![[アップデート] AWS Backup の Logically Air-gapped Vaults で Multi-party Approval によるボールトの復旧がサポートされました](https://images.ctfassets.net/ct0aopd36mqt/6vZd9zWZvlqOEDztYoZCro/7349aaad8d597f1c84ffd519d0968d43/eyecatch_awsreinforce2025_1200x630-crunch.png)
[アップデート] AWS Backup の Logically Air-gapped Vaults で Multi-party Approval によるボールトの復旧がサポートされました
2025.06.24こんにちは!クラウド事業本部コンサルティング部のたかくに(@takakuni_)です。
AWS Backup の Logically Air-gapped Vaults で Multi-party Approval によるボールトの復旧がサポートされました。
Logically Air-gapped Vaults
まず、今回のアップデートの前提となる Logically Air-gapped Vaults について説明します。
Logically Air-gapped Vaults とは、通常のバックアップボールトよりも高度なセキュリティ機能を持つボールトです。ランサムウェア攻撃やアカウント侵害から、バックアップを保護するために設計されています。
一度保存されたバックアップは、コンプライアンスモードにより、ルートユーザーであっても削除や変更ができないようになっています。
RAM で共有可能
Logically Air-gapped Vaults では Resource Access Manager (RAM) を利用して、他 AWS アカウントへバックアップを共有できます。
たとえば以下のように、Logically Air-gapped Vaults 専用のデータ保管用 AWS アカウントを用意することで、ワークロード用 AWS アカウント自体が侵害された際にフォレンジック用 AWS アカウント、復旧用 AWS アカウントへ安全にバックアップデータを受け渡しできるようになります。
Multi-party Approval
では、今回の Multi-party Approval はどんな機能なのでしょうか。この機能は、データ保管用 AWS アカウントが侵害された場合に備えて、緊急通路を設ける仕組みです。
事前に Air-gapped Vaults を Organizaions(Identity Center)に紐づくチームとマッピングし、データ保管用 AWS アカウントが侵害された場合でも、他の AWS アカウントからボールトを参照できる機能です。
具体的な流れは、以下の通りです。(伝わりましたでしょうか ...?)
- 事前に Logically Air-gapped Vault と Team を紐づけておく
- データ保管用アカウントが侵害される(※ されなくても訓練可能)
- 復旧用 AWS アカウントから Team に復旧リクエストを送信する
- マルチパーティーで登録したユーザーに復旧の承認リクエストが送信される
- 一定人数、承認される(閾値を設定可能)
- リクエスト元 AWS アカウントに復元アクセスバックアップボールトとして、Logically Air-gapped Vault の内容が見えるようになる
- 4 のボールトを元に復元を行う
やってみる
操作画面などを見ていただくのが良いかと思うため、実際に作ってみたいと思います。
今回は簡易版で次の構成図で作ってみます。
チームの作成
まずは Multi-party Approval で利用するチームの作成を行います。
Identity Center を利用するため、管理アカウントから作成します。マルチパーティ承認をセットアップをクリックします。
Identity Center のインスタンスは東京リージョンでも問題ないです。
ただし、Team はバージニア北部に作成されることだけ注意しておきましょう。
To use Multi-party approval, you must create approval teams and the identity source in the US East (N. Virginia) Region. For more information about AWS Regions, see Region in the AWS Glossary Reference.
承認者は先ほど指定した Identity Center のアカウントインスタンスから指定します。
最低限必要な承認で閾値を設定します。
承認者は 2 人以上必要なので、設計する際はお気をつけください。(先に踏み抜いておきました。)
チームを作成すると、指定したアドレス宛に次のようなメールが飛んできます。
招待に応答するをクリックしましょう。
ログイン後、マルチパーティ承認ポータルへ移動します。承諾をクリックしましょう。
クリックして承諾済みになると、Organizations からは受け入れ済みになります。
複数当事者による承認の統合
これが個人的にトラップでした。場所で言うと以下になります。
管理アカウント側の AWS Backup から 複数当事者による承認の統合 をオンにします。
未設定の場合、承認チームの割り当て時に次のエラーを返します。
MPA is not opted-in. The settings is available in AWS Backup from management account.
チームの共有
管理アカウントで作成したチームを Air-gapped Vaults が存在する AWS アカウントと、Air-gapped Vaults の復旧リクエストを送りたい AWS アカウントに RAM で共有します。
管理アカウントからバージニア北部の RAM に移動し、Multi-Party Approval Team を共有します。
各メンバーアカウントのバージニア北部の RAM にリソースが表示されるため、承諾をクリックしておきましょう。
承認チームの割り当て
共有された承認チームを割り当てていきます。
ボールトを保管しているアカウントの Logically Air-gapped Vaults に対して 承認チームを割り当て をクリックします。
チームには先ほど RAM で共有されたリソースを選択します。
バージニア北部で共有されたリソースが東京リージョンでも見えていることがわかりますね。
ステータスが承認待ちチームが、割り当て済みに変わりました。
復元アクセスバックアップボールトのリクエスト
最後に復元アクセスバックアップボールトのリクエストです。
Air-gapped Vaults に EFS のバックアップをコピーしておきました。後続の手順で必要になるため Air-gapped Vaults の ARN を保管しておきましょう。
復旧用 AWS アカウントから MPA 経由でアクセス可能なボールトへ遷移し、ボールトアクセスをリクエストをクリックします。
リクエストされたボールト ARN に先ほどメモしておいたボールト ARN を入力し、リクエストを送信します。
承認待ちにステータスが変わります。
リクエストの承諾
マルチパーティでリクエストしたユーザーに以下のようなメールが届きます。
マルチパーティ承認ポータルでは、次のような画面が出てきます。承諾をクリックしましょう。
一定数が承諾されると、復旧アクセスバックアップボールトとして、Air-gapped Vaults が見えるようになりました!
Air-gapped Vaults に保管された復旧ポイントも見えるようになっていますね。
Multi-party Approval の前提条件に Air-gapped Vaults を RAM で共有しておく必要はあるか
答えは No でした。
Multi-party Approval のみで良い場合は、Approval Team を復旧用アカウントに共有しておくのみで OK です。
まとめ
以上、「AWS Backup で Logically Air-gapped Vaults に対して Multi-party Approval(複数承認者による承認)機能がサポートされました。」でした。
新しい概念でいい勉強になりました。
このブログがどなたかの参考になれば幸いです。
クラウド事業本部コンサルティング部のたかくに(@takakuni_)でした!
![[アップデート] AWS Backup のバックアップインデックス作成・削除イベントが EventBridge イベントでサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-61c3c74c9fbde5b3bc234043f3ce3128/3c555f171fd799831bf6aeb586ca13bf/aws-backup)
