AWS Backup は、各種AWSサービスのバックアップを自動化でき、かつ一元管理できるフルマネージドサービスです。バックアップ作業では、Amazon EC2などのリソースごとにスケジューリングや保管先などを指定できます。
AWS Backupの特徴
従来、AWS環境のバックアップはサービスごとに行う必要がありました。しかしAWS Backupの登場で複数のサービスにおいて、スケジュール管理、バックアップの保持期間の管理、バックアップに対するアクセスポリシー設定の一元管理が可能になり、バックアップを少ない手間で効率的に行えるようになりました。
バックアップ・復元の集中管理・自動化が可能
AWS Backupは、各種リソースごとに、バックアップの頻度、バックアップが実行される時間、バックアップを保存する場所、保存期間、バックアップライフサイクルなどさまざまな設定を行えます。これらの設定は、バックアッププランとして保存でき、プランを実行することで自動的にバックアップを行えるようになります。これらの設定を含むバックアップポリシーは、AWS Backupの中央コンソールで作成できます。
データ保護や暗号化、各種規制にも対応
AWS Backupは、バックアップポリシーの適用、バックアップの暗号化、バックアップのマニュアル削除からの保護、バックアップライフサイクル設定の変更防止、バックアップ操作の監査とレポートなどは、中央コンソールから行えますので、コンプライアンス基準を満たすのにも役立ちます。さらに転送時と保管時にデータを暗号化でき、かつAWSサービス全体のバックアップ操作ログを一括で把握できるため、コンプライアンス監査の実行も容易になります。加えてAWS Backupは、PCIやISOに準拠し、HIPAAにも対応しています。
なおAWSクラウドを利用する場合、クラウドシステムそのものはAWSに責任がありますが、システム内の顧客データや設定は顧客に管理の責任があります。これはAWSの「責任共有モデル」と称されていて両者で責任を持つという意味です。そのため自社システムのバックアップを取るのは、利用者の責任であることは理解しておきましょう。バックアップがなければ、復元できなくてもAWSには責任はないということです。
クロスアカウント、クロスリージョンのバックアップ
AWS Backupではクロスアカウント管理として、複数のアカウントをまたいでのバックアップ管理を行えます。複数のアカウントに対して、バックアップのコピー、バックアップポリシーの適用やバックアップ状況のモニタリングをしたりできます。
なおこのクロスアカウント管理を行うには、AWS Organizationsサービスの同じ組織に属するアカウントを2つ用意しておいてください。またバックアップの保存先として様々なリージョンを選択できる、クロスリージョンも利用できます。リージョンを変えてバックアップを作成すれば、災害への対応能力が向上します。
▼ エンジニアが本来の業務時間を増やすための AWS 運用のベストプラクティスをご紹介!
AWS Backupの対象、料金
AWS Backupは有料サービスです。バックアップストレージ量および復元量に対して料金が発生します。料金は利用したリソースによって異なります。クロスアカウント、クロスリージョンに関しても費用が発生します。なお最低料金および初期費用はありません。
Amazon EC2、S3、EBS、RDS、EFSなどのバックアップ設定・管理が可能
AWS Backupが対応しているAWSリソースを紹介します(2022年4月時点。東京リージョンの場合)。
Amazon S3、Amazon EBS、Amazon RDS(Amazon Aurora を含む)、Amazon DynamoDB、Amazon Neptune、Amazon DocumentDB、Amazon EFS、Amazon FSx for Lustre および Windows File Server、Amazon EC2、AWS Storage Gateway、VMware Backup(オンプレミスの VMware と AWS の VMware CloudTM を含む)。
AWS Backupのバックアップデータ暗号化について
AWS Backupは、バックアップ作成の際にデータを暗号化しています。暗号化は、AWS Key Management Service(KMS)が管理している暗号化キーによって行います。別途ユーザーがキーを管理する必要はありません。またAWS バックアップデータの暗号化用のキーは、バックアップリソースの暗号化用キーとは異なっていますので、より安全にデータを保管でき、コンプライアンス上も効果があります。
AWS Backup の料金
AWS Backupは、使用したバックアップストレージ量および修復したバックアップデータの量に対してのみ料金が発生します(月単位)。料金はリージョンでのリソースごとに異なっています。なおAmazon EC2は、Amazon EBSの料金に含まれます。
バックアップや復元の対応詳細については、以下を参照ください。
AWS Backup の料金
ウォームストレージとコールドストレージとは
バックアップを行うストレージには、すぐに利用できる場所(ウォームストレージ)にあるものと、すぐには取り出せないが低価格な場所(コールドストレージ)のものがあります。AWS Backupでは、Amazon EFS、Amazon DynamoDB、および VMware 仮想マシンのバックアップにコールドストレージを利用できます。コールドストレージを使うにはAWS Backup設定のひとつである「ライフサイクル機能」を利用します。本機能の設定で、ウォームストレージ階層からコストの低いコールドストレージ階層に自動的に移行できます。
当社、NHNテコラスではAWSサービスの導入・運用についてのご相談を承っております。また、24時間365日の監視、各種設定代行やトラブル時の対応をサポートする運用代行サービスをご用意しています。<マンガでわかる>運用代行サービス資料 では、わかりやすく運用代行サービスについてご紹介しています!
AWS BackupでAmazon EC2をバックアップ
AWS BackupでAmazon EC2のバックアップを行ってみます。手順としては、IAMの設定、バックアッププランの作成、Amazon EC2リソースの割り当て、バックアップボールトの作成を経て、バックアップ・復元になります。
IAM ユーザーとロールを作成する
AWSにログイン後、自分用のIAMユーザーにAWS Backupを利用できる権限を持つポリシーをアタッチします。IAMの管理コンソールから「ロール」>「ロールを作る」>「AWSサービスロール」>「AWS Backup」>「Next」を選択し、「許可ポリシーのアタッチ」ページから、AWSBackupServiceRolePolicyForBackup、AWSBackupServiceRolePolicyForRestoresの2つをチェックします。
これで選択したIAMユーザーに、AWS Backupの権限を付与できました。この後、「次へ」>「Next」を選択し、「ロール名」に目的がわかるような名前を入力し、「ロールの作成」を選択すれば、必要なIAMロールを作成できます。
バックアッププランを作成し、AWS EC2のリソースを割り当てる
AWS Backupのダッシュボード左の「バックアッププラン」を選択すると「バックアッププランの作成」のボタンが表示されますから、新たに作成する場合はそのボタンをクリックします。そこでは「既存のプランから開始」「新しいプランを立てる」「JSONを使用してプランを定義」がありますのでプラン名を新規設定して「新しいプランを立てる」を選択します。
新たに表示されたウィンドウでスケジュール、保存期間などのバックアップのポリシーを設定できます。ポリシーを設定したバックアッププランを保存し、バックアッププラン画面下部にある「リソースの割り当て」でバックアップしたいリソースを設定します。「リソース割り当て名」は適宜設定します。割り当て単位は「リソースID」、リソースタイプは「EC2」とし、ボリュームIDご自身の数値を設定すれば割り当てが行えます。
バックアップボールトを作成する
バックアップボールトとはバックアップの保存先を意味します。AWS Backupの中央コンソールの左にある「バックアップボールト」を選択すると、設定画面が表示されます。ここでは「新しいバックアップボールト」をクリックします。その後、バックアップボールトの名前を入力します。暗号化に用いるAWS KMSキーはデフォルトのままで問題ありません。バックアップボールトを検索しやすくするための、タグを追加しても良いでしょう。この後、「バックアップボールトを作成」をクリックすると、バックアップボールトは作成されます。
バックアップジョブとリストア(復元)
バックアップや復元作業に関するステータスは、AWS Backup中央コンソールの「ジョブ」から確認できます。バックアップが完了しているとステータスに「OK」が表示されます。復元するにはAWS Backup中央コンソールの「保護されたリソース」を選択し、該当するリソースIDをクリックするとバックアップされたデータを確認できます。ここで「復元」をクリックすると復元に関する設定画面が表示されますので、EC2を復元するインスタンスのタイプ、VPC、サブネット、IAMロールなどを設定して復元を実行します。
なおこれらの設定値は、元のバックアップと一致するように事前に入力されていますが、復元する前に変更することが可能です。すべての設定を行ったら「バックアップを復元」をクリックすると、やがて「ジョブを復元」ペインが表示されますので復元内容を確認できます。
AWSの導入・運用はNHNテコラスにお任せください
AWSのバックアップは、責任共有モデルの観点からも利用者必須の作業と言えます。また通常の利用だけでなく、災害への対処(デザスタリカバリ)という面でも重要です。災害への対処ではリージョンを変えることは有効です。ただバックアップ作業には、いろいろ設定があり、効率的な設定を行うのは経験が少ないと難しいかもしれません。
NHNテコラスは、AWSプレミアティア サービスパートナーとして、バックアップでもAWSのベストプラクティスに沿った運用をご提案できます。バックアップは常時行うものですので、意外に費用がかさみます。マネージドサービスでは自動化で人的コストを、効率化でAWSの費用削減を目指すためのご提案をさせていただきますので、お気軽にご相談ください。
▼ AWSサービスを利用した障害の対応方法を解説!
