翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 論理エアギャップボールト
<a name="logicallyairgappedvault"></a>

## 論理エアギャップボールトの概要
<a name="lag-overview"></a>

AWS Backup には、セキュリティ機能を追加したコンテナにバックアップを保存できるセカンダリタイプのボールトが用意されています。**論理エアギャップボールト**は、特別なボールトとして、標準バックアップボールトを超えた追加のセキュリティを提供するほか、他のアカウントとボールトへのアクセスを共有できるため、リソースの迅速な復旧が必要なインシデントが発生した場合に、目標復旧時間 (RTO) を速くし、柔軟性を高めることができます。

論理エアギャップボールトには追加の保護機能が備わっています。各ボールトは [AWS 所有キー](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) (デフォルト) またはオプションでカスタマーマネージド KMS キーで暗号化され、各ボールトには[AWS Backup ボールトロック](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)のコンプライアンスモードが備わっています。暗号化キータイプの情報は、透明性とコンプライアンスレポートのために AWS Backup APIsとコンソールを通じて表示されます。

論理エアギャップボールトを[マルチパーティー承認](multipartyapproval.md) (MPA) と統合することで、ボールト所有アカウントにアクセスできない場合でもボールト内のバックアップを復旧できるため、ビジネス継続性の維持に役立ちます。さらに、 [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) (RAM) と統合して論理エアギャップボールトを他の AWS アカウント (他の組織内のアカウントを含む) と共有することで、データ損失の回復や復元[テスト](restore-testing.md)の必要に応じて、ボールト内に保存されたバックアップをボールトが共有されているアカウントから復元できます。このセキュリティ強化の一環として、論理エアギャップボールトはバックアップを AWS Backup サービス所有のアカウントに保存します (その結果、バックアップは AWS CloudTrail ログの属性項目の変更で組織外の共有として表示されます）。

論理エアギャップボールト所有アカウントが閉鎖されている (悪意のある、またはその他の方法で) シナリオでは、[閉鎖後期間](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#post-closure-period)が終了するまで、MPA 経由でボールト内のバックアップにアクセス (復元またはコピー) できます。閉鎖後期間が終了すると、バックアップにアクセスできなくなります。閉鎖後期間中は、[AWS アカウント管理ドキュメント](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-closing.html#what-to-expect-after-closure)を参照して、復旧作業中にアカウントの制御を回復できます。

耐障害性を高めるには、同じアカウントまたは別のアカウントで論理エアギャップボールトにクロスリージョンコピーを作成することをお勧めします。ただし、1 つのコピーだけを維持することでストレージコストを削減する場合は、 AWS MPA [へのオンボーディング後にプライマリバックアップを使用して論理エアギャップボールト](lag-vault-primary-backup.md)を使用できます。

論理エアギャップボールトでサポートされているサービスのバックアップのストレージ料金は、[[AWS Backup の料金]](https://aws.amazon.com/backup/pricing/) ページで確認できます。

論理エアギャップボールトにコピーできるリソースタイプについては、「[リソース別の機能の可用性](backup-feature-availability.md#features-by-resource)」を参照してください。

**Topics**
+ [論理エアギャップボールトの概要](#lag-overview)
+ [論理エアギャップボールトのユースケース](#lag-usecase)
+ [標準のバックアップボールトとの比較対照](#lag-compare-and-contrast)
+ [論理エアギャップボールトの作成](#lag-create)
+ [論理エアギャップボールトの詳細の表示](#lag-view)
+ [論理エアギャップボールトでのバックアップの作成](#lag-creation)
+ [論理エアギャップボールトの共有](#lag-share)
+ [論理エアギャップボールトからのバックアップの復元](#lag-restore)
+ [論理エアギャップボールトの削除](#lag-delete)
+ [論理エアギャップボールトのその他のプログラムオプション](#lag-programmatic)
+ [論理エアギャップボールトの暗号化キータイプについて](#lag-encryption-key-types)
+ [サービス所有キーの使用](#lag-service-owned-key)
+ [セキュリティの自動修復に関する考慮事項](#lag-security-auto-remediation)
+ [論理エアギャップボールトの問題のトラブルシューティング](#lag-troubleshoot)
+ [Primary backups to logically air-gapped vaults](lag-vault-primary-backup.md)
+ [論理エアギャップボールトのマルチパーティー承認](multipartyapproval.md)

## 論理エアギャップボールトのユースケース
<a name="lag-usecase"></a>

論理エアギャップボールトは、データ保護戦略の一環として機能するセカンダリボールトです。このボールトは、次のようなバックアップ用ボールトを希望する場合に、組織的な保持戦略と復元を強化するのに役立ちます。
+ [コンプライアンスモード](vault-lock.md)で自動的にボールトロックが設定されるもの
+ デフォルトでは、 AWS 所有キーによる暗号化が提供されます。必要に応じて、カスタマーマネージドキーを指定できます。
+  AWS RAM または MPA を介して、バックアップを作成したアカウントとは異なるアカウントと共有して復元できるバックアップが含まれます。

**考慮事項と制限事項**
+ 暗号化されていない Amazon Aurora、Amazon DocumentDB、Amazon Neptune クラスターは、暗号化されていない DB クラスタースナップショットの暗号化をサポートしていないため、論理エアギャップボールトではサポートされていません。
+ Amazon EC2 は [EC2 で許可された AMI](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-allowed-amis.html) を提供します。アカウントでこの設定が有効になっている場合は、エイリアス `aws-backup-vault` を許可リストに追加します。

   このエイリアスが含まれていない場合、論理エアギャップボールトからバックアップボールトへのコピーオペレーションと論理エアギャップボールトからの EC2 インスタンスの復元オペレーションは失敗し、「Source AMI ami-xxxxxx not found in Region」などのエラーメッセージが表示されます。
+ 論理エアギャップボールトに保存されている復旧ポイントの ARN (Amazon リソースネーム) は、基盤となるリソースタイプの代わりに `backup` を持ちます。例えば、元の ARN が `arn:aws:ec2:region::image/ami-*` で始まる場合、論理エアギャップボールトの復旧ポイントの ARN は `arn:aws:backup:region:account-id:recovery-point:*` になります。

  ARN は、CLI コマンド [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html) を使用して調べることができます。

## 標準のバックアップボールトとの比較対照
<a name="lag-compare-and-contrast"></a>

**バックアップボールト**は、 AWS Backupで使用されているプライマリ標準タイプです。バックアップが作成されると、各バックアップはバックアップボールトに保存されます。リソースベースのポリシーを割り当てて、ボールト内に保存されているバックアップのライフサイクルなど、ボールトに保存されているバックアップを管理できます。

**論理エアギャップボールト**は、セキュリティが強化され、復旧時間 (RTO) を短縮するための柔軟な共有機能を備えた特別なボールトです。このボールトには、最初に作成され、標準バックアップボールト内に保存されたプライマリバックアップまたはバックアップのコピーが保存されます。

バックアップボールトはキーで暗号化されます。これは、アクセスを、意図されているユーザーに制限するセキュリティメカニズムです。これらのキーは、カスタマー管理でも AWS マネージドでもかまいません。論理エアギャップボールトへのコピーなど、コピージョブ中の暗号化動作については、「[コピーの暗号化](encryption.md#copy-encryption)」を参照してください。

さらに、バックアップボールトはボールトロックを通じてさらに保護できます。論理エアギャップボールトには、コンプライアンスモードのボールトロックが備わっています。

バックアップボールトと同様に、論理エアギャップボールトは Amazon EC2 バックアップ[の制限付きタグ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)もサポートしています。


| 機能 | バックアップボールト | 論理エアギャップボールト | 
| --- | --- | --- | 
| [AWS Backup Audit Manager](aws-backup-audit-manager.md) |  AWS Backup Audit Manager を使用して[コントロールと修正](controls-and-remediation.md)バックアップボールトをモニタリングできます。 | 特定のリソースのバックアップが、標準[ボールトで使用できるコントロールに加えて、決定したスケジュールで少なくとも 1 つの論理エアギャップ](controls-and-remediation.md#resources-in-lag-vault-control)ボールトに保存されていることを確認します。 | 
| 「[請求](https://aws.amazon.com/backup/pricing/)」 |  AWS Backup によって完全に管理されるリソースのストレージおよびデータ転送料金は、「AWS Backup」で発生します。その他のリソースタイプのストレージおよびデータ転送料金は、それぞれのサービスで発生します。 例えば、Amazon EBS バックアップは「Amazon EBS」で発生し、Amazon S3 バックアップは「AWS Backup」で発生します。 | これらのボールト (ストレージまたはデータ転送) からのすべての請求料金は、「AWS Backup」で発生します。 | 
|   [リージョン](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region) |  AWS Backup が動作するすべてのリージョンで利用可能 | でサポートされているほとんどのリージョンで使用できます AWS Backup。現在、アジアパシフィック (マレーシア）、カナダ西部 (カルガリー）、メキシコ (中部）、アジアパシフィック (タイ）、アジアパシフィック (台北）、アジアパシフィック (ニュージーランド）、中国 (北京）、中国 (寧夏）、 AWS GovCloud (米国東部）、または AWS GovCloud (米国西部) ではご利用いただけません。 | 
|   [リソース](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources) | クロスアカウントコピーをサポートするほとんどのリソースタイプのバックアップのコピーを保存できます。 | このボールトにコピーできるリソースについては、[リソース別の機能の可用性](backup-feature-availability.md#features-by-resource) の論理エアギャップボールトの列を参照してください。 | 
|  [復元](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html) | バックアップは、ボールトが属しているのと同じアカウントで復元できます。 | ボールトが属しているのとは別のアカウントでボールトが共有されている場合、その別のアカウントでバックアップを復元できます。 | 
| [セキュリティ](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-considerations.html) |  オプションでキー (カスタマーマネージドキーまたは AWS マネージドキー) による暗号化が可能です オプションで、コンプライアンスモードまたはガバナンスモードでボールトロックを使用できます |  [AWS 所有キー](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt)またはカスタマーマネージドキーで暗号化可能 コンプライアンスモードでは常に[ボールトロック](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)でロックされます 暗号化キータイプの情報は、ボールトが AWS RAM または MPA を通じて共有されると保持され、表示されます。  | 
| [共有](#lag-share) |  アクセスはポリシーと [AWS Organizations](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html) によって管理できます と互換性がありません AWS RAM  | オプションとして、[AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) を用いてアカウント間で共有できます | 

## 論理エアギャップボールトの作成
<a name="lag-create"></a>

論理エアギャップボールトは、 AWS Backup コンソールまたは AWS Backup と AWS RAM CLI コマンドの組み合わせを使用して作成できます。

論理エアギャップには、それぞれコンプライアンスモードのボールトロックが備わっています。オペレーションに最適な保持期間値を決定するには、「[AWS Backup ボールトロック](vault-lock.md)」を参照してください。

------
#### [ Console ]

**論理エアギャップボールトをコンソールから作成する**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. ナビゲーションペインで、**[ボールト]** を選択します。

1. どちらのタイプのボールトも表示されます。**[新しいボールトを作成]** を選択します。

1. バックアップボールトの名前を入力します。保存するものがわかるような名前や、必要なバックアップを検索しやすい名前を付けることができます。例えば、`FinancialBackups` のような名前を付けます。

1. **[論理エアギャップボールト]** ラジオボタンを選択します。

1. *(オプション)* 暗号化キーを選択します。カスタマー管理の KMS キーを選択して暗号化をさらに制御することも、デフォルト AWS所有のキーを使用することもできます (推奨）。

1. **[最小保持期間]** を設定します。

   この値 (日単位、月単位、年単位) は、バックアップをこのボールトに保持できる最短期間です。保持期間がこの値より短いバックアップは、このボールトにコピーできません。

   許容される最小値は `7` 日です。月と年の値は、この最小値を満たします。

1. **[最大保持期間]** を設定します。

   この値 (日単位、月単位、年単位) は、バックアップをこのボールトに保持できる最長期間です。保持期間がこの値を超えるバックアップは、このボールトにコピーできません。

1. *(オプション)* **暗号化キー**を設定します。

   ボールトで使用するキーを指定します。**AWS 所有キー ( によって管理 AWS Backup)** を選択するか、カスタマー**マネージドキー**の ARN を入力します。この ARN は、アクセス可能な別のアカウントに属することが推奨されます。 AWS Backup は、 AWS 所有キーを使用することをお勧めします。

1. *(オプション)* 論理エアギャップボールトを検索して識別するのに役立つタグを追加します。例えば、`BackupType:Financial` というタグを追加できます。

1. **[ボールトを作成]** を選択します。

1. 設定を確認します。すべての設定が意図したとおりに表示されたら、**[論理的にエアギャップのあるボールトを作成]** を選択します。

1. コンソールに新しいボールトの詳細ページが表示されます。ボールトの詳細が想定どおりであることを確認します。

1. **[ボールト]** を選択して、アカウントのボールトを表示します。論理エアギャップボールトが表示されます。KMS キーは、ボールトの作成から約 1～3 分後に使用可能になります。ページを更新して、関連するキーを確認します。キーが表示されると、ボールトは使用可能な状態になり、使用できます。

------
#### [ AWS CLI ]

CLI からの論理エアギャップボールトの作成

を使用して AWS CLI 、論理エアギャップボールトのオペレーションをプログラムで実行できます。各 CLI は、作成元の AWS サービスに固有です。共有に関連するコマンドには `aws ram` が付加されています。他のすべてのコマンドには `aws backup` が付加される必要があります。

CLI コマンド [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-logically-air-gapped-backup-vault.html) を、以下のパラメータで変更して使用します。

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1 // optional
--backup-vault-name sampleName // required
--min-retention-days 7 // required Value must be an integer 7 or greater
--max-retention-days 35 // required
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012 // optional
--creator-request-id 123456789012-34567-8901 // optional
```

オプションの `--encryption-key-arn`パラメータを使用すると、ボールト暗号化用のカスタマーマネージド KMS キーを指定できます。指定しない場合、ボールトは AWS所有のキーを使用します。

論理エアギャップボールトを作成する CLI コマンドの例:

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--creator-request-id 123456789012-34567-8901 // optional
```

カスタマーマネージド暗号化を使用して論理エアギャップボールトを作成する CLI コマンドの例:

```
aws backup create-logically-air-gapped-backup-vault
--region us-east-1
--backup-vault-name sampleName
--min-retention-days 7
--max-retention-days 35
--encryption-key-arn arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
--creator-request-id 123456789012-34567-8901 // optional
```

作成オペレーション後の情報については、「[CreateLogicallyAirGappedBackupVault API レスポンス要素](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateLogicallyAirGappedBackupVault.html)」を参照してください。オペレーションが成功すると、新しい論理エアギャップボールトの VaultState は `CREATING` になります。

作成が完了し、KMS 暗号化キーが割り当てられると、VaultState は `AVAILABLE` に移行します。使用可能になったら、ボールトを使用できます。`VaultState` は、[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupVault.html) または [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html) を呼び出して取得できます。

------

## 論理エアギャップボールトの詳細の表示
<a name="lag-view"></a>

 AWS Backup コンソールまたは AWS Backup CLI を使用して、概要、復旧ポイント、保護されたリソース、アカウント共有、アクセスポリシー、タグなどのボールトの詳細を確認できます。

------
#### [ Console ]

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. 左側のナビゲーションペインで、**[ボールト]** を選択します。

1. ボールトの説明の下には、**このアカウントによって作成されたボールト**、**RAM を通じて共有されたボールト**、**マルチパーティー承認を通じてアクセス可能なボールトの** 3 つのリストがあります。ボールトを表示するには、目的のタブを選択します。

1. **[ボールト名]** で、ボールトの名前をクリックして詳細ページを開きます。概要、復旧ポイント、保護対象リソース、アカウント共有、アクセスポリシー、タグの詳細を表示できます。

   アカウントタイプに応じて詳細が表示されます。ボールトを所有するアカウントはアカウント共有を表示できます。ボールトを所有していないアカウントはアカウント共有を表示できません。共有ボールトの場合、暗号化キータイプ (AWS所有またはカスタマー管理の KMS キー) がボールトの概要に表示されます。

------
#### [ AWS CLI ]

CLI を通じた論理エアギャップボールト詳細の表示

CLI コマンド [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/describe-backup-vault.html) を使用して、ボールトに関する詳細を取得できます。パラメータ `backup-vault-name` は必須で、`region` はオプションです。

```
aws backup describe-backup-vault
--region us-east-1
--backup-vault-name testvaultname
```

レスポンスの例:

```
{
            "BackupVaultName": "LOG-AIR-GAP-VAULT-TEST",
            "BackupVaultArn": "arn:aws:backup:us-east-1:234567890123:backup-vault:IAD-LAGV-01",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "NumberOfRecoveryPoints": 0,
            "Locked": true,
            "MinRetentionDays": 8,
            "MaxRetentionDays": 30,
            "LockDate": "2024-07-25T16:05:23.554000-07:00"
}
```

**注記**  
論理エアギャップボールトが使用できないリージョンでは、 `VaultType`フィールドは API レスポンスに含まれません。

------

## 論理エアギャップボールトでのバックアップの作成
<a name="lag-creation"></a>

論理エアギャップボールトは、バックアッププランのコピージョブの送信先ターゲットでも、オンデマンドコピージョブのターゲットでもかまいません。また、プライマリバックアップターゲットとしても使用できます。[「論理エアギャップボールトのプライマリバックアップ](lag-vault-primary-backup.md)」を参照してください。

**互換性のある暗号化**

バックアップボールトから論理エアギャップボールトへのコピージョブが成功するためには、コピーするリソースタイプによって決定される暗号化キーが必要です。

[フルマネージドリソースタイプの](backup-feature-availability.md#features-by-resource)バックアップを作成またはコピーする場合、ソースリソースはカスタマーマネージドキーまたは AWS マネージドキーで暗号化できます。

他のリソースタイプのバックアップ ([フルマネージド型ではない](backup-feature-availability.md#features-by-resource)リソース) を作成またはコピーする場合、ソースはカスタマーマネージドキーで暗号化する必要があります。フル AWS マネージド型ではないリソースのマネージドキーはサポートされていません。

**バックアッププランを通じて論理エアギャップボールトにバックアップを作成またはコピーする**

バックアップ (復旧ポイント) を標準バックアップボールトから論理エアギャップボールトにコピーするには[、新しいバックアッププランを作成する](creating-a-backup-plan.md)か[、コンソールで既存のバックアッププランを更新する](updating-a-backup-plan.md)か、 AWS CLI コマンド[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html)と を使用します[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)。 AWS Backup バックアップをプライマリターゲットとして使用して、論理エアギャップボールトに直接作成することもできます。詳細については、[「論理エアギャップボールトへのプライマリバックアップ](lag-vault-primary-backup.md)」を参照してください。

バックアップは、論理エアギャップボールトから別の論理エアギャップボールトにオンデマンドでコピーできます (このタイプのバックアップはバックアッププランではスケジュールできません)。コピーがカスタマー管理キーで暗号化されている限り、論理エアギャップボールトから標準バックアップボールトにバックアップをコピーできます。

**論理エアギャップボールトへのオンデマンドバックアップコピー**

論理エアギャップボールトへのバックアップのワンタイムの[オンデマンド](recov-point-create-on-demand-backup.md)コピーを作成するには、標準のバックアップボールトからコピーします。リソースタイプがコピータイプをサポートしている場合は、クロスリージョンコピーまたはクロスアカウントコピーを使用できます。

**コピーの可用性**

バックアップのコピーは、ボールトが属しているアカウントから作成できます。ボールトが共有されているアカウントは、バックアップを表示または復元できますが、コピーを作成することはできません。

[クロスリージョンコピーまたはクロスアカウントコピーをサポートするリソースタイプ](backup-feature-availability.md#features-by-resource)のみを含めることができます。

------
#### [ Console ]

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. 左側のナビゲーションペインで、**[ボールト]** を選択します。

1. ボールトの詳細ページには、そのボールト内のすべての復旧ポイントが表示されます。コピーする復旧ポイントの横にチェックマークを付けます。

1. 次に **[アクション]** を選択し、ドロップダウンメニューから **[編集]** を選択します。

1. 次の画面で、コピー先の詳細を入力します。

   1. コピー先リージョンを指定します。

   1. コピー先バックアップボールトドロップダウンメニューに、対象となるコピー先ボールトが表示されます。そのうちの一つを選択し、「`logically air-gapped vault`」と入力します。

1. すべての詳細設定を完了したら、**[コピー]** を選択します。

コンソールの **[ジョブ]** ページで **[コピー]** ジョブを選択すると、現在のコピージョブを表示できます。

------
#### [ AWS CLI ]

[start-copy-job](https://amazonaws.com/aws-backup/latest/devguide/API_StartCopyJob.html) を使用して、バックアップボールトにある既存のバックアップを、論理エアギャップボールトにコピーします。

CLI 入力のサンプル:

```
aws backup start-copy-job
--region us-east-1
--recovery-point-arn arn:aws:resourcetype:region::snapshot/snap-12345678901234567
--source-backup-vault-name sourcevaultname
--destination-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:destinationvaultname
--iam-role-arn arn:aws:iam::123456789012:role/service-role/servicerole
```

------

詳細については、「[バックアップのコピー](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html)」、「[クロスリージョンバックアップ](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html)」、「[クロスアカウントバックアップ](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html)」を参照してください。

## 論理エアギャップボールトの共有
<a name="lag-share"></a>

 AWS Resource Access Manager (RAM) を使用して、指定した他のアカウントと論理エアギャップボールトを共有できます。ボールトを共有する場合、暗号化キータイプ情報 (AWS所有またはカスタマー管理の KMS キー) が保持され、ボールトが共有されているアカウントに表示されます。

ボールトは、組織のアカウントまたは別の組織のアカウントと共有できます。ボールトを組織全体と共有することはできません。共有できるのは組織内のアカウントのみです。

ボールトの共有や共有管理ができるのは、特定の IAM 権限を持つアカウントだけです。

を使用して共有するには AWS RAM、以下があることを確認します。
+ にアクセスできる 2 つ以上のアカウント AWS Backup
+ 共有対象の、ボールトを所有するアカウントには、必要な RAM アクセス許可があります。この手順にはアクセス許可 `ram:CreateResourceShare` が必要です。ポリシー `AWSResourceAccessManagerFullAccess` には、必要な RAM 関連のアクセス許可がすべて含まれています。
  + `backup:DescribeBackupVault`
  + `backup:DescribeRecoveryPoint`
  + `backup:GetRecoveryPointRestoreMetadata`
  + `backup:ListProtectedResourcesByBackupVault`
  + `backup:ListRecoveryPointsByBackupVault`
  + `backup:ListTags`
  + `backup:StartRestoreJob`
+ 少なくとも 1 つの論理エアギャップボールト

------
#### [ Console ]

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. 左側のナビゲーションペインで、**[ボールト]** を選択します。

1. ボールトの説明の下には、「**このアカウントが所有するボールト**」と「**このアカウントと共有されるボールト**」の 2 つのリストが表示されます。アカウントが所有するボールトは共有の対象となります。

1. **[ボールト名]**で、論理エアギャップボールトの名前を選択し、詳細ページを開きます。

1. **[アカウント共有]** ペインには、ボールトがどのアカウントと共有されているかが表示されます。

1. 別のアカウントとの共有を開始したり、すでに共有されているアカウントを編集したりするには、**[共有の管理]** を選択します。

1. **共有の管理**が選択されると、 AWS RAM コンソールが開きます。 AWS RAM を使用してリソースを共有する手順については、「RAM [AWS ユーザーガイド」の「RAM でのリソース共有の作成](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)」を参照してください。 *AWS *

1. 共有を受信する招待を承諾するよう招待されたアカウントは、12 時間以内にその招待を受け入れる必要があります。「**AWS RAM ユーザーガイド」の「[リソース共有の招待の承諾と拒否](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html)」を参照してください。

1. 共有手順が完了して承諾されると、ボールトの概要ページが **[アカウント共有] = [共有 - 下記のアカウント共有表をご覧ください]** の下に表示されます。

------
#### [ AWS CLI ]

AWS RAM は CLI コマンド を使用します`create-resource-share`。このコマンドにアクセスできるのは、十分なアクセス許可を持つアカウントだけです。CLI の手順については、「[AWS RAMでのリソース共有の作成](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)」を参照してください。

ステップ 1～4 は、論理エアギャップボールトを所有するアカウントで行います。ステップ 5～8 は、論理エアギャップボールトを共有するアカウントで行います。

1. 所有しているアカウントにログインするか、ソースアカウントにアクセスするための十分な認証情報を組織のユーザーに要求すると、次の手順は完了します。

   1. リソース共有が以前に作成されており、それにリソースを追加する場合は、代わりに新しいボールトの ARN とともに CLI `associate-resource-share` を使用してください。

1. RAM 経由で共有するのに十分な許可を持つロールの認証情報を取得します。[これらを CLI に入力します](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new)。

   1. この手順にはアクセス許可 `ram:CreateResourceShare` が必要です。すべての RAM 関連のアクセス許可は、ポリシー [AWSResourceAccessManagerFullAccess](https://console.aws.amazon.com/iamv2/home?region=us-east-1#/policies/details/arn%3Aaws%3Aiam%3A%3Aaws%3Apolicy%2FAWSResourceAccessManagerFullAccess) に含まれています。

1. [[create-resource-share]](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/create-resource-share.html) を選択します。

   1. 論理エアギャップボールトの ARN を含めます。

   1. 入力例:

      ```
      aws ram create-resource-share
      --name MyLogicallyAirGappedVault
      --resource-arns arn:aws:backup:us-east-1:123456789012:backup-vault:test-vault-1
      --principals 123456789012
      --region us-east-1
      ```

   1. 出力の例:

      ```
      {
         "resourceShare":{
            "resourceShareArn":"arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
            "name":"MyLogicallyAirGappedVault",
            "owningAccountId":"123456789012",
            "allowExternalPrincipals":true,
            "status":"ACTIVE",
            "creationTime":"2021-09-14T20:42:40.266000-07:00",
            "lastUpdatedTime":"2021-09-14T20:42:40.266000-07:00"
         }
      }
      ```

1. 出力内のリソース共有 ARN をコピーします (これは以降のステップで必要です)。共有の受け取りを招待するアカウントのオペレーターに ARN を渡します。

1. リソース共有 ARN を取得します

   1. ステップ 1～4 を実行しなかった場合は、実行したユーザーから resourceShareArn を入手してください。

   1. 例: `arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543`

1. CLI では、受取人のアカウントの認証情報を想定します。

1. 「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/get-resource-share-invitations.html)」を使ってリソース共有の招待を取得します。詳細については、「**AWS RAM ユーザーガイド」の「[招待の承諾と拒否](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html)」を参照してください。

1. コピー先 (リカバリ) アカウントで招待を承諾します。

   1. 「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/accept-resource-share-invitation.html)」を使用します (「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ram/reject-resource-share-invitation.html)」も可能です)。

 AWS RAM CLI コマンドを使用して、共有項目を表示できます。
+ 共有したリソース:

  `aws ram list-resources --resource-owner SELF --resource-type backup:backup-vault --region us-east-1`
+ プリンシパルを表示:

  `aws ram get-resource-share-associations --association-type PRINCIPAL --region us-east-1`
+ 他のアカウントによって共有されるリソース:

  `aws ram list-resources --resource-owner OTHER-ACCOUNTS --resource-type backup:backup-vault --region us-east-1`

------

## 論理エアギャップボールトからのバックアップの復元
<a name="lag-restore"></a>

論理エアギャップボールトに保存されているバックアップは、そのボールトを所有しているアカウントから、またはそのボールトを共有している任意のアカウントから復元できます。

 AWS Backup コンソールを通じて復旧ポイントを復元する方法については、「[バックアップの復元](https://docs.aws.amazon.com/aws-backup/latest/devguide/restoring-a-backup.html)」を参照してください。

論理エアギャップボールトからアカウントにバックアップが共有されたら、[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/start-restore-job.html) を使用してバックアップを復元できます。

サンプル CLI 入力には、次のコマンドとパラメータを含めることができます。

```
aws backup start-restore-job
--recovery-point-arn arn:aws:backup:us-east-1:accountnumber:recovery-point:RecoveryPointID
--metadata {\"availabilityzone\":\"us-east-1d\"}
--idempotency-token TokenNumber
--resource-type ResourceType
--iam-role arn:aws:iam::number:role/service-role/servicerole
--region us-east-1
```

## 論理エアギャップボールトの削除
<a name="lag-delete"></a>

「[ボールトの削除](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault)」を参照してください。バックアップ (復旧ポイント) がまだ保存されているボールとは削除できません。削除操作を開始する前に、ボールトにバックアップがないことを確認してください。

ボールトを削除すると、キー削除ポリシーに従って、ボールトが削除されてから 7 日後に、ボールトに関連付けられたキーも削除されます。

以下のサンプル CLI コマンド「[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html)」を変更して、ボールトを削除できます。

```
aws backup delete-backup-vault
--region us-east-1 
--backup-vault-name testvaultname
```

## 論理エアギャップボールトのその他のプログラムオプション
<a name="lag-programmatic"></a>

CLI コマンド「[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListBackupVaults.html)」を変更して、アカウントが所有し、アカウント内に存在するすべてのボールトを一覧表示できます。

```
aws backup list-backup-vaults
--region us-east-1
```

論理エアギャップボールトのみを一覧表示するには、以下のパラメーターを追加します

```
--by-vault-type LOGICALLY_AIR_GAPPED_BACKUP_VAULT
```

`by-shared` パラメータを含め、返されたボールトのリストをフィルタリングして、共有された論理エアギャップボールトのみを表示します。レスポンスには、各共有ボールトの暗号化キータイプ情報が含まれます。

```
aws backup list-backup-vaults
--region us-east-1
--by-shared
```

暗号化キータイプ情報を示すレスポンスの例:

```
{
    "BackupVaultList": [
        {
            "BackupVaultName": "shared-logically air-gapped-vault",
            "BackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:shared-logically air-gapped-vault",
            "VaultType": "LOGICALLY_AIR_GAPPED_BACKUP_VAULT",
            "EncryptionKeyType": "AWS_OWNED_KMS_KEY",
            "CreationDate": "2024-07-25T16:05:23.554000-07:00",
            "Locked": true,
            "MinRetentionDays": 7,
            "MaxRetentionDays": 30
        }
    ]
}
```

**注記**  
論理エアギャップボールトが利用できないリージョンでは、 `VaultType`フィールドは API レスポンスに含まれません。

## 論理エアギャップボールトの暗号化キータイプについて
<a name="lag-encryption-key-types"></a>

論理エアギャップボールトはさまざまな暗号化キータイプをサポートし、この情報は AWS Backup APIs とコンソールを通じて表示されます。または MPA AWS RAM を介してボールトを共有する場合、暗号化キータイプの情報は保持され、ボールトが共有されているアカウントに表示されます。この透明性により、ボールトの暗号化設定を理解し、バックアップおよび復元オペレーションについて情報に基づいた意思決定を行うことができます。

### 暗号化キータイプの値
<a name="encryption-key-type-values"></a>

`EncryptionKeyType` フィールドには、次の値を含めることができます。
+ `AWS_OWNED_KMS_KEY` - ボールトは AWS所有のキーで暗号化されます。これは、カスタマーマネージドキーが指定されていない場合の論理エアギャップボールトのデフォルトの暗号化方法です。
+ `CUSTOMER_MANAGED_KMS_KEY` - ボールトは、お客様が管理するカスタマー管理の KMS キーで暗号化されます。このオプションを使用すると、暗号化キーとアクセスポリシーをさらに制御できます。

**注記**  
AWS Backup では、論理エアギャップボールトで AWS 所有キーを使用することをお勧めします。
組織ポリシーでカスタマーマネージドキーを使用する必要がある場合、 AWS はテストを除き、同じアカウントのキーを使用することを推奨しません。本番ワークロードでは、復旧専用のセカンダリ組織の別のアカウントのカスタマーマネージドキーをベストプラクティスとして使用します。ブログ[「Encrypt AWS Backup logically air-gapped vaults with customer-managed keys](https://aws.amazon.com/blogs/storage/encrypt-aws-backup-logically-air-gapped-vaults-with-customer-managed-keys/)」を参照して、CMK ベースの論理エアギャップボールトの設定に関するより多くのインサイトを収集できます。
 KMS AWS 暗号化キーは、ボールトの作成時にのみ選択できます。作成されると、ボールトに含まれるすべてのバックアップはそのキーで暗号化されます。別の暗号化キーを使用するようにボールトを変更または移行することはできません。

### CMK で暗号化された論理エアギャップボールト作成のキーポリシー
<a name="key-policy-lag-vault-creation"></a>

カスタマーマネージドキーを使用して論理エアギャップボールトを作成する場合は、 AWSマネージドポリシーを`AWSBackupFullAccess`アカウントロールに適用する必要があります。このポリシーには、バックアップ AWS Backup 、コピー、ストレージオペレーション中に が KMS キーで許可を作成 AWS KMS するために とやり取りできるようにする`Allow`アクションが含まれています。さらに、カスタマーマネージドキー (使用する場合) ポリシーに特定の必要なアクセス許可が含まれていることを確認する必要があります。
+ CMK は、論理エアギャップボールトが存在するアカウントと共有する必要があります

```
{  
    "Sid": "Allow use of the key to create a logically air-gapped vault",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[account-id]:role/TheRoleToAccessAccount"  
    },  
    "Action": [  
        "kms:CreateGrant",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
   }  
}
```

**コピー/復元のキーポリシー**

ジョブの失敗を防ぐには、 AWS KMS キーポリシーを確認して、必要なすべてのアクセス許可が含まれ、オペレーションをブロックする可能性のある拒否ステートメントが含まれていないことを確認します。以下の条件が適用されます。
+ すべてのコピーシナリオで、CMKs をソースコピーロールと共有する必要があります。

```
{  
    "Sid": "Allow use of the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole"      //[Source copy role]          
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*",  
   "Condition": {  
         "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
         }  
   }  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": "arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Source copy role]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        },  
        "StringLike": {  
            "kms:ViaService": "backup.*.amazonaws.com"  
        }  
    }  
}
```
+ CMK で暗号化された論理エアギャップボールトからバックアップボールトにコピーする場合、CMK を送信先アカウント SLR と共有する必要があります。

```
{  
    "Sid": "Allow use of the key for copy from a CMK encrypted logically air-gapped vault to normal backup vault",
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
          "AWS": ["arn:aws:iam::[source-account-id]:role/service-role/AWSBackupDefaultServiceRole",      //[Source copy role]  
                  "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]   
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```
+ RAM/MPA 共有論理エアギャップボールトを使用して復旧アカウントからコピーまたは復元する場合

```
{  
    "Sid": "Allow use of the key for copy/restore from a recovery account",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole", //[Recovery account copy/restore role]
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"] //[Destination SLR]    
    },  
    "Action": [  
        "kms:Encrypt",  
        "kms:Decrypt",  
        "kms:ReEncrypt*",  
        "kms:GenerateDataKey*",  
        "kms:DescribeKey"  
    ],  
    "Resource": "*"  
},  
{  
    "Sid": "Allow AWS Backup to create grant on the key for copy",  
    "Effect": "Allow",  
    "Principal": {  
        "AWS": ["arn:aws:iam::[recovery-account-id]:role/service-role/AWSBackupDefaultServiceRole" //[Recovery account copy/restore role]    
                "arn:aws:iam::[destination-account-id]:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"], //[Destination SLR]  
                  
    },  
    "Action": [  
        "kms:CreateGrant"  
    ],  
    "Resource": "*",  
    "Condition": {  
        "Bool": {  
            "kms:GrantIsForAWSResource": "true"  
        }  
    }  
}
```

**IAM ロール**

論理エアギャップボールトコピーオペレーションを実行する場合、お客様は AWSマネージドポリシー `AWSBackupDefaultServiceRole` を含む を利用できます`AWSBackupServiceRolePolicyForBackup`。ただし、お客様が最小特権ポリシーアプローチを実装する場合は、IAM ポリシーに特定の要件を含める必要があります。
+ ソースアカウントのコピーロールには、ソース CMK と宛先 CMKs の両方へのアクセス許可が必要です。

```
{  
    "Version": "2012-10-17"		 	 	 ,		 	 	   
    "Statement": [  
         {  
            "Sid": "KMSPermissions",  
            "Effect": "Allow",  
            "Action": "kms:DescribeKey",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
        },  
        {  
            "Sid": "KMSCreateGrantPermissions",  
            "Effect": "Allow",  
            "Action": "kms:CreateGrant",  
            "Resource": [  
                "arn:aws:kms:*:[source-account-id]:key/*",  - Source logically air-gapped vault CMK -   
                "arn:aws:kms:*:[destination-account-id]:key/*".  - Destination logically air-gapped vault CMK -   
            ]  
            "Condition": {  
                "Bool": {  
                    "kms:GrantIsForAWSResource": "true"  
                }  
            }  
        },  
    ]  
}
```

したがって、最も一般的な顧客エラーの 1 つは、顧客が CMKs に対する十分なアクセス許可とコピーロールを提供しなかった場合に、コピー中に発生します。

### 暗号化キータイプの表示
<a name="viewing-encryption-key-types"></a>

暗号化キータイプの情報は、 AWS Backup コンソールと、 AWS CLI または SDKs を使用してプログラムで表示できます。

**コンソール:** AWS Backup コンソールで論理エアギャップボールトを表示すると、暗号化キータイプがセキュリティ情報セクションのボールトの詳細ページに表示されます。

**AWS CLI/API:** 暗号化キータイプは、論理エアギャップボールトをクエリするときに、次のオペレーションのレスポンスで返されます。
+ `list-backup-vaults` (共有ボールト`--by-shared`を含む)
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `list-recovery-points-by-backup-vault`
+ `list-recovery-points-by-resource`

### ボールト暗号化に関する考慮事項
<a name="encryption-key-type-considerations"></a>

論理エアギャップボールトと暗号化キータイプを使用する場合は、次の点を考慮してください。
+ **作成時のキー選択:** 論理エアギャップボールトを作成するときに、オプションでカスタマーマネージド KMS キーを指定できます。指定しない場合、 AWS所有のキーが使用されます。
+ **共有ボールトの可視性:** ボールトが共有されているアカウントは、暗号化キータイプを表示できますが、暗号化設定を変更することはできません。
+ **復旧ポイント情報:** 暗号化キータイプは、論理エアギャップボールト内の復旧ポイントを表示するときにも使用できます。
+ **復元オペレーション:** 暗号化キータイプを理解すると、復元オペレーションを計画し、潜在的なアクセス要件を理解するのに役立ちます。
+ **コンプライアンス:** 暗号化キータイプの情報は、バックアップデータに使用される暗号化方法に透明性を提供することで、コンプライアンスレポートと監査の要件をサポートします。

## サービス所有キーの使用
<a name="lag-service-owned-key"></a>

AWS Backup は、論理エアギャップボールトに保存されているすべてのバックアップデータを暗号化するために使用される暗号化キーを作成および管理し、データ損失イベント中の暗号化キーのアクセスを保護および防止します。
+ これらのキーは無料で、アカウントの AWS KMS クォータにはカウントされません。
+ 1 つのキーは特定のボールトにのみ使用され、他のアカウントや他の目的と共有されることはありません。
+ これらのキーは、割り当てられた (空の) ボールトも削除されると削除されます。
+ これらのキーは、[SYMMETRIC\$1DEFAULT キー仕様](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-choose-key-spec.html#symmetric-cmks)を使用して作成されます。
+ デフォルトのローテーションポリシーは 90 日です。サポートチケットを使用して、論理エアギャップボールトのサービス所有の暗号化キーのローテーション (6 か月に 1 回) をリクエストできます。

詳細については、 [AWS KMS ドキュメント](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)を参照してください。

## セキュリティの自動修復に関する考慮事項
<a name="lag-security-auto-remediation"></a>

が EC2 (AMI) バックアップを論理エアギャップボールト AWS Backup にコピーすると、`launchPermission`一時的に (AMI 上) と `createVolumePermission` (関連する EBS スナップショット上) をサービス所有のアカウントに付与します。これらのアクセス許可は、コピーが完了すると自動的に取り消されます。

これらのオペレーションは、 を `userIdentity.invokedBy`に設定して、 AWS CloudTrail ログに `ModifyImageAttribute`および `ModifySnapshotAttribute`イベントを生成します`backup.amazonaws.com`。

これらのイベントをモニタリングし、クロスアカウント共有を取り消すセキュリティ自動修復ロジック ( を使用した Amazon EventBridge ルールなど AWS Lambda) がある場合は、 `userIdentity.invokedBy` が であるイベントを除外する必要があります`backup.amazonaws.com`。そうしないと、論理エアギャップボールトへのジョブのコピーは「この ami のストレージにアクセスするアクセス許可がありません」で失敗します。

この除外は安全です。コピーは、EC2 属性の変更が発生する前に評価されるボールトアクセスポリシー (`backup:CopyFromBackupVault`ソースボールト`backup:CopyIntoBackupVault`と宛先ボールト) によって承認されるためです。一時的なアクセス許可は、固定 AWS サービス所有アカウントにのみ付与され、コピーが完了すると自動的に取り消されます。

 AWS Backup オペレーションを除外する EventBridge ルールイベントパターンの例:

```
{
  "source": ["aws.ec2"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["ec2.amazonaws.com"],
    "eventName": ["ModifySnapshotAttribute", "ModifyImageAttribute"],
    "userIdentity": {
      "invokedBy": [{"anything-but": "backup.amazonaws.com"}]
    }
  }
}
```

## 論理エアギャップボールトの問題のトラブルシューティング
<a name="lag-troubleshoot"></a>

ワークフロー中にエラーが発生した場合は、次のエラー例と推奨される解決策を参照してください。

### `EC2 AMI copy job to logically air-gapped vault fails with permission error`
<a name="w2aac15c13c31b5"></a>

**エラー: ** `Copy job fails with "You do not have permission to access the storage of this ami."`

**考えられる原因:** 論理エアギャップボールトへの EC2 AMI コピージョブ中に、 は AWS Backup 一時的に起動アクセス許可 (AMI) を付与し、サービス所有アカウントにボリュームアクセス許可 (EBS スナップショット) を作成して、 AWS CloudTrail ログに イベント`ModifyImageAttribute`と `ModifySnapshotAttribute`イベントを生成します。これらのイベントをモニタリングし、クロスアカウント共有アクセス許可を自動的に取り消すセキュリティ自動修復ロジック (Lambda を使用した EventBridge ルールなど) がある場合、コピーが完了する前に一時的なアクセスを削除できます。

**注記**  
これは、Amazon FSx などの他のリソースのコピージョブでも同様に発生する可能性があります。

**解決策:** EventBridge ルールイベントパターンを更新して、 によって実行されたオペレーションを除外します AWS Backup。具体的に`userIdentity.invokedBy`は、 が であるイベントを除外`backup.amazonaws.com`して、自動修復ロジックがコピープロセス中に が付与する AWS Backup 一時的なクロスアカウントアクセス許可を取り消しないようにします。

### `AccessDeniedException`
<a name="w2aac15c13c31b7"></a>

**エラー: ** `An error occured (AccessDeniedException) when calling the [command] operation: Insufficient privileges to perform this action."`

**考えられる原因:** RAM によって共有されたボールトで次のリクエストのいずれかが実行されたときに、`--backup-vault-account-id` パラメータが含まれていませんでした。
+ `describe-backup-vault`
+ `describe-recovery-point`
+ `get-recovery-point-restore-metadata`
+ `list-protected-resources-by-backup-vault`
+ `list-recovery-points-by-backup-vault`

**解決策:** エラーを返したコマンドを再試行します。ただし、ボールトを所有するアカウントを指定するパラメータ `--backup-vault-account-id` を含めます。

### `OperationNotPermittedException`
<a name="w2aac15c13c31b9"></a>

**エラー:** `CreateResourceShare` を呼び出した後に `OperationNotPermittedException` が返されます。

**考えられる原因:** 論理エアギャップボールトなどのリソースを別の組織と共有しようとすると、この例外が発生する可能性があります。ボールトは別の組織のアカウントと共有できますが、他の組織自体と共有することはできません。

**解決策:** 組織または OU の代わりに `principals` の値としてアカウントを指定して、オペレーションを再試行します。

### 暗号化キータイプが表示されない
<a name="w2aac15c13c31c11"></a>

**問題:** 論理エアギャップボールトまたはその復旧ポイントを表示すると、暗号化キータイプは表示されません。

**考えられる原因:**
+ 暗号化キータイプのサポートが追加される前に作成された古いボールトを表示している
+ 古いバージョンの AWS CLI または SDK を使用している
+ API レスポンスに暗号化キータイプフィールドが含まれていない

**解決策**:
+ を最新バージョン AWS CLI に更新する
+ 古いボールトの場合、暗号化キータイプは自動的に入力され、以降の API コールに表示されます。
+ 暗号化キータイプ情報を返す正しい API オペレーションを使用していることを確認します。
+ 共有ボールトの場合、ボールトが を介して適切に共有されていることを確認します。 AWS Resource Access Manager

### CloudTrail ログの AccessDeniedException を使用した「FAILEDVaultState
<a name="w2aac15c13c31c13"></a>

**CloudTrail のエラー:** `"User: <assumed role> is not authorized to perform: kms:CreateGrant on this resource because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access"`

**考えられる原因:**
+ ボールトはカスタマーマネージドキーを使用して作成されましたが、引き受けたロールには、ボールト作成にキーを使用するために必要なキーポリシーに対する CreateGrant アクセス許可がありません

**解決策**:
+ [CMK で暗号化された論理エアギャップボールト作成のキーポリシー](#key-policy-lag-vault-creation) セクションで指定されたアクセス許可を付与し、ボールト作成ワークフローを再試行します。

# Primary backups to logically air-gapped vaults
<a name="lag-vault-primary-backup"></a>

## 概要
<a name="lag-primary-backup-overview"></a>

論理エアギャップボールトのプライマリバックアップ機能では、スケジュールされたバックアップジョブとオンデマンドバックアップジョブの両方について、論理エアギャップボールトを同じアカウント内のプライマリバックアップ先として指定できます。これにより、標準のバックアップボールトと論理エアギャップボールトの両方に別々のコピーを維持する必要がなくなり、論理エアギャップのセキュリティ上の利点を維持しながらコストを削減し、ワークフローを簡素化できます。

論理エアギャップボールトは、バックアッププラン、組織全体のポリシー、またはオンデマンドバックアップのプライマリターゲットとして割り当てることができます。以前は、論理エアギャップボールトにバックアップするには、まずバックアップボールトにバックアップを作成し、論理エアギャップボールトにコピーする必要がありました。この機能 AWS Backup を使用すると、リソースタイプに応じて、論理エアギャップボールトでバックアップを直接作成することも、論理エアギャップボールトにコピーされて削除される一時バックアップを自動的に管理することもできます。

動作は 2 つの要因によって異なります。
+ リソースタイプが論理エアギャップボールトでサポートされているかどうか。
+ リソースタイプが[フル AWS Backup 管理](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#full-management)をサポートしているかどうか。

**警告**  
この機能を採用する場合は、論理エアギャップボールトを[マルチパーティー承認](https://docs.aws.amazon.com/aws-backup/latest/devguide/multipartyapproval.html) (MPA) と統合することをお勧めします。これにより、ボールト所有者アカウントにアクセスできない場合でも、ボールト内のバックアップを復元できます。

この機能には新しい料金はありません。論理エアギャップボールトに保存されているバックアップと、該当するリソースの一時スナップショット (システム内の保持期間中) に対してのみ、一般的な料金が請求されます。詳細については、[AWS Backup 料金](https://aws.amazon.com/backup/pricing/)を参照してください。

**Topics**
+ [概要](#lag-primary-backup-overview)
+ [仕組み](#lag-primary-backup-how-it-works)
+ [コストに関する考慮事項](#lag-primary-backup-cost)
+ [論理エアギャップボールトのプライマリバックアップを設定する](#lag-primary-backup-configure)
+ [論理エアギャップボールトのプライマリバックアップをモニタリングする](#lag-primary-backup-monitor)
+ [オンボーディングと移行](#lag-primary-backup-onboarding)
+ [トラブルシューティング](#lag-primary-backup-troubleshooting)

## 仕組み
<a name="lag-primary-backup-how-it-works"></a>

この機能にオンボードするには、既存のバックアッププランを更新するか、新しいバックアッププランを作成し、論理エアギャップボールト ARN (フィールド名: `TargetLogicallyAirGappedBackupVaultArn`) をプライマリバックアップターゲットとして追加します。このオペレーションは、 AWS Backup コンソールまたは AWS Backup CLI コマンドを使用して実行できます。

```
"TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:AirGappedVault",
```

バックアップボールトと論理エアギャップボールトの両方をバックアップジョブのターゲットとして指定すると、 はリソースタイプと暗号化設定に基づいて適切なワークフロー AWS Backup を決定します。

![\[alt text not found\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/images/lag-vault-primary-backup-execution.png)


**論理エアギャップボールトへのプライマリバックアップでサポートされているリソース**  
論理エアギャップボールトでサポートされているリソースの完全なリストを表示するには、[AWS Backup 「 機能の可用性」を参照してください](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-for-all-resources)。論理エアギャップボールトをサポートするすべてのリソースは、この機能を使用する場合、2 つの個別のコピーを保存するのではなく、バックアップのコピーを 1 つだけ保持するという原則に従います。

**警告**  
この機能で現在サポートされていないリソースでは、将来サポートが有効になる可能性があります。この場合、新しくサポートされたリソースは、上記のワークフローを使用して論理エアギャップボールトで自動的にバックアップを開始します。

**考慮事項と制限事項:**  

+ **同じアカウントとリージョンのみ** – 論理エアギャップボールトは、この機能を使用するには、リソースと同じ AWS アカウントとリージョンに存在する必要があります。バックアップを直接クロスアカウントまたはクロスリージョンで作成することはできません。コピーを必要とせずにより迅速に復旧できるように、同じリージョンの論理エアギャップボールトにバックアップすることをお勧めします。ディザスタリカバリ (DR) の 2 番目のリージョンでデータのコピーが必要な場合は、高速フェイルオーバーのためにプライマリリソースのクロスリージョンレプリケーションを行うか、ロックされたバックアップボールトへのクロスリージョンリカバリポイントコピーを行うことをお勧めします。
+ ** AWS マネージドキーの使用に関する制約 – **フル AWS Backup 管理をサポートしておらず、 AWS マネージドキー (、 など`aws/rds`) で暗号化されたリソースは`aws/ebs`、論理エアギャップボールトにコピーできません。これらのリソースは、カスタマーマネージド KMS キーで暗号化するか、暗号化されていない必要があります。フル AWS Backup 管理をサポートするリソース**には、この制約はありません。**
+ **バックアップ頻度と同時コピー** – フル AWS Backup 管理をサポートしていないリソースについては、バックアップ頻度でコピーが完了するまでの十分な時間を確保してください。バックアップがコピーが終了するよりも頻繁にスケジュールされている場合、コピージョブはキューに入れられ、最終的に失敗する可能性があります。同時コピーの制限に関するガイダンスについては、[「クォータ」を参照してください](aws-backup-limits.md#lag-vault-quotas-table)。
+ **ライフサイクルの互換性** – バックアッププランで指定された保持期間は、論理エアギャップボールトに設定された最小および最大保持期間と互換性がある必要があります。
+ **ロックされたバックアップボール**ト – ターゲットバックアップボールトでボールトロックが有効になっている場合、一時復旧ポイントは手動で削除できず、コピーが完了するか保持期間が終了するまで保持されます。
+ **復元テスト、インデックス作成、スキャン** – 復元テスト、復旧ポイントインデックス作成、マルウェアスキャンでは、`DELETE_AFTER_COPY`ライフサイクルの一時的な復旧ポイントが無視されます。復旧ポイントインデックス作成は、論理エアギャップボールトの復旧ポイントをサポートしていません。マルウェアスキャンは、コピーされた復旧ポイントのスケジュールされたスキャンをサポートしていません。これには、論理エアギャップボールトへのプライマリバックアップの一部として作成された自動コピーが含まれます。

### フル AWS Backup 管理をサポートするリソース
<a name="lag-primary-backup-full-management"></a>

フル AWS Backup 管理をサポートする Amazon EFS、Amazon S3、[AWS Backup Amazon](https://docs.aws.amazon.com/aws-backup/latest/devguide/advanced-ddb-backup.html) DynamoDB などの一部のリソースタイプは、論理エアギャップボールトに直接バックアップできます。バックアップボールトに復旧ポイントが作成されず、コピー操作も必要ありません。バックアッププランのスケジュールされたコピーアクションでは、論理エアギャップボールトの復旧ポイントをソースとして使用します。

Amazon S3 などの継続的バックアップをサポートするリソースは、論理エアギャップボールトに直接継続的バックアップを実行することもできます。

フル AWS Backup 管理と論理エアギャップボールトをサポートするリソースタイプのリストについては、「フル管理」と「論理エアギャップボールト」というラベルの列の[「リソースごとの機能の可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)」を参照してください。

### リソースがフル AWS Backup 管理をサポートしていない
<a name="lag-primary-backup-not-full-management"></a>

Amazon EBS/EC2、Amazon Aurora、Amazon FSx などのリソースは、論理エアギャップボールトに直接バックアップできません。これらのリソースタイプでは、 はバックアップボールトに一時的な復旧ポイント AWS Backup を作成し、論理エアギャップボールトに自動的にコピーします。

一時復旧ポイントには、 という特別なライフサイクル設定があります`DELETE_AFTER_COPY`。論理エアギャップボールトへのコピーが正常に完了すると、 は一時復旧ポイント AWS Backup を自動的に削除します。バックアッププランの他のスケジュールされたコピーアクションはすべて、論理エアギャップボールトへのコピーと並行して開始され、現在のコピーエクスペリエンスには影響しません。

論理エアギャップボールトへのコピーが失敗した場合、一時復旧ポイントは、指定した保持期間に従ってバックアップボールトに保持されます。これにより、バックアップジョブの完了後に常に使用可能な復旧ポイントを確保できます。復旧ポイントが後で論理エアギャップボールトに手動でコピーされた場合、`DELETE_AFTER_COPY`ルールに従って自動的にクリーンアップされます。

**警告**  
 AWS マネージドキー ( など`aws/ebs`) で暗号化されたリソースは、論理エアギャップボールトへのコピーではサポートされていません。これらのリソースは、 AWS Key Management Service カスタマーマネージドキーで暗号化するか、暗号化されていない必要があります。フル AWS Backup 管理をサポートするリソースには、この制約はありません。

#### コピーライフサイクル後に削除する
<a name="lag-primary-backup-delete-after-copy"></a>

一時的な復旧ポイントには、 という値`DeleteAfterEvent`を持つ新しいライフサイクル属性があります`DELETE_AFTER_COPY`。この属性は、すべてのコピージョブが完了した後、または指定した保持期間のいずれか早い方後に復旧ポイントが自動的に削除されることを示します。

次の条件がすべて満たされると、一時的な復旧ポイントが削除されます。
+ 自動コピージョブとスケジュールされたコピージョブがすべて完了しました。
+ 少なくともソース復旧ポイントの保持期間を持つ、ターゲットの論理エアギャップボールトへの完了したコピージョブがあります。

コピーの進行中に一時復旧ポイントを手動で削除しないようにする必要がある場合は、ロックされたバックアップボールトをターゲットのバックアップボールトとして使用することを検討してください。

#### リソースの継続的なバックアップがフル AWS Backup 管理をサポートしていない
<a name="lag-primary-backup-continuous-backup"></a>

Amazon Aurora などのリソースの場合、継続的バックアップを有効にすると、 はバックアップボールトに継続的リカバリポイント AWS Backup を作成し、論理エアギャップボールトにコピーされる一時スナップショットを作成します。バックアップボールトに継続的な復旧ポイントを保持するため、コピーが成功したか失敗したかに関係なく、コピーの完了後に一時スナップショットが自動的に削除されます。

バックアップボールトに Amazon Aurora の継続的リカバリポイントを作成するのではなく、論理エアギャップボールトに Amazon S3 の継続的リカバリポイントを作成する場合は、現在のプランで継続的バックアップ (`EnableContinuousBackup`) 設定を無効にし、別のプランから S3 継続的を有効にすることができます。

Aurora バックアップストレージの詳細については、[「Amazon Aurora バックアップストレージの使用状況について](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-storage-backup.html#aurora-storage-backup.automated)」を参照してください。

### サポートされていないデータソース
<a name="lag-primary-backup-unsupported"></a>

リソースタイプが論理エアギャップボールトでサポートされていない場合、または完全に管理されていないリソースが AWS マネージドキーで暗号化されている場合、 はバックアップボールトにのみバックアップ AWS Backup を作成します。論理エアギャップボールトのコピーは試行されません。バックアップジョブが正常に完了し、バックアップが論理エアギャップボールトに移動しなかった理由を示すメッセージが表示されます。

## コストに関する考慮事項
<a name="lag-primary-backup-cost"></a>
+ この機能は新しい料金を発生させません。ボールト内のストレージに対してのみ料金が発生します。
+ フル AWS Backup 管理をサポートするリソースの場合、論理エアギャップボールトでのみバックアップを維持すると、バックアップボールトと論理エアギャップボールトの両方に 2 つのバックアップコピーを維持するよりも、大幅なコスト削減につながります。
+ フル AWS Backup 管理をサポートしていないリソースの場合、バックアップボールトの一時復旧ポイントと論理エアギャップボールトの復旧ポイントの両方に対して課金されます。
  + 1 つのバックアップコピーのみを保持することで大幅なコスト削減を実現できますが、これらの削減はバックアップの頻度と変更率によって異なる場合があります。
  + バックアップ頻度を低くすると、通常、一時的な復旧ポイントが請求期間の短い割合でストレージを占めるため、削減額が大きくなります。
  + 一部のリソースには最小請求期間があるため、一時的な復旧ポイントのコストが増加します。
+ これらの S3 機能を使用しない場合は、バックアップ設定でタグまたは ACLs メタデータの取得を無効にします。これにより、コピーオペレーション中のメタデータチェックの API コールと関連する料金が削減されます。

## 論理エアギャップボールトのプライマリバックアップを設定する
<a name="lag-primary-backup-configure"></a>

論理エアギャップボールトのプライマリバックアップは、 AWS Backup コンソール、、 AWS CLI AWS CloudFormationまたは AWS Organizations バックアップポリシーを使用して設定できます。

### バックアッププランを設定する
<a name="lag-primary-backup-configure-plan"></a>

------
#### [ Console ]

**バックアッププランの論理エアギャップボールトプライマリバックアップを設定するには**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com//backup) で AWS Backup コンソールを開きます。

1. ナビゲーションペインで、**バックアッププラン**を選択し、**バックアッププランの作成**を選択するか、編集する既存のバックアッププランを選択します。

1. Backup **ルール設定**セクションで、バックアップルール設定を指定します。

1. Backup **ボールト**では、一時復旧ポイントが保存されるバックアップボールト (完全に管理されていないリソースの場合) または論理エアギャップボールトに配置することができないバックアップが保存されるバックアップボールトを選択します。

1. **論理エアギャップボールト (オプション)** では、バックアップを保存する論理エアギャップボールトを選択します。
**注記**  
論理エアギャップボールトは、バックアップボールトと同じアカウントとリージョンに存在する必要があります。

1. ライフサイクルオプションやコピーオプションなど、残りのバックアップルール設定を構成します。

1. **計画の作成**または**変更の保存**を選択します。

------
#### [ AWS CLI ]

CLI コマンドを使用して新しいプラン[https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#create-backup-plan-cli)を作成するか、既存のプラン[https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UpdateBackupPlan.html)を更新し、バックアップルールに `TargetLogicallyAirGappedBackupVaultArn`パラメータを含めます。

JSON ドキュメントを使用してバックアッププランを作成する CLI コマンドの例:

```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```

CLI でバックアッププランを直接作成するための CLI コマンドの例:

```
aws backup create-backup-plan --backup-plan '{
  "BackupPlanName": "MyPlan",
  "Rules": [
    {
      "RuleName": "MyRule",
      "TargetBackupVaultName": "MyBackupVault",
      "TargetLogicallyAirGappedBackupVaultArn": "arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault",
      "ScheduleExpression": "cron(0 1 ? * * *)",
      "ScheduleExpressionTimezone": "America/Los_Angeles",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 120,
      "Lifecycle": {
        "DeleteAfterDays": 35
      }
    }
  ]
}'
```

------

### オンデマンドバックアップを設定する
<a name="lag-primary-backup-configure-ondemand"></a>

------
#### [ Console ]

**オンデマンドバックアップ用に論理エアギャップボールトプライマリバックアップを設定するには**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com//backup) で AWS Backup コンソールを開きます。

1. ナビゲーションペインで、**[保護されたリソース]** を選択します。

1. **保護されたリソース**ページで、**オンデマンドバックアップの作成**を選択します。

1. バックアップするリソースタイプとリソース ARN を選択します。

1. **Backup ボールト**で、バックアップボールトを選択します。

1. **論理エアギャップボールト (オプション)** では、バックアップを保存する論理エアギャップボールトを選択します。

1. 残りの設定を構成し、**オンデマンドバックアップの作成**を選択します。

------
#### [ AWS CLI ]

新しい`--logically-air-gapped-backup-vault-arn`パラメータで start-backup-job コマンドを使用します。

```
aws backup start-backup-job \
  --backup-vault-name MyBackupVault \
  --logically-air-gapped-backup-vault-arn arn:aws:backup:us-east-1:123456789012:backup-vault:MyLagVault  \
  --resource-arn arn:aws:ec2:us-east-1:123456789012:volume/vol-abcd1234  \
  --iam-role-arn arn:aws:iam::123456789012:role/service-role/AWSBackupDefaultServiceRole  \
  --lifecycle DeleteAfterDays=35
```

------

## 論理エアギャップボールトのプライマリバックアップをモニタリングする
<a name="lag-primary-backup-monitor"></a>

 AWS Backup コンソール、または Amazon EventBridge イベントを使用して AWS CLI、バックアップとコピージョブのステータスをモニタリングできます。

### バックアップジョブのモニタリング
<a name="lag-primary-backup-monitor-backup-jobs"></a>

バックアップジョブのステータス ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DescribeBackupJob.html)) をモニタリングして、リソースが保護されていることを確認します。バックアップジョブが失敗した場合は、復旧ポイントが作成されていないことを示します。
+ **復旧ポイントの作成場所の確認** - バックアップジョブが正常に完了すると、ターゲットのバックアップボールトまたはターゲットの論理エアギャップボールトのいずれかに復旧ポイントがあります。`BackupVaultArn` フィールドをチェックして、復旧ポイントが作成された場所を確認します。
+ **ジョブステータスの確認** - リソースが論理エアギャップボールトでサポートされていない場合、バックアップジョブは `MessageCategory``LOGICALLY_AIR_GAPPED_BACKUP_VAULT_NOT_SUPPORTED`の と、バックアップボールトでバックアップが作成された理由を説明するステータスメッセージで完了します。
+ **一時的な復旧ポイントタイプを検証する** - 復旧ポイントが一時的なものであるかどうかを確認するには、値が の `RecoveryPointLifecycle.DeleteAfterEvent`フィールドを探します`DELETE_AFTER_COPY`。

### コピージョブのモニタリング
<a name="lag-primary-backup-monitor-copy-jobs"></a>

論理エアギャップボールトへのコピージョブ ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html)) の障害をモニタリングします。コピージョブが失敗した場合、復旧ポイントは論理エアギャップボールト保護なしで標準バックアップボールトに残ります。
+ **コピージョブのステータスを確認する** - 既存の `Copy Job State Change` EventBridge イベントを使用してコピージョブのステータスをモニタリングできます。必要に応じて、送信先ボールト (`destinationBackupVaultArn`) をフィルタリングして、論理エアギャップボールトコピーに焦点を当てます。
+ **ソース復旧ポイントのコピーを検証する** - 新しい`BySourceRecoveryPointArn`フィルターで [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListCopyJobs.html) API を使用して、論理エアギャップボールトへの自動コピーと他の宛先へのスケジュールされたコピーの両方を含む、特定の復旧ポイントに関連付けられたすべてのコピージョブを検索します。
+ **一時的な復旧ポイントの削除を確認する** - 一時的な復旧ポイントの削除の完了を追跡します。コピージョブの状態が の場合`RUNNING`、復旧ポイントはまだ削除されていません。論理エアギャップボールトへのコピーに がある場合`FAILED`、復旧ポイントは指定された保持期間ごとに保持されます。

**注記**  
コピージョブレコードの有効期限が切れ、終了してから 30 日後に削除されます。この期間を過ぎる`ListCopyJobs`と、 を使用して過去のコピーステータスを判断できなくなります。

### 復旧ポイントのモニタリング
<a name="lag-primary-backup-monitor-recovery-points"></a>

`EXPIRED` 復旧ポイント ([https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_ListRecoveryPointsByBackupVault.html)) をモニタリングします。これは、 AWS Backup が復旧ポイントを削除できなかったことを示している可能性があります (おそらくアクセス許可がないためです）。`EXPIRED`復旧ポイントはコストに影響する可能性があります。
+ **復旧ポイントの状態を確認する** - 既存の復旧ポイントの状態変更 EventBridge イベントを使用して有効期限をモニタリングします。
+ **一時復旧ポイントの削除を確認する** - を含む復旧ポイントが削除されていない場合`DeleteAfterEvent: DELETE_AFTER_COPY`は、 `ListCopyJobs` API を使用して、前述のように理由を特定します。

## オンボーディングと移行
<a name="lag-primary-backup-onboarding"></a>

現在コピーアクションを使用して論理エアギャップボールトにバックアップをコピーしている場合は、論理エアギャップボールトのプライマリバックアップに移行してコストを削減できます。既存の Amazon S3 継続的バックアップをバックアップボールトから論理エアギャップボールトに移行することもできます。このガイドでは、論理エアギャップボールトのプライマリバックアップ機能に移行するために必要な前提条件と手順について説明します。

### 前提条件とベストプラクティス
<a name="lag-primary-backup-prerequisites"></a>

論理エアギャップボールトのプライマリバックアップ機能を効果的に使用する前に、前提条件と推奨されるベストプラクティスがあります。

**前提条件**  


現在、プライマリバックアップターゲットとしての論理エアギャップボールトは、バックアップリソースと同じ AWS アカウントと AWS リージョン内のバックアップのみをサポートします。論理エアギャップボールトバックアップは、本質的に別々のサービスアカウントに格納されるため、別のアカウントにコピーすることなく、クロスアカウント/クロスOrg 分離が可能になります。クロスリージョンバックアップが必要な場合は、論理エアギャップボールトをコピー先として使用し続けます。この機能に移行する前に、次の要件を満たしていることを確認してください。
+ **リージョンとアカウントの要件**
  + 論理エアギャップボールトは、リソースと同じ AWS アカウントとリージョンに存在する必要があります
+ **リソースの互換性**
  + リソースごとの[機能の可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)で、リソースが論理エアギャップボールトでサポートされていることを確認します。
  + リソースが[完全な AWS Backup 管理](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)をサポートしているかどうかを確認します。エアギャップバックアップの作成経験は、両方の結果に似ていますが、これら 2 つのタイプのリソース間で異なります。
+ **暗号化要件**
  + 完全な AWS Backup 管理をサポートしていないリソースは、暗号化されていないか、カスタマーマネージドキー (CMKs) で暗号化されている必要があります。 AWS マネージドキー (AMK) で暗号化されたリソースは、論理エアギャップボールトではサポートされていません。

**ベストプラクティス**  

+ 重要でないリソースのパイロット移行から始めます。
+ コピージョブのパフォーマンスに基づいてバックアップ頻度を確認して調整します。
+ 完全な移行前に包括的なモニタリングを実装します。
+ 目的のボールトで復旧ポイントの作成を定期的に検証します。

### 移行の計画
<a name="lag-primary-backup-planning"></a>
+ 既存のバックアッププランとポリシーを確認します。
+ 完全な AWS Backup 管理をサポートするリソースとサポートしないリソースを特定します。
  + フル AWS Backup 管理をサポートするリソース (EFS、S3 など) - 論理エアギャップボールトに直接バックアップできます
  + フル AWS Backup 管理をサポートしていないリソース (EC2、EBS、FSx など) - 論理エアギャップボールトにコピーする前に、バックアップボールトに一時バックアップが必要です
+ 現在のバックアップボリュームと頻度を確認し、設定がフル AWS Backup 管理をサポートしていないすべてのリソースの同時コピー制限と一致していることを確認します。
  + このステップをスキップする 論理エアギャップボールトに標準ボールトバックアップと同じ頻度で既にコピーしている場合。
  + コピージョブのキューイングを防ぐために、必要に応じてバックアップ頻度を調整することを検討してください。
  + コピージョブキューイングが発生した場合でも、論理エアギャップボールトへのコピーの完了を待っている間、標準のバックアップボールトに使用可能な復旧ポイントがあります。ただし、その復旧ポイントは、論理エアギャップボールトが提供する保護レベルを提供しません。

### 完全な AWS Backup 管理移行パスをサポートするリソース
<a name="lag-primary-backup-full-management-migration"></a>

フルマネージドリソースの場合、コピー操作を必要とせずに、論理エアギャップボールトに直接バックアップできます。

#### スナップショットベースのバックアップの場合
<a name="lag-primary-backup-snapshot-migration"></a>

このプロセスは、バックアップボールトがロックされているかどうかにかかわらず、すべてのスナップショットシナリオに適用されます。既存のバックアッププランを移行する場合、または新しいバックアッププランで既存のバックアップボールト (プライマリ) と論理エアギャップボールト (コピー) を使用する場合:

1. 既存のバックアップボールトを維持するか、バックアップターゲット () として追加します`TargetBackupVaultName`。このボールトにはバックアップは保存されませんが、下位互換性のために提供する必要があります。

1. バックアッププランを更新して、同じアカウントに存在する論理エアギャップボールト (`TargetLogicallyAirGappedBackupVaultArn`) をプライマリターゲットとして含めます。

1. 別の論理エアギャップボールトへの既存のコピーアクションを確認して、まだ必要かどうかを判断します。このボールトが同じアカウントにある場合は、ステップ 2 でプライマリターゲットとして移動することもできます。

#### Amazon S3 継続的バックアップの場合
<a name="lag-primary-backup-s3-continuous-migration"></a>

プライマリバックアップターゲットとしての論理エアギャップボールトは、Amazon S3 の継続的バックアップをサポートします。ただし、1 つのボールトでリソースごとに 1 つのアクティブな継続的復旧ポイントのみを維持できます。既存のアクティブな Amazon S3 継続的復旧ポイントがある場合は、別のボールトに新しいポイントを作成する前に、関連付けを解除または削除する必要があります。論理エアギャップボールトターゲット (同じアカウントから) を既存のアクティブな Amazon S3 継続的復旧ポイントでバックアッププランに追加すると、継続的バックアップジョブが失敗します。

Amazon S3 の継続的復旧ポイントを、**ロック解除されたバックアップボールトから論理エアギャップボールト**に移行するには:

1. バックアッププランを更新して、論理エアギャップボールトにコピーアクションを追加します。これにより、論理エアギャップボールトで初期バックアップを生成するコストを削減できます。ローカルの論理エアギャップボールトにすでにコピーしている場合は、このステップをスキップします。

1. 続行する前に、論理エアギャップボールトで少なくとも 1 つのスナップショットコピーが正常に完了していることを確認します。

1. 既存の Amazon S3 継続的復旧ポイントの関連付けを解除します。[DisassociateRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html) API を呼び出して、復旧ポイントのステータスを AVAILABLE から STOPPED に変更します。このアクションは、新しいデータの追加を停止しながら、既存のバックアップデータを保持します。

1. バックアッププランを更新して、論理エアギャップボールト (`TargetLogicallyAirGappedBackupVaultArn`) をバックアップターゲットとして追加します。

1. プラン内の以前のコピーアクションをすべて削除します。

1. 次のバックアッププランの実行時に、論理エアギャップボールトに新しい継続的復旧ポイントが作成されます。この復旧ポイントは、ステップ 1 からコピーされたスナップショットに基づいて増分されます。

Amazon S3 の継続的復旧ポイントを、**ロックされたバックアップボールトから論理エアギャップボールト**に移行するには:

1. バックアッププランを更新して、論理エアギャップボールトにコピーアクションを追加します。これにより、論理エアギャップボールトで初期バックアップを生成するコストを削減できます。ローカルの論理エアギャップボールトにすでにコピーしている場合は、このステップをスキップします。

1. 続行する前に、論理エアギャップボールトで少なくとも 1 つのスナップショットコピーが正常に完了していることを確認します。コピーしたスナップショットに、すべてのステップを完了するまで使用可能な保持期間があることを確認します。

1. 論理エアギャップボールトをプライマリターゲットとして追加し、コピーアクションを削除します。

   1. ロックされたボールトは継続的な復旧ポイントの関連付け解除をサポートしていないため、このステップは必須です。

   1. ロックされたバックアップボールトの既存の継続的復旧ポイントは、ライフサイクルに従って期限切れになるまでデータの蓄積を続けます。

   1. リソースごとに 1 つのアクティブな継続的復旧ポイントしか存在できないため、新しい継続的バックアップジョブは失敗します。これらのジョブは失敗するため、コピーアクションは実行されません。

1. 既存の継続的復旧ポイントの有効期限が切れるまで待ちます。有効期限切れになると、論理エアギャップボールトに新しい継続的復旧ポイントが作成されます。この復旧ポイントは、スナップショットが論理エアギャップボールトにまだ存在する場合、ステップ 1 からコピーされたスナップショットに基づいて増分されます。

1. 標準ボールトに蓄積されたデータは、有効期限が切れると失われます。論理エアギャップボールトで新しい復旧ポイントの作成後にバックアップされたデータのみが保持されます。

### 完全な AWS Backup 管理移行パスをサポートしていないリソース
<a name="lag-primary-backup-not-full-management-migration"></a>

完全に管理されていないリソースには、論理エアギャップボールトへのコピーオペレーションが必要です。このプロセスでは、標準バックアップボールトに一時的な復旧ポイント (請求可能) が作成され、論理エアギャップボールトに自動的にコピーされ、コピーが完了すると削除されます。論理エアギャップボールトターゲットを含めるようにバックアッププランを更新する場合:
+ バックアップジョブは、バックアップボールトに復旧ポイントを作成します。これには、`DELETE_AFTER_COPY`イベントによって決まるライフサイクルがあります。
+ コピージョブは、論理エアギャップボールトへの復旧ポイントの転送を自動的に開始します。
+ コピーが正常に完了すると、ボールトの一時復旧ポイントが削除されます。
+ コピーが失敗した場合、一時復旧ポイントは指定された保持期間に従って最大期間保持されるため、使用可能な復旧ポイントが確保されます。

## トラブルシューティング
<a name="lag-primary-backup-troubleshooting"></a>

### バックアップジョブまたはコピージョブがライフサイクル非互換性エラーで失敗する
<a name="lag-primary-backup-troubleshoot-lifecycle"></a>

**バックアップジョブのエラー:** `Backup job failed because the lifecycle is outside the valid range for backup vault.`

**コピージョブのエラー:** `Copy job failed. The retention specified in the job is not within the range specified for the target Backup Vault.`

**考えられる原因:** 保持期間が論理エアギャップボールトの最小または最大保持設定と互換性がないため、バックアップジョブまたはコピージョブが失敗します。

**解決策:** バックアッププランを更新して、論理エアギャップボールトに設定された最小保持期間と最大保持期間以内の保持期間を指定します。

### 「既に継続的バックアップが有効になっています」で継続的バックアップジョブが失敗する
<a name="lag-primary-backup-troubleshoot-continuous"></a>

**エラー: ** `Bucket {bucket_name} already has continuous backup enabled for another vault Backup job failed.`

**考えられる原因:** 別のボールトにリソースの継続的な復旧ポイントがすでに存在するため、継続的なバックアップジョブが失敗します。

**解決策:** 各リソースには 1 つの継続的復旧ポイントのみを含めることができます。バックアップボールトがロック解除されている場合は、[disassociate-recovery-point](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DisassociateRecoveryPoint.html) コマンドを使用して、既存の継続的復旧ポイントの関連付けを解除します。バックアップボールトがロックされている場合は、ライフサイクルに従って既存の継続的復旧ポイントの有効期限が切れるまで待ちます。

### バックアップジョブが「Completed with issues」で完了 - サポートされていないリソースタイプ
<a name="lag-primary-backup-troubleshoot-unsupported-resource"></a>

**メッセージ**: `Backup job completed successfully to the target backup vault. This resource type is not supported by logically air-gapped backup vault.`

**考えられる原因:** サポートされていない完全マネージド型リソースのバックアップジョブは、リソースがサポートされていないことを示すメッセージとともに「問題で完了した」と表示されます。

**解決策:** サポートされていないリソースタイプは、バックアップボールトにのみバックアップされます。これらのバックアップをバックアップボールトに保持する場合、アクションは必要ありません。サポートされていないリソースを論理エアギャップボールトと組み合わせたくない場合は、次のことができます。
+ これらのリソースのバックアッププランからリソースまたは論理エアギャップボールトターゲットを削除し、バックアップボールトにのみバックアップを続行します。その後、リソースを別のプランの一部として追加できます。

### バックアップジョブが「問題で完了」で完了 - サポートされていない暗号化キー
<a name="lag-primary-backup-troubleshoot-encryption-key"></a>

**メッセージ**: `Backup job completed successfully to the target backup vault. This resource is encrypted with an AWS managed key and cannot be copied to a logically air-gapped backup vault.`

**考えられる原因:** サポートされていない完全マネージド型リソースのバックアップジョブは、リソースが AWS マネージドキーで暗号化されていることを示すメッセージとともに「問題で完了した」と表示されます。

**解決策:** マネージドキーで暗号化された完全 AWS マネージド型以外のリソースは、論理エアギャップボールトにコピーできません。これらのバックアップをバックアップボールトに保持する場合、アクションは必要ありません。サポートされていないリソースを論理エアギャップボールトと組み合わせたくない場合は、次のことができます。
+ カスタマーマネージド KMS キーを使用してリソースを再暗号化する、または
+ これらのリソースのバックアッププランからリソースまたは論理エアギャップボールトターゲットを削除し、バックアップボールトにのみバックアップを続行します。その後、リソースを別のプランの一部として追加できます。

### 復旧ポイントは `EXPIRED`状態のままです
<a name="lag-primary-backup-troubleshoot-expired-recovery-points"></a>

**考えられる原因:** 一時的な復旧ポイントが `EXPIRED`状態に移行しますが、削除されません。

**解決策:** AWS Backup 復旧ポイントを削除するアクセス許可がない可能性があります。バックアップロールに必要な IAM アクセス許可があることを確認します。`expired` 復旧ポイントを手動で削除する必要がある場合があります。

### バックアップ頻度が高いため、コピージョブがキューに入っているか失敗する
<a name="lag-primary-backup-troubleshoot-queued-jobs"></a>

**考えられる原因:** 論理エアギャップボールトへのコピージョブは、コピーが完了するよりも頻繁にバックアップがスケジュールされるため、キューイングまたは失敗しています。

**解決策:** バックアップ間隔を短くするか、バックアップスケジュールを調整してバックアップ間隔を長くします。同時コピーの制限については、[AWS Backup クォータのドキュメント](aws-backup-limits.md#lag-vault-quotas-table)を参照してください。

# 論理エアギャップボールトのマルチパーティー承認
<a name="multipartyapproval"></a>



## 論理エアギャップボールトでのマルチパーティー承認の概要
<a name="multipartyapproval-overview"></a>

AWS Backup には、 の機能である[マルチパーティー承認](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) AWS Organizationsを論理エアギャップボールトに追加するオプションがあります。マルチパーティー承認には、分散承認プロセスを通じて重要なオペレーションを保護するのに役立つ追加のオプションがあります。

マルチパーティー承認は、重要なリソースを保護し、悪意のある攻撃者やマルウェアイベントによる中断など、フルオペレーションに戻るまでの時間を最小限に抑えるように設計されています。この設定は、侵害された可能性のある論理エアギャップボールトの内容を復元するのに役立ちます。

 AWS Backup の論理エアギャップボールトを使用したマルチパーティー承認チームの統合と使用には追加料金はかかりません ([料金](https://aws.amazon.com/backup/pricing)ページに示されているように、ストレージとクロスリージョンの転送料金が適用されます)。

 AWS Backup 顧客は、マルチパーティー承認を使用して、プライマリアカウントの使用を侵害する可能性のある悪意のあるアクティビティが疑われる場合に、個別に作成された復旧アカウントから論理エアギャップボールトへのアクセスを共同で承認できる信頼された個人のグループに、一部のオペレーションの承認機能を付与できます。

次の手順では、復旧用の AWS 組織を設定し、マルチパーティー承認を設定し、論理エアギャップボールトでマルチパーティー承認を使用するための推奨フローの概要を示します。

1. 管理者は [Organizations で新しい組織を作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)し、復旧オペレーションに使用します。

1. この新しい組織の管理アカウントで、管理者は IAM アイデンティティセンター (IDC) インスタンスを作成して設定します (組織インスタンスを有効にするには、「*IAM Identity Center ユーザーガイド*」の「[IAM アイデンティティセンターを有効にする](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)」を参照してください。「*マルチパーティー承認ユーザーガイド*」の「[マルチパーティー承認の ID ソースを作成する](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)」のシーケンスも参照してください。

1. 次に、管理者は、マルチパーティー承認のプライマリユーザーとなる信頼できる個人のコアグループである[承認チームを作成します](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html)。

1. 管理者は AWS RAM を使用して[、論理エアギャップボールトを所有する各アカウントと、そのボールトへのアクセスをリクエストする必要がある復旧アカウントと承認チームを共有](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)します。

1. 論理エアギャップボールト所有アカウントの管理者は、[ボールトを承認チームに関連付け](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)ます。

1. 復旧アカウントは、関連するマルチパーティー承認チーム (「チーム」) と論理エアギャップボールトを持つアカウントへの[アクセスをリクエストします](multipartyapproval-tasks-requester.md#create-restore-access-vault)。アカウントに関連付けられたチームが[リクエストを承認または拒否します](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html)。

1. 論理エアギャップボールトを所有するアカウントの管理者は、[承認チームとボールトの関連付け解除](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)をリクエストできます。リクエストには、現在のチームの承認が必要です。

1. 管理者は、セキュリティプラクティスに従って、またはユーザーが組織に加わったり組織を離れたりするときに、必要に応じて[承認チームのメンバーシップを更新](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html)できます。

## 論理エアギャップボールトでマルチパーティー承認を使用するための前提条件とベストプラクティス
<a name="multipartyapproval-prerequisites"></a>

論理エアギャップボールトでマルチパーティー承認を効果的かつ安全に使用するには、前提条件と推奨されるベストプラクティスがあります。

**ベストプラクティス:**
+ Organizations を通じて 2 つ (またはそれ以上) の AWS 組織。1 つは、論理エアギャップボールトが 1 つ以上のアカウントがあるプライマリ組織である必要があります。セカンダリ組織は復旧組織である必要があります。この組織では、マルチパーティー承認チームが管理されます。

**前提条件**

1. [マルチパーティー承認を設定](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)し、少なくとも 1 つの承認チームがある。

1. プライマリ組織内の少なくとも 1 つのアカウントには、論理エアギャップボールト (および元のバックアップボールト) が必要です。

1. プライマリ組織の管理アカウントは、マルチパーティー承認にオプトインされます。
**ヒント**  
AWS Backup では、サービスコントロールポリシー (SCP) をプライマリ組織に適用し、組織と各承認チームに適切なアクセス許可で設定することをお勧めします。サンプルポリシーについては、「[マルチパーティー承認の用語](#multipartyapproval-terms)」セクションを参照してください。

1. セカンダリ (復旧) 組織のマルチパーティー承認チームは、論理エアギャップボールトを所有するアカウントおよび復旧アカウントの両方と[AWS RAMを通じて共有されます](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

## マルチパーティー承認を使用する場合のクロスリージョンの考慮事項と依存関係
<a name="multipartyapproval-cross-region"></a>

マルチパーティー承認と IAM アイデンティティセンターインスタンスを異なるリージョンで有効にすると、マルチパーティー承認はリージョン間で IAM アイデンティティセンターを呼び出します。つまり、ユーザーとグループの情報はリージョン間で転送されます。マルチパーティー承認チームリソースは、 AWS リージョン 米国東部 (バージニア北部) でのみ作成および保存できます。

マルチパーティー承認チームのリソースを参照 AWS リージョン するその他の は、 AWS リージョン 米国東部 (バージニア北部) によって異なります。したがって、アイデンティティセンターインスタンスや論理エアギャップボールトが米国東部 (バージニア北部) にない場合、マルチパーティー承認はクロスリージョン呼び出しを行います。

## マルチパーティー承認の用語、概念、ユーザーペルソナ
<a name="multipartyapproval-terms"></a>

論理エアギャップボールトでのマルチパーティー承認は AWS Organizations、、 AWS アカウント管理、および を AWS Identity and Access Management (IAM) および AWS RAM (RAM) 機能 AWS Backupと共に統合したものです。CLI を使用することで、各サービスとやり取りして適切なコマンドを送信できます。コンソールを使用することもできますが、特定のタスクを完了するには、適切なサービスのコンソールに移動する必要があります。

マルチパーティー承認の操作方法は、組織での役割と責任と、 AWS Backup アカウントで持っているアクセス許可によって異なります。

「[マルチパーティー承認ユーザーガイド](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)」に示されているように、マルチパーティー承認を使用する組織のメンバーは、***リクエスタ***、***管理者***、または***承認者***のいずれかになります。特定のアクセス許可は、各[職務機能](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html)に適用されます。セキュリティのベストプラクティスに従って、ユーザーは 1 つの職務機能のみを遂行する必要があります。

 **コンソール、ポータル、セッション** 

AWS Backup 論理エアギャップボールトが 1 つ以上の アカウントでは、マルチパーティー承認を使用できます。

マルチパーティー承認プロセスの前に、管理者は を使用して、復旧用のセカンダリ組織 (**復旧組織**) を以前に設定していない場合は AWS Organizations 作成します。

次に、管理者は AWS Resource Access Manager (RAM) を使用して、プライマリ組織と復旧組織間の組織間共有を設定します。

**プライマリ組織**は、保護されたデータを保存する論理エアギャップボールトを所有および使用するアカウントのホームです。

復旧組織には、少なくとも 1 つの**復旧アカウント**があります。このアカウントには、共有される論理エアギャップボールトへの重要な「バックドア」として機能するアクセスポイントが格納されています。このアクセスポイントは、**復元アクセスバックアップボールト**と呼ばれます。このアクセスボールトはデータを保存しません。代わりに、ソースの論理エアギャップボールトの内容をミラーリングするアクセスポイントまたはマウントポイントとして機能しますが、変更または削除できるデータは含まれません。例えば、お客様が復元アクセスバックアップボールトの復旧ポイントの復元プロセスを実行した場合、復旧アカウントを介してクロスアカウント復元によって復元されるのは論理エアギャップボールトの復旧ポイントです。

セキュリティを強化するために、お客様はこの復旧アカウントを使用してプライマリアカウントで保護されたオペレーションを実行しますが、それらのオペレーションは[承認セッションで関連する承認チーム](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources)によって承認された後にのみ実行されます。セッションは、承認リクエストが送信され AWS ると によって作成され、そのセッションは、承認チームメンバーのしきい値がリクエストを承認または拒否したとき、または許可されたセッション時間が経過したときに終了します。

チームは、保護されたオペレーションリクエストの E メール通知を受け取る**承認者** (実質的には、マルチパーティー承認の*当事者*部分) で構成されます。これらの E メールは、リクエストの承認セッションが開始されたことを確認します。承認に必要な最少人数に達すると承認が付与されます。この人数のしきい値は、**マルチパーティー承認チーム** (「チーム」) の作成時に設定できます。

マルチパーティー承認チームは、Organizations **マルチパーティー承認ポータル** (「ポータル」) を通じて管理されます。これは、承認チームメンバーが承認チームの招待やオペレーションリクエストを受信して応答できる一元的な場所を ID に提供する AWS マネージドアプリケーションです。

# 管理タスク
<a name="multipartyapproval-tasks-administrator"></a>

 AWS Backup とマルチパーティーの概要に関連するいくつかのタスクでは、管理者アクセス許可と管理アカウントへのアクセス権を持つユーザーが必要です。

## 承認チームを作成する
<a name="create-multipartyapproval-team"></a>

 AWS アカウントの管理者権限を持つ組織のユーザーは、[マルチパーティー承認を設定](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)する必要があります ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 3)。

このステップを実行する前に、 AWS Organizations ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 1) を通じてプライマリ組織とセカンダリ組織の両方を設定しておくことがベストプラクティスとして推奨されます。

「*マルチパーティー承認ユーザーガイド*」の「[Create an approval team](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)」を参照してチームを作成します。

[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html) オペレーションにおいて、パラメータの 1 つに `policies` があります。これは、チームを保護するアクセス許可を定義するマルチパーティー承認リソースポリシーの ARN (Amazon リソースネーム) のリストです。

「*マルチパーティー承認ユーザーガイド*」の「[Create an approval team](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)」の手順の例に示すポリシーには、必要ないくつかのアクセス許可を持つ `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` ポリシーが含まれています。

`mpa list-policies` を使用して使用可能なポリシーのリストを返すには、次の手順に従います。

1. ポリシーのリストを取得します。

   ```
   aws mpa list-policies --region us-east-1
   ```

1. すべてのポリシーバージョンのリストを取得します。

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. ポリシーの詳細を取得します。

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

以下を展開して、このオペレーションによって作成され、承認チームにアタッチされるポリシーを確認してください。

### アクセスボールトポリシーを復元する
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## を使用してマルチパーティー承認チームを共有する AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

[AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) [の概要](multipartyapproval.md#multipartyapproval-overview)のステップ 4 を使用して、マルチパーティー承認チームを他の AWS アカウントと共有できます。

------
#### [ Console ]

**を使用してマルチパーティー承認チームを共有する AWS RAM**

1. [AWS RAM コンソール](https://console.aws.amazon.com/ram/home?region=us-east-1) にサインインします。

1. ナビゲーションペインで、**[リソース共有]** を選択します。

1. **[リソースの共有の作成]** を選択します。

1. **[名前]** にリソース共有のわかりやすい名前を入力します。

1. **[リソースタイプ]** で、ドロップダウンメニューから **[複数当事者承認チーム]** を選択します。

1. **[リソース]** で、共有する承認チームを選択します。

1. **プリンシパル**で、承認チームを共有する AWS アカウントを指定します。

1. 特定の AWS アカウントと共有するには、**AWS アカウント**を選択し、12 桁のアカウント IDsを入力します。

1. 組織または組織単位と共有するには、**[組織]** または **[組織単位]** を選択し、適切な ID を入力します。

1. (*オプション*) **[タグ]** で、このリソース共有に関連付けるタグを追加します。

1. **[リソースの共有の作成]** を選択します。

リソース共有のステータスは、最初は `PENDING` と表示されます。受信者アカウントが招待を承諾すると、ステータスは `ACTIVE` に変わります。

------
#### [ CLI ]

CLI AWS RAM を使用してマルチパーティー承認チームを共有するには、次のコマンドを使用します。

まず、共有する承認チームの ARN を特定します。

```
aws mpa list-approval-teams --region us-east-1
```

create-resource-share コマンドを使用してリソース共有を作成します。

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

特定のアカウントではなく組織と共有するには、次のコマンドを使用します。

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

作成したリソース共有のステータスを確認します。

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

受信者アカウントでリソース共有の招待を承諾する必要があります。

```
aws ram get-resource-share-invitations --region us-east-1
```

受信者アカウントで招待を承諾します。

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

招待が承諾されると、マルチパーティー承認チームが受信者アカウントで使用できるようになります。

------

AWS には、 [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)や[マルチパーティー](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html)アクセスなど、アカウントアクセスを共有するためのツールが用意されています。論理エアギャップボールトを別のアカウントと共有する場合は、次の詳細を考慮してください。


| 機能 | AWS RAM ベースの共有 | マルチパーティー承認ベースのアクセス | 
| --- | --- | --- | 
| 論理エアギャップボールトへのアクセス | RAM による共有が完了すると、ボールトにアクセスできます。 | 別のアカウントによる試行は、所定数のマルチパーティー承認チームメンバーによって承認される必要があります。承認セッションは、リクエストが開始されてから 24 時間後に自動的に期限切れになります。 | 
| アクセスの削除 | 論理エアギャップボールトを所有するアカウントは、いつでも RAM ベースの共有を終了できます。 | ボールトへのアクセスは、マルチパーティー承認チームへのリクエストによってのみ削除できます。 | 
| アカウントやリージョン間でのコピー | 現在サポートされていません。 | バックアップは、同じアカウント内でコピーすることも、復旧アカウントと同じ組織内の他のアカウントにコピーすることもできます。 | 
| クロスリージョン転送の料金請求 |  | クロスリージョン転送の料金は、復元アクセスバックアップボールトを所有するのと同じアカウントに請求されます。 | 
| 推奨用途 | 主な用途は、データ損失の復旧と復元テストです。 | 主な用途は、アカウントアクセスやセキュリティが侵害された疑いがある状況です。 | 
| リージョン |  AWS リージョン 論理エアギャップボールトがサポートされているすべての で使用できます。 |  AWS リージョン 論理エアギャップボールトがサポートされているすべての で使用できます。 | 
| 復元 | サポートされているすべてのリソースタイプは、共有アカウントから復元できます。 | サポートされているすべてのリソースタイプは、共有アカウントから復元できます。 | 
| セットアップ | 共有は、 AWS Backup アカウントが RAM 共有を設定し、受信側アカウントが共有を受け入れるとすぐに発生する可能性があります。 | 共有するには、管理アカウントがまずチームを作成し、次に RAM 共有を設定する必要があります。次に、管理アカウントはマルチパーティー承認にオプトインし、そのチームを論理エアギャップボールトに割り当てます。 | 
| 共有 |  共有は、同じ AWS 組織内または AWS 組織全体の RAM を通じて行われます。 アクセスは、論理エアギャップボールトを所有するアカウントが最初にアクセスを許可する「プッシュ」モデルに従って付与されます。次に、もう一方のアカウントでアクセスを承諾します。  |  論理エアギャップボールトへのアクセスは、同じ AWS 組織内または組織全体の Organizations がサポートする承認チームを通じて行われます。 アクセスは「プル」モデルに従って付与されます。このモデルでは、受信側アカウントが最初にアクセスをリクエストし、承認チームがリクエストを許可または拒否します。  | 

# リクエスタタスク
<a name="multipartyapproval-tasks-requester"></a>

## マルチパーティー承認チームを論理エアギャップボールトに関連付ける
<a name="associate-multipartyapproval-team"></a>

リクエスタ: **論理エアギャップボールトを所有するアカウントへのアクセス権を持つユーザー**。

マルチパーティー承認チームを論理エアギャップボールトに関連付けて、ボールトへのアクセスに対する共同承認を有効にすることができます ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 5)。

------
#### [ Console ]

**マルチパーティー承認チームを論理エアギャップボールトに関連付ける**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. 左側のナビゲーションペインの **[バックアップボールト]** セクションに移動します。

1. MPA チームに関連付ける論理エアギャップバックアップボールトを選択します。

1. **[ボールトの詳細]** ページで、**[承認チームを割り当て]** を選択します。

1. ドロップダウンメニューから、ボールトに関連付ける承認チームを選択します。

1. *オプション* 関連付けの理由を説明するコメントを入力します。

1. **[リクエストを送信]** を選択して、関連付けリクエストを送信します。

これがボールトに関連付けられた最初の承認チームである場合、チームはボールトに関連付けられます。ボールトに既に関連付けられたチームがある場合は、「[マルチパーティー承認チームを更新する](#update-multpartyapproval-team)」の手順を参照してください。

------
#### [ CLI ]

CLI コマンド `associate-backup-vault-mpa-approval-team` を、以下のパラメータで変更して使用します。

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

これがボールトに関連付けられた最初の承認チームである場合、チームはボールトに関連付けられます。ボールトに既に関連付けられたチームがある場合は、「[マルチパーティー承認チームを更新する](#update-multpartyapproval-team)」の手順を参照してください。

------

## 論理エアギャップボールトへのアクセスをリクエストする
<a name="create-restore-access-vault"></a>

リクエスタ: **復旧アカウントにアクセスできるユーザー**。

別のアカウントの論理エアギャップボールトへのアクセスをリクエストできます ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 6)。

承認チームがリクエストを付与すると、 は指定された復旧アカウントに復元アクセスバックアップボールト AWS Backup を作成し、接続された論理エアギャップボールトの復旧ポイントにアカウントがアクセスできるようにします。

------
#### [ Console ]

**論理エアギャップボールトへのアクセスをリクエストする**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. 左側のナビゲーションペインの **[バックアップボールト]** セクションに移動します。

1. **[MPA を通じてアクセス可能なボールト]** タブを選択します。

1. **[ボールトアクセスをリクエスト]** を選択します。

1. アクセスする論理エアギャップボールトのソースバックアップボールト ARN を入力します。

1. 復元アクセスバックアップボールトのオプションの名前を入力します。名前を入力しない場合、 AWS Backup は論理エアギャップボールトの名前に基づいて名前を割り当てます。

1. アクセスリクエストの理由を説明する、任意のリクエスタコメントを入力します。

1. **[リクエストを送信]** を選択して、アクセスリクエストを送信します。

ソースボールトに関連付けられた承認チームメンバーは、リクエストを承認するための E メール通知を受け取ります。

リクエストが必要な数 (「しきい値」) のチームメンバーによって承認されると、復元アクセスバックアップボールトが復旧アカウントに作成されます。

------
#### [ CLI ]

`create-restore-access-backup-vault` CLI コマンドを使用します。

```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

ソースボールトに関連付けられた MPA 承認チームメンバーは、リクエストを承認するための通知を受け取ります。リクエストが必要な数 (「しきい値」) のチームメンバーによって承認されると、復元アクセスバックアップボールトが復旧アカウントに作成されます。

また、次のコマンドを使用してボールトのステータスを確認できます。

```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```

------

## マルチパーティー承認チームの論理エアギャップボールトとの関連付けを解除する
<a name="disassociate-multipartyapproval-team"></a>

リクエスタ: **論理エアギャップボールトを所有するアカウントの管理者**。

マルチパーティー承認チームの論理エアギャップボールトとの関連付けを解除できます ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 7)。

------
#### [ Console ]

**論理エアギャップボールトから承認チームの関連付けを解除する**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. 左側のナビゲーションペインの **[バックアップボールト]** セクションに移動します。

1. 承認チームの関連付けを解除する論理エアギャップバックアップボールトを選択します。

1. **[ボールトの詳細]** ページで、**[承認チームの関連付けを解除]** を選択します。

1. 関連付け解除の理由を説明する、任意のリクエスタコメントを入力します。

1. **[リクエストを送信]** を選択して、関連付け解除リクエストを送信します。

現在の承認チームメンバーは、リクエストを承認するための通知を受け取ります。

必要な数のチームメンバーによって承認されると、チームのボールトとの関連付けが解除されます。

------
#### [ CLI ]

`disassociate-backup-vault-mpa-approval-team` CLI コマンドを使用します。

```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

現在の MPA 承認チームメンバーは、リクエストを承認するための通知を受け取ります。必要な数のチームメンバーによって承認されると、チームのボールトとの関連付けが解除されます。

------

## 復元アクセスバックアップボールトを取り消す
<a name="revoke-restore-access-vault"></a>

リクエスタ: **論理エアギャップボールトを所有するアカウントの管理者**。

ソースボールトアカウントから復元アクセスバックアップボールトへのアクセスを取り消すことができます。

------
#### [ Console ]

**復元アクセスバックアップボールトを取り消す**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. 左側のナビゲーションペインの **[バックアップボールト]** セクションに移動します。

1. アクセスを取り消す論理エアギャップバックアップボールトを選択します。

1. **[ボールトの詳細]**ページで、**[複数当事者承認によるアクセス]** セクションまで下へスクロールします。

1. 取り消す復元アクセスバックアップボールトを選択し、**[ボールトアクセスの削除をリクエスト]** を選択します。

1. 取り消しの理由を説明する、任意のリクエスタコメントを入力します。

1. **[リクエストを送信]** を選択して、取り消しリクエストを送信します。

承認チームメンバーは、リクエストを承認するための通知を受け取ります。

必要な数のチームメンバーによって承認されると、復元アクセスバックアップボールトは復旧アカウントから削除されます。

------
#### [ CLI ]

まず、ソースボールトに関連付けられた復元アクセスバックアップボールトのリストを表示します。

```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```

`revoke-restore-access-backup-vault` CLI コマンドを使用します。

```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

承認チームメンバーは、リクエストを承認するための通知を受け取ります。必要な数のチームメンバーによって承認されると、復元アクセスバックアップボールトは復旧アカウントから削除されます。

------

## 論理エアギャップボールトに関連付けられたマルチパーティー承認チームを更新する
<a name="update-multpartyapproval-team"></a>

リクエスタ: **論理エアギャップボールトを所有するアカウントの管理者**。

論理エアギャップボールトに関連付けられたマルチパーティー承認チームを更新できます ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 8)。

------
#### [ Console ]

**論理エアギャップボールトに関連付けられた承認チームを更新する**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。

1. 左側のナビゲーションペインの **[バックアップボールト]** セクションに移動します。

1. 承認チームを更新する論理エアギャップバックアップボールトを選択します。

1. [ボールトの詳細] ページで、**[承認チームの変更をリクエスト]** を選択します。

1. ドロップダウンメニューから、ボールトに関連付ける新しい承認チームを選択します。

1. 変更の理由を説明する、任意のリクエスタコメントを入力します。

1. **[リクエストを送信]** を選択して、変更リクエストを送信します。

現在の承認チームメンバーは、リクエストを承認するための E メール通知を受け取ります。

現在の MPA チームから必要な数 (しきい値) のチームメンバーによって承認されると、新しいチームはボールトに関連付けられます。

------
#### [ CLI ]

新しいチームの ARN を指定して `associate-backup-vault-mpa-approval-team` CLI コマンドを使用します。

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

現在の承認チームメンバーは、リクエストを承認するための通知を受け取ります。現在のチームから必要な数 (しきい値) のチームメンバーによって承認されると、新しい MPA チームがボールトに関連付けられます。

------

# 承認者タスク
<a name="multipartyapproval-tasks-approver"></a>

マルチパーティー承認チームのメンバーであるユーザーは、セッションに含まれる[リクエストを承認または拒否](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html)できます。その他のタスクは次のとおりです。
+ [リクエストされたオペレーションに応答する](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [承認チームを表示する](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [オペレーション履歴を表示する](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)