AWS Backup を使用した S3 データの復元 - AWS Backup
復元許可復元に関する考慮事項AWS Backup コンソールを使用して Amazon S3 リカバリポイントを復元するにはAmazon S3 リカバリポイントを復元するために、AWS Backup API、CLI、または SDK を使用する復旧ポイントのステータス

AWS Backup を使用した S3 データの復元

AWS Backup を使用して S3 標準ストレージクラスにバックアップした S3 データを復元できます。バケット内のすべてのオブジェクトまたは特定のオブジェクトを復元できます。既存のバケットまたは新しいバケットに復元できます。

Amazon S3 の復元アクセス許可

リソースの復元を開始する前に、使用しているロールに十分なアクセス許可があることを確認します。

詳細については、ポリシーに関する以下のエントリーを参照してください。

  1. AWSBackupServiceRolePolicyForS3Restore

  2. AWSBackupServiceRolePolicyForRestores

  3. AWS Backup 用の管理ポリシー

Amazon S3 の復元に関する考慮事項

  • AWS Backup は、S3 のすべてのバージョンのバックアップを作成しますが、どの時点でもバージョンスタックの最新バージョンのみを復元します。

  • 復元先バケットでアクセスコントロールリスト (ACL) を有効にする必要があります。有効にしないと、ジョブは失敗します。ACL を有効にするには、「ACL の設定」の指示に従ってください。

  • 復元先バケットでパブリックアクセスのブロックが有効になっている場合、復元ジョブは正常に完了しますが、パブリック ACL を持つオブジェクトは復元されません。

  • ソースバケットに同じ名前または同じバージョン ID のオブジェクトがある場合、オブジェクトの復元はスキップされます。

  • 特定のオブジェクトを復元すると、オブジェクトの現在のバージョンを復元できます。

  • 元の S3 バケットに復元する場合、

    • AWS Backup は破壊的な復元を実行しません。つまり、AWS Backup はバージョンに関係なく、既存のオブジェクトの代わりにオブジェクトをバケットに配置することはありません。

    • 現在のバージョンの削除マーカーはオブジェクトが存在しないものとして扱われるため、復元を実行できます。

    • AWS Backup は、復元中にバケットからオブジェクト (削除マーカーがないもの) を削除しません (例: バックアップ中に存在しなかったバケット内の現在のキーは残ります)。

  • クロスリージョンコピーの復元

    • S3 バックアップはクロスリージョンコピーができますが、復元ジョブは元のバックアップまたはコピーが置かれている同じリージョンでのみなされます。

      例: 米国東部 (バージニア北部) リージョンで作成された S3 バケットは、カナダ (中部) リージョンにコピーできます。復元ジョブは、米国東部 (バージニア北部) リージョンの元のバケットを使用して開始し、そのリージョンに復元できます。または、カナダ (中部) リージョンのコピーを使用して復元ジョブを開始し、そのリージョンに復元することもできます。

    • 元の暗号化メソッドを使用して、別のリージョンからコピーされた復旧ポイント (バックアップ) を復元することはできません。Amazon S3 リソースでは、クロスリージョンコピーの AWS KMS の暗号化は使用できません。代わりに、別の暗号化タイプを復元ジョブに使用します。

AWS Backup コンソールを使用して Amazon S3 リカバリポイントを復元するには

AWS Backup コンソールを使用した、Amazon S3 データの復元。

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. ナビゲーションペインで、[保護されたリソース] を選択し、復元する Amazon S3 リソース ID を選択します。

  3. [リソースの詳細] ページには、選択したリソース ID の復旧ポイントのリストが表示されます。リソースを復元するには:

    1. [バックアップ] ペインで、リソースの復旧ポイント ID を選択します。

    2. ペインの右上隅にある [復元] を選択します。

      (または、バックアップボールトに移動して復旧ポイントを探し、[アクション][復元] の順にクリックすることもできます)。

  4. 継続的バックアップを復元する場合は、[復元時刻] ペインで、次のいずれかのオプションを選択します。

    1. デフォルトをそのまま使用して、[復元可能な最新の時刻] に復元します。

    2. [日付および時刻を指定] をクリックして、復元します。

  5. [設定] ペインで、バケット全体を復元するか、項目レベルの復元を実行するかどうかを指定します。

    1. [項目レベルの復元] を選択した場合は、そのオブジェクトを一意に識別する各アイテムの S3 URI を指定して、復元ジョブごとに最大 5 つの項目 (バケット内のオブジェクトまたはフォルダ) を復元します。

      S3 バケット URI の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットにアクセスするためのメソッド」を参照してください。

    2. [アイテムを追加] をクリックして、復元する別のアイテムを指定します。

  6. [復元先] を選択します。ソースバケットに復元する既存のバケットを使用する、または新しいバケットの作成のいずれかを実行できます。

    注記

    復元先バケットでバージョニングがオンになっている必要があります。AWS Backup は、選択したバケットがこの要件を満たしていない場合に通知します。

    1. [既存のバケットを使用] を選択した場合は、現在の AWS リージョン内の既存のバケットをすべて表示するメニューから復元先の S3 バケットを選択します。

    2. [新しいバケットの作成] を選択すると、[新しいバケット名] が入力されます。バケットを作成したら、BPA (ブロックパブリックアクセス) と S3 バージョニングのデフォルト設定を変更できます。

  7. S3 バケット内のオブジェクトの暗号化には、[復元されたオブジェクト暗号化] を選択できます。[元の暗号化キーを使用 (デフォルト)]、[Amazon S3 キー (SSE-S3)]、または [AWS Key Management Service キー (SSE-KMS)] を使用してください。

    これらの設定は、S3 バケット内のオブジェクトの暗号化にのみ適用されます。これはバケット自体の暗号化には影響しません。

    1. [元の暗号化キーを使用 (デフォルト)] では、ソースオブジェクトで使用されるのと同じ暗号化キーを使用してオブジェクトを復元します。ソースオブジェクトが暗号化されていない場合、このメソッドは暗号化なしでオブジェクトを復元します。

      この復元オプションでは、元のキーが使用できない場合に、オプションで代替暗号化キーを選択して復元オブジェクトを暗号化できます。

    2. [Amazon S3 キー (SSE-S3)] を選択した場合は、他のオプションを指定する必要はありません。

    3. [AWS Key Management Service キー (SEE-KMS)] を選択する場合、[AWS マネージドキー (aws/s3)][AWS KMS キーから選択][AWS KMS キー ARN を入力] のいずれかを選択できます。

      1. AWS マネージドキー(aws/s3) を選択した場合は、他のオプションを指定する必要はありません。

      2. AWS KMS キーから選択する場合、ドロップダウンメニューから [AWS KMS キー] を選択します。または、[キーの作成] を選択します。

      3. AWS KMS キー ARN を入力する場合、テキストボックスに ARN を入力します。または、[キーの作成] を選択します。

  8. [ロールを復元] ペインで、この復元のために AWS Backup が引き受ける IAM ロールを選択します。

  9. [バックアップを復元] を選択します。[復元ジョブ] ペインが表示されます。ページ上部のメッセージには、復元ジョブに関する情報が表示されます。

Amazon S3 リカバリポイントを復元するために、AWS Backup API、CLI、または SDK を使用する

StartRestoreJob を使用します。Amazon S3 復元中に、以下のメタデータを指定できます。

// Mandatory metadata:
DestinationBucketName // The destination bucket for your restore.
ItemsToRestore // A list of up to five paths of individual objects to restore. Only required for item-level restore.
NewBucket // Boolean to indicate whether to create a new bucket.
Encrypted // Boolean to indicate whether to encrypt the restored data.
CreationToken // An idempotency token.
EncryptionType // The type of encryption to encrypt your restored objects. Options are original (same encryption as the original object), SSE-S3, or SSE-KMS).
RestoreTime // The restore time (only valid for continuous recovery points where it is required, in format 2021-11-27T03:30:27Z).
        
// Optional metadata:
KMSKey // Specifies the SSE-KMS key to use. Only needed if encryption is SSE-KMS.
aws:backup:request-id

復旧ポイントのステータス

復旧ポイントには、その状態を示すステータスが表示されます。

PARTIAL ステータスはバックアップウィンドウを閉じる前に AWS Backup がリカバリポイントを作成できなかったことを示します。API を使用してバックアップ計画期間を増やすには、UpdateBackupPlanを参照してください。コンソールを使用して、バックアッププランを選択、編集して、バックアッププランのウィンドウを増やすこともできます。

EXPIRED ステータスは、リカバリポイントがその保持期間を超えているが、AWS Backup は許可がないか、削除できないことを示します。これらの復旧ポイントを手動で削除するには、「開始方法」の「リソースのクリーンアップ」セクションの「ステップ 3: 復旧ポイントの削除」を参照してください。

STOPPED ステータスは、継続的バックアップが無効になるような操作をユーザーが行った場合の継続的バックアップ時に発生します。これは、アクセス許可の削除、バージョニングの無効化、Amazon EventBridge に送信されるイベントの無効化、または AWS Backup によって設定された EventBridge ルールの無効化によって発生する可能性があります。

STOPPED ステータスを解決するには、要求されたアクセス許可がすべて揃っていて、S3 バケットでバージョニングが有効になっていることを確認してください。これらの条件が満たされると、実行されるバックアップルールの次のインスタンスでは、新しい継続的復旧ポイントが作成されます。停止ステータスの復旧ポイントは削除する必要はありません。