みなさん、こんにちは。
サニービュー事業部の小寺です。

Backupの監査、証跡取得など一元管理、レポート化できるようになりました。
https://aws.amazon.com/jp/blogs/aws/monitor-evaluate-and-demonstrate-backup-compliance-with-aws-backup-audit-manager/

AWS Backup Audit Managerとは

AWS Backup Audit Managerでは、「フレームワーク」と「レポート」の機能があります。

フレームワークでは、5つのバックアップのガバナンスに基づき、ルールに準拠しているかどうかをチェックできます。
レポートでは、バックアップ、リストアジョブについてレポートを生成することができ、単一のアカウントやリージョンのバックアップに対して、どのような改善ができるか?を可視化することができます。

どうやって設定するの?

AWSマネジメントコンソールより、AWS Backupで新しく「Backup Audit Manager」メニューが増えていることが確認できます。

フレームワークを作ってみる

フレームワークは、コントロールの集まりです。事前に構築されたカスタマイズ可能なコントロールを定義し、バックアップアクティビティがコントロールに準拠しているかどうかを評価できます。

1) 「フレームワークを作成」をクリックします。

フレームワーク名を入力します。
フレームワークタイプについては、「AWS Backup フレームワーク」と「カスタムフレームワーク」の2つから選ぶことができます。

※ここでは、デフォルトの「AWS Backup フレームワーク(推奨)」で作成を行います。

2) 「コントロール」部分に5つのAWS configに基づくルールの準拠の結果が表示されます。
※最初はデータを取得するため、デプロイのステータスが「完了」になるまで少し時間がかかります。

5つのルール(AWS Config)のチェック内容です。
・バックアップ復旧点の最小保持期間
復旧点の保持期間が [1 日] 以上かどうか

・復旧点の手動削除をバックアップによって防止
Backup Vault が、特定の IAM ロールを除いて復旧点の手動削除を許可していないかどうか

・バックアッププランによって保護されたバックアップリソース
リソースがバックアッププランによって保護されているかどうか

・バックアップ復旧点の暗号化
復旧点が暗号化されているかどうか

・バックアッププランの最小頻度と最小保持期間
バックアップの頻度が [1 時間] 以上で、保持期間が [1 か月] 以上あるかどうかを評価します。

3) レポート項目のうち「データ不足」となっている「バックアッププランの最小頻度と最小保持期間 」を確認してみました。

最小頻度は1時間、保持期間は35日となっています。
このConfigのルールは「AWS Backup フレームワーク」から作成したため、編集することができません。

柔軟なルール設定をする場合は、「カスタムフレームワーク」から作成してみましょう。

レポートを作ってみる

1) 「レポートを作成」をクリックします。

2) レポートテンプレートについて、以下の3つから選ぶことができます。

・バックアップジョブレポート
・復元ジョブレポート
・コピージョブレポート

ここでは、「バックアップジョブレポート」を選びます。
レポート名はデフォルトでは以下の通り表示されますが、アルファベットに変更が必要です。
※デフォルトではエラーになりました。

ファイル形式は「CSV」または「JSON」から選びます。
レポート結果を保存するS3バケットを選ぶことができます。

「レポートを作成」をクリックします。

3) レポートは24時間ごとに自動生成されます。
生成されていない場合は、「結果の更新」をクリックしましょう。

「結果の更新」をクリックすると、「オンデマンドレポートを作成しています」と表示され、生成がされます。

まとめ

AWS Backup Audit Managerの機能について、確認してみました。フレームワークとレポートの2つがありました。

・全て使っているリソースのバックアップが取れているか?
・バックアップが暗号化されているか?
・バックアップが日次で取得されているか?

どうやって保証することができるのでしょうか?そんな課題を解決するのがAWS Backup Audit Managerです。監査時のレポートとしても有効活用できそうですね。

SunnyCloudでは、バックアップの取得や災害対策に関するウェビナーを実施します。