暗号化した EBS ボリュームのバックアップのクロスリージョンコピーを Data Lifecycle Manager で有効化したい

2021.09.10

困っていた内容

Data Lifecycle Manager を利用して、暗号化した EBS ボリュームのバックアップを取得しています。 クロスリージョンコピーを有効化したところ失敗しました。

対処方法を教えてください。

どう対応すればいいの?

以下2点の対応が必要になります。

  • コピー元リージョンにて、カスタマーマスターキーのキーユーザーで「AWSDataLifecycleManagerDefaultRole」を追加する
  • コピー先リージョンにて、カスタマーマスターキーのキーユーザーで「AWSDataLifecycleManagerDefaultRole」を追加する
    • コピー先リージョンでカスタマーマスターキーが存在しない場合は、カスタマーマスターキー作成時にキーユーザーに「AWSDataLifecycleManagerDefaultRole」を追加する

設定方法

前提条件

紹介する手順では以下の前提条件があります。

  • AWS Key Management Service (AWS KMS) のカスタマーマスターキー(CMK)で暗号化していること
  • Data Lifecycle Manager を利用して、暗号化した EBS ボリュームのバックアップを取得可能な状態であること

紹介する手順のリージョンは以下で設定しています。

  • コピー元:東京リージョン
  • コピー先:大阪リージョン

コピー先リージョンでカスタマーマスターキー(CMK)を作成する

  1. AWS のドキュメント https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/create-keys.html#create-symmetric-cmk に従い、キーを作成
  2. キーを作成する際に、キーユーザーに「AWSDataLifecycleManagerDefaultRole」を追加

コピー元リージョンのカスタマーマスターキーのキーユーザーで「AWSDataLifecycleManagerDefaultRole」を追加する

  1. KMS のコンソールにてコピー元リージョンの EBS 暗号化に使用しているキーを開く
  2. キーユーザーの「追加」をクリック
  3. 「AWSDataLifecycleManagerDefaultRole」を検索し、チェックを入れて追加
  4. キーユーザーに「AWSDataLifecycleManagerDefaultRole」が追加されたことを確認

ライフサイクルポリシーを変更する

  1. EC2 コンソールからライフサイクルマネージャー画面を開き、対象のポリシーを選択→アクションから「ポリシーを変更」
  2. クロスリージョンコピーを有効化にチェックを入れ、以下を指定する
    • ターゲットリージョン:コピー先リージョンを選択
    • 暗号化:チェックを入れる
    • マスターキー:先ほど作成したコピー先のカスタマーマスターキーを選択
  3. ポリシーの更新をクリック

コピー先リージョンで暗号化スナップショットが取得されていることを確認

  1. コンソールを東京リージョンに切り替え、EC2 コンソールから暗号化スナップショットが作成されていることを確認
  2. コンソールを大阪リージョンに切り替え、EC2 コンソールから暗号化スナップショットが作成されていることを確認

今回は Data Lifecycle Manager にて東京リージョンの暗号化スナップショットが作成されてから、7分後にはコピー先である大阪リージョンで暗号化スナップショットが作成されていることを確認しました。

参考資料

暗号化のアクセス許可 - Amazon Data Lifecycle Manager