バックアップポリシーを使用する場合のベストプラクティス

AWS では、バックアップポリシーを使用する際に次のベストプラクティスを推奨しています。

バックアップポリシー戦略を決定する

継承およびマージされた不完全な部分でバックアップポリシーを作成し、各メンバーアカウントの完全なポリシーを作成できます。これを行う場合、あるレベルで、そのレベルより低いすべてのアカウントに対する変更の影響を慎重に考慮せずに変更を加えると、不完全な効果的なポリシーになる危険性があります。これを回避するために、すべてのレベルで実装するバックアップポリシーが単独で完全であるようにすることをお勧めします。親ポリシーは、子ポリシーで指定された設定によってオーバーライドできるデフォルトポリシーとして扱います。これにより、子ポリシーが存在しない場合でも、継承されたポリシーは完全であり、デフォルト値が使用されます。子制御継承演算子を使用して、子ポリシーで追加、変更、または削除できる設定を制御できます。

GetEffectivePolicy を使用してバックアップポリシーの変更を検証する

バックアップポリシーを変更した後、変更を行ったレベルより低い代表アカウントの有効なポリシーを確認します。有効なポリシーを表示するには、AWS Management Console を使用するか、GetEffectivePolicy API 操作または AWS CLI あるいは AWS SDK バリアントのいずれかを使用します。加えた変更が、有効なポリシーに意図した影響を与えていることを確認します。

単純なものから始めて、小さな変更を加える

デバッグを簡素化するには、単純なポリシーから開始し、一度に 1 つの項目を変更します。次の変更を行う前に、各変更の動作と影響を検証します。こうすることで、エラーや予期しない結果が発生した場合に考慮する必要がある変数が減ります。

組織内の他の AWS リージョン とアカウントにバックアップのコピーを保存する

バックアップのコピーを保存しておくと、災害対策の強化につながります。

ポリシーごとのプラン数を制限する

複数のプランを含むポリシーは、すべてを検証する必要がある多数の出力のため、トラブルシューティングが複雑になります。デバッグとトラブルシューティングを簡素化するために、各ポリシーにはバックアッププランを 1 つだけ含めるようにします。その後、他の要件を満たすために、他のプランにポリシーを追加できます。こうすることで、プランに関する問題が 1 つのポリシーに分離され、他のポリシーとそのプランに関する問題のトラブルシューティングが複雑になるのを防ぐことができます。

スタックセットを使用して必要なバックアップボールトと IAM ロールを作成する

AWS CloudFormation スタックセットの Organizations との統合を使用し、組織内の各メンバーアカウントに必要なバックアップボールトと AWS Identity and Access Management (IAM) ロールを自動的に作成します。組織内のすべての AWS アカウント で自動的に利用可能になるリソースを含むスタックセットを作成できます。こうすることで、依存関係がすでに満たされていることが保証された状態でバックアッププランを実行できます。詳細については、AWS CloudFormation ユーザーガイドのセルフマネージド型のアクセス許可を持つスタックセットの作成を参照してください。

各アカウントで作成された最初のバックアップを確認して、結果をチェックします。

ポリシーを変更するときは、その変更後に作成された次のバックアップをチェックして、変更が目的の影響を与えたことを確認します。こうすることで、有効なポリシーを確認すると同時に、確実に意図したとおりに AWS Backup がポリシーを解釈してバックアッププランを実装するようにできます。