AWS Backup

解決する課題

これまではEBSはスナップショット、RDSは自動バックアップ、DynamoDBはオンデマンドバックアップ…とサービスごとに別々の仕組みで管理する必要があり、設定漏れや保持期間のばらつきが起きがちでした。AWS Backupなら：

複数サービスのバックアップを一つのプランでまとめてスケジュール
取得・保持・期限切れ削除を自動化し、人手のミスを減らす
バックアップ取得状況を横断的に可視化・監査できる

主要概念と用語

バックアッププラン: いつ・どのくらいの頻度で取得し、どれだけ保持するかを定義したルールの集合
バックアップルール: プラン内の個別ルール。スケジュール、バックアップウィンドウ、ライフサイクルを指定
リソース割り当て: どのリソースをプランの対象にするか。リソースIDの直接指定やタグによる動的な対象指定が可能
バックアップボールト: バックアップ（リカバリーポイント）を保管するコンテナ。KMSキーで暗号化
リカバリーポイント: 取得された個々のバックアップ復元単位
ライフサイクル: コールドストレージへの移行や有効期限による自動削除のルール
Vault Lock: ボールトに書き込み専用に近い保護をかけ、保持中のバックアップ削除を防ぐ仕組み

仕様・制限・クォータ

リージョン単位のサービスで、対応するリソースは同一リージョンのものを対象にする（別リージョン/別アカウントへはコピーで対応）
対応サービスはEC2やEBS、RDS、Aurora、DynamoDB、EFS、FSx、Storage Gatewayなど幅広く、対象は継続的に拡大している
1アカウントあたりのプラン数やボールト数などにクォータがあり、必要に応じて引き上げを申請できる
一部リソースは継続的バックアップ（後述のポイントインタイムリストア）に対応するが、対応範囲はサービスごとに異なる

内部の仕組み

AWS Backupは各サービスが本来持つネイティブのバックアップ機能（EBSスナップショット、RDS自動バックアップなど）をオーケストレーションする役割を担います。利用者はプランを定義するだけで、Backupがスケジュールに従って各サービスのAPIを呼び出し、取得したリカバリーポイントをボールトに集約・管理します。

取得形態には、定期スナップショット方式に加え、対応サービスでは継続的バックアップによる任意時点復元（ポイントインタイムリストア）がある
ライフサイクルにより、一定期間後にコールドストレージへ移行してコストを抑え、期限到来で自動削除できる
別リージョン・別アカウントへのコピーをプランに組み込み、災害対策（DR）構成を自動化できる

タグ起点の自動付与

リソースをタグで割り当てると、新規作成したリソースも同じタグを付けるだけで自動的にプラン対象になります。「バックアップの取り忘れ」を構造的に防げます。

設計パターン / ベストプラクティス

タグベースの割り当て: 個別IDではなくタグで対象を定義し、リソース増減に追従させる
階層化した保持: 短期は標準ストレージ、長期はコールドストレージへ移行しコストと保持要件を両立
クロスリージョン/クロスアカウントコピー: 本番とは別の場所へ複製し、リージョン障害やアカウント侵害に備える
AWS Organizations連携: 組織全体にバックアップポリシーを一括適用し、ガバナンスを統一

運用・監視

CloudWatchやイベント通知でジョブの成功・失敗を監視し、失敗時にアラート
AWS Backup Audit Managerでバックアップの取得状況・暗号化・保持期間が要件を満たしているかを継続的に評価しレポート化
定期的に復元テストを行い、リカバリーポイントから実際に復旧できることを確認する
ジョブ状況はコンソールやAPIで横断的に確認できる

バックアップ取得＝復元可能ではない

取得が成功していても、復元手順や所要時間を検証していなければ本番障害時に役立ちません。復元テストとRTO/RPOの確認を運用に組み込みましょう。

コスト

課金は主に保管しているバックアップの容量と、別の場所へのコピーやデータ転送、復元時のデータ量などに基づく
コールドストレージへ移行すると保管単価を下げられるが、最低保管期間や取り出しの条件があるため長期保持向け
不要になった古いリカバリーポイントはライフサイクルで自動失効させ、保管コストの肥大化を防ぐ

まず保持ポリシーを設計

頻度と保持期間を要件（RPOやコンプライアンス）から逆算して決めるのがコスト最適化の近道です。過剰な世代保持が費用の主因になりがちです。

セキュリティ

バックアップボールトはKMSで保存時暗号化し、ボールトごとにアクセスポリシーを設定できる
Vault Lockを有効化すると、保持期間中のバックアップを管理者でも削除できないようにでき、ランサムウェア対策やコンプライアンス要件に有効
別アカウントのボールトへコピーしておけば、本番アカウントが侵害されてもバックアップを守れる
IAMで誰がバックアップ・復元・削除を実行できるかを最小権限で制御する

Well-Architected の観点

信頼性: 一元管理されたプランで取りこぼしを防ぎ、クロスリージョンコピーでDRを実現
運用上の優秀性: ポリシーとしてコード化・自動化し、Audit Managerで継続的にコンプライアンスを検証
セキュリティ: 暗号化、Vault Lock、別アカウント隔離でバックアップ自体を保護
コスト最適化: ライフサイクルによる移行と自動失効で保管費用を抑制

試験で問われるポイント

頻出

「複数サービスのバックアップを一元管理・自動化」と言えばAWS Backup
「管理者でも消せない改ざん防止」→Vault Lock（ランサムウェア/コンプライアンス対策）
「組織全体にバックアップポリシーを一括適用」→AWS Organizationsと連携したバックアップポリシー
「リージョン障害に備える」→クロスリージョンコピー、アカウント侵害対策はクロスアカウントコピー
対象指定はタグベースが基本（新規リソースも自動で対象化）

観点	AWS Backup	サービス個別のバックアップ
対象範囲	複数サービスを横断して一元管理	各サービス単体に限定
ポリシー管理	プランで集中管理・組織展開	サービスごとに個別設定
改ざん防止	Vault Lockで保護可能	原則なし（仕組みは限定的）
監査	Audit Managerで横断レポート	個別に確認が必要

ハンズオン / CLI例

# バックアッププランを作成（プラン定義はJSONで指定）
aws backup create-backup-plan \
  --backup-plan '{
    "BackupPlanName": "daily-plan",
    "Rules": [{
      "RuleName": "daily-35d",
      "TargetBackupVaultName": "Default",
      "ScheduleExpression": "cron(0 17 * * ? *)",
      "Lifecycle": {"DeleteAfterDays": 35}
    }]
  }'

# タグでリソースをプランに割り当て（Backup=true のリソースを対象化）
aws backup create-backup-selection \
  --backup-plan-id <plan-id> \
  --backup-selection '{
    "SelectionName": "tagged-resources",
    "IamRoleArn": "arn:aws:iam::<account-id>:role/AWSBackupDefaultServiceRole",
    "ListOfTags": [{"ConditionType": "STRINGEQUALS", "ConditionKey": "Backup", "ConditionValue": "true"}]
  }'

# バックアップジョブの一覧を確認
aws backup list-backup-jobs --by-state COMPLETED

解決する課題

主要概念と用語

仕様・制限・クォータ

内部の仕組み

設計パターン / ベストプラクティス

運用・監視

コスト

セキュリティ

Well-Architected の観点

試験で問われるポイント

関連サービス・比較

ハンズオン / CLI例

AWS Backupを実務で読む

解決すること

比較で見る軸

導入後に効く点

先に潰すリスク

判断チェックリスト

次に確認する観点