翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# でのバックアップコピーの作成 AWS アカウント
を使用すると AWS Backup、 AWS アカウント オンデマンドで複数の にバックアップすることも、スケジュールされたバックアッププランの一部として自動的にバックアップすることもできます。運用上またはセキュリティ上の理由から、組織 AWS アカウント 内の 1 つ以上の にバックアップを安全にコピーする場合は、クロスアカウントバックアップを使用します。元のバックアップが誤って削除された場合は、コピー先アカウントからコピー元のアカウントにバックアップをコピーし、復元を開始できます。これを行うには、その前に、 AWS Organizations サービスの同じ組織に属する 2 つのアカウントを持つ必要があります。詳細については、*Organizations ユーザーガイド*の「[チュートリアル: 組織の作成と設定](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html)」を参照してください。
コピー先アカウントで、バックアップボールトを作成する必要があります。次に、コピー先アカウントのバックアップを暗号化するカスタマーマネージドキーと、コピーするリソース AWS Backup へのアクセスを に許可するリソースベースのアクセスポリシーを割り当てます。ソースアカウントで、リソースがカスタマー管理キーで暗号化されている場合は、このカスタマー管理キーをコピー先アカウントと共有する必要があります。その後、バックアッププランを作成し、 AWS Organizationsで組織単位の一部であるコピー先アカウントを選択できます。
バックアップを初めてクロスアカウントにコピーすると、 はバックアップを完全に AWS Backup コピーします。一般的に、サービスが増分バックアップをサポートしている場合、同じアカウントのバックアップの後続のコピーは増分です。 は、コピー先ボールトのカスタマーマネージドキーを使用してコピーを再 AWS Backup 暗号化します。
**要件**
+ 複数の AWS アカウント でリソースを管理する前に AWS Backup、アカウントは AWS Organizations サービス内の同じ組織に属している必要があります。
+ でサポートされているほとんどのリソースは、クロスアカウントバックアップ AWS Backup をサポートしています。詳細については、「[リソース別の機能の可用性](backup-feature-availability.md#features-by-resource)」を参照してください。
+ ほとんどの AWS リージョンでは、クロスアカウントバックアップがサポートされています。詳細については、「[による機能の可用性 AWS リージョン](backup-feature-availability.md#features-by-region)」を参照してください。
+ AWS Backup は、コールド階層のストレージのクロスアカウントコピーをサポートしていません。
## クロスアカウントバックアップのセットアップ
**クロスアカウントバックアップを作成するには何が必要か**
+ **ソースアカウント**
ソースアカウントは、本番稼働用 AWS リソースとプライマリバックアップが存在するアカウントです。
ソースアカウントユーザーがクロスアカウントのバックアップ操作を開始します。ソースアカウントユーザーまたはロールには、操作を開始するための適切な API 権限が必要です。適切なアクセス許可は`AWSBackupFullAccess`、 AWS Backup オペレーションへのフルアクセスを可能にする AWS 管理ポリシー、または などのアクションを許可するカスタマー管理ポリシーです`ec2:ModifySnapshotAttribute`。ポリシータイプの詳細については、「[AWS Backup 管理ポリシー](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html)」を参照してください。
+ **コピー先アカウント**
コピー先アカウントは、バックアップのコピーを保持するアカウントです。アカウントは複数選択できます。コピー先アカウントは、 AWS Organizationsのソースアカウントと同じ組織にある必要があります。
コピー先バックアップボールトのアクセスポリシー `backup:CopyIntoBackupVault` を「許可」する必要があります。このポリシーが存在しない場合、コピー先アカウントへのコピーの試行は拒否されます。
+ **の管理アカウント AWS Organizations**
管理アカウントは、 で定義されている組織内のプライマリアカウントであり AWS Organizations、 全体でクロスアカウントバックアップをオプトインするために使用します AWS アカウント。組織でクロスアカウントバックアップを開始する前に、 AWS Backup コンソールまたは [UpdateGlobalSettings](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateGlobalSettings.html) API を使用してクロスアカウントバックアップを有効にする必要があります。
セキュリティについては、「[クロスアカウントバックアップのセキュリティに関する考慮事項](#security-considerations-cab)」を参照してください。
クロスアカウントバックアップを使用するには、クロスアカウントバックアップ機能を有効にする必要があります。次に、アクセスポリシー `backup:CopyIntoBackupVault` をコピー先バックアップボールトに「許可」する必要があります。
Amazon EC2 は [EC2 で許可された AMI](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html) を提供します。アカウントでこの設定が有効になっている場合は、ソースアカウント ID を許可リストに追加します。そうしないと、コピーオペレーションは失敗し、「Source AMI not found in Region」などのエラーメッセージが表示されます。
**クロスアカウントバックアップの有効化**
1. AWS Organizations 管理アカウントの認証情報を使用してログインします。クロスアカウントバックアップは、これらの認証情報を使用してのみ有効または無効にできます。
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. [**マイアカウント**] で、[**設定**] を選択します。
1. [**クロスアカウントバックアップ**] で、[**有効**] を選択します。
1. [**バックアップボールト**] で、コピー先ボールトを選択します。
クロスアカウントコピーの場合、コピー元ボールトとコピー先ボールトは異なるアカウントにあります。必要に応じて、コピー先アカウントを所有するアカウントに切り替えます。
1. [**アクセスポリシー**] セクションで、`backup:CopyIntoBackupVault` を [許可] します。たとえば、[**アクセス許可の追加**] を選択し、その後、[**組織からのバックアップボールトへのアクセスを許可する**] を選択します。`backup:CopyIntoBackupVault` 以外のクロスアカウントアクションは拒否されます。
1. これで、組織内のどのアカウントでも、バックアップ保管庫の内容を組織内の他のアカウントと共有できるようになりました。詳細については、「[クロスアカウントコピーのバックアップボールトアクセスの設定](#share-vault-cab)」を参照してください。他のアカウントのバックアップボールトの内容を受信できるアカウントを制限するには、[アカウントをコピー先アカウントとして設定する](#designate-destination-accounts-cab) を参照してください。
## クロスアカウントバックアップのスケジュール
スケジュールバックアッププランを使用して、バックアップを AWS アカウント間でコピーできます。
**スケジュールバックアッププランを使用してバックアップをコピーするには**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. **マイアカウント**で、[**バックアッププラン**] を選択してから、「**バックアッププランを作成する**」を選択します。
1. リポジトリの [**バックアッププランの作成**] ページで、[**新しいプランを構築する**] を選択します。
1. [**バックアッププラン名**] で、バックアッププランの名前を入力します。
1. [**バックアップルールの設定**] セクションで、バックアップスケジュール、バックアップウィンドウ、ライフサイクルルールを定義するバックアップルールを追加します。後でバックアップルールを追加できます。
[**ルール名**] にルールの名前を入力します。
1. **[Frequency (頻度)]** の [**Schedule (スケジュール)**] セクションで、バックアップを実行する頻度を選択します。
1. **バックアップウィンドウ**で、「**バックアップウィンドウのデフォルトを使用する** (推奨)」を選択します。バックアップウィンドウをカスタマイズできます。
1. [**バックアップボールト**] で、リストから [ボールト] を選択します。このバックアップのリカバリポイントは、このボールトに保存されます。新しいバックアップボールトを作成します。
1. **コピーの生成-オプション**セクションで、次の値を入力します。
**送信先リージョン**
バックアップコピー AWS リージョン の送信先を選択します。バックアップはこのリージョンにコピーされます。コピーごとに新しいコピールールを新しい送信先に追加できます。
**別のアカウントのボールトにコピー**
このオプションを切り替えて選択します。このオプションを選択すると、青に変わります。**外部ボールト ARN** オプションが表示されます。
**外部ボールト ARN**
コピー先リソースの Amazon リソースネーム (ARN) に入力します。ARN は、アカウント ID とその を含む文字列です AWS リージョン。 AWS Backup は、バックアップを送信先アカウントのボールトにコピーします。**コピー先リージョン**リストは、外部ボールト ARN 内のリージョンに自動的に更新されます。
**バックアップボールトのアクセスを許可する**ために、[**許可**] を選択します。次に開いたウィザードで [**許可**] を選択します。
AWS Backup には、指定された値にバックアップをコピーするために外部アカウントにアクセスするためのアクセス許可が必要です。ウィザードには、このアクセスを提供する次のポリシー例が表示されます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccountCopyIntoBackupVault",
"Effect": "Allow",
"Action": "backup:CopyIntoBackupVault",
"Resource": "*",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
}
}
]
}
```
**コールドストレージへの移行**
バックアップコピーをコールドストレージに移行するタイミングと、コピーの有効期限 (削除) を選択します。コールドストレージに移行するバックアップは、最低 90 日間コールドストレージに保存する必要があります。この値は、コピーがコールドストレージに移行された後は変更できません。
コールドストレージに移行できるリソースの一覧については、[リソース別の機能の可用性](backup-feature-availability.md#features-by-resource) 表の「コールドストレージへのライフサイクル」セクションを参照してください。他のリソースでは、コールドストレージ式は無視されます。
**[有効期限切れ]** で、コピーが作成されてから削除されるまでの日数を指定します。これは、**[コールドストレージへの移行]** の値より 90 日以上大きい数値にする必要があります。
バックアップの有効期限が切れ、ライフサイクルポリシーの一部として削除対象としてマークされると、 はランダムに選択された時点で次の 8 時間にわたってバックアップ AWS Backup を削除します。このウィンドウは、一貫したパフォーマンスを確保するのに役立ちます。
1. **リカバリポイントに追加されたタグ**をクリックして、リカバリポイントにタグを追加します。
1. **詳細バックアップ設定**で、**Windows VSS** を選択して、EC2 で実行されている選択したサードパーティソフトウェアのアプリケーション対応スナップショットを有効にします。
1. **[プランを作成]** を選択します。
## オンデマンドのクロスアカウントバックアップの実行
バックアップは AWS アカウント 、必要に応じて別の にコピーできます。
**バックアップをオンデマンドでコピーするには**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. **マイアカウント**で、[**バックアップボールト**] をクリックして、すべてのバックアップボールトを一覧表示します。バックアップボールトの名前またはタグでフィルタリングできます。
1. コピーするバックアップの **[復旧ポイント ID]** を選択します。
1. **[コピー]** を選択します。
1. [**バックアップの詳細**] を開いて、コピーするリカバリポイントに関する情報を表示します。
1. [**設定のコピー**] セクションで、[**コピー先リージョン**] リストからオプションを選択します。
1. [**別のアカウントのボールトにコピー**] をオンにします。このオプションを選択すると、青に変わります。
1. コピー先リソースの Amazon リソースネーム (ARN) に入力します。ARN は、アカウント ID とその を含む文字列です AWS リージョン。 AWS Backup は、バックアップを送信先アカウントのボールトにコピーします。**コピー先リージョン**リストは、外部ボールト ARN 内のリージョンに自動的に更新されます。
1. **バックアップボールトのアクセスを許可する**ために、[**許可**] を選択します。次に開いたウィザードで [**許可**] を選択します。
コピーを作成するには、ソースアカウントにアクセスするためのアクセス許可 AWS Backup が必要です。ウィザードには、このアクセスを提供するポリシーの例が表示されます。このポリシーを以下に示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccountCopyIntoBackupVault",
"Effect": "Allow",
"Action": "backup:CopyIntoBackupVault",
"Resource": "*",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
}
}
]
}
```
------
1. **コールドストレージへの移行**については、バックアップコピーをコールドストレージに移行するタイミングと、コピーの有効期限 (削除) を選択します。コールドストレージに移行するバックアップは、最低 90 日間コールドストレージに保存する必要があります。この値は、コピーがコールドストレージに移行された後は変更できません。
コールドストレージに移行できるリソースの一覧については、[リソース別の機能の可用性](backup-feature-availability.md#features-by-resource) 表の「コールドストレージへのライフサイクル」セクションを参照してください。他のリソースでは、コールドストレージ式は無視されます。
**[有効期限切れ]** で、コピーが作成されてから削除されるまでの日数を指定します。これは、**[コールドストレージへの移行]** の値より 90 日以上大きい数値にする必要があります。
1. **IAM ロール**で、バックアップをコピーできるようにする権限を持つ IAM ロール (デフォルトロールなど) を指定します。コピーの行為は、コピー先アカウントのサービスにリンクされたロールによって実行されます。
1. **[コピー]** を選択します。コピーするリソースのサイズによっては、この処理が完了するまでに数時間かかる場合があります。コピージョブが完了すると、[**ジョブ**] メニュー内の [**コピージョブ**] タブ内にコピーされます。
## 暗号化キーとクロスアカウントコピー
コピージョブでの暗号化の仕組みの詳細については、「[別のアカウントまたは AWS リージョンへのバックアップのコピーの暗号化](encryption.md#copy-encryption)」を参照してください。
クロスアカウントコピー失敗のトラブルシューティングに関するその他のヘルプについては、[AWS ナレッジセンター](https://repost.aws/knowledge-center/backup-troubleshoot-cross-account-copy)を参照してください。
## あるバックアップから別のバックアップ AWS アカウント への復元
AWS Backup は、あるリソースから別のリソース AWS アカウント への復旧をサポートしていません。ただし、あるアカウントから別のアカウントにバックアップをコピーし、そのアカウントで復元することはできます。たとえば、アカウント A からアカウント B にバックアップを復元することはできませんが、アカウント A からアカウント B にバックアップをコピーし、アカウント B で復元できます。
あるアカウントから別のアカウントにバックアップを復元する前に、復元するリソースタイプのサービスにリンクされたロール (SLR) が宛先アカウントにあることを確認してください。送信先アカウントがその AWS サービスを使用したことがない場合は、SLR が存在しない可能性があります。SLR は、送信先アカウントの サービスを使用して作成できます。これにより自動的に作成されます。SLR 要件が満たされたら、あるアカウントから別のアカウントへのバックアップの復元は 2 ステップのプロセスです。
**アカウントから別のアカウントにバックアップを復元するには**
1. バックアップをソースから復元先の AWS アカウント アカウントにコピーします。手順については、「[クロスアカウントバックアップのセットアップ](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html#prereq-cab)」を参照してください。
1. リソースに適切な指示に従って、バックアップを復元します。
## クロスアカウントコピーのバックアップボールトアクセスの設定
AWS Backup では、バックアップボールトを設定して他の へのアクセスを許可し AWS アカウント、リカバリポイントをボールトにコピーしてクロスアカウントバックアップを行うことができます。このアクセス設定では、リソースベースのポリシーを使用して、特定のアカウントにバックアップオペレーションの実行を許可します。
**注記**
これは、 AWS リソースアクセスマネージャー (RAM) を使用して AWS Backup ボールトリソースを直接共有する、論理エアギャップ (LAG) ボールトのボールト共有とは異なります。
ボールトアクセスは、1 つ以上のアカウント、または組織全体に付与できます AWS Organizations。レプリケート元 AWS アカウント、ユーザー、または IAM ロールへのアクセス権を持つレプリケート先バックアップボールトを設定できます。
**送信先の Backup ボールトのボールトアクセスを設定するには**
1. [**AWS Backup**] を選択してから、[**バックアップボールト**] を選択します。
1. アクセスを設定するバックアップボールトの名前を選択します。
1. [**アクセスポリシー**] ペインで、[**アクセス許可の追加**] のドロップダウンを選択します。
1. **アカウントレベルのBackup ボールトへのアクセスを許可する**を選択します。または、組織レベルまたはロールレベルのアクセスを許可するかを選択できます。
1. この送信先バックアップボールトへのアクセスを許可するアカウントの **AccountID** を入力します。
1. **[ポリシーを保存]** を選択します。
IAM ポリシーを使用してボールトアクセスを設定できます。
**AWS アカウント または IAM ロールの送信先バックアップボールトアクセスを設定する**
次のポリシーは、アカウント番号 のボールトアクセス`4444555566666`と、アカウント番号 の IAM `SomeRole` ロールを設定します`111122223333`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"AWS":[
"arn:aws:iam::444455556666:root",
"arn:aws:iam::111122223333:role/SomeRole"
]
},
"Action":"backup:CopyIntoBackupVault",
"Resource":"*"
}
]
}
```
------
**で組織単位を送信先バックアップボールトを共有する AWS Organizations**
次のポリシーでは、`PrincipalOrgPaths` を使用してバックアップボールトを組織部門と共有します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":"*",
"Action":"backup:CopyIntoBackupVault",
"Resource":"*",
"Condition":{
"ForAnyValue:StringLike":{
"aws:PrincipalOrgPaths":[
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
]
}
}
}
]
}
```
------
**の組織と送信先バックアップボールトを共有する AWS Organizations**
次のポリシーは、バックアップボールトを組織と`PrincipalOrgID` "o-a1b2c3d4e5"で共有します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":"*",
"Action":"backup:CopyIntoBackupVault",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:PrincipalOrgID":[
"o-a1b2c3d4e5"
]
}
}
}
]
}
```
------
## アカウントをコピー先アカウントとして設定する
AWS Organizations 管理アカウントを使用してクロスアカウントバックアップを初めて有効にすると、メンバーアカウントのユーザーは自分のアカウントを送信先アカウントとして設定できます。 AWS Organizations で次のサービスコントロールポリシー (SCP) を 1 つ以上設定し、コピー先アカウントを制限することをお勧めします。 AWS Organizations ノードへのサービスコントロールポリシーのアタッチの詳細については、[「サービスコントロールポリシーのアタッチとデタッチ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」を参照してください。
**タグを使用してコピー先アカウントを制限する**
AWS Organizations ルート、OU、または個々のアカウントにアタッチすると、このポリシーはそのルート、OU、またはアカウントから、 にタグ付けしたバックアップボールトを持つアカウントにのみ送信先をコピーします`DestinationBackupVault`。アクセス許可 `"backup:CopyIntoBackupVault"` は、バックアップボールトの動作を制御し、この場合はどのコピー先バックアップボールトが有効かを制御します。このポリシーと、承認されたコピー先ボールトに適用される対応するタグを使用して、クロスアカウントコピーのコピー先を承認済みアカウントとバックアップボールトのみに制限します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Action":"backup:CopyIntoBackupVault",
"Resource":"*",
"Condition":{
"Null":{
"aws:ResourceTag/DestinationBackupVault":"true"
}
}
}
]
}
```
------
**アカウント番号とボールト名を使用してコピー先アカウントを制限する**
AWS Organizations ルート、OU、または個々のアカウントにアタッチすると、このポリシーは、そのルート、OU、またはアカウントから発信されたコピーを 2 つの送信先アカウントのみに制限します。アクセス許可 `"backup:CopyFromBackupVault"` は、バックアップボールト内の復旧ポイントの動作を制御します。この場合は、その復旧ポイントをコピーできるコピー先も制御されます。コピー元のボールトは、1 つまたは複数のコピー先のバックアップボールト名が `cab-` で始まる場合のみ、最初のコピー先アカウント (112233445566) へのコピーを許可します。コピー元のボールトは、コピー先が `fort-knox` という名前の単一バックアップボールトである場合、2 つ目のコピー先アカウント (123456789012) へのコピーのみ許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCopyFromBackupVault",
"Effect": "Deny",
"Action": "backup:CopyFromBackupVault",
"Resource": "arn:aws:ec2:*:*:snapshot/*",
"Condition": {
"ForAllValues:ArnNotLike": {
"backup:CopyTargets": [
"arn:aws:backup:*:112233445566:backup-vault:cab-*",
"arn:aws:backup:us-east-1:123456789012:backup-vault:fort-knox"
]
}
}
}
]
}
```
------
**で組織単位を使用して送信先アカウントを制限する AWS Organizations**
ソースアカウントを含む AWS Organizations ルートまたは OU にアタッチする場合、またはソースアカウントにアタッチする場合、次のポリシーは、宛先アカウントを指定された 2 つの OUs。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Action":"backup:CopyFromBackupVault",
"Resource":"*",
"Condition":{
"ForAllValues:StringNotLike":{
"backup:CopyTargetOrgPaths":[
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
"o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*"
]
}
}
}
]
}
```
------
## クロスアカウントバックアップのセキュリティに関する考慮事項
AWS Backupでクロスアカウントバックアップを実行する場合は、次の点に注意してください。
+ デスティネーションボールトを既定のボールトにすることはできません。これは、デフォルトのボールトが他のアカウントと共有できないキーで暗号化されているためです。
+ クロスアカウントバックアップを無効にした後も、クロスアカウントバックアップが最大 15 分間実行されることがあります。これは結果整合性が原因で、クロスアカウントバックアップを無効にした後でも、クロスアカウントジョブが開始または完了することがあります。
+ コピー先アカウントが後で組織を離れる場合、そのアカウントはバックアップを保持します。潜在的なデータ漏洩を回避するには、コピー先アカウントにアタッチされたサービスコントロールポリシー (SCP) 内の `organizations:LeaveOrganization` アクセス許可を拒否します。SCP の詳細については、*Organizations ユーザーガイド*の「[組織からのメンバーアカウントの削除](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)」を参照してください。
+ クロスアカウントコピー中にコピージョブロールを削除した場合、コピージョブの完了時にソースアカウントからスナップショットの共有を解除 AWS Backup することはできません。この場合、バックアップジョブは終了しますが、コピージョブのステータスは「スナップショットの共有解除に失敗しました。」と表示されます。