【札幌開催】AWS re:Inforce 2025 振り返り勉強会にて「5分でわかる! AWS Backup Logically の air-gapped vaults の Multi-party approve」というタイトルで登壇しました!
2025.07.01こんにちは!クラウド事業本部コンサルティング部のたかくに(@takakuni_)です。
2025年07月01日に【札幌開催】AWS re:Inforce 2025 振り返り勉強会を行いました。
本エントリは登壇レポートになります。
私は「5分でわかる! AWS Backup Logically air-gapped vaults の Multi-party approve」というタイトルで、登壇しました。当日は 3 本話してその 1 本になります。
関連するブログはこちら
AWS Backup の Logically air-gapped vaults について
本題の Multi Party Approve に入る前に AWS Backup の Logically air-gapped vaults についておさらいします。
Logically Air-gapped Vaults とは、通常のバックアップボールトよりも高度なセキュリティ機能を持つボールトです。ランサムウェア攻撃やアカウント侵害から、バックアップを保護するために設計されています。
一度保存されたバックアップは、コンプライアンスモードにより、ルートユーザーであっても削除や変更ができないようになっています。
RAM を利用して、復旧用アカウントや、フォレンジック用 AWS アカウントへ Vault を共有できます。
では、データ保管用 AWS アカウントが侵害された場合、どうなるでしょうか。
私が攻撃者であれば、RAM の共有を切ると思います。そうすることで、復旧用 AWS アカウント、フォレンジック用 AWS アカウントから参照できなくなってしまうからです。
Multi-party approve
そのようなケースを想定して Multi-party approve を利用します。
Multi-party approve を利用することで、AWS Backup air-gapped vaults が復元アクセスバックアップボールドとして、参照できるようになります。RAM に依存していたリソースの共有が、Organizations の機能を通じて依存しない構成になりました。
構成要素
この手順を実施するには、いくつかステップが必要なのですが図解すると以下のようになります。
セッションではこれらのステップを1つずつ解説させていただきました。
まとめ
「【札幌開催】AWS re:Inforce 2025 振り返り勉強会にて 5分でわかる! AWS Backup Logically の air-gapped vaults の Multi-party approveというタイトルで登壇しました!」でした。
初めはどんなアップデートか戸惑いましたが、触ってみると非常に面白かったです。
クラウド事業本部コンサルティング部のたかくに(@takakuni_)でした!
![[アップデート] AWS Backup の Logically Air-gapped Vaults で Multi-party Approval によるボールトの復旧がサポートされました](https://images.ctfassets.net/ct0aopd36mqt/6vZd9zWZvlqOEDztYoZCro/7349aaad8d597f1c84ffd519d0968d43/eyecatch_awsreinforce2025_1200x630-crunch.png)
![[アップデート] AWS Backup のバックアップインデックス作成・削除イベントが EventBridge イベントでサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-61c3c74c9fbde5b3bc234043f3ce3128/3c555f171fd799831bf6aeb586ca13bf/aws-backup)
