AWS Backupコンソールを使用したレポートプランの作成 - AWS Backup

AWS Backupコンソールを使用したレポートプランの作成

レポートには 2 つのタイプがあります。1 つ目のタイプは、ジョブレポートで、過去 24 時間以内に完了したジョブとすべてのアクティブなジョブが表示されます。2 つ目のタイプのレポートはコンプライアンスレポートです。コンプライアンスレポートでは、リソースレベルや実施されているさまざまなコントロールをモニタリングできます。レポートを作成するときは、作成するレポートのタイプを選択します。

アカウントのタイプによって、コンソールの表示は異なる場合があります。マルチアカウント機能を利用できるのは管理アカウントだけです。

バックアッププランと同様に、レポートプランを作成し、レポートの作成を自動化して、送信先の Amazon S3 バケットを定義します。レポートプランでは、レポートを受け取る S3 バケットが必要です。新しい S3 バケットを設定する手順については、Amazon Simple Storage Service ユーザーガイドステップ 1: 最初の S3 バケットを作成するを参照してください。

AWS Backupコンソールでレポートプランを作成するには

  1. https://console.aws.amazon.com/backup) で、コンソールを開きます。

  2. 左のナビゲーションペインの [Reporting] を選択します。

  3. [レポートプランの作成] を選択します。

  4. リストからレポートテンプレートの 1 つを選択します。

  5. 唯一のレポートプラン名を入力します。名前は、1 ~ 256 文字で、英字 (a~z)、数字 (0~9)、およびアンダースコア (_) で構成されます。

  6. (任意) レポートプランの記述を入力します。

  7. 1 アカウント用のコンプライアンスレポートテンプレートのみ。レポートするフレームワークを 1 つ以上選択します。レポートプランには最大 1,000 のフレームワークを追加できます。

    1. ご利用の AWS リージョンを選択します。

    2. そのリージョンからフレームワークを選択します。

    3. フレームワークの追加を選択します。

  8. (任意) レポートプランにタグを追加するには、レポートプランにタグを追加するを選択します。

  9. 管理アカウントを使用している場合は、このレポートプランに含めるアカウントを指定できます。[自分のアカウントのみ] を選択すると、現在ログインしているアカウントのみに関するレポートが生成されます。または、[組織内の 1 つ以上のアカウント] (管理アカウントおよび委任管理者アカウントで使用可能) を選択することもできます。

  10. (1 つのリージョンのみのコンプライアンスレポートを作成する場合は、この手順を省略します)。レポートに含めるリージョンを選択できます。ドロップダウンメニューをクリックして、利用可能なリージョンを表示します。[利用可能なすべてのリージョン] または希望するリージョンを選択します。

    1. [Backup Audit Manager に組み込まれるときに新しいリージョンを含める] チェックボックスをオンにすると、新しいリージョンが利用可能になった時点でレポートに含まれるようになります。

  11. あなたのレポートのファイル形式を選択します。すべてのレポートは CSV 形式でエクスポートできます。また、1 つのリージョンのレポートを JSON 形式でエクスポートできます。

  12. ドロップダウンリストを使用して、[S3 バケット名] を選択します。

  13. (オプション) バケットプレフィックスを入力します。

    AWS Backup は、現在のアカウント、現在のリージョンのレポートを s3://your-bucket-name/prefix/Backup/accountID/Region/year/month/day/report-name に配信します。

    AWS Backup は、クロスアカウントレポートを s3://your-bucket-name/prefix/Backup/crossaccount/Region/year/month/day/report-name に配信します。

    AWS Backup は、クロスリージョンレポートを s3://your-bucket-name/prefix/Backup/accountID/crossregion/year/month/day/report-name に配信します。

  14. [レポートプランの作成] を選択します。

次に、S3bucketにAWS Backupからレポートを受信できるようにしなくてはいけません。レポート計画を作成した後、AWS BackupAudit Manager は、適用する S3 バケットアクセスポリシーを自動的に生成します。

カスタマー管理 KMS キーを使用してバケットを暗号化する場合、KMS キーポリシーは、次の要件を満たしている必要があります。

  • Principal 属性には、Backup Audit Manager のサービスにリンクされたロール AWSServiceRolePolicyForBackupReports ARN が含まれている必要があります。

  • Action 属性には、少なくとも kms:GenerateDataKeykms:Decrypt が含まれている必要があります。

AWSServiceRolePolicyForBackupReports ポリシーには、これらのアクセス許可があります。

このアクセスポリシーを S3 バケットに表示して適用するには

  1. https://console.aws.amazon.com/backupで、コンソールを開きます。

  2. 左のナビゲーションペインの [Reports] を選択します。

  3. レポートプラン名の下で、レポートプランの名前を選択して、レポートプランを選択します。

  4. [編集] を選択します。

  5. 選択S3 バケットのアクセスポリシーを表示します。この手順の最後にポリシーを使用することもできます。

  6. 選択権限をコピーする

  7. [Edit Bucket Policy] を選択します。バックアップレポートが初めて作成されるまで、S3 バケットポリシーで参照されているサービスにリンクされたロールはまだ存在せず、「無効なプリンシパル」というエラーが発生することに注意してください。

  8. パーミッションをポリシーにコピーします。

サンプルバケットポリシー

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":"arn:aws:iam::123456789012:role/aws-service-role/reports.backup.amazonaws.com/AWSServiceRoleForBackupReports"
      },
      "Action":"s3:PutObject",
      "Resource":[
        "arn:aws:s3:::BucketName/*"
      ],
      "Condition":{
        "StringEquals":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    }
  ]
}

カスタム AWS Key Management Service を使用して、レポートを保存するターゲット S3 バケットを暗号化する場合は、ポリシーに次のアクションを含めます。


      "Action":[
        "kms:GenerateDataKey",
        "kms:Encrypt"
      ],  
      "Resource":[
        "*"
      ],