developersIO
[アップデート] AWS Backup で RDS/Aurora/Neptune/DocumentDB がワンステップでクロスリージョン&クロスアカウントにスナップショットをコピーできるようになりました

[アップデート] AWS Backup で RDS/Aurora/Neptune/DocumentDB がワンステップでクロスリージョン&クロスアカウントにスナップショットをコピーできるようになりました

AWS BackupAWS
FacebookHatena blogX
2025.11.11

いわさです。

AWS Backup は様々なサービスのバックアップを一元的に管理することが出来るサービスです。
AWS Backup で作成したスナップショットは他リージョンや他アカウントのボールトへコピーすることが出来ます。

これまで様々なサービスで、このクロスリージョンかつクロスアカウントのボールトへのスナップショットコピーをワンステップで行うことが出来ていたのですが、RDS / Aurora / DocumentDB / Neptune についてはクロスリージョンコピーとクロスアカウントコピーをそれぞれ個別に実行しなくてはいけない制限事項がありました。
そのため、公式ドキュメント上でもコピースクリプトなどを組む際にはリージョンコピーの完了を待機してからアカウントコピーを行うなどが必要だと言及されていました。

2F572172-C25D-4B4F-8AF5-A5E82F522F7B_4_5005_c.jpeg
AWS Backup 機能の可用性 - AWS Backup より

これが、先日のアップデートで RDS / Aurora / DocumentDB / Neptune についてもワンステップでクロスリージョンとクロスアカウントのコピーをまとめて実行できるようになりました。

https://aws.amazon.com/about-aws/whats-new/2025/10/aws-backup-single-action-database-snapshot-copy-regions/

英語版ドキュメントでも次のようにワンステップで実行できる旨で修正されています。

59013C40-E60C-4ED8-9376-E3867039BB20_4_5005_c.jpeg
AWS Backup feature availability - AWS Backup より

今までワンステップで実施する機会は多くなかったのですが、最近ランサムウェアの関係で別アカウント・別リージョンへのバックアップコピーについて少し調べていまして、先日も以下のようなブログ記事を書いています。

https://dev.classmethod.jp/articles/rds-cross-region-cross-account-snapshot-copy/

今回は AWS Backup で検証してみましたのでその様子を紹介します。

RDS スナップショットのクロスリージョン&クロスアカウントコピー

今回は同一組織内のふたつのアカウント間でスナップショットのコピーを行いました。
アカウント A の東京リージョンのボールトに保存されている RDS スナップショットを、アカウント B の大阪リージョンのボールトにオンデマンドコピーしてみます。

アカウント A の東京リージョンでボールトの復旧ポイントを選択して「コピー」を開始します。

6B7EA8F4-DAD3-4179-8782-402582BB264E.png

コピー設定でまずリージョンに大阪リージョンを指定します。

4F882F74-4483-4BD0-8B0C-508A75BED789.png

続いて「別のアカウントのボールトにコピー」を ON にして、外部ボールト ARN にアカウント B の大阪リージョンに存在するボールトの ARN を入力します。

02E20220-571F-4981-A67A-3DFABF8A84A6.png

上記で「許可」を行うと移行元ボールトに対して移行先 AWS アカウントからのアクセス許可を与えることが出来ます。
また、事前に外部アカウント(or 組織内共有)をコピー先ボールトに設定しておく必要があります。

CE5D56FE-D8FB-4AC6-A3D4-60612277F054.png

F706F417-AAA4-4204-B276-18ECE740503F.png

あとはコピージョブを実行するだけです。
何度か失敗した形跡がありますね。後述の注意点がいくつかあるのですがうまくいけば完了するはず。

9E547CAA-2BB3-46A2-B555-84E63F9BAA46.png

アカウント B 大阪リージョンのボールトを確認してみると復旧ポイントが作成されていることが確認できました。

11DAF2F3-2ADF-40D3-A089-5F79277767F8.png

同一組織である必要がある

今回気がついた点があります。
冒頭の RDS の場合は同一組織ではないアカウントへもクロスアカウント&クロスリージョンのスナップショットコピーが出来たのですが、どうやら AWS Backup の場合は組織外のアカウントへのコピーを行うには AWS Organizations 周りの設定変更が必要みたいです。

E4DBB9A5-37D8-4537-B0DD-13574F3A8342.png

46DE8A8C-E5C7-4884-9147-191FE89A3D31.png

上記でクロスアカウント設定できたとしてもコピージョブの実行時に組織跨ぎをしようとすると次のエラーになりました。

A7D6C75D-9C3E-4411-A764-D56A2795085E.png

コピー先ボールトはカスタマーマネージドキーで暗号化している必要がある

デフォルトでは AWS Backup のボールトは AWS マネージドキーで暗号化されるのですが、この場合はクロスアカウントコピーに失敗します。

4EF55444-BF70-449C-BAF9-56B8DC075F61.png

コピー元は AWS マネージドキーでも良いみたいなのですが、コピー先ボールトは KMS のカスタマーマネージドキーを使うようにしましょう。

95D72983-E624-4C0F-BE19-804935EDDA2B.png

さいごに

本日は AWS Backup で RDS/Aurora/Neptune/DocumentDB がワンステップでクロスリージョン&クロスアカウントにスナップショットをコピーできるようになったので、RDS スナップショットで試してみました。

ランサムウェア関係でクロスリージョン&クロスアカウントのバックアップコピーへの関心が高まっている人もいると思うのでこちらの機能もチェックしておきましょう。
RDS のバックアップ機能であれば簡単に組織外のクロスアカウントコピーが実現できるのでそのあたり AWS Backup と差がありますね。

この記事をシェアする

FacebookHatena blogX

関連記事

[アップデート] AWS Backup の「論理的にエアギャップのあるボールト」に KMS のカスタマーマネージドキーを指定できるようになりました
いわさ
2025.11.08
AWS Backup のバックアップボールトにボールトロックを設定した状態で AWS アカウントを削除するとボールトロックしたデータはどうなりますか?
m.hayakawa
2025.10.21
[アップデート] AWS Backup でバックアッププランのスケジュールプレビュー機能が追加されました
いわさ
2025.10.21
Amazon RDS のメンテナンスウィンドウ変更時の「The backup window and maintenance window must not overlap.」エラーの回避方法
takamura
2025.10.15