リーガルホールドと AWS Backup - AWS Backup
リーガルホールドの概要複数のリーガルホールドリーガルホールドの作成リーガルホールドを表示するリーガルホールドを解除する

リーガルホールドと AWS Backup

リーガルホールドの概要

リーガルホールドは、ホールド中にバックアップが削除されないようにする管理ツールです。ホールドが実施されている間、ホールド状態にあるバックアップは削除できず、バックアップステータスを変更することになるライフサイクルポリシー (Deleted 状態への移行など) は、リーガルホールドが削除されるまで延期されます。

リーガルホールドは、そのライフサイクルで許可されていれば、AWS Backup によって作成された 1 つ以上のバックアップ (復旧ポイントとも呼ばれます) に適用できます。継続的バックアップと呼ばれるタイプのバックアップの最大ライフサイクルは 35 日です。リーガルホールドによって継続的バックアップのライフサイクルが延長されることはありません。

リーガルホールドを作成すると、リソースタイプやリソース ID などの特定のフィルター条件を考慮に入れることができます。さらに、リーガルホールドに含めるバックアップの作成日の範囲を定義できます。

リーガルホールドは、そのリーガルホールドがある元のバックアップにのみ適用されます。バックアップがリージョン間またはアカウント間でコピーされた場合 (リソースがそれをサポートしている場合)、そのバックアップは保持されず、そのリーガルホールドも移行されません。他のリソースと同様に、リーガルホールドは、一意の Amazon リソースネーム (ARN) が関連付けられています。AWS Backup によって作成された復旧ポイントのみが、リーガルホールドの対象となります。

AWS Backup ボールトロックが、ボールトに対する追加の保護とイミュータビリティを提供するのに対して、リーガルホールドは個々のバックアップ (復旧ポイント) の削除に対する保護を強化することに注意してください。リーガルホールドには有効期限がなく、データはバックアップ内に無期限に保持されます。ホールドは、十分なアクセス許可を持つユーザーが解除するまで有効です。

複数のリーガルホールド

1 つのバックアップについて、リーガルホールドが複数ある場合があります。リーガルホールドとバックアップには多対多の関係があります。つまり、1 つのバックアップには複数のリーガルホールドを設定でき、1 つのリーガルホールドには複数のバックアップを含めることができます。

バックアップは、少なくとも 1 つのリーガルホールドを持っている限り削除できません。バックアップに対するすべてのリーガルホールドが削除されると、その保持ライフサイクルプロパティが適用されます。バックアップの削除を防ぐために、少なくとも 1 つのリーガルホールドを維持します。リーガルホールドは、(既存のリーガルホールドのため) バックアップライフサイクル保持日を過ぎて保持されている復旧ポイントに適用できます。

各アカウントで一度に最大 50 個のリーガルホールドを有効化できます。

リーガルホールドの作成

リーガルホールドは、既存のバックアップ (復旧ポイント) に追加できます。

ステータスが EXPIRED または DELETING のバックアップ (復旧ポイント) はリーガルホールドに含まれません。ステータスが CREATING の復旧ポイント (バックアップ) は、完了時期によってはリーガルホールドに含まれない場合があります。

リーガルホールドは、必要な IAM アクセス許可を持つユーザーが追加できます。

リーガルホールドを作成するには

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. コンソールの左側にあるダッシュボードで、[マイアカウント] を探します。[リーガルホールド] を選択します。

  3. [リーガルホールドを追加] を選択します。

  4. [リーガルホールドの詳細][リーガルホールドの範囲][リーガルホールドタグ] という、3 つのパネルが表示されます。

    1. [リーガルホールドの詳細] で、表示されるテキストボックスにリーガルホールドのタイトルとリーガルホールドの説明を入力します。

    2. [リーガルホールドの範囲] パネルで、ホールドに含めるリソースの選択方法を選択します。ホールドを作成するときは、リーガルホールド内のリソースを選択するために使用する方法を選択します。次のいずれかを含める選択ができます。

      • 特定のリソースタイプと ID

      • バックアップボールトの選択

      • アカウント内のすべてのリソースタイプまたはすべてのバックアップボールト

    3. リーガルホールドの日付範囲を指定します。日付を YYYY:MM:DD の形式で入力します (日付も含まれます)。

    4. オプションで、[リーガルホールドタグ] でホールドのタグを追加できます。タグは、将来的な参照や整理のためにホールドを分類するのに役立ちます。最大 50 個のタグを追加できます。

  5. 新しいリーガルホールドの設定を確認したら、[新規ホールドを追加] ボタンをクリックします。

create-legal-hold コマンドを使用してリーガルホールドを作成できます。

aws backup create-legal-hold --title "my title" \
    --description "my description" \
    --recovery-point-selection "VaultNames=string,DateRange={FromDate=timestamp,ToDate=timestamp}"

リーガルホールドを表示する

リーガルホールドの詳細は AWS Backup コンソールで、またはプログラムで確認できます。

バックアップコンソールを使用してアカウント内のすべてのリーガルホールドを表示するには、

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. ダッシュボードの左側にある [マイアカウント][リーガルホールド] をクリックします。

  3. [リーガルホールド] テーブルには、既存のホールドのタイトル、ステータス、説明、ID、作成日が表示されます。テーブルヘッダーの横にあるカラット (下矢印)をクリックすると、テーブルが、選択した列別でフィルターされます。

すべてのリーガルホールドをプログラムで表示するには、次の API コールを使用できます: ListLegalHolds および GetLegalHold

GetLegalHold には次の JSON テンプレートを使用できます。

GET /legal-holds/{legalHoldId} HTTP/1.1

Request

empty body

Response

{
    Title: string,
    Status: LegalHoldStatus, 
    Description: string, // 280 chars max
    CancelDescription: string, // this is provided during cancel // 280 chars max
    LegalHoldId: string,
    LegalHoldArn: string,
    CreatedTime: number,
    CanceledTime: number,
    
   ResourceSelection: {
        VaultArns: [ string ]
        Resources: [ string ]
   }, 
   ResourceFilters: {
        DateRange: {
          FromDate: number,
          ToDate: number
        }
   }
}

ListLegalHolds には次の JSON テンプレートを使用できます。

GET /legal-holds/
  &maxResults=MaxResults
  &nextToken=NextToken


Request

empty body
url params: 
  MaxResults: number  // optional,
  NextToken: string  // optional

status: Valid values: CREATING | ACTIVE | CANCELED | CANCELING
maxResults: 1-1000



Response

{
  NextToken: token,
  LegalHolds: [
    Title: string,
    Status: string, 
    Description: string, // 280 chars max
    CancelDescription: string, // this is provided during cancel // 280 chars max
    LegalHoldId: string,
    LegalHoldArn: string,
    CreatedTime: number,
    CanceledTime: number,
  ]

}

有効なステータス値には以下のものがあります。

ステータス 説明
CREATING リクエストされた復旧ポイントはリーガルホールドのプロセスに入っていますが、リーガルホールドの作成がまだ完了していないため、それらの復旧ポイントの削除リクエストが成功する可能性があります。
ACTIVE リーガルホールドが作成されました。このリーガルホールドに含まれるすべての復旧ポイントが保持されます。
CANCELLING リーガルホールドは削除中のため、ホールドの対象になっている復旧ポイントの削除リクエストが成功する可能性があります。
CANCELED リーガルホールドは完全に解除され、無効になっています。復旧ポイントは削除できます。

リーガルホールドを解除する

リーガルホールドは、十分なアクセス許可を持つユーザーによって削除されるまで有効です。リーガルホールドの削除は、リーガルホールドのキャンセル、解除とも呼ばれます。リーガルホールドを削除すると、そのリーガルホールドがアタッチされていたすべてのバックアップからリーガルホールドが削除されます。リーガルホールド中に期限切れになったバックアップは、リーガルホールドが削除されてから 24 時間以内に削除されます。

コンソールを使用してホールドを解除するには

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 解除に関連付ける説明を入力します。

  3. 詳細を確認し、[ホールドを解除] をクリックします。

  4. [ホールドを解除] ダイアログボックスが表示されたら、テキストボックスに [confirm] と入力してホールドを解除することを確認します。

    1. ホールドを解除することを確認するボックスにチェックを入れます。

[リーガルホールド] ページでは、すべてのホールドを確認できます。解除が成功すると、そのホールドのステータスが Released と表示されます。

プログラムでホールドを削除するには、API コール CancelLegalHold を使用します。

以下の JSON テンプレートを使用します。

DELETE /legal-holds/{legalHoldId}


Request

{
   CancelDescription: String
   DeleteAfterDays: number // optional
}


DeleteAfterDays: optional. 
  Defaults to 180 days. how long to keep legal hold record after canceled.
  This applies to the actual legal hold record only.
  Recovery points are unlocked as soon as cancelation processes and are not subject to this date.

Response 

Empty body

200 if successful
other standard codes