AWS Backup
EC2、RDS、S3、DynamoDB など複数の AWS サービスのバックアップを一元管理し、ポリシーベースで自動化できるサービス
概要
AWS Backup は、AWS リソースのバックアップを一元的に管理・自動化するフルマネージドサービスです。EC2 インスタンス (EBS スナップショット)、RDS データベース、DynamoDB テーブル、EFS ファイルシステム、S3 バケット、FSx ファイルシステムなど、20 以上の AWS サービスに対応しています。バックアッププランでスケジュール、保持期間、ライフサイクル (コールドストレージへの移行) を定義し、組織全体に一貫したバックアップポリシーを適用できます。AWS Organizations と連携したクロスアカウントバックアップや、別リージョンへのコピーによる災害対策にも対応しています。
バックアッププランとボールトの設計
AWS Backup の中核概念はバックアッププラン (スケジュールと保持ルールの定義) とバックアップボールト (バックアップデータの保管先) です。バックアッププランでは、日次バックアップを 30 日保持、週次バックアップを 1 年保持、月次バックアップを 7 年保持のように、複数のルールを組み合わせてコンプライアンス要件に対応します。ボールトは KMS キーで暗号化され、ボールトアクセスポリシーで削除操作を制限できます。コスト最適化のポイントは、ライフサイクルルールでウォームストレージからコールドストレージへの移行を設定することです。コールドストレージはウォームの約 4 分の 1 の料金ですが、最低保持期間が 90 日あるため、短期間のバックアップには適しません。
Vault Lock によるランサムウェア対策
Vault Lock 機能は、WORM (Write Once Read Many) モードを有効にすることで、管理者であってもバックアップの削除や保持期間の短縮ができなくなる仕組みです。ランサムウェアが管理者権限を奪取した場合でもバックアップデータを保護でき、確実なリストアポイントを確保できます。料金はバックアップストレージ量とリストア量に基づく従量課金で、Azure Backup の保護インスタンス単位の固定料金 + ストレージ料金という構成とは課金モデルが異なります。データ保護の関連書籍 (Amazon) でバックアップ戦略の全体像を学べます。
Organizations 連携によるマルチアカウント一元管理
AWS Backup の実務導入で最も効果的なのは、Organizations のバックアップポリシーとの組み合わせです。管理アカウントでバックアッププランを定義し、組織内の全アカウントに自動適用することで、新規アカウントが追加されても即座にバックアップポリシーが適用されます。クロスアカウントバックアップを Organizations 連携でネイティブにサポートしており、マルチアカウント環境での一元管理が容易です。災害対策では、本番リージョンのバックアップを別リージョンに自動コピーし、リストアのテストを定期的に実施する運用が推奨されます。リストアテストを怠ると、いざ復旧が必要な場面でバックアップデータが破損していたり、リストア手順が確立されていなかったりする事態に陥るため、四半期に 1 回程度のリストア訓練を組み込むのがベストプラクティスです。