この記事では、Backup ボールトの機能について説明します。 Backup ボールトは、Azure Backup によってサポートされる特定の新しいワークロードのバックアップ データを格納する Azure のストレージ エンティティです。 Backup ボールトを使用すると、Azure Blob、Azure Database for PostgreSQL サーバー、Azure Backup によってサポートされる新しいワークロードなど、さまざまな Azure サービスのバックアップ データを保持できます。 Backup ボールトを使用すると、管理オーバーヘッドを最小限に抑えながら、バックアップ データを簡単に整理できます。 バックアップと復元でサポートされるボールトの種類について学びます。
主な機能
Backup ボールトは、Azure の Azure Resource Manager モデルに基づいており、次のような機能を提供します。
強化されたバックアップ データの保護機能: バックアップ コンテナーの場合、Azure Backup によってクラウド バックアップを保護するセキュリティ機能が提供されます。 このセキュリティ機能により、バックアップをセキュリティで保護することができ、運用サーバーとバックアップ サーバーが侵害された場合でもデータを安全に回復できます。 詳細情報
Azure ロールベースのアクセス制御 (Azure RBAC): Azure RBAC を使用して、Azure のアクセス権を詳細に管理できます。 Azure にはさまざまな組み込みのロールがあります。また、Azure Backup には、復旧ポイントを管理するための 3 つの組み込みのロールがあります。 Backup ボールトは Azure RBAC と互換性があります。これにより、定義された一連のユーザー ロールへのバックアップと復元のアクセスが制限されます。 詳細情報
データ分離: Azure Backup では、保管済みのバックアップ データは Microsoft が管理する Azure サブスクリプションとテナントに格納されます。 外部ユーザーまたはゲストは、このバックアップ ストレージまたはその内容に直接アクセスできないため、データ ソースが存在する運用環境からバックアップ データが確実に分離されます。 この堅牢なアプローチにより、環境が侵害された場合でも、許可されていないユーザーによる既存のバックアップの改ざんや削除ができません。
V2 ワークロードの一元的な監視: Backup ボールトを使用すると、バックアップ ジョブからアラートまで、すべての V2 ワークロードを監視できます。 そのレポート機能は、Azure ビジネス継続性センターで利用できます。
Backup ボールトのストレージ設定
Backup ボールトは、時間の経過と共に作成されたバックアップと復旧ポイントを格納するエンティティです。 バックアップ コンテナーには、保護対象のリソースに関連付けられたバックアップ ポリシーも格納されます。
Azure Backup では、ボールトのストレージが自動的に処理されます。 Backup ボールトを作成するときに、ビジネス ニーズに合ったストレージの冗長性を選択します。
Backup ボールトの暗号化設定
このセクションでは、Backup ボールトに格納されるバックアップ データを暗号化するために使用できるオプションについて説明します。 Azure Backup サービスは、バックアップ管理サービス アプリを使用して Azure Key Vault にアクセスしますが、バックアップ コンテナーのマネージド ID は使用しません。
プラットフォーム マネージド キーを使用したバックアップ データの暗号化
Azure Backup には、Backup ボールトのバックアップ データ暗号化を管理するための 2 つのオプション (Microsoft マネージド キーとカスタマー マネージド キー) が用意されています。 既定では、すべてのデータが、Microsoft マネージド キーを使用して暗号化されます。 Azure Backup は、バックアップ管理サービス アプリを使用して Azure Key Vault にアクセスしますが、バックアップ コンテナーのマネージド ID は使用しません。
独自のキーをフェッチしてバックアップ データを暗号化するには、"Backup ボールト" の [暗号化の設定] で [カスタマー マネージド キー] オプションを使用します。
バックアップ コンテナーでのロールベースのアクセス制御 (RBAC)
バックアップ コンテナーは、強力な Role-Based アクセス制御 (RBAC) メカニズムを提供します。このメカニズムは、バックアップ コンテナーにアクセスできるユーザーと実行できる操作を制御するだけでなく、コンテナーがアクセスできる個々のワークロードとその範囲をきめ細かく制御できます。 これには、バックアップする Azure ディスクや PostgreSQL サーバー、暗号化キー管理に使用される Key Vault などの Azure リソースへのアクセスが含まれます。
RBAC は、Backup コンテナーに関連付けられているマネージド ID を通じて適用されます。 これらの ID に特定のロールを割り当てて、必要なアクセス権を付与できます。 バックアップ コンテナーでは、次の 2 種類のマネージド ID がサポートされています。
システム割り当てマネージド ID: この ID は、Backup コンテナーがプロビジョニングされ、コンテナーのライフサイクルに関連付けられているときに自動的に作成されます。 必要に応じて、この ID を無効にするオプションがあります。
ユーザー割り当てマネージド ID: これは、1 つ以上の Backup コンテナーに割り当てることができる独立した Azure リソースです。 割り当てられると、この ID に付与されるすべてのロールがコンテナーにも適用されます。 ユーザー割り当てマネージド ID のライフサイクルはボルトから切り離され、柔軟性が向上します。 複数のユーザー割り当て ID を 1 つの Backup コンテナーに関連付けることができます。
これらの ID により、セキュリティで保護された管理可能なアクセス制御が確保され、Backup コンテナーは組織のセキュリティ ポリシーに合わせて必要最小限の特権で動作できます。
Azure Backup を使用した PostgreSQL のリージョン間復元のサポート
Azure Backup を使用すると、geo 冗長ストレージ (GRS) を使用してリージョンの障害からバックアップを保護することで、追加の Azure ペアリージョンにバックアップをレプリケートできます。 GRS を使用したバックアップを有効にすると、Microsoft がプライマリ リージョンで停止を宣言した場合にのみ、セカンダリ リージョンのバックアップにアクセスできるようになります。 ただし、リージョン間復元では、プライマリ リージョンで障害が発生していない場合でも、セカンダリ リージョンの回復ポイントにアクセスしてそこから復元を実行できます。そのため、リージョンの回復性を評価するための訓練を実行できます。
リージョンをまたがる復元を実行する方法に関する記事を参照してください。
注
- リージョン間復元は、Backup ボールトで保護された PostgreSQL バックアップに対して使用できるようになりました。
- リージョン間復元が有効化された Backup ボールトは、ボールトに格納されている PostgreSQL バックアップに対して RA-GRS レートで自動的に課金されます。