AWS Organizations のバックアップポリシーにおいてリソースタイプ単位でリソースの割り当てを試してみた
AWS Organizations のバックアップポリシーにおいて、ビジュアルエディタでは対応していない、リソースの割り当てをリソースタイプ単位で指定する設定を試してみました。
実際に、バックアップポリシーで設定したリソースタイプ単位のリソースの割り当て設定をマネジメントコンソールから確認した画面です。タグの条件は指定せずに単純に EC2 インスタンスを対象としています。
AWS CLI で設定を確認してみた結果です。
$ aws backup get-backup-selection \
> --backup-plan-id orgs/852b2247-89d0-3146-a27e-32f10example \
> --selection-id 166ecf60-f4f2-3910-a33d-c21a4example
{
"BackupSelection": {
"SelectionName": "test-backup-resource-ec2",
"IamRoleArn": "arn:aws:iam::111122223333:role/test-backup-role",
"Resources": [
"arn:aws:ec2:*:*:instance/*"
],
"ListOfTags": [],
"NotResources": [],
"Conditions": {
"StringEquals": [],
"StringNotEquals": [],
"StringLike": [],
"StringNotLike": []
}
},
"SelectionId": "166ecf60-f4f2-3910-a33d-c21a4example",
"BackupPlanId": "orgs/852b2247-89d0-3146-a27e-32f10example",
"CreationDate": "2026-01-11T14:21:55.966000+00:00"
}
以降では、リソースタイプ単位の指定を試してみた内容を記載しています。
バックアップポリシーの設定
まずはバックアップポリシーのおさらいからです。
バックアップポリシーでは、AWS Backup プラン、ルール、リソースの割り当てを一元的に管理できます。ポリシーをアタッチされたアカウントでは Valut と IAM ロールを作成する必要があり、ポリシー側で Valut 名と IAM ロール名を指定します。バックアップポリシーで設定されるプランやルールはメンバーアカウント側では設定変更や削除ができません。
バックアップポリシーのイメージ図です。
バックアップポリシーの作成を試してみます。
まずは、プランとルールをビジュアルエディタで作成してみます。
プランの設定です。
ルールの設定です。今回は検証目的なので、バックアップ頻度はテストしやすいやすいように 1 時間にしています。設定を反映するためには「ルールを追加」をクリックする必要があります。なお、ここで指定したバックアップボールト test-backup-vault はバックアップポリシーをアタッチするメンバーアカウント側で作成する必要があります。
ビジュアルエディタでは、リソースの割り当てにおいてタグの指定が必須となっているため、ここからは JSON を直接編集してリソースタイプの指定を設定します。
ビジュアルエディタで設定済みのプランとルールに、リソースの割り当てを追記したポリシーが下記です。selections が追記し他部分であり、対象リソースタイプはすべての EC2 インタンスとしています。また、ここで指定した IAM ロール test-backup-role もバックアップボールト同様に、メンバーアカウント側で作成する必要があります。
{
"plans": {
"test-backup-plan-ec2": {
"regions": {
"@@assign": [
"ap-northeast-1"
]
},
"rules": {
"test-backup-rule-ec2": {
"schedule_expression": {
"@@assign": "cron(0 0/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"complete_backup_window_minutes": {
"@@assign": "120"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "1"
}
},
"target_backup_vault_name": {
"@@assign": "test-backup-vault"
}
}
},
"selections": {
"resources": {
"test-backup-resource-ec2": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/test-backup-role"
},
"resource_types": {
"@@assign": [
"arn:aws:ec2:*:*:instance/*"
]
}
}
}
}
}
}
}
JSON の記載ルールは下記のユーザーガイドページで公開されており、この情報を見ながら設定しています。Backup selection elements: Resources の表がリソースタイプ単位で指定する場合の記載ルールです。今回は試していないですが、ユーザーガイドより conditions を利用することでリソースタイプの指定をしつつ、タグによる指定や除外もできることが分かります。
なお、JSON でビジュアルエディタに対応していない設定を反映した場合は、ビジュアルエディタでは編集ができなくなることも確認できました。
上記の JSON でポリシーを作成後に、テストのために適当な OU にアタッチしました。その OU に含まれるアカウントの AWS Backup 設定を確認してみます。
バックアップポリシーで指定したプランとルール、リソースの割り当てが設定されています。編集や削除が非活性化されており、操作できないことが分かります。
リソースの割り当て設定の詳細において、EC2 インスタンスが対象として指定されており、リソースタイプのみの指定ができていることが確認できました。
Name タグ以外を付与していない EC2 インタンスを 1 台構築して、設定通りのバックアップ間隔でバックアップが取得されていることも確認できました。
さいごに
AWS Organizations のバックアップポリシーの設定において、ビジュアルエディタでは対応していないリソースの割り当て設定を JSON を直接記載することで設定してみました。最初は、ビジュアルエディタで対応していない設定ができないと思っていたところ、ユーザーガイドを見て設定可能であることが分かったため試してみました。
以上、このブログがどなたかのご参考になれば幸いです。
