複数の にわたる AWS Backup リソースの管理 AWS アカウント - AWS Backup
クロスアカウント管理の概要Organizations での管理アカウントの作成クロスアカウント管理の有効化バックアップポリシー 委任管理者複数の AWS アカウントでのアクティビティのモニタリングリソースのオプトインルールポリシー、ポリシーの構文、およびポリシー継承の定義

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

複数の にわたる AWS Backup リソースの管理 AWS アカウント

注記

AWS アカウント の複数の にまたがるリソースを管理する前に AWS Backup、アカウントは AWS Organizations サービス内の同じ組織に属している必要があります。

クロスアカウント管理の概要

のクロスアカウント管理機能を使用して、 で AWS アカウント 設定した 全体のバックアップ、復元、コピージョブ AWS Backup を管理およびモニタリングできます AWS Organizations。 AWS Organizationsは、単一の管理アカウント AWS アカウント から複数の のポリシーベースの管理を提供するサービスです。これにより、バックアップポリシーの実装方法を標準化し、手作業によるエラーと労力を同時に最小化することができます。一元的なビューから、関心のある条件を満たす、すべてのアカウントのリソースを簡単に識別できます。

をセットアップすると AWS Organizations、すべてのアカウントのアクティビティを 1 か所でモニタリング AWS Backup するように を設定できます。バックアップポリシーを作成して、組織の一部である選択したアカウントに適用し、 AWS Backup コンソールから直接バックアップジョブアクティビティの集計を表示することもできます。この機能により、バックアップ管理者は、単一の管理アカウントから、企業全体の何百ものアカウントのバックアップジョブのステータスを効果的にモニタリングできます。AWS Organizations クォータが適用されます。

たとえば、特定のリソースのバックアップを毎日作成し、そのバックアップを 7 日間保持するバックアップポリシー A を定義するとします。バックアップポリシー A は組織全体に適用することを選択します。これにより、組織内の各アカウントにそのバックアップポリシーが適用され、そのアカウントに表示される、対応するバックアッププランが作成されます。次に、Finance という名前の OU を作成し、バックアップを 30 日間だけ保持することにしました。この場合、ライフサイクル値を上書きするバックアップポリシー B を定義し、その Finance OU にアタッチします。これにより、指定されたすべてのリソースのバックアップを毎日作成し、それを 30 日間保持する新しい有効なバックアッププランが、Finance OU のすべてのアカウントに適用されます。

この例では、バックアップポリシー A とバックアップポリシー B が単一のバックアップポリシーにマージされ、これにより Finance という名前の OU の下にあるすべてのアカウントの保護戦略が定義されます。組織内の他のすべてのアカウントは、バックアップポリシー A によってそのまま保護されます。マージは、同じバックアップ名を共有するバックアップポリシーに対してのみ行われます。また、ポリシー A とポリシー B をマージせずにそのアカウントに共存させることができます。高度なマージ演算子は、コンソールの JSON ビューでのみ使用できます。マージポリシーの詳細については、ポリシー、ポリシーの構文、およびポリシー継承の定義 ユーザーガイドの「AWS Organizations 」を参照してください。その他のリファレンスとユースケースについては、ブログ「 AWS Organizations を使用した での大規模なバックアップの管理 AWS Backup」およびビデオチュートリアルAWS Organizations 「 を使用した での大規模なバックアップの管理 AWS Backup」を参照してください。

クロスアカウント管理機能が利用可能な場所については、AWS 「リージョン別の機能の可用性」を参照してください。

クロスアカウント管理を使用するには、次のステップを実行する必要があります。

  1. で管理アカウントを作成し AWS Organizations 、管理アカウントにアカウントを追加します。

  2. でクロスアカウント管理機能を有効にします AWS Backup。

  3. 管理アカウントの AWS アカウント すべての に適用するバックアップポリシーを作成します。

    注記

    組織によって管理されるバックアッププランの場合、委任された管理者アカウントが 1 つ以上設定されていたとしても、管理アカウントでのリソースオプトイン設定がメンバーアカウントでの設定よりも優先されます。委任された管理者アカウントは、機能が強化されたメンバーアカウントであり、管理アカウントのように設定を上書きすることはできません。

  4. すべての でバックアップ、復元、コピージョブを管理します AWS アカウント。

クロスアカウント管理は、クロスアカウントモニタリング、クロスアカウントバックアップ、バックアップポリシー、委任管理者アカウントで構成されます。これらの要素のすべてがすべてのリージョンで利用できるわけではありません。

オプトイン AWS リージョン が必要な でのクロスアカウント管理には、クロスアカウントモニタリングとバックアップポリシーへのアクセスが含まれます。委任された管理者アカウントはポリシーを起動できますが、モニタリング機能にはアクセスできません。

クロスアカウントモニタリング クロスアカウントバックアップ バックアップポリシー 委任管理者
現在利用できるリージョン 中国 (北京)、中国 (寧夏)、 AWS GovCloud (米国東部)、 AWS GovCloud (米国西部) AWS リージョン を除くすべての商用 。 中国 (北京) と中国 (寧夏) AWS リージョン を除くすべての商用 。 「」の「クロスアカウント管理」列に AWS リージョン リストされているすべての による機能の可用性 AWS リージョン

すべての商用 のバックアップポリシーにアクセスできます AWS リージョン が、オプトインが必要なクロスアカウントモニタリングは実行できません。
内容

    Organizations での管理アカウントの作成

    まず、組織を作成し、 AWS のメンバーアカウントで設定する必要があります AWS Organizations。

    で管理アカウントを作成し AWS Organizations 、アカウントを追加するには

    クロスアカウント管理の有効化

    でクロスアカウント管理を使用する前に AWS Backup、管理アカウントでこの機能を有効にする (つまり、オプトインする) 必要があります。管理アカウントがクロスアカウント管理を有効にしたら、複数のアカウントのリソースを管理するバックアップポリシーを作成できます。

    クロスアカウント管理を有効にするには

    1. https://console.aws.amazon.com/backup/ AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。

    2. 左側のナビゲーションペインで [設定] を選択して、クロスアカウント管理ページを開きます。

    3. [バックアップポリシー] セクションで [有効] を選択します。

      これにより、すべてのアカウントにアクセスでき、組織内の複数のアカウントの同時管理を自動化するためのポリシーを作成できます。

    4. [クロスアカウントモニタリング] セクションで、[有効にする] を選択します。

      これにより、組織内のすべてのアカウントのバックアップ、コピー、および復元アクティビティを管理アカウントからモニタリングできます。

    バックアップポリシー

    バックアッププランと AWS Organizationsのポリシーのスケーラビリティを組み合わせることで、組織全体の管理を簡素化するバックアップポリシーを作成できます。

    組織のバックアップポリシーを有効にする方法の詳細については、「AWS Organizations ユーザーガイド」を参照してください。それにより、以下のことが可能になります。

    ポリシーに含まれる要素の AWS Backup固有のクォータについては、「AWS Backup クォータ」を参照してください。

    委任管理者

    委任管理は、登録されたメンバーアカウントの割り当てられたユーザーがほとんどの AWS Backup 管理タスクを実行するのに便利な方法です。の管理 AWS Backup を のメンバーアカウントに委任することを選択できます。これにより AWS Organizations、管理アカウントの外部 AWS Backup から組織全体で を管理する機能を拡張できます。

    デフォルトでは、管理アカウントはポリシーの編集と管理に使用されるアカウントになっています。委任された管理者機能を使用すると、これらの管理機能を、指定したメンバーアカウントに委任できます。また、これらのアカウントは、管理アカウントに加えてポリシーも管理できます。

    メンバーアカウントが委任された管理用に正常に登録されると、そのメンバーアカウントは委任された管理者アカウントになります。委任された管理者として指定されるのはユーザーではなくアカウントであることに注意してください。

    委任された管理者アカウントを有効にすると、バックアップポリシーを管理できるようになり、管理アカウントにアクセスできるユーザーの数が最小限に抑えられ、ジョブのクロスアカウントモニタリングができるようになります。

    以下は、管理アカウント、バックアップ管理者として委任されたアカウント、および AWS 組織内のメンバーであるアカウントの機能を示す表です。

    注記

    委任された管理者アカウントは機能が強化されたメンバーアカウントですが、管理アカウントのように他のメンバーアカウントのサービスのオプトイン設定を上書きすることはできません。

    権限 管理アカウント 委任された管理者 メンバーアカウント
    委任された管理者アカウントの登録/登録解除 あり いいえ いいえ
    クロスアカウント管理の有効化 あり いいえ いいえ
    でアカウント間でバックアップポリシーを管理する AWS Organizations あり はい 不可
    ジョブのクロスアカウントモニタリング あり はい 不可

    前提条件

    バックアップ管理を委任する前に、まず AWS 組織内の少なくとも 1 つのメンバーアカウントを委任管理者として登録する必要があります。アカウントを委任された管理者として登録するには、まず、以下を設定する必要があります。

    委任された管理の設定には 2 つのステップがあります。最初のステップは、ジョブのクロスアカウントモニタリングを委任することです。2 つ目のステップは、バックアップポリシー管理を委任することです。

    委任された管理者のアカウントとしてのメンバーアカウントの登録

    これは最初のセクションです。 AWS Backup コンソールを使用して委任管理者アカウントを登録し、クロスアカウントジョブをモニタリングします。 AWS Backup ポリシーを委任するには、次のセクションで Organizations コンソールを使用します。

    AWS Backup コンソールを使用してメンバーアカウントを登録するには:

    1. https://console.aws.amazon.com/backup/ AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。

    2. コンソールの左側のナビゲーションにある [マイアカウント][設定] を選択します。

    3. [委任された管理者] ペインで、[委任された管理者を登録] または [委任された管理者を追加] をクリックします。

    4. [委任された管理者を登録] ページで、登録するアカウントを選択し、[アカウントを登録] を選択します。

    これで、この指定されたアカウントが、委任された管理者として登録され、組織内のアカウント全体のジョブのモニタリングと、ポリシーの表示および編集 (ポリシー委任) を行うことができる管理者権限が付与されます。このメンバーアカウントは、他の委任された管理者のアカウントの登録や登録解除はできません。コンソールを使用して、委任された管理者として最大 5 つのアカウントを登録できます。

    委任された管理者に、AWSBackupOrganizationAdminAccess によって付与されたアクセス許可があることを確認します。

    メンバーアカウントをプログラムで登録するには:

    register-delegated-administrator CLI コマンドを使用します。CLI リクエストでは、次のパラメータを指定できます。

    • service-principal

    • account-id

    以下は、メンバーアカウントをプログラムで登録する CLI リクエストの例です。

    aws organizations register-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"

    メンバーアカウントの登録解除

    委任された管理者として以前に指定された AWS 組織のメンバーアカウントを登録解除 AWS Backup して、 から管理アクセスを削除するには、次の手順に従います。

    コンソールを使用してメンバーの登録を解除するには

    1. https://console.aws.amazon.com/backup/ AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。

    2. コンソールの左側のナビゲーションにある [マイアカウント][設定] を選択します。

    3. [委任された管理者] セクションで、[アカウントの登録を解除] をクリックします。

    4. 登録解除するアカウントを選択します。

    5. [アカウントの登録を解除] ダイアログボックスで、セキュリティ上の影響を確認し、「confirm」と入力して登録解除を完了します。

    6. Deregister account を選択してください。

    メンバーアカウントをプログラムで登録解除するには:

    deregister-delegated-administrator CLI コマンドを使用して、委任された管理者のアカウントの登録を解除します。API リクエストでは、次のパラメータを指定できます。

    • service-principal

    • account-id

    以下は、メンバーアカウントをプログラムで登録解除する CLI リクエストの例です。

    aws organizations deregister-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"

    を通じて AWS Backup ポリシーを委任する AWS Organizations

    AWS Organizations コンソールでは、バックアップポリシーを含む複数のポリシーの管理を委任できます。

    AWS Organizations コンソールにログインした管理アカウントから、組織のリソースベースの委任ポリシーを作成、表示、または削除できます。ポリシーを委任する手順については、「AWS Organizations ユーザーガイド」の「リソースベースの委任ポリシーの作成」を参照してください。

    複数の AWS アカウントでのアクティビティのモニタリング

    アカウント間でバックアップ、コピー、および復元ジョブをモニタリングするには、クロスアカウントのモニタリングを有効にする必要があります。これにより、組織の管理アカウントからすべてのアカウントのバックアップアクティビティをモニタリングできます。オプトイン後は、オプトイン後に作成された組織全体のすべてのジョブが表示されます。オプトアウトすると、 AWS Backup はジョブを集約ビューに (終了状態に達してから) 30 日間保持します。オプトアウト後に作成されたジョブは表示されず、新しく作成されたバックアップジョブも表示されません。オプトイン手順については、「クロスアカウント管理の有効化」を参照してください。

    複数のアカウントをモニタリングするには

    1. https://console.aws.amazon.com/backup/ AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。

    2. 左側のナビゲーションペインで [設定] を選択して、クロスアカウント管理ページを開きます。

    3. [クロスアカウントモニタリング] セクションで、[有効にする] を選択します。

      これにより、組織内のすべてのアカウントのバックアップおよび復元アクティビティを管理アカウントからモニタリングできます。

    4. 左のナビゲーションペインで、[クロスアカウントのモニタリング] を選択します。

    5. [クロスアカウントのモニタリング] ページで、[バックアップジョブ]、[復元ジョブ]、または [コピージョブ] タブを選択して、すべてのアカウントで作成されたすべてのジョブを表示します。これらの各ジョブは AWS アカウント ID 別に表示でき、特定のアカウントのすべてのジョブを表示できます。

    6. 検索ボックスでは、アカウント IDステータス、またはジョブ ID でジョブをフィルタリングできます。

      たとえば、[バックアップジョブ] タブを選択すると、すべてのアカウントで作成されたすべてのバックアップジョブを表示できます。アカウント ID でリストをフィルタリングし、そのアカウントで作成されたすべてのバックアップジョブを表示できます。

    リソースのオプトインルール

    メンバーアカウントのバックアッププランが、組織レベルのバックアップポリシーによって作成された場合、Organizations 管理アカウントの AWS Backup オプトイン設定は、そのメンバーアカウントのオプトイン設定を上書きしますが、そのバックアッププランについてのみです。

    メンバーアカウントにユーザーが作成したローカルレベルのバックアッププランがある場合、これらのバックアッププランは Organizations 管理アカウントのオプトイン設定を参照せずに、メンバーアカウントのオプトイン設定に従います。

    ポリシー、ポリシーの構文、およびポリシー継承の定義

    以下のトピックは、 AWS Organizations ユーザーガイドに記載されています。