翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 複数の にわたる AWS Backup リソースの管理 AWS アカウント
<a name="manage-cross-account"></a>

**注記**  
複数の AWS アカウント でリソースを管理する前に AWS Backup、アカウントは AWS Organizations サービス内の同じ組織に属している必要があります。

## クロスアカウント管理の概要
<a name="cross-account-management-overview"></a>

のクロスアカウント管理機能を使用して、 で AWS アカウント 設定した 全体のバックアップ、復元、コピージョブ AWS Backup を管理およびモニタリングできます AWS Organizations。 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)は、単一の管理アカウント AWS アカウント から複数の のポリシーベースの管理を提供するサービスです。これにより、バックアップポリシーの実装方法を標準化し、手作業によるエラーと労力を同時に最小化することができます。一元的なビューから、関心のある条件を満たす、すべてのアカウントのリソースを簡単に識別できます。

をセットアップすると AWS Organizations、すべてのアカウントのアクティビティを 1 か所でモニタリング AWS Backup するように を設定できます。バックアップポリシーを作成して、組織の一部である選択したアカウントに適用し、 AWS Backup コンソールから直接集計バックアップジョブアクティビティを表示することもできます。この機能により、バックアップ管理者は、単一の管理アカウントから、企業全体の何百ものアカウントのバックアップジョブのステータスを効果的にモニタリングできます。[AWS Organizations クォータ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)が適用されます。

たとえば、特定のリソースのバックアップを毎日作成し、そのバックアップを 7 日間保持するバックアップポリシー A を定義するとします。バックアップポリシー A は組織全体に適用することを選択します。これにより、組織内の各アカウントにそのバックアップポリシーが適用され、そのアカウントに表示される、対応するバックアッププランが作成されます。次に、Finance という名前の OU を作成し、バックアップを 30 日間だけ保持することにしました。この場合、ライフサイクル値を上書きするバックアップポリシー B を定義し、その Finance OU にアタッチします。これにより、指定されたすべてのリソースのバックアップを毎日作成し、それを 30 日間保持する新しい有効なバックアッププランが、Finance OU のすべてのアカウントに適用されます。

この例では、バックアップポリシー A とバックアップポリシー B が単一のバックアップポリシーにマージされ、これにより Finance という名前の OU の下にあるすべてのアカウントの保護戦略が定義されます。組織内の他のすべてのアカウントは、バックアップポリシー A によってそのまま保護されます。マージは、同じバックアップ名を共有するバックアップポリシーに対してのみ行われます。また、ポリシー A とポリシー B をマージせずにそのアカウントに共存させることができます。高度なマージ演算子は、コンソールの JSON ビューでのみ使用できます。マージポリシーの詳細については、*[ポリシー、ポリシーの構文、およびポリシー継承の定義](#merging-policies) ユーザーガイド*の「AWS Organizations 」を参照してください。その他のリファレンスとユースケースについては、ブログ[「 AWS Organizations を使用した大規模なバックアップの管理 AWS Backup](https://aws.amazon.com/blogs/storage/managing-backups-at-scale-in-your-aws-organizations-using-aws-backup/)」およびビデオチュートリアル[AWS Organizations 「 を使用した大規模なバックアップの管理 AWS Backup](https://www.youtube.com/watch?v=a6QI3iSCVz4)」を参照してください。

クロスアカウント管理は、クロスアカウントモニタリング、クロスアカウントバックアップ、バックアップポリシー、委任管理者アカウントで構成されます。これらの要素の全部がすべてのリージョンで利用できるわけではありません。クロスアカウント管理が利用可能な場所については、[AWS 「リージョン別の機能の可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)」を参照してください。

**クロスアカウント管理を使用するには**

1. で管理アカウントを作成し AWS Organizations 、管理アカウントの下にアカウントを追加します。

1. でクロスアカウント管理機能を有効にします AWS Backup。

1. 管理アカウントの AWS アカウント すべての に適用するバックアップポリシーを作成します。
**注記**  
Organizations によって管理されるバックアッププランの場合、管理アカウントのリソースオプトイン設定は、1 つ以上の委任管理者アカウントが設定されていても、その特定のバックアッププランのメンバーアカウントの設定を上書きします。委任された管理者アカウントは、機能が強化されたメンバーアカウントであり、管理アカウントのように設定を上書きすることはできません。

1. すべての でバックアップ、復元、コピージョブを管理します AWS アカウント。

## クロスアカウント管理設定
<a name="cross-account-management-settings"></a>

クロスアカウント管理を使用すると、組織内の複数のアカウントにわたるアクティビティを管理およびモニタリングするための設定を有効または無効にできます。

アカウント間のバックアップ  
組織内のアカウントがバックアップを他のアカウントにコピーできるようにします。

マルチパーティー承認  
マルチパーティー承認統合を使用すると、組織内のすべてのアカウントをマルチパーティー承認にオプトインできます。

委任された管理者  
委任管理者は、Backup が委任管理者のアクセス許可を Organizations と自動的に同期できるようにします。

## Organizations での管理アカウントの作成
<a name="create-organization"></a>

まず、[組織を作成し](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)、 AWS のメンバーアカウントで設定する必要があります AWS Organizations。手順については、[AWS Organizations ユーザーガイド](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html)の「*チュートリアル: 組織の作成と設定*」を参照してください。

メンバーアカウントを組織に追加するときは、各アカウントに次のものがあることを確認します。
+ 少なくとも 1 つの論理エアギャップボールト
+ IAM ロール

作成するバックアップポリシーにはバックアッププランがありますが、 AWS リージョン、バックアッププランで使用されるボールト (複数可）、バックアップされるリソース、バックアップの作成に使用される IAM ロールも識別されます。必要な情報がないアカウントを参照するバックアップポリシーは、期待どおりに機能しません。

詳細については、「*AWS Organizations ユーザーガイド*」の「[バックアップポリシーの構文](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html#backup-policy-syntax-reference)」を参照してください。

## クロスアカウント管理の有効化
<a name="enable-cross-account"></a>

でクロスアカウント管理を使用する前に AWS Backup、管理アカウントでこの機能を有効にする (つまり、オ*プトイン*する) 必要があります。管理アカウントがクロスアカウント管理を有効にしたら、複数のアカウントのリソースを管理するバックアップポリシーを作成できます。

**クロスアカウント管理を有効にするには**

1. [https://console.aws.amazon.com/backup/](https://console.aws.amazon.com/backup) AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。

1. 左側のナビゲーションペインで **[設定]** を選択して、クロスアカウント管理ページを開きます。

1. [**バックアップポリシー**] セクションで [**有効**] を選択します。

   これにより、すべてのアカウントにアクセスでき、組織内の複数のアカウントの同時管理を自動化するためのポリシーを作成できます。

1. **[クロスアカウントモニタリング]** セクションで、**[有効にする]** を選択します。

   これにより、組織内のすべてのアカウントのバックアップ、コピー、および復元アクティビティを管理アカウントからモニタリングできます。

## バックアップポリシー
<a name="create-backup-policy"></a>

バックアッププランと [AWS Organizationsのポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html)のスケーラビリティを組み合わせることで、組織全体の管理を簡素化する[バックアップポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup.html)を作成できます。

組織のバックアップポリシーを有効にする方法の詳細については、「*AWS Organizations ユーザーガイド*」を参照してください。それにより、以下のことが可能になります。
+ [バックアップポリシーを作成する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_create.html)
+ [バックアップポリシーを更新する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_create.html#update-backup-policy-procedure)、または
+ [バックアップポリシーを削除する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_create.html#delete-backup-policy-procedure)
+ [バックアップポリシーの構文と例](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html)

ポリシーに含まれる要素の AWS Backup固有のクォータについては、「[AWS Backup クォータ](aws-backup-limits.md)」を参照してください。

## 委任管理者
<a name="backup-delegatedadmin"></a>

委任管理は、登録されたメンバーアカウントの割り当てられたユーザーがほとんどの AWS Backup 管理タスクを実行するのに便利な方法です。の管理 AWS Backup を のメンバーアカウントに委任することを選択できます。これにより AWS Organizations、管理アカウントの外部 AWS Backup から組織全体で を管理する機能を拡張できます。

デフォルトでは、管理アカウントはポリシーの編集と管理に使用されるアカウントになっています。委任された管理者機能を使用すると、これらの管理機能を、指定したメンバーアカウントに委任できます。また、これらのアカウントは、管理アカウントに加えてポリシーも管理できます。

メンバーアカウントが委任された管理用に正常に登録されると、そのメンバーアカウントは委任された管理者アカウントになります。委任された管理者として指定されるのはユーザーではなくアカウントであることに注意してください。

委任された管理者アカウントを有効にすると、バックアップポリシーを管理できるようになり、管理アカウントにアクセスできるユーザーの数が最小限に抑えられ、ジョブのクロスアカウントモニタリングができるようになります。

以下は、管理アカウント、バックアップ管理者として委任されたアカウント、および AWS 組織内のメンバーであるアカウントの機能を示す表です。

**注記**  
委任された管理者アカウントは機能が強化されたメンバーアカウントですが、管理アカウントのように他のメンバーアカウントのサービスのオプトイン設定を上書きすることはできません。


| **権限** | **管理アカウント** | **委任された管理者** | **メンバーアカウント** | 
| --- | --- | --- | --- | 
| 委任された管理者アカウントの登録/登録解除 | はい | なし | いいえ | 
| クロスアカウント管理の有効化 | はい | なし | いいえ | 
| のアカウント間でバックアップポリシーを管理する AWS Organizations | はい  | あり | なし | 
| ジョブのクロスアカウントモニタリング | はい  | あり | なし | 

### 前提条件
<a name="prereqs"></a>

バックアップ管理を委任する前に、まず AWS 組織内の少なくとも 1 つのメンバーアカウントを**委任管理者**として登録する必要があります。アカウントを委任された管理者として登録するには、まず、以下を設定する必要があります。
+  [AWS Organizations は、デフォルトの管理アカウントに加えて、少なくとも 1 つのメンバーアカウントで有効化および設定する必要があります](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html)。
+  Organization Management Account には AWS Backup Backup Service-Linked Role (AWS Backup ServiceRoleForBackup) があり、委任された管理者権限を Organizations と自動的に同期させることをお勧めします。これにより、オプトインリージョンを有効にしたり、管理者割り当てを変更したりするときに、委任された管理者が適切なアクセスできるようになります。Backup サービスにリンクされたロールが存在しない場合や削除された場合は、いくつかのオプションで作成できます。
  + 委任管理者機能の有効化。
  + Backup Vaults コンソールページにアクセスします。
  + [ 「デフォルトのサービスロールの作成」のドキュメントに従って手動で作成します。](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)
+  AWS Backup コンソールで、**バックアップポリシー**、**クロスアカウントモニタリング**、**クロスアカウントバックアップ**、委任**管理者**機能が有効になっていることを確認します。これらは、 AWS Backup コンソールの**委任管理者**ペインの下にあります。
  + [クロスアカウントモニタリング](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#enable-cross-account)では、管理アカウントと委任された管理者アカウントの両方から、組織内のすべてのアカウントのバックアップアクティビティをモニタリングできます。
  + *オプション:* クロスアカウントバックアップにより、組織内のアカウントが (バックアップがサポートされているクロスアカウントリソース用に) 他のアカウントにバックアップをコピーできます。
  + *オプション:* 委任された管理者。これにより、 AWS Backup バックアップサービスにリンクされたロールを自動的に作成して、委任された管理者のアクセス許可を Organizations と同期できます。
  + で[サービスアクセス](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)を有効にします AWS Backup。

委任された管理の設定には 2 つのステップがあります。最初のステップは、ジョブのクロスアカウントモニタリングを委任することです。2 つ目のステップは、バックアップポリシー管理を委任することです。

### 委任された管理者のアカウントとしてのメンバーアカウントの登録
<a name="registermemberaccount"></a>

これは最初のセクションです。 AWS Backup コンソールを使用して委任管理者アカウントを登録し、クロスアカウントジョブをモニタリングします。 AWS Backup ポリシーを委任するには、次のセクションで Organizations コンソールを使用します。

** AWS Backup コンソールを使用してメンバーアカウントを登録するには:**

1. [https://console.aws.amazon.com/backup/](https://console.aws.amazon.com/backup) AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。

1. コンソールの左側のナビゲーションにある **[マイアカウント]** で **[設定]** を選択します。

1. **[委任された管理者]** ペインで、**[委任された管理者を登録]** または **[委任された管理者を追加]** をクリックします。

1. **[委任された管理者を登録]** ページで、登録するアカウントを選択し、**[アカウントを登録]** を選択します。

これで、この指定されたアカウントが、委任された管理者として登録され、組織内のアカウント全体のジョブのモニタリングと、ポリシーの表示および編集 (ポリシー委任) を行うことができる管理者権限が付与されます。このメンバーアカウントは、他の委任された管理者のアカウントの登録や登録解除はできません。コンソールを使用して、委任された管理者として最大 5 つのアカウントを登録できます。

委任された管理者に、[AWSBackupOrganizationAdminAccess](security-iam-awsmanpol.md#AWSBackupOrganizationAdminAccess) によって付与されたアクセス許可があることを確認します。

**メンバーアカウントをプログラムで登録するには:**

`register-delegated-administrator` CLI コマンドを使用します。CLI リクエストでは、次のパラメータを指定できます。
+ `service-principal`
+ `account-id`

以下は、メンバーアカウントをプログラムで登録する CLI リクエストの例です。

```
aws organizations register-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"
```

### メンバーアカウントの登録解除
<a name="deregistermemberaccount"></a>

 以下の手順に従って、以前に委任管理者として指定された AWS 組織のメンバーアカウントを登録解除 AWS Backup することで、 から管理アクセスを削除します。

**コンソールを使用してメンバーの登録を解除するには**

1. [https://console.aws.amazon.com/backup/](https://console.aws.amazon.com/backup) AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。

1. コンソールの左側のナビゲーションにある **[マイアカウント]** で **[設定]** を選択します。

1. **[委任された管理者]** セクションで、**[アカウントの登録を解除]** をクリックします。

1. 登録解除するアカウントを選択します。

1. **[アカウントの登録を解除]** ダイアログボックスで、セキュリティ上の影響を確認し、「`confirm`」と入力して登録解除を完了します。

1. `Deregister account` を選択してください。

**メンバーアカウントをプログラムで登録解除するには:**

`deregister-delegated-administrator` CLI コマンドを使用して、委任された管理者のアカウントの登録を解除します。API リクエストでは、次のパラメータを指定できます。
+ `service-principal`
+ `account-id`

以下は、メンバーアカウントをプログラムで登録解除する CLI リクエストの例です。

```
aws organizations deregister-delegated-administrator \
--account-id 012345678912 \
--service-principal "backup.amazonaws.com"
```

### を通じて AWS Backup ポリシーを委任する AWS Organizations
<a name="policydelegation"></a>

 AWS Organizations コンソールでは、バックアップポリシーを含む複数のポリシーの管理を委任できます。

[AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にログインした管理アカウントから、組織のリソースベースの委任ポリシーを作成、表示、または削除できます。ポリシーを委任する手順については、「**AWS Organizations ユーザーガイド」の「[リソースベースの委任ポリシーの作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_delegate_policies.html)」を参照してください。

## 複数の でのアクティビティのモニタリング AWS アカウント
<a name="enable-xcross-monitoring"></a>

アカウント間でバックアップ、コピー、および復元ジョブをモニタリングするには、クロスアカウントのモニタリングを有効にする必要があります。これにより、組織の管理アカウントからすべてのアカウントのバックアップアクティビティをモニタリングできます。オプトイン後は、オプトイン後に作成された組織全体のすべてのジョブが表示されます。オプトアウトすると、 AWS Backup はジョブを集約ビューに (終了状態に達してから) 30 日間保持します。オプトアウト後に作成されたジョブは表示されず、新しく作成されたバックアップジョブも表示されません。オプトイン手順については、「[クロスアカウント管理の有効化](#enable-cross-account)」を参照してください。

**複数のアカウントをモニタリングするには**

1. [https://console.aws.amazon.com/backup/](https://console.aws.amazon.com/backup) AWS Backup コンソール で を開きます。管理アカウントの認証情報を使用してサインインします。

1. 左側のナビゲーションペインで **[設定]** を選択して、クロスアカウント管理ページを開きます。

1. **[クロスアカウントモニタリング]** セクションで、**[有効にする]** を選択します。

   これにより、組織内のすべてのアカウントのバックアップおよび復元アクティビティを管理アカウントからモニタリングできます。

1. 左のナビゲーションペインで、[**クロスアカウントのモニタリング**] を選択します。

   

1. **[クロスアカウントモニタリング]** ページで、**[バックアップジョブ]**、**[復元ジョブ]**、または **[コピージョブ]** タブを選択して、すべてのアカウントで作成されたすべてのジョブを表示します。これらの各ジョブは AWS アカウント ID 別に表示でき、特定のアカウントのすべてのジョブを表示できます。

1. 検索ボックスでは、**アカウント ID**、**ステータス**、または**ジョブ ID** でジョブをフィルタリングできます。

   たとえば、[**バックアップジョブ**] タブを選択すると、すべてのアカウントで作成されたすべてのバックアップジョブを表示できます。**アカウント ID** でリストをフィルタリングし、そのアカウントで作成されたすべてのバックアップジョブを表示できます。

## リソースのオプトインルール
<a name="resource-opt-in-rules"></a>

メンバーアカウントのバックアッププランが、組織レベルのバックアップポリシーによって作成された場合、Organizations 管理アカウントの AWS Backup オプトイン設定は、そのメンバーアカウントのオプトイン設定を上書きしますが、そのバックアッププランについてのみです。

メンバーアカウントにユーザーが作成したローカルレベルのバックアッププランがある場合、これらのバックアッププランは Organizations 管理アカウントのオプトイン設定を参照せずに、メンバーアカウントのオプトイン設定に従います。

## ポリシー、ポリシーの構文、およびポリシー継承の定義
<a name="merging-policies"></a>

以下のトピックは、 * AWS Organizations ユーザーガイド*に記載されています。
+ **バックアップポリシー** – 「[バックアップポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup.html)」を参照してください。
+ **ポリシーの構文** – 「[バックアップポリシーの構文と例](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html)」を参照してください。
+ **管理ポリシータイプの継承** – 「[管理ポリシータイプの継承](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html)」を参照してください。