2025.06.05 AWS omi

ひとつの AWS Organizations で複数種類の AWS Backup バックアッププランを一元管理する

はじめに

ひとつの AWS Organizations で複数種類の AWS Backup バックアッププランを管理する方法をまとめます。

AWS Organizations 配下にあるアカウントA は毎日バックアップを取りたいが、アカウントＢやその他のOUは月毎で良いんだよなあ…等といった要件がある場合にも管理アカウントで一元管理ができ、たいへん便利です。

手順

以下に手順を簡単にまとめます。

AWS Organizations の設定変更
AWS Backup の設定変更
バックアップボールト作成
バックアップポリシー作成
ターゲット追加
バックアップ確認

それではさっそくやっていきましょう！

AWS Organizations の設定変更

AWS Organizations のコンソール画面左にある「ポリシー」を選択し、ポリシータイプ一覧の「バックアップポリシー」が無効になっている場合は有効にしてください。

画像は既に有効になっている状態ですが、無効の場合は「バックアップポリシー」というリンクを選択すれば有効にすることができます。

AWS Backup の設定変更

AWS Backup のコンソール画面左にある「設定」を選択し、クロスアカウント管理の「バックアップポリシー」と「クロスアカウントモニタリング」をオンにしてください。

クロスアカウントモニタリングをオンにすることで、管理アカウントからバックアップジョブを一括でモニタリングすることができ「きちんとバックアップできてるかな…」という不安に駆られた際、逐一対象の子アカウントへスイッチする、という手間を省くことができます。

取得したバックアップを管理アカウント以外の他アカウントへコピーする要件がない場合「クロスアカウントバックアップ」は不要です。

またこちらは AWS Organizations 管理アカウントの設定がそのまま配下の子アカウントにも適用されるため、設定を行うのは管理アカウントのみで大丈夫です。

バックアップボールト作成

※こちらの作業は AWS Organizations に所属している子アカウントで行ってください。

AWS Backup のコンソール画面左にある「ボールト」を選択し、任意の設定でバックアップボールトを作成します。

ボールトタイプは二種類あり「倫理的にエアギャップのあるボールト」がよりセキュアです。
詳しくは下記を参照していただければと思います。
https://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/logicallyairgappedvault.html

バックアップポリシー作成

※こちらの作業は AWS Organizations の管理アカウントで行ってください。

AWS Backup のコンソール画面左にある「バックアップポリシー」を選択し、任意の設定でバックアップポリシーを作成します。

アカウントごとにバックアップ要件が異なる場合は、同じ数だけポリシーを作成します。
ポリシー名やバックアップ頻度等、コンソールの表示に従いそれぞれの要件に合わせて設定を行ってください。

注意点①

バックアップボールトは必ず子アカウントに存在する同名のものを指定してください。

取り急ぎポリシーを作成後、あとからボールトを追加しても問題ないですが、入力自体は必須です。

注意点②

バックアップボールトと同様に、IAMロールについても子アカウントに同名のロールが存在している必要があります。

また、ロールには以下二つのAWS管理ポリシーがアタッチされている必要があります。

AWSBackupServiceRolePolicyForBackup
AWSBackupServiceRolePolicyForRestores

注意点③

リソースタグキーとタグ値はバックアップ対象のリソースにつけているもの（もしくはつける予定のもの）と同じ値を指定してください。
※こちらが一字でも異なっているとバックアップが取得できません。

ターゲット追加

バックアップポリシーを作成したら、ターゲットとなる子アカウント（もしくはOU）をポリシーにアタッチします。

アタッチが完了すると、対象の子アカウントにバックアップポリシーと同名のバックアッププランが作成されます。
こちらの方法で作成したプランは管理アカウントのみ削除、編集を行うことができます。

バックアップ確認

バックアップ対象のリソースへ、バックアップポリシー作成時に設定した「リソースタグキー」「タグ値」と同じ値が紐づけられていることを確認します。

管理アカウントの「クロスアカウントモニタリング」もしくは子アカウントの「バックアップジョブ」から対象のリソースのステータスを確認し「完了」になっていれば無事にバックアップが取れている証です。

クロスアカウントモニタリング

バックアップジョブ

おわりに

ひとつの AWS Organizations で複数種類の AWS Backup バックアッププランを管理する方法をまとめました。

Organizations 配下にあるアカウントで異なるバックアップ要件を求められた際にはぜひご活用ください。

AWS・クラウドのMSP スカイアーチネットワークス株式会社

AWS・クラウド導入における構築から監視・運用保守までをマネージドサービスで提供する、スカイアーチネットワークスの公式サイト。AWS・クラウドを始め、豊富なサーバー管理の経験と安心のセキュリティ対策、専門エンジニアの確かな知識で、お客様のビジネスの成長をサポートします。AWS・クラウド導入における構築から監視・運用保守までをマネージドサービスで提供する、スカイアーチネットワークスの公式サイト。AWS・クラウドを始め、豊富なサーバー管理の経験と安心のセキュリティ対策、専門エンジニアの確かな知識で、お客様のビジネスの成長をサポートします。

投稿者プロフィール

omi: AWS の諸々について、初学者目線から書いていけたらいいなと思っています！

最新の投稿

ABOUTこの記事をかいた人

AWS の諸々について、初学者目線から書いていけたらいいなと思っています！

NEW POSTこのライターの最新記事