みなさん、こんにちは。サニービュー事業部の小寺です。
AWS Backupのアップデートとして、AWS Backup Vault Lockが利用できるようになりました。
AWS Backup Vault Lockとは
新しくリリースされたAWS Backup Vault Lockを使うことで、不注意または悪意のあるアクションから、より強力にバックアップを保護することができます。
不注意または悪意のあるアクションとはどういうことでしょうか。
元々AWS Backupで取得される各種バックアップはAWSサービスで管理されており、改変はできない仕組みです。
ですが、APIから削除することはできるので、誤った削除や悪意のあるアクションから保護ができるようになったということです。
AWS Backup Vault Lockの特徴をまとめてみます。
・特定のコンプライアンス要件がある等、高いデータ保護水準が求められる場合に有効
・追加料金なしで AWS CLI および APIからの操作を介して設定(コンソールからの操作は不可)
・バックアップルールで指定した保持期間の間は必ずバックアップが維持されることを保証
・Write Once Read Many(書き込みは一回限りだが読み取りは何度も可能)モデルを採用
AWS Backup Vault Lockを使ってみるには
早速、AWS CLIから試してみました。
何も設定していない状態を確認してみます。
aws backup list-backup-vaults
{
“BackupVaultList”: [
{
“BackupVaultName”: “Default”,
“BackupVaultArn”: “arn:aws:backup:ap-northeast-1:123456789012:backup-vault:Default”,
“CreationDate”: “2020-12-08T16:04:47.707000+09:00”,
“EncryptionKeyArn”: “arn:aws:kms:ap-northeast-1:123456789012:key/XXXXXXXXXXXXXXXXXXXX”,
“CreatorRequestId”: “Default”,
“NumberOfRecoveryPoints”: 0
}
]
}
利用するには、以下のコマンドを使って設定できるようです。
aws backup put-backup-vault-lock-configuration \
–backup-vault-name my_vault_to_lock \
–changeable-for-days 3 \
–min-retention-days 7 \
–max-retention-days 30
私の試した環境では、コマンドが表示されず・・。
CLIバージョン1のみ(1.20.58以上)で動作するようです。Available Commandの中に「put-backup-vault-lock-configuration」がありました。
CLIバージョン2は2021年10月時点では未対応です。
(1)BackupVaultName
必須項目です。名前をつけます。
(2)ChangeableForDays
最低3日以上の設定が必要です。保持期間の設定を見直したりVault Lock自体を無効にするいわゆる クーリングオフ が可能な期間です。
クーリングオフ期間の設定に関わらず、Vault Lockは即時に有効になります。
(3)MaxRetentionDays
バックアップの最大保持期間を設定します。
(4)MinRetentionDays
バックアップの最低保持期間を設定します。
対応リージョン
中国リージョンを除く、全てのリージョンで利用できます。
料金
追加料金なしで AWS CLI および API より利用できます。
※AWSマネジメントコンソールからの設定ができない点が留意事項です。
まとめ
いかがでしたでしょうか。AWS Backup Vault Lockは特定の要求事項に対応するときの利用に限定されるかもしれないですが、APIからの保護は役に立ちそうですね。
