はじめまして!
2022年9月よりサーバーワークスにジョインしましたCI2部2課の三角です。
業務上、AWS Backupを使うことになりましたので
AWS BackupのブログとしてAWS Backup Vault Lock(バックアップボールトロック)の解説と
実際に設定した際の挙動を見ていきたいと思います。
なお、AWS BackupでのEC2のバックアップと復元の記事は
弊社のブログ記事にまとまっておりますのでこちらをご参考にどうぞ!
AWS Backup Vault Lockとは
AWSドキュメントには以下のように紹介されています。
AWS Backup Vault Lockはバックアップボールト内のオブジェクトを
意図しない削除や悪意のある削除ができないよう、バックアップボールトを保護できるようにする機能です。
AWS Backup のボールトロックは、バックアップボールトに保存および作成するすべてのバックアップに対して、write-once, read-many (WORM) 設定を適用します。 AWS Backup のボールトロックは、バックアップボールトのバックアップ (復旧ポイント) を不注意または悪意のあるものから保護する保護レイヤーを追加できます。 ・オペレーションの削除および ・保持期間を短縮または変更する更新 AWS Backupのボールトロックは、保持期間を適用して特権ユーザー (を含む) による早期削除の防止します。AWS アカウントルートユーザー) で、組織のデータ保護ポリシーと手順を満たします。
AWS Backup Vault Lock設定前の動作確認
実際にAWS Backup Vault Lockを設定する前に
ボールトロックを設定しない状態ではどんな動作ができるのか確認してみましょう。
今回はAWS Backupで取得したEC2の復旧ポイントを削除してみます。
AWS Backup→バックアップボールト→復旧ポイントを選択→アクション→削除で復旧ポイントを削除します。
復旧ポイントを削除できましたね。
ボールトロックを設定しない状態ではこのように復旧ポイントを自由に削除できる状態となります。
次は実際にボールトロックを設定して動作を確認してみましょう。
AWS Backup Vault Lockを設定してみる
ボールトロックモードについて
ボールトロックにはガバナンスモード、コンプライアンスモードの2つのモードが存在します。
ガバナンスモードはバックアップボールト内のオブジェクトを削除不可でボールトロック自体は管理・編集可能なモードとなります。
コンプライアンスモードもバックアップボールト内のオブジェクトを削除不可としますが、
ボールトロックのクーリングオフ期間以降はボールトロックの管理、編集ができないモードとなります。
完全にイミュータブルとするモードなので削除するにはAWSアカウントを削除する必要があります。
バックアップのうっかり削除を防ぐ目的でしたらガバナンスモードで設定したほうがよさそうですね。
AWS Backup Vault Lock(ガバナンスモード)の設定
ガバナンスモードでボールトロックを作成します。
AWS Backup→バックアップボールトロック→ボールトロックを作成からボールトロックを作成します。
ガバナンスモードではIAM アクセス許可を持っているユーザーが
ボールトロックを管理または削除することが可能なモードとなります。
保持期間には最小保持期間と最大保持期間があります。
最小保持期間と最大保持期間の間のバックアップを保護します。
最大保持期間を指定しない場合、画像では最小保持期間が1日以上のバックアップを保護する設定となります。
AWS Backup Vault Lockが作成されました!
実際にどのような状態となっているか見てみましょう。
バックアップボールトのボールトロックのステータスにボールトロックが設定されていることがわかりますね。
ボールトロックが設定された状態で
AWS Backupで取得したEC2の復旧ポイントを削除してみます。
AWS Backup→バックアップボールト→復旧ポイントを選択→アクション→削除で復旧ポイントを削除します。
復旧ポイントを削除できませんでした。
AWS Backup Vault Lockを設定した状態ではこのように復旧ポイントにロックが掛かり削除することができない状態となります。
次はAWS Backup Vault Lockを(コンプライアンスモード)で設定してみます。
AWS Backup Vault Lock(コンプライアンスモード)の設定
コンプライアンスモードでボールトロックを作成します。
AWS Backup→バックアップボールトロック→ボールトロックを作成からボールトロックを作成します。
コンプライアンスモードではクーリングオフ期間以降は
ボールトロックを管理または削除することが不可能なモードとなります。
コンプライアンスモードの開始日という項目がクーリングオフ期間となります。最短期間3日となっていますので、3日以降の日付を設定します。
※1つのバックアップボールトには1つのボールトロックのみ設定可能です。
この画像を取得する前にガバナンスモードのボールトロックを削除しています。
ボールトロックの作成を進めると下記の画面のような、ボールトがロックされると永続的にロックされ、操作できなくなる旨のメッセージが表示されます。 チェックを入れて作成ボタンを押下します。
ボールトロックが作成されました。クーリングオフ期間は修正可能ですが、それ以降はボールトが完全にロックされる旨のメッセージが表示されていますね。
ボールトロックが設定された状態で
AWS Backupで取得したEC2の復旧ポイントを削除してみます。
AWS Backup→バックアップボールト→復旧ポイントを選択→アクション→削除で復旧ポイントを削除します。
復旧ポイントを削除できませんでした。
ガバナンスモードと同様に復旧ポイントにロックが掛かっている状態となります。
クーリングオフ期間が過ぎるとボールトが完全にロックされてしまうのでその前にボールトロックを削除します。
AWS Backup→バックアップボールトロック→対象のボールトロックを選択→ボールトロックを管理からボールトロックを削除していきます。
さいごに
AWS Backup Vault Lock(バックアップボールトロック)の解説と実際の動作を確認しました。
最後に本ブログで行ったことを下記に纏めます。
- バックアップボールトロックはバックアップボールトの削除や操作を防ぐ機能。
- ボールトロックは2つのモードがある
- ガバナンスモードはバックアップボールトの削除や操作を防ぐがボールトロック自体を操作可能とするモード
- コンプライアンスモードはクーリングオフ期間以降はバックアップボールトを完全にイミュータブルとするモード
コンプライアンスモードのボールトロックはクーリングオフ期間を過ぎると一切の操作ができなくなりますので、利用シーンに合わせて適切なモードを設定しましょうね。