株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > AWS > AWS Backupの論理エアギャップボールトとは?

AWS Backupの論理エアギャップボールトとは?

AWS AWS Backup

皆様こんにちは!

ネットワールドでAWSやMicrosoftのクラウド製品を担当しているSEの碇です。

本日は、AWS Backupのオプションとして選択できる、論理エアギャップボールトという機能についてご説明していこうと思います。

論理エアギャップボールトとは

論理エアギャップボールトとは、セキュリティ機能を追加したコンテナにバックアップを保存できる
セカンダリタイプのボールトのことです。
通常のバックアップにプラスして、よりセキュリティを高めるために利用することができます。

そもそもボールトとは・・・

以前AWS Backupについて、基本的な操作方法をご説明したブログを公開しています。
AWS Backupについてのブログはこちら

blogs.networld.co.jp

バックアップボールトとは、バックアップの保管庫です。対象のリソースの復旧ポイント(バックアップデータ)が保管されます。

論理エアギャップボールトのメリット③つ

論理エアギャップボールトのメリットは以下の3つがあげられると思います。

①自動的にAWS Backup ボールトロックのコンプライアンスモードが備わっている

②論理エアギャップボールトに保管されたコンテンツは AWS 所有のキーで暗号化される

③他のアカウントとボールトへのアクセスを共有できるため、目標復旧時間(RTO)を速くし、柔軟性を高めることができる。 

詳細をご説明していきます。

メリット①ボールトロックのコンプライアンスモード

論理エアギャップボールトは、作成されると自動的にボールトにロックがかかります。

ロックをかけると、ボールト内の復旧ポイントを不注意または悪意のある削除から保護でき、ボールトをWORM(write-once, read-many)構成とすることができます。

論理エアギャップボールトでは、ロックの中でもコンプライアンスモードのロックがかかり、論理エアギャップボールトはイミュータブル状態になります。

イミュータブル状態とは、どのユーザーでもAWSでもロックを削除できなくなる状態のことです。

ただし、ボールト自体が空で、復旧ポイントが含まれていない場合は削除できます。

つまり、EC2などの復旧ポイントが保管されている論理エアギャップボールトは、AWSを含むどのユーザーも削除することができません。

詳細はこちら
AWS Backup ボールトロック - AWS Backup

メリット②AWS 所有のキーで暗号化される

各ボールトは、暗号化キーによって保護することができます。
論理エアギャップボールトは、デフォルトでAWS 所有キーによる暗号化が提供されています。

AWS 所有キーによって暗号化されることのメリットは以下2点があげれます。
・ユーザー側で管理している暗号化キーの誤削除や望まない削除から保護されること
・運用オーバーヘッドと鍵管理コストが削減できること(追加料金がかからない)こと
の2つがあげられます。

つまり、論理エアギャップボールトはAWS 所有キーで暗号化されているため、
ユーザーでの暗号化キーの誤削除や外部からの望まない削除を防ぐことができ、
さらに鍵管理コストが削減できます。

詳細はこちら。少し前のAWSブログですが、とても参考になりました。
AWS Backup の Logically air-gapped vault によるサイバーレジリエンスの構築 | Amazon Web Services ブログ

また、2025年11月ごろからはカスタマーマネージドキーを指定することも可能になったようです。
AWS Backup が論理エアギャップボールトで AWS KMS カスタマーマネージドキーをサポート - AWS

メリット③他のアカウントとボールトへのアクセスを共有できる

論理エアギャップボールトは、AWS Resource Access Manager(RAM)を使用して、指定した他のアカウントと共有することができます。
※アカウントは、AWSの環境そのもののことを指します。

つまり、AWSアカウント自体が使えなくなってしまっても、論理エアギャップボールトに保管されていたデータは他アカウントから復元が可能になるということです。

RAMとは・・・

RAMは、複数のAWSアカウントや組織(Organizations)間において、VPCサブネット、Transit Gateway、License Manager設定などのリソースを安全かつ容易に共有できるサービスのことです。
とは AWS Resource Access Manager - AWS Resource Access Manager

RAMを利用する場合は、論理エアギャップボールトを所有するアカウントにRAMへのアクセスが許可されたユーザーが必要です。
論理エアギャップボールト - AWS Backup

RAMで共有された論理エアギャップボールトは、AWS Backupコンソールのボールト>「RAM 経由で共有されるボールト」から確認することができます。

RAM 経由で共有されるボールト

論理エアギャップボールトの作成

論理エアギャップボールトについて理解したところで、早速論理エアギャップボールトを作成してみます。

バックアッププランから「新しいボールトを作成」からでも、ボールトから「論理的にエアギャップのあるボールトを作成」からでも作成可能です。
今回はボールト画面から作成してみます。

AWS Backup>ボールト>論理的にエアギャップのあるボールトを作成をクリックします。

論理的にエアギャップのあるボールトを作成

ボールトを作成画面で、ボールト名、ボールトタイプ、保持期間などを入力します。

ボールトを作成画面①

今回は最小保持期間を7日、最大保持期間を8日としました。
※今回は削除動作まで確認したいので、最小の日数を設定しました。

最小保持期間は7日より少ない日数は選べず、最大保持期間は最小保持期間より少ない日数は選ぶことができません。

最小保持期間

続いて暗号化キーを選択します。

メリット②で見ていただいた通り、誤削除がなく、追加でコストがかからないAWS所有キーで暗号化したいと思います。
必要に応じてタグを追加して、「ボールトを作成」をクリックします。

ボールトを作成画面②

これらの設定で論理的にエアギャップのあるボールトを作成してもよろしいですか?の画面が表示されるので、設定内容があっていることを確認して、「論理的にエアギャップのあるボールトを作成」をクリックします。

論理的にエアギャップのあるボールトを作成

論理エアギャップボールトが作成されたら、ARNを記録し、安全に保管する必要があります。
ARNは作成したボールトをクリックすると表示されます。

ボールトARN

論理エアギャップボールトの詳細を見ていると、メリット①で紹介したコンプライアンスモードのロックや、メリット③のRAMの共有ステータスを確認することができます(今回はRAMの共有はしていません)。

論理エアギャップボールトの詳細

論理エアギャップボールトが作成できたら、論理エアギャップボールトにバックアップが定期的に保管されるようにバックアッププランに紐づけます。
既に作成されているバックアップルールを編集することも、新しくバックアップルールを作成することも可能です。

今回は既存のバックアップルールを編集していきます。
AWS Backup>バックアッププランから、対象のバックアッププランをクリックします。
バックアッププランを表示させたら、バックアップルールをクリック⇒編集をクリックして、バックアップルールを編集画面を表示させます。

対象のバックアップルールをクリック

バックアップルールを編集画面が表示されたら、論理エアギャップボールト(オプション)をクリックして、先ほど作成した論理エアギャップボールトを選択します。

ここで、合計保持期間についても論理エアギャップボールトで設定した保持期間以上にしないと設定ができないのでご注意ください。

バックアップルールを編集画面

設定が完了したら、保存をクリックして設定を保存します。

スケジュールバックアップが問題なく動いたら、バックアップジョブを確認することでバックアップのステータスを確認することができます。
バックアップジョブの確認方法は先ほどご紹介したブログでご説明しています。

通常のスケジュールバックアップが完了したら、論理エアギャップボールトへのバックアップはコピージョブという形で表示されます。

論理エアギャップボールトはコピージョブに表示される

コピージョブが完了したら、論理エアギャップボールトの復旧ポイントにリソースが表示されました。

論理エアギャップボールトに保管された

ここまでで論理エアギャップボールトの作成と、バックアッププランへの紐づけが完了しました。

論理エアギャップボールトの削除

続いて、試しに復旧ポイントが保管されている論理エアギャップボールトを削除してみました。

メリット①で紹介した通り、復旧ポイントが保管されている論理エアギャップボールトを削除することはできず、エラーが表示されました。

エラー:削除できませんでした

その後バックアップを停止し、復旧ポイントの最大保護期間を過ぎると、完全に復旧ポイントが削除されます。

今回は最大保持期間を8日間と設定していましたので、4/7に作成された復旧ポイントは8日後の4/15には消えていました。

完全に復旧ポイントが削除され、論理エアギャップボールトが空になれば論理エアギャップボールトを削除することが可能になりますので、作業の8日後、復旧ポイントが空になっていることを確認して論理エアギャップボールトを削除してみました。

復旧ポイントが0個になった論理エアギャップボールトを削除

「論理的にエアギャップのあるボールトを削除」が表示されるので、「確認」と入力して、「ボールトを削除」をクリックします。

論理的にエアギャップのあるボールトを削除

無事に削除することができました。

正常に削除されました

復旧ポイントが残っている場合は、どんな強い権限を持ったアカウントでも削除ができませんが、空の論理エアギャップボールトであれば削除が可能なことがわかりました。

以上で、AWS Backupの論理エアギャップボールトについてご説明しました。
論理エアギャップボールトという名前から難しそうに感じるかもしれませんが、操作をしてみるとより理解が深まりました。

この記事が参考になれば幸いです。

 

*******************************************************************

本ブログに掲載されている内容は、執筆時点の情報および筆者の知見に基づいています。
内容の正確性や最新性については可能な限り配慮しておりますが、
その完全性や有用性を保証するものではありません。
 
本ブログに記載されている見解や意見は、筆者個人のものであり、
当社の公式な見解、方針、または保証を示すものではありません。
 
本ブログの情報を利用したことにより生じたいかなる損害についても、
当社および筆者は一切の責任を負いかねます。
製品の導入や設定、運用にあたっては、各ベンダーの公式ドキュメントや
契約内容をご確認のうえ、自己責任にてご判断ください。

*******************************************************************