バックアップポリシー
AWS Backup では、バックアッププランを作成し、AWS リソースのバックアップ方法を定義することができます。プランのルールには、バックアップの頻度、バックアップが実行されるタイムウィンドウ、バックアップするリソースを含む AWS リージョン、バックアップを保存するボールトなど、さまざまな設定が含まれます。その後、タグを使用して識別された AWS リソースのグループにバックアッププランを適用できます。また、ユーザーに代わってバックアップオペレーションを実行する AWS Backup アクセス許可を付与する AWS Identity and Access Management (IAM) ロールも特定する必要があります。
AWS Organizations のバックアップポリシーは、これらのすべての要素を JSON
バックアップポリシーの仕組み
バックアップポリシーを使用すると、組織が必要とするあらゆるレベルでリソースのバックアップをきめ細かく制御できます。例えば、組織のルートにアタッチされたポリシーで、すべての Amazon DynamoDB テーブルをバックアップするよう指定できます。このポリシーには、デフォルトのバックアップ頻度を含めることができます。その後、各 OU の要件に従ってバックアップ頻度を上書きするバックアップポリシーを OU にアタッチできます。例えば、Developers OU ではバックアップ頻度を週に 1 回指定し、Production OU では 1 日に 1 回指定することができます。
リソースを正常にバックアップするために必要な情報の一部だけを個別に含む部分的なバックアップポリシーを作成できます。これらのポリシーを下位レベルの OU とアカウントによって継承されることを意図して、ルートや親 OU などの組織ツリーのさまざまな部分にアタッチできます。Organizations の継承ルールに基づき、アカウントのすべてのポリシーを組み合わせて構成される有効なポリシーは、必要な要素をすべて備えている必要があります。そうでない場合、AWS Backup はポリシーが無効であると判断し、該当するリソースをバックアップしません。
重要
AWS Backup は、必要なすべての要素を含む 完全な 有効なポリシーによって起動された場合にのみ、バックアップを正常に実行できます。
前述の部分ポリシー戦略は機能しますが、アカウントの有効なポリシーが不完全な場合は、エラーになるか、リソースが正常にバックアップされなくなります。代替戦略として、すべてのバックアップポリシーが単独で完全かつ有効であることが必要であることを検討してください。階層の上位にアタッチされたポリシーによって提供される デフォルト値を使用し、継承子制御演算子を含めることによって、子ポリシーで必要に応じてオーバーライドします。
組織内の各 AWS アカウント の有効なバックアッププランは、そのアカウントのイミュータブルなプランとして AWS Backup コンソールに表示されます。表示することはできますが、変更することはできません。
AWS Backup がポリシーによって作成されたバックアッププランに基づいてバックアップを開始すると、AWS Backup コンソールでバックアップジョブのステータスを確認できます。メンバーアカウントのユーザーは、そのメンバーアカウントのバックアップジョブのステータスとエラーを確認できます。AWS Backup との信頼されたサービスアクセスを有効にした場合、組織の管理アカウントのユーザーは、組織内で実行されるすべてのバックアップジョブのステータスとエラーを確認できます。詳細については、AWS Backup デベロッパーガイドのクロスアカウント管理の有効化を参照してください。
