ある企業が、マルチアカウント環境で AWS Backup を使って EC2・RDS・EFS のバックアップを一元管理したい。全アカウントのバックアップポリシー(バックアップ頻度・保持期間・バックアップ先)を一元的に管理し、各アカウントの管理者がバックアップ設定を勝手に変更・削除できないようにしたい。最も適切な方法はどれか。
- A. 各アカウントに AWS Backup ポリシーを個別に設定し、IAM ポリシーでバックアップ設定の変更を制限する。
- B. AWS Systems Manager の State Manager を使って、全アカウントで定期的にバックアップスクリプトを実行する。
- C. AWS Backup の跨アカウントバックアップ機能を使って、全アカウントのバックアップを中央アカウントに集約する。
- D. AWS Organizations のバックアップポリシー(Backup Policies)を使い、組織のルートまたは OU にアタッチする。各アカウントはポリシーで定義されたバックアップルールを強制的に適用される。
解答と解説を見る
正解: D
AWS Organizations のバックアップポリシー(Backup Policies)は、組織のルートまたは特定の OU にアタッチすることで、配下の全アカウントに AWS Backup のバックアッププランを強制適用できる。メンバーアカウントの管理者は組織バックアップポリシーによって定義されたバックアップルールを変更・削除できないため、一元管理と改ざん防止の両方を実現できる。選択肢Aは各アカウントへの個別設定が必要で管理コストが高く、IAM ポリシーによる制限は管理アカウントを通じた組織ポリシーほど強力ではない。選択肢Cのクロスアカウントバックアップはバックアップデータの中央集約には有効だが、バックアップポリシー(何をバックアップするか)の一元管理・強制適用とは別の概念である。選択肢BのSystems Manager State Manager を使ったバックアップスクリプト実行はカスタム実装が必要で、AWS Backup のマネージド機能を使うより管理コストが高い。
📚 関連サービスの解説: AWS Organizations