AWS Backup による一元バックアップ管理 - バックアッププランとクロスリージョン保護
EC2・RDS・DynamoDB など複数サービスのバックアップを統一ポリシーで一元管理する。Vault Lock による WORM 保護と復元テストの自動化を紹介します。
AWS Backup の概要
AWS Backup は複数の AWS サービスのバックアップを一元管理するサービスです。各サービス固有のバックアップ機能 (EBS スナップショット、RDS スナップショット、DynamoDB バックアップ) を個別に管理する代わりに、AWS Backup の単一のバックアッププランで統一的に管理できます。対応サービスは EC2、EBS、RDS、Aurora、DynamoDB、EFS、FSx、S3、Neptune、DocumentDB、Timestream、CloudFormation、SAP HANA on EC2 など 15 以上です。バックアップの作成、保持、削除、クロスリージョンコピーをポリシーベースで自動化します。
バックアッププランの設計
バックアッププランはバックアップルール (スケジュール、保持期間、コピー先) とリソース割り当て (対象リソースの選択) で構成されます。日次バックアップを 30 日間保持し、週次バックアップを 1 年間保持する 2 つのルールを組み合わせるのが一般的です。リソース割り当てはタグベースで行い、例えば backup:daily タグが付いたリソースを自動的にバックアップ対象にします。クロスリージョンコピーをルールに追加すると、バックアップ作成と同時に DR リージョンにコピーが実行されます。コピー先リージョンでの保持期間は個別に設定でき、DR リージョンでは直近 7 日分のみ保持するコスト最適化が可能です。クロスアカウントバックアップは Organizations と連携し、メンバーアカウントのバックアップを専用バックアップアカウントに集約してソースアカウントの侵害時にもバックアップを保護します。
Vault Lock と復元テスト
Backup Vault Lock は WORM ポリシーをバックアップボールトに適用し、保持期間内のバックアップの削除を防止します。ランサムウェア攻撃でバックアップが削除されるリスクを排除し、規制要件 (SEC 17a-4 など) に対応します。Vault Lock には「ガバナンスモード」と「コンプライアンスモード」があり、コンプライアンスモードでは root ユーザーを含め誰もロックを解除できないため、規制対応にはコンプライアンスモードを選択します。復元テストの自動化は、バックアップからの復元が実際に成功することを定期的に検証する機能です。復元テストプランでスケジュールと対象リソースを定義し、復元の成功・失敗を CloudWatch メトリクスで監視します。バックアップが存在しても復元できなければ意味がないため、復元テストの定期実行は DR 戦略の重要な要素です。 AWS Backup の基礎から応用まで、書籍 (Amazon)で体系的に学べます。
設計のベストプラクティスと落とし穴
AWS Backup を運用する上でよくある落とし穴を整理します。第一に、タグの付け忘れです。タグベースの割り当てを採用した場合、新規リソース作成時にタグを付け忘れるとバックアップ対象から漏れます。AWS Config ルール (required-tags) やサービスコントロールポリシー (SCP) で必須タグの強制を組み合わせると安全です。第二に、復元テスト後のリソース残存です。復元テストで作成されたリソースが削除されずに残り続けるとコストが膨らみます。復元テストの検証期間を最小限 (数分) に設定し、検証完了後に自動削除されることを確認します。第三に、バックアップウィンドウの競合です。複数のバックアッププランが同じ時間帯にバックアップを実行すると、RDS や EFS の I/O パフォーマンスに影響する場合があります。業務の低負荷時間帯 (深夜等) にウィンドウを設定し、プラン間で時間帯をずらします。第四に、保持期間とコストの関係です。長期保持はコールドストレージ移行 (ライフサイクルルール) を組み合わせないと、ウォームストレージ料金が累積します。
S3 バックアップとポイントインタイムリストア
AWS Backup は S3 バケットのバックアップもサポートしており、オブジェクトストレージのデータ保護を一元管理に統合できます。S3 のバージョニングやレプリケーションとは異なり、AWS Backup による S3 バックアップはポイントインタイムリストアを提供し、特定の時点のバケット状態を完全に復元できます。バックアップデータは AWS Backup のボールトに格納され、暗号化キーの管理やアクセスポリシー、保持期間の設定を他のサービスのバックアップと統一的に管理できます。Backup Audit Manager はバックアップのコンプライアンス状態 (RPO/RTO 準拠、暗号化状態、クロスリージョンコピーの有無) を継続的に監視し、レポートを自動生成します。ポリシー違反を検出した場合は SNS 通知を送信でき、監査対応の工数を大幅に削減します。
Organizations 連携によるマルチアカウント管理
AWS Organizations と AWS Backup の連携により、組織全体のバックアップガバナンスを実現します。バックアップポリシーを組織のルートまたは OU に適用すると、メンバーアカウントのリソースに統一されたバックアッププランが自動的に適用されます。これにより各アカウント管理者が個別にバックアップを設定する必要がなくなり、設定漏れや基準からの逸脱を防止できます。委任管理者 (delegated administrator) を指定すると、管理アカウント以外からもバックアップの監視・管理が可能になり、管理アカウントの直接利用を最小化できます。Backup Audit Manager はバックアップのコンプライアンス状態 (RPO/RTO 準拠、暗号化状態、クロスリージョンコピーの有無) を継続的に監視し、レポートを自動生成します。監査レポートを S3 に出力し、AWS Config の評価結果と統合することで、組織全体のデータ保護状況を可視化できます。
AWS Backup の料金
AWS Backup の料金はバックアップストレージ量で構成されます。EBS スナップショットは 1 GB あたり月額約 0.05 ドル、RDS スナップショットは 1 GB あたり月額約 0.095 ドル、EFS バックアップは 1 GB あたり月額約 0.05 ドルです。クロスリージョンコピーはコピー先リージョンのストレージ料金とデータ転送料金が追加されます。Vault Lock の利用に追加料金は発生しません。復元テストは復元されたリソースの稼働時間分の料金が発生するため、テスト完了後に速やかにリソースを削除するスクリプトを組み込むことが重要です。ライフサイクルポリシーでコールドストレージへの移行を設定し、長期保持のコストを削減します。コールドストレージへの移行には最低 90 日の保持が必要なため、短期バックアップには適用できません。
まとめ
AWS Backup は複数サービスのバックアップを統一ポリシーで一元管理するサービスです。タグベースのリソース割り当てで管理の手間を削減し、Vault Lock でコンプライアンスに対応し、復元テストでバックアップの有効性を検証します。Organizations との統合で組織全体のバックアップガバナンスを実現し、Backup Audit Manager で継続的なコンプライアンス監視を自動化できます。