運用管理

AWS Backup による一元バックアップ管理 - バックアッププランとクロスリージョン保護

EC2・RDS・DynamoDB など複数サービスのバックアップを統一ポリシーで一元管理する。Vault Lock による WORM 保護と復元テストの自動化を紹介します。

約 1 分で読めます

AWS Backup の概要

AWS Backup は複数の AWS サービスのバックアップを一元管理するサービスです。各サービス固有のバックアップ機能 (EBS スナップショット、RDS スナップショット、DynamoDB バックアップ) を個別に管理する代わりに、AWS Backup の単一のバックアッププランで統一的に管理できます。対応サービスは EC2、EBS、RDS、Aurora、DynamoDB、EFSFSx、S3、NeptuneDocumentDBTimestreamCloudFormation、SAP HANA on EC2 など 15 以上です。バックアップの作成、保持、削除、クロスリージョンコピーをポリシーベースで自動化します。

バックアッププランの設計

バックアッププランはバックアップルール (スケジュール、保持期間、コピー先) とリソース割り当て (対象リソースの選択) で構成されます。日次バックアップを 30 日間保持し、週次バックアップを 1 年間保持する 2 つのルールを組み合わせるのが一般的です。リソース割り当てはタグベースで行い、例えば backup:daily タグが付いたリソースを自動的にバックアップ対象にします。クロスリージョンコピーをルールに追加すると、バックアップ作成と同時に DR リージョンにコピーが実行されます。コピー先リージョンでの保持期間は個別に設定でき、DR リージョンでは直近 7 日分のみ保持するコスト最適化が可能です。

Vault Lock と復元テスト

Backup Vault Lock は WORM ポリシーをバックアップボールトに適用し、保持期間内のバックアップの削除を防止します。ランサムウェア攻撃でバックアップが削除されるリスクを排除し、規制要件 (SEC 17a-4 など) に対応します。復元テストの自動化は、バックアップからの復元が実際に成功することを定期的に検証する機能です。復元テストプランでスケジュールと対象リソースを定義し、復元の成功・失敗を CloudWatch メトリクスで監視します。バックアップが存在しても復元できなければ意味がないため、復元テストの定期実行は DR 戦略の重要な要素です。 AWS Backup の基礎から応用まで、書籍 (Amazon)で体系的に学べます。

AWS Backup の料金

AWS Backup の料金はバックアップストレージ量で構成されます。EBS スナップショットは 1 GB あたり月額約 0.05 ドル、RDS スナップショットは 1 GB あたり月額約 0.095 ドル、EFS バックアップは 1 GB あたり月額約 0.05 ドルです。クロスリージョンコピーはコピー先リージョンのストレージ料金とデータ転送料金が追加されます。Vault Lock の利用に追加料金は発生しません。復元テストは復元されたリソースの稼働時間分の料金が発生するため、テスト完了後に速やかにリソースを削除するスクリプトを組み込むことが重要です。ライフサイクルポリシーでコールドストレージへの移行を設定し、長期保持のコストを削減します。

まとめ

AWS Backup は複数サービスのバックアップを統一ポリシーで一元管理するサービスです。タグベースのリソース割り当てで管理の手間を削減し、Vault Lock でコンプライアンスに対応し、復元テストでバックアップの有効性を検証します。Organizations との統合で組織全体のバックアップガバナンスを実現できます。

関連するサービス

AWS BackupAWS リソースのバックアップを一元管理し、自動化・コンプライアンス対応を実現するサービスAmazon S3スケーラブルなオブジェクトストレージサービスAmazon EBSEC2 インスタンスに接続して使うブロックストレージサービス

関連する記事

Amazon EBS のボリューム設計と運用 - gp3 ・ io2 の選定基準とスナップショット戦略gp3・io2 のボリュームタイプ選定基準を明確にし、IOPS・スループットの設計指針とスナップショットによるバックアップ戦略を実践的に紹介します。Amazon S3 Glacier のアーカイブ戦略 - ストレージクラスの選定と取り出しオプションInstant Retrieval・Flexible Retrieval・Deep Archive の選定基準を明確にし、ライフサイクルポリシーによる自動階層化と Vault Lock のコンプライアンス対応を紹介します。AWS Backup Gateway でオンプレミス VMware VM を保護 - ハイブリッドバックアップ戦略vSphere 環境にゲートウェイをデプロイし、オンプレミスの VMware VM を AWS Backup のバックアッププランで一元管理する。クロスリージョンコピーによる DR 対策も紹介します。

同じテーマの記事

AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS のサービスクォータはなぜ存在するのか - 共有インフラを守るマルチテナント設計AWS のサービスクォータ (旧サービス制限) が単なる制約ではなく、マルチテナント環境で他の顧客を守るための設計であることを、ノイジーネイバー問題、ソフトリミットとハードリミットの違い、引き上げ申請の裏側から解説します。

内容が近い記事・サービス

一元バックアップ管理 - AWS Backup で実現するデータ保護戦略AWS Backup を活用した一元的なバックアップ管理を解説します。EC2、RDS、DynamoDB、EFS、S3 など複数の AWS サービスのバックアップを統合管理し、コンプライアンス要件を満たすデータ保護戦略の構築方法を紹介します。AWS BackupEC2、RDS、S3、DynamoDB など複数の AWS サービスのバックアップを一元管理し、ポリシーベースで自動化できるサービスAWS Backup Gateway でオンプレミス VMware VM を保護 - ハイブリッドバックアップ戦略vSphere 環境にゲートウェイをデプロイし、オンプレミスの VMware VM を AWS Backup のバックアッププランで一元管理する。クロスリージョンコピーによる DR 対策も紹介します。AWS Backup Gatewayオンプレミスの VMware 仮想マシンを AWS Backup で一元管理するためのゲートウェイサービスで、ハイブリッド環境のバックアップ運用を統合する