AWS BACKUP 使い方

AWS BACKUPとは

AWSサービス全般のデータバックアップを容易に中央集中化し、自動化することができる完全管理型バックアップサービスです。
サービス別に実行したバックアップ作業を自動化し、統合してユーザー指定スクリプト及び手動プロセスを生成する必要がなく、1ヶ所でバックアップポリシーを作成し、AWSリソースのバックアップ活動をモニタリングできる完全管理型バックアップサービスとポリシー基盤のバックアップソリューションを提供します。

バックアップの種類

  • オンデマンドバックアップ

    • 1回限りのバックアップを作成できます。

    • 継続的なバックアップが必要ない場合、または緊急な状況に対応するバックアップなどのように、必要な時期にバックアップを作成することができます。

  • バックアッププラン

    • 一般的に持続的な品質管理·運営管理レベルで考えるバックアップです。

    • バックアップが保存する場所とバックアップ周期、ライフサイクルを決定するルールとバックアップの対象となるリソースで構成されます。

方法

    • リソース
      バックアップ対象になるリソースを選択してください。
      リソースのタイプを選択したら自動でインスタンスIDリストが表示されます。
      インスタンスIDリストにNAMEも表示されるのでインスタンスNAMEを事前に登録したほうが選択やすくなると思います。

    • バックアップウィンドウ
      基本は「1時間以内に開始します。」と案内していますが「バックアップウィンドウをカスタマイズ」を選択して開始と完了時間と選択できます。
      開始と完了の基準時間は「オンデマンドバックアップを作成」押した時と思います。

    • 保持期間
      作成したバックアップの保持期間になります。

    • バックアップボールト
      バックアップの保存場所選択してください。
      「新しいバックアップボールトを作成」ボダンで新しいボールトを作成することもできます。

      ボールトを作成

      暗号化キーはバックアップを暗号化する時に使うと思います。
      デフォルトでも大丈夫ですがリージョンとアカウント間でバックアップコピーも考えてあれば必ずカスタマーマスターキー (CMK) を使ってください。
      エラーコード:「Copy job failed because the destination Backup vault is encrypted with the default Backup service managed key. The contents of this vault cannot be copied. Only the contents of a Backup vault encrypted by a customer master key (CMK) may be copied.」
      ボールトの暗号化キーは作成後、変更できません。

    • プランによるバックアップ方法

    • 開始する方法を選択します。

      • テンプレートで開始する
        AWSが準備しているルールテンプレートで他のより簡単に設定が可能です。
        修正も自由にできるので参考しながら作成できます。

      • 新しいプランを立てる
        最初から新しいルールから作成することができます。
        ルールは一つしか登録できませんが作成後に追加することができます。

      • JSONを使用してプランを定義する
        JSON形式で作成することができます。
        どの方法で作成しても作成後に設定した内容はJSON形式で確認できます。

    • 今回は「新しいプランを立てる」で作成してみます。

    • バックアッププラン名
      作成後は修正できません。ご注意してください。

    • バックアップルールの設定
      ルールは後で修正も追加もできます。

      • バックアップボールト
        このルールにより保存されるバックアップの保存場所です。
        「新しいバックアップボールトを作成」をクリックしたらボールト作成が可能です。
        ボールト作成は「オンデマンドバックアップ方法ーボールトを作成」を参考してください。

      • バックアップ頻度
        (毎時、12時間ごと、毎日、毎週、毎月、カスタムCron 式)のオプションがあります。
        カスタムCron 式はCron 式でもっと詳しい設定ができます。
        例:cron(分 時間 日 月 曜日 年) ➔ cron(0 20 * * ? *) 毎日 20:00 (UTC) に実行
        ルールのスケジュール式 – Amazon CloudWatch Events

        他のルールと重複バックアップがあれば保存期間が長い期間のバックアップが残ります。

      • 「サポートされているリソースの継続的バックアップを有効にする」は
        一部RDSに支援しているバックアップオプションです。リアルタイムバックアップで最大35日保存できます。
      • バックアップウィンドウ
        基本設定は「午前5時(UTC)、8時間以内に開始」になっています。
        この項目は基本UTCの基準なです、日本時の設定は+9してください。
        基本設定を日本時にすると「午後2時(UTC+9)、8時間以内に開始」になります。
      • コールドストレージへの移行
        まだ、コールドストレージはAmazon EFSしかサービスできません。
    • コピー先にコピー – オプション

      コピー先にするリージョンを決めってください。
      決めったリージョンのボールトに自動コピーされます。
    • 別のアカウントのボールトにコピー

      • AWS Organizationsに登録
        先ずは「AWS Organizations」を利用して別のアカウントと同じ組織になる必要があります。
        同じ組織になったら「クロスアカウントバックアップ」を有効にしてください。
        https://ap-northeast-1.console.aws.amazon.com/backup/home?region=ap-northeast-1#settings(東京リージョン)

      • エラーコード:「Cross-account backups are not opted-in.」

      • 別のアカウントのボールト作成
        別のアカウントも欲しいリージョンにボールトを準備してください。
        ボールトの暗号化キーは必ずカスタマーマスターキー (CMK) を利用してください。
        エラーコード:「Copy job failed because the destination Backup vault is encrypted with the default Backup service managed key. The contents of this vault cannot be copied. Only the contents of a Backup vault encrypted by a customer master key (CMK) may be copied.」

      • 別のアカウントのボールトにアクセスポリシーを作成
        バックアップアカウントに対して「backup:CopyIntoBackupVault」権限を許可する必要があります。
        バックアップアカウントIDはAWS アカウントで確認できます。https://console.aws.amazon.com/organizations/v2/home/accounts

        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Sid": "Allow 「バックアップアカウントID」 to copy into 「ボールト名」",
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::「バックアップアカウントID」:root"
                    },
                    "Action": "backup:CopyIntoBackupVault",
                    "Resource": "*"
                }
            ]
        }

        エラーコード:「Access Denied trying to call AWS Backup service」

      • 別のアカウントで作成したボールトのARNを「外部ボールトARN」に入力してください。

    • 「プランを作成」をクリックしてプランを作成してください

    • リソース登録

復旧

    AWSバックアップからバックアップを復元すると一般的には復元中のバックアップに基づいて新しいリソースが作成されます。

    • EBS(EC2)復旧
      EBSはAWS BACKUPから復旧とAWS BACKUPから作ったスナップショットからの復旧があります。
      スナップショットからの復旧が簡単で早いです。

      • AWS BACKUPから復旧

        • 復旧ポイントIDを選択
          ボールトから選択

          保護されたリソースタグから選択
          https://ap-northeast-1.console.aws.amazon.com/backup/home?region=ap-northeast-1#resources(東京リージョン)

        • 復旧情報を入力して復旧する

          復旧でEBSが新しく作成したことを確認できます。

        • EC2を停止して復旧したEBSに交替します。作業する時は必ずEC2を停止してください。

          • 先ずはルートデバイスを確認してください。
            EC2インスタンスのストレージから確認できます。

          • EBS – ボリュームに移動して既存のEBSを分離します。
            既存EBSを選択して「ボリュームをデタッチ」を選択します。
            https://ap-northeast-1.console.aws.amazon.com/ec2/v2/home?region=ap-northeast-1#Volumes:(東京リージョン)

          • 分離した後、復旧したEBSを連結します。
            復旧EBSを選択して「ボリュームをアタッチ」を選択します。
            対象になるEC2インスタンスと先に確認したデバイスを入力してアタッチすると復旧完了になります。

      • スナップショットからの復旧

        • EC2インスタンスのストレージタグに移動します。

        • 「ルートボリュームを置き換える」をクリックしてください。

        • 交換するスナップショットを選択して「置き換えタスクを作成」をクリックしてください。

          新しいEBSが自動に作成、適用されます。旧EBSは分離されて残っていることが確認できます。

    Marketplaceを利用したEC2のバックアップに関して

    AWS BACKUP を利用すればEC2のバックアップの時AMIも自動にバックアップできます。
    それが別のアカウントにバックアップをコピーする時に問題になります。
    MarketplaceのAMIは別のアカウントコピーが拒否されるのでバックアップコピー作業にエラーになります。
    MarketplaceでもEBSのみのバックアップは問題ありません。

    エラーコード:「Images from AWS Marketplace cannot be copied to another AWS account.」

      Smallitのサービス