AWS Backupとは？バックアップの基本とAWS Backupの主要機能を徹底解説

アマゾン ウェブ サービス（以下、AWS）では、各サービスごとに簡単にバックアップを取得・復元できます。 ただ、複数のサービスを利用していると、各サービスごとに設定や管理をするため、手間や工数がかかります。
そこでおすすめしたいのが、AWSのバックアップを一元管理できる「AWS Backup」というサービスです。 本コラムでは、バックアップで検討すべきポイントや、AWS Backupの機能をご紹介します。

バックアップとは、データの消失や破損などに備えて、あらかじめデータを別の場所に保存しておくことを指します。 万が一、データが消えてしまった場合でも、そのデータを元に戻せるように準備することが大切です。
バックアップの手法を考える前に、まずは以下の6つの項目を検討すると良いでしょう。

まずはバックアップの目的を明確に定めます。災害対策、ウイルス対策、コンプライアンス遵守など、様々な目的があるかと思いますが、その中でも何を最優先とするのかを決めておきましょう。

障害からどれぐらい早く復旧する必要があるか、どれだけのデータを失っても許容できるかを決めておきましょう。
以下の2点を定めれば、バックアップを取得するタイミングや保存期間を決めることができます。

• RPO（Recovery Point Objective、目標復旧時点）
  障害が発生した時点から遡り、いつ時点までのデータの損失を許容できるかを示す目標時点
• RTO（Recovery time objective、目標復旧時間）
  障害が発生してからシステムやサービスが復旧するまでの目標時間

あらゆるデータのバックアップを取得すれば安心ですが、コストがかさみます。
バックアップ対象を決め、以下の2種類をうまく使い分けましょう。

• システムバックアップ
  OS、アプリ、データのすべてをバックアップ対象とします。
  - メリット　：OSごと復元可能なため、システム全体が使用不可となった時でも迅速に復旧できる
  - デメリット：ストレージ容量やコストが肥大化する
• データバックアップ
  データのみをバックアップ対象とします。
  - メリット　：容量やコストを抑えられる、データに対して誤った変更が加えられた時に迅速に復旧できる
  - デメリット：システム全体が使用不可となった時は、OSのインストールから作業が必要となるため、迅速に復旧できない

世代管理とは、最新データだけでなく、複数の過去のデータを保存しておくことを指します。 毎日バックアップを取得しており、3日分のデータを残しておく場合は「3世代のバックアップを保管している」状態となります。
最新データさえあれば問題ないように思うかもしれませんが、問題発生時に「前日の状態に戻せば大丈夫」というわけではありません。 問題に気付いたのが今日だとしても、実際には数日前から問題が発生している場合は、問題発生前のバックアップデータが必要となります。 このように「任意のタイミングに遡ってデータを復元したい」場合に備えて、最新データだけでなく、過去データもバックアップを取得しておくと良いです。
ただし、保存しておく世代数が多くなると、その分必要なストレージ容量やコストが増えるため、何世代まで保管しておくかよく検討しましょう。

バックアップを取得したとしても、削除されたり、改ざんされてしまっては意味がありません。
以下の構成を検討し、データを保護しましょう。

• アクセス制御
  ユーザーごとに必要最小限のアクセス権を付与することで、不特定多数による削除・改ざんから保護します。
• データの暗号化
  データを暗号化することで、悪意のある改ざんから保護します。
• 多重バックアップ
  同じバックアップを複数取得してそれぞれ異なる場所に保存することで、災害などの物理的なデータの損失から保護します。

バックアップの計画を立てても、バックアップが正常に取得できていないと意味がありません。
以下の観点でバックアップの運用・監視を実施しましょう。

• バックアップジョブの検討
  バックアップを自動で取得するための仕組みを検討し、運用負荷や作業ミスを軽減します。
• スケジュールの設定
  どの時点のバックアップが必要か、どのタイミングであればシステムへの影響が少ないかを考慮した上で、バックアップ取得のスケジュールを組みます。
• バックアップジョブの監視
  バックアップが正常に行われているかを監視します。

これら6つの項目が決まれば、次は実際にどのようにバックアップを取得・復元するかを検討していきます。

AWSでは、各サービスごとに簡単にバックアップを取得・復元できるものが多いです。 Amazon EC2ならAmazon EC2のコンソール画面からバックアップができ、Amazon RDSならAmazon RDSのコンソール画面からバックアップができます。 ただ、多くのサービスを使っている場合、一元管理ができず、運用が煩雑になりがちです。
そこでおすすめしたいのが「AWS Backup」というサービスです。 AWS Backupとは、各サービスのバックアップを一元管理したり自動化したりするサービスです。 高度なセキュリティも実装されていて安心して使えます。

では、AWS Backupでどのようなことができるのか、具体的に見ていきます。

バックアップは「バックアッププラン」を作成することで簡単に自動化できます。
バックアッププランでは、以下の内容を設定します。

• バックアップルール
  バックアップの取得時間や保持期間を指定します。バックアップデータを遠隔地にコピーすることも可能です。
  これらを設定することで、世代管理やデータの保護を実現できます。
• リソースの割り当て
  どのリソースをバックアップ対象とするのかを指定します。
  リソース固有のIDを直接指定するか、タグを指定するか、いずれかの方法で指定できます。
  タグとは、リソースに任意で付与できるキーと値のペアのことです。例えばシステムやプロジェクトごとに分けてタグを付与しておけば、リソース一つ一つを指定しなくても、同一タグが付与されている複数のリソースを同時に指定することができて便利です。

バックアップは「バックアップボールト（Backup Vault）」と呼ばれるバックアップデータをまとめる箱のようなものに保存されます。
複数サービスを対象に一括でバックアップを取得し、データを暗号化して保護します。
さらに以下の2つの機能でデータの保護を強力にします。

• バックアップボールトロック（Backup Vault Lock）
  バックアップボールト内のオブジェクトを削除できないようにデータを保護します。
  これにより、意図しない削除や、悪意のある削除ができないようにします。
• リーガルホールド（Legal Hold）
  バックアップルールで設定した保持期間を過ぎても、バックアップデータを削除せずに無期限に保持します。
  通常、保持期間を過ぎたバックアップデータは自動削除されます。しかし、監査や法的手続きの証拠として利用する場合などは、リーガルホールドを利用してバックアップデータを残しておくことができます。

バックアップの監視としては、バックアップジョブ・復元ジョブ・コピージョブの追跡が可能です。
バックアップがいつ実施されたのか、成功したのかなどの結果を確認できます。

- - - - -

AWS Backupを使えば、マルチアカウント環境においても同様にバックアップの一元管理が可能です。 AWS Organizationsを利用して複数のアカウントを運用する場合、親アカウントに相当する管理アカウントから配下にあるメンバーアカウントのリソースに対して、前述と同様のバックアップ管理ができます。

このように、AWSの複数サービス・複数アカウントを利用している場合は、AWS Backupを使えばより簡単にバックアップの管理ができるようになります。

AWS Backupでは、コンソール画面の指示に従って項目を選択・入力してくだけで、簡単にバックアップの設定ができます。
参考に、AWS Backupの画面イメージを一部抜粋して載せておきます。

▼バックアッププランの作成

▼リソースの割り当て

▼バックアップの復元

本コラムでは、バックアップの検討ポイントや、AWS Backupによるバックアップの一元管理についてご紹介しました。
アシストでは、バックアップに関する相談から、AWS Backupなどの様々なAWSサービスの提案や導入などを行っています。
AWSについて相談があれば、ぜひお気軽にお声がけください。