見出し画像

【AWS Update】AWS Control Towerのランディングゾーン機能にAWS Backupが追加されました

SHIFT Group 技術ブログ

1.はじめに

SHIFTのナショナルセキュリティ事業部所属の松尾です。

AWSアップデート情報(2024年11月25日)によると、AWS Control TowerにAWS Backupオプションが追加されました。これにより、AWS OrganizationsのOU単位でAWS Backupを有効化することで、対象OUのメンバーアカウントで一貫したバックアッププランが維持されます。なお、AWS Backupのバックアッププランは、ベストプラクティスの推奨事項に沿って作成されます。

"AWS Control Tower がランディングゾーン機能に規範的なバックアッププランを追加(AWS)"

【注】本記事での検証開始時点は、2024年12月16日となります。

2.AWS Control TowerにおけるランディングゾーンでのAWS Backupの有効化

AWS Control Towerのランディングゾーン設定でAWS Backupを有効化してみます。AWS Control Towerのマスタアカウントとして、マネージドコンソールにログインします。

まず、AWS Backup用のAWS KMSキーが必要なため、AWS Key Management Serviceで事前に作成しておきます。当AWS KMSキーはマルチリージョンキーが前提となることに注意します。キー管理者及びキーユーザーは、AWSControlTowerAdmin(IAMロール)を指定します。

そのほか事前準備として、AWSControlTowerAdmin(IAMロール)にインラインポリシーを追加しておきます。上記で作成したAWS Backup用のAWS KMSキーおよびAWS Backupのアクションの許可ポリシーを追加します(※試行錯誤で作成したサンプルコードを以下に掲載します)。

【サンプルコード】AWS Backup用のIAMポリシー(インラインポリシー)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:CreateKey",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:ReEncrypt*",
                "kms:ListAliases",
                "kms:CreateAlias"
            ],
            "Resource": "arn:aws:kms:ap-northeast-1:123456789012:key/xxxxxxxxxx"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:DeleteBackupVault",
                "backup:PutBackupVaultAccessPolicy",
                "backup:GetBackupVaultAccessPolicy",
                "backup:ListBackupVaults"
            ],
            "Resource": "*"
        }
    ]
}

続いてAWS Control Tower>ランディングゾーン設定に遷移後、「設定を変更する」を押下します。

AWS Backupの設定枠が追加されているので、AWS Backupを有効化して、中央バックアップアカウント、バックアップ管理者アカウントおよびバックアップのAWS KMSキーを指定し、「次へ」を押下します。

ここで中央バックアップアカウントおよびバックアップ管理者アカウントはAWS Organizationsで未登録アカウント(OU未所属)を指定することに注意します。予めAWS Control TowerのAccount FactoryでAWS OrganizationsにOU未所属の状態で登録しておきます(Account FactoryでのAWSアカウント登録は以下のブログをご参照ください)。当未登録アカウントのイメージは以下のとおりです。

"ガードレールの設計(AWS Control Tower シリーズ vol.2)"

「ランディングゾーンの更新」を押下後、ランディングゾーンの更新処理が開始しますので、完了するまで待機します。

ランディングゾーンにAWS Backup設定後の様子を見てみましょう。まずは追加した2つのAWSアカウント(中央バックアップアカウントおよびバックアップ管理者アカウント)ですが、AWS OrganizationsにおいてSecurity OUに所属となるようです。

Security OUに対してAWS Backup関連の4つのガードレール(コントロール)が自動的に有効化となっていました。

試しにPolicy Staging OUに対してAWS Backupを有効化してみます。AWS Organizationsより、Security OUのリンクを押下します。

AWS Backupのオプション枠で、「Enable AWS Backup on OU」を押下します。

執筆者プロフィール:松尾光敏
過去にアプリケーション開発・基盤構築を経て、いまはコンサルとしてメインクライアントの官公庁案件のほか、社内AWS CCoEに関わっています。最近は週末に、コンサルのための体力づくりと歳による体力低下を補うために趣味のサイクリングを再開しました。

■保有資格
・AWS認定全冠(2023/2024 Japan AWS All Certifications Engineers) (※2025も条件満たしました)
・Azure Solutions Architect Expert
・Google Cloud Professional Cloud Architect
・CISSP
・CISA
・PMP

お問合せはお気軽に

SHIFTについて(コーポレートサイト)

SHIFTのサービスについて(サービスサイト)

SHIFTの導入事例

お役立ち資料はこちら

SHIFTの採用情報はこちら

PHOTO:UnsplashAlejandro Escamilla


最後まで読んでくださり、ありがとうございます!

御社サービスのご相談はお気軽に。
ソフトウェア品質のプロがお伺いします。