacier)」 は、低コストでデータのアーカイブおよび長期バックアップを行うための、安全性と耐久性に優れたサービスです。

  • Amazon Virtual Private Cloud (Amazon VPC) は、定義した仮想ネットワークで AWS リソースを起動 AWS クラウド できる の論理的に隔離されたセクションをプロビジョニングします。仮想ネットワークは、お客様自身のデータセンターで運用されていた従来のネットワークによく似ていますが、 AWSのスケーラブルなインフラストラクチャを使用できるというメリットがあります。

コード

VeeamGitHub リポジトリ」 で提供されている CloudFormation テンプレートを使用して、このパターンの IAM リソースと S3 バケットを自動的に作成します。これらのリソースを手動で作成したい場合は、エピック セクションの手順に従ってください。

ベストプラクティス

IAMのベストプラクティスに従い、Veeam Backup & Replication のバックアップを Amazon S3 に書き込むために使用するIAMユーザーなど、長期にわたるIAMユーザーの認証情報を定期的にローテーションすることを強くお勧めします。詳細については、IAM ドキュメントの「セキュリティのベストプラクティス」を参照してください。

エピック

タスク説明必要なスキル

IAM ユーザーを作成します。

IAM ドキュメントの指示」 に従って IAM ユーザーを作成します。このユーザーは AWS コンソールにアクセスできず、このユーザーのアクセスキーを作成する必要があります。Veeam はこのエンティティを使用して で認証 AWS し、S3 バケットの読み取りと書き込みを行います。ユーザーに必要以上の権限が付与されないように、最小特権(つまり、タスクの実行に必要な権限のみを付与)する必要があります。Veeam IAM ユーザーにアタッチする IAM ポリシーの例については、「追加情報」 セクションを参照してください。

注記

注:別の方法として、「VeeamHub GitHub リポジトリ」で提供されている CloudFormation テンプレートを使用して、このパターン用の IAM ユーザーと S3 バケットを作成することもできます。

AWS 管理者

S3 バケットを作成する

  1. にサインイン AWS マネジメントコンソール し、Amazon S3 コンソールを開きます。 

  2. ターゲットストレージとして使用する既存の S3 バケットがまだない場合は、バケットの作成を選択し、バケット名 AWS リージョン、およびバケット設定を指定します。

    • S3 バケットの 「Block Public Access オプション」 を有効にし、組織の要件に合わせてアクセスポリシーとユーザー権限ポリシーを設定することをお勧めします。例については、「Amazon S3 のドキュメント」を参照してください。

    • すぐに使用する予定がない場合でも、S3 Object Lock を有効にすることをお勧めします。この設定は S3 バケットの作成時にのみ有効にできます。

詳細については、Amazon S3 ドキュメントの「バケットの作成」 を参照してください。

AWS 管理者
タスク説明必要なスキル

新規オブジェクトリポジトリウィザードを起動します。

Veeam でオブジェクトストレージとスケールアウトバックアップリポジトリを設定する前に、容量とアーカイブ階層に使用する Amazon S3 および S3 Glacier ストレージリポジトリを追加する必要があります。次のエピックでは、これらのストレージリポジトリをスケールアウトバックアップリポジトリに接続します。

  1. Veeam コンソールで、バックアップインフラストラクチャビューを開きます。 

  2. インベントリペインで、Backup Repositories ノードを選択し、[リポジトリを追加]を選択します。 

  3. [Add Backup Repository] ダイアログボックスで、[オブジェクトストレージ][Amazon S3] を選択します。

AWS 管理者、アプリ所有者

キャパシティティアに Amazon S3 ストレージを追加します。

  1. [Amazon Cloud Storage Services] ダイアログボックスで、[Amazon S3] を選択します。

  2. ウィザードの名前ステップで、オブジェクトストレージの名前と、作成者や作成日などの簡単な説明を指定します。 

  3. ウィザードのアカウントステップで、オブジェクトストレージアカウントを指定します。 

    • 認証情報では、最初のエピックで作成した IAM ユーザーを選択して Amazon S3 オブジェクトストレージにアクセスします。 

    • AWS リージョンの場合は、S3 バケット AWS リージョン がある を選択します。

  4. ウィザードのバケットステップで、オブジェクトストレージ設定を指定します。

    • データセンターリージョンで、S3 バケット AWS リージョン がある を選択します。

    • バケットでは、最初のエピックで作成された S3 バケットを選択します。

    • フォルダでは、オブジェクトストレージリポジトリをマップするクラウドフォルダを作成または選択します。 

    • 不変性を有効にする場合は、[Make recent backups immutable for X days] を選択し、バックアップをロックする期間を設定します。不変性を有効にすると、Veeam から Amazon S3 への API 呼び出すの数が増えるため、コストが増加することに注意してください。

  5. ウィザードのサマリーステップで設定情報を確認し、[終了] を選択します。

AWS 管理者、アプリ所有者

アーカイブ層に S3 Glacier ストレージを追加します。

アーカイブ階層を作成する場合は、「追加情報」 セクションに詳述されている IAM 権限を使用してください。 

  1. 前述のように、新規オブジェクトリポジトリウィザードを起動します。

  2. Amazon クラウドストレージサービスダイアログボックスで、Amazon S3 Glacier を選択します。

  3. ウィザードの名前ステップで、オブジェクトストレージの名前と、作成者や作成日などの簡単な説明を指定します。

  4. ウィザードのアカウントステップで、オブジェクトストレージアカウントを指定します。

    • 認証情報では、最初のエピックで作成した IAM ユーザーを選択して、S3 Glacier オブジェクトストレージにアクセスします。 

    • AWS リージョンの場合は、S3 バケット AWS リージョン がある を選択します。

  5. ウィザードのバケットステップで、オブジェクトストレージ設定を指定します。

    • データセンターリージョンには、 AWS リージョンを選択します。

    • バケットには、バックアップデータを保存する S3 バケットを選択します。これは、容量階層に使用したのと同じバケットでもかまいません。

    • フォルダでは、オブジェクトストレージリポジトリをマップするクラウドフォルダを作成または選択します。 

    • イミュータビリティを有効にする場合は、[Make recent backups immutable for the entire duration of their retention policy] を選択します。不変性を有効にすると、Veeam から Amazon S3 への API 呼び出すの数が増えるため、コストが増加することに注意してください。

    • S3 Glacier ディープアーカイブをアーカイブストレージクラスとして使用する場合は、ディープアーカイブストレージクラスを使用を選択します。

  6. ウィザードの Proxy Appliance ステップで、Amazon S3 から S3 Glacier にデータを転送するために使用する補助インスタンスを設定します。 S3 デフォルト設定を使用できます。または各設定を手動で設定できます。手動で設定するには:

    • [カスタマイズ] を選択します。

    • EC2 インスタンスタイプでは、スケールアウトバックアップリポジトリのアーカイブ階層にバックアップファイルを転送する際の速度とコストの要件に基づいて、プロキシアプライアンスのインスタンスタイプを選択します。

    • Amazon VPC の場合は、ターゲットインスタンスの VPC を選択します。

    • サブネットは、プロキシアプライアンスのサブネットを選択します。

    • セキュリティグループは、セキュリティグループを選択して、プロキシアプライアンスに関連づけます。

    • リダイレクターポートでは、プロキシアプライアンスとバックアップインフラストラクチャコンポーネント間のリクエストをルーティングするための TCP ポートを指定します。

    • [OK] を選択して設定を確定します。

  7. ウィザードのサマリーステップで設定情報を確認し、[終了] を選択します。

AWS 管理者、アプリ所有者
タスク説明必要なスキル

新規スケールアウトBackup リポジトリ」ウィザードを起動します。

  1. Veeam コンソールで、バックアップインフラストラクチャビューを開きます。 

  2. インベントリペインで [スケールアウトリポジトリ] を選択し、[スケールアウトリポジトリの追加] を選択します。

APP オーナー、AWS システム管理者

スケールアウト型バックアップリポジトリを追加し、容量とアーカイブ階層を設定します。

  1. ウィザードの名前ステップで、スケールアウトバックアップリポジトリの名前と簡単な説明を指定します。 

  2. 必要に応じて、パフォーマンスエクステントを追加します。既存の Veeam ローカルバックアップリポジトリをパフォーマンス階層として使用することもできます。 Veeam バージョン 12 以降、ローカルのパフォーマンス階層をバイパスして、ダイレクト・トゥ・オブジェクト (DTO) バックアップのパフォーマンス範囲としてS3バケットを追加できるようになりました。

  3. [アドバンスト] を選択し、スケールアウトバックアップリポジトリの追加オプションを指定します。

    • [マシンごとのバックアップファイルを使用] を選択してマシンごとに個別のバックアップファイルを作成し、それらのファイルを複数のストリームでバックアップリポジトリに同時に書き込みます。このオプションは、ストレージとコンピュートリソースをより有効に活用するために推奨されます。

    • インクリメンタルバックアップの復元ポイントを含むエクステントがオフラインになった場合に備えて、[必要なエクステントがオフラインの場合に完全バックアップを実行] を選択してフルバックアップファイルを作成します。このオプションでは、フルバックアップファイルをホストするためにスケールアウトバックアップリポジトリに空きスペースが必要です。

  4. ウィザードのポリシーステップで、リポジトリのバックアップ配置ポリシーを指定します。 

    • 同じチェーンに属するフルバックアップファイルとインクリメンタルバックアップファイルを同じパフォーマンス範囲で一緒に保存するには、[Data locality] を選択します。新しいバックアップチェーンに属するファイルは、同じパフォーマンス範囲または別のバックアップチェーンに保存できます (パフォーマンスの範囲として重複排除ストレージアプライアンスを使用している場合を除く)。

    • フルバックアップファイルとインクリメンタルバックアップファイルを異なるパフォーマンス範囲で保存するには、[パフォーマンス] を選択します。このオプションには、高速で信頼性の高いネットワーク接続が必要です。[パフォーマンス] を選択すると、保存するバックアップファイルのタイプをパフォーマンスの範囲ごとに制限できます。たとえば、フルバックアップファイルを 1 つのエクステントに保存し、インクリメンタルバックアップファイルを他のエクステントに保存できます。ファイルタイプを選択するには:

      • [カスタマイズ] を選択します。

      • [バックアップ配置設定] ダイアログボックスで、パフォーマンス範囲を選択し、[編集] を選択します。

      • エクステントに保存するバックアップファイルのタイプを選択します。

  5. ウィザードのキャパシティ階層のステップで、スケールアウトバックアップリポジトリにアタッチする長期ストレージ階層を設定します。 

    • [オブジェクトストレージでスケールアウトバックアップリポジトリのキャパシティを拡張] を選択します。オブジェクトストレージリポジトリでは、前のエピックで追加したキャパシティティアの Amazon S3 ストレージを選択します。

    • [ウィンドウ] を選択して、データを移動またはコピーする時間枠を選択します。

    • すべてまたは最近作成されたバックアップファイルのみを容量の範囲内でコピーするには、[バックアップが作成され次第オブジェクトストレージにコピー] を選択します。 

    • 使用頻度の低いバックアップチェーンを容量の範囲まで転送するには、[運用復元ウィンドウの期限が切れたらバックアップをオブジェクトストレージに移動] を選択します。[X 日以上前のバックアップファイルを移動] フィールドで、バックアップファイルをオフロードするまでの期間を指定します。(使用頻度の低いバックアップチェーンを作成日にオフロードするには、0 日を指定します)。スケールアウトバックアップリポジトリが指定したしきい値に達した場合に、[オーバーライド] を選択してバックアップファイルをより早く移動することもできます。

    • [オブジェクトストレージにアップロードされたデータを暗号化] を選択し、パスワードを指定して、すべてのデータとそのメタデータをオフロード用に暗号化します。[パスワードの追加] または [パスワードの管理] を選択して新しいパスワードを指定します。

  6. ウィザードのアーカイブ階層のステップで、スケールアウトバックアップリポジトリにアタッチする長期ストレージ階層を設定します。(Amazon S3 Glacier ストレージの追加をスキップした場合、このステップは表示されません)。 

    • [GFS のフルバックアップをオブジェクトストレージにアーカイブ] を選択します。オブジェクトストレージリポジトリで、前のエピックで追加した Amazon Glacier ストレージを選択します。

    • N 日以上経過したアーカイブ GFS バックアップの場合は、ファイルをアーカイブ範囲に移動する時間枠を選択します。(使用頻度の低いバックアップチェーンを作成日にアーカイブするには、0 日を指定します)。

  7. ウィザードのサマリーステップで、スケールアウトバックアップリポジトリの設定を確認し、[完了] を選択します。

APP オーナー、AWS システム管理者

関連リソース

追加情報

以下のセクションでは、このパターンの 「エピック」 セクションでIAMユーザーを作成するときに使用できるサンプルIAMポリシーを紹介します。

キャパシティ階層の IAM ポリシー

注記

サンプルポリシーの S3 バケットの名前を <yourbucketname> から、Veeam の容量階層のバックアップに使用する S3 バケットの名前に変更します。また、ブログ AWS 記事Amazon S3 オブジェクトの意図しない暗号化の防止」で説明されているように、ポリシーは Veeam で使用される特定のリソース (次のポリシーのResource仕様で示される) に制限する必要があります。また、ポリシーの最初の部分はクライアント側の暗号化を無効にすることに注意してください。

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RestrictSSECObjectUploads",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::<your-bucket-name>/*",
            "Condition": {
                "Null": {
                    "s3:x-amz-server-side-encryption-customer-algorithm": "false"
                }
            }
        },
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectVersion",
                "s3:ListBucketVersions",
                "s3:ListBucket",
                "s3:PutObjectLegalHold",
                "s3:GetBucketVersioning",
                "s3:GetObjectLegalHold",
                "s3:GetBucketObjectLockConfiguration",
                "s3:PutObject*",
                "s3:GetObject*",
                "s3:GetEncryptionConfiguration",
                "s3:PutObjectRetention",
                "s3:PutBucketObjectLockConfiguration",
                "s3:DeleteObject*",
                "s3:DeleteObjectVersion",
                "s3:GetBucketLocation"

            ],
            "Resource": [
                "arn:aws:s3:::<yourbucketname>",
                "arn:aws:s3:::<yourbucketname>/*"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        }
    ]
}

アーカイブ階層の IAM ポリシー

注記

 サンプルポリシーの S3 バケットの名前を <yourbucketname> から、Veeam アーカイブ階層のバックアップに使用する S3 バケットの名前に変更します。

既存の VPC、サブネット、およびセキュリティグループを使用するには:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:DeleteObject",
                "s3:PutObject",
                "s3:GetObject",
                "s3:RestoreObject",
                "s3:ListBucket",
                "s3:AbortMultipartUpload",
                "s3:GetBucketVersioning",
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation",
                "s3:GetBucketObjectLockConfiguration",
                "s3:PutObjectRetention",
                "s3:GetObjectVersion",
                "s3:PutObjectLegalHold",
                "s3:GetObjectRetention",
                "s3:DeleteObjectVersion",
                "s3:ListBucketVersions"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket-name>",
                "arn:aws:s3:::<bucket-name>/*"
            ]
        }
    ]
}

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2Permissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:CreateKeyPair",
                "ec2:DescribeKeyPairs",
                "ec2:RunInstances",
                "ec2:DeleteKeyPair",
                "ec2:DescribeVpcAttribute",
                "ec2:CreateTags",
                "ec2:DescribeSubnets",
                "ec2:TerminateInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeImages",
                "ec2:DescribeVpcs"
            ],
            "Resource": "arn:aws:ec2:<region>:<account-id>:*"
        }
    ]
}

新しい VPC、サブネット、およびセキュリティグループを作成するには

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:DeleteObject",
                "s3:PutObject",
                "s3:GetObject",
                "s3:RestoreObject",
                "s3:ListBucket",
                "s3:AbortMultipartUpload",
                "s3:GetBucketVersioning",
                "s3:ListAllMyBuckets",
                "s3:GetBucketLocation",
                "s3:GetBucketObjectLockConfiguration",
                "s3:PutObjectRetention",
                "s3:GetObjectVersion",
                "s3:PutObjectLegalHold",
                "s3:GetObjectRetention",
                "s3:DeleteObjectVersion",
                "s3:ListBucketVersions"
            ],
            "Resource": [
                "arn:aws:s3:::<bucket-name>",
                "arn:aws:s3:::<bucket-name>/*"
            ]
        }
    ]
}

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2Permissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:CreateKeyPair",
                "ec2:DescribeKeyPairs",
                "ec2:RunInstances",
                "ec2:DeleteKeyPair",
                "ec2:DescribeVpcAttribute",
                "ec2:CreateTags",
                "ec2:DescribeSubnets",
                "ec2:TerminateInstances",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeImages",
                "ec2:DescribeVpcs",
                "ec2:CreateVpc",
                "ec2:CreateSubnet",
                "ec2:DescribeAvailabilityZones",
                "ec2:CreateRoute",
                "ec2:CreateInternetGateway",
                "ec2:AttachInternetGateway",
                "ec2:ModifyVpcAttribute",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:DescribeRouteTables",
                "ec2:DescribeInstanceTypes"
            ],
            "Resource": "*"
        }
    ]
}