Back up and restore data across Alibaba Cloud accounts - Cloud Backup - Alibaba Cloud ドキュメントセンター

クラウドバックアップでは、Alibaba Cloud アカウント間でリソースをバックアップおよびリストアできます。これにより、ディザスタリカバリとコンプライアンス監査のために、一元化された統合ポリシーを使用できます。このトピックでは、Alibaba Cloud アカウント (アカウント A) を使用して別の Alibaba Cloud アカウント (アカウント B) のリソースをバックアップおよびリストアする方法について説明します。これを行うには、アカウント B 内に Resource Access Management (RAM) ロールを作成し、アカウント A のサービスリンクロール AliyunServiceRoleForHbrCrossAccountBackup にアカウント B のリソースにアクセスするための RAM ロールを引き受ける権限を付与する必要があります。

背景情報

典型的な Landing Zone アーキテクチャでは、企業は部門ごとに複数の Alibaba Cloud アカウントを持ち、開発環境またはテスト環境を分離する必要があります。ただし、企業はディザスタリカバリとコンプライアンス監査のために、一元化された統合ポリシーを必要としています。

たとえば、企業は、本番環境用のアカウント A とテスト環境用のアカウント B の 2 つの Alibaba Cloud アカウントを持っているとします。企業は、アカウント A とアカウント B のリソースを一元的にバックアップし、開発とテストのためにアカウント A のデータをアカウント B にリストアし、バージョン更新のためにアカウント B のデータをアカウント A にリストアする必要があります。この場合、企業はアカウント A またはアカウント B をバックアップアカウントとして選択するか、バックアップアカウント (アカウント C) を作成できます。必要な権限がバックアップアカウントに付与されると、バックアップアカウントはアカウント A とアカウント B のデータをバックアップおよびリストアできます。

制限事項

重要

アカウント間のバックアップ機能は、Elastic Compute Service (ECS) インスタンスのバックアップ、ECS ファイルのバックアップ、ファイルストレージ NAS (NAS) のバックアップ、Object Storage Service (OSS) のバックアップ、Tablestore のバックアップ、ECS データベースのバックアップ、および SAP HANA のバックアップのシナリオで使用できます。Alibaba Cloud アカウント間で ECS インスタンスをバックアップできます。ただし、ECS インスタンスをバックアップした後、インスタンスをリストアできるのはソース Alibaba Cloud アカウントのみです。サポートされているシナリオの詳細については、クラウドバックアップコンソールを参照してください。
アカウント間のバックアップは、バックアップパフォーマンス、データ重複排除、またはネットワーク転送効率に影響しません。
アカウント間のバックアップをサポートするリージョンについては、「各リージョンで使用可能な機能」をご参照ください。

認証の仕組み

次の手順は、アカウント B のリソースをバックアップするためにアカウント A を承認する方法を示しています。

アカウント A は、AliyunServiceRoleForHbrCrossAccountBackup サービスリンクロールを作成します。クラウドバックアップは、このロールを使用してアカウント B の RAM ロールを引き受け、データをバックアップします。

アカウント B は、hbrcrossrole という名前の RAM ロールを作成し、次の手順を実行します。

RAM ロールに詳細な権限を付与する: システムポリシー AliyunHBRRolePolicy を RAM ロール hbrcrossrole にアタッチします。このポリシーは、アカウント B のリソースにアクセスするための権限を付与します。次のスクリプトは、ポリシーの内容を示しています。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "nas:DescribeFileSystems",
        "nas:CreateMountTargetSpecial",
        "nas:DeleteMountTargetSpecial",
        "nas:DescribeMountTargets",
        "nas:DescribeAccessGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:RunCommand",
        "ecs:CreateCommand",
        "ecs:InvokeCommand",
        "ecs:DeleteCommand",
        "ecs:DescribeCommands",
        "ecs:StopInvocation",
        "ecs:DescribeInvocationResults",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:DescribeInstances",
        "ecs:DescribeInstanceRamRole",
        "ecs:DescribeInvocations",
        "ecs:CreateSnapshotGroup",
        "ecs:DescribeSnapshotGroups",
        "ecs:DeleteSnapshotGroup",
        "ecs:CopySnapshot"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "bssapi:QueryAvailableInstances",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:AttachInstanceRamRole",
        "ecs:DetachInstanceRamRole"
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*",
        "acs:ram:*:*:role/aliyunecsaccessinghbrrole"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "ram:PassRole",
        "ram:GetRole",
        "ram:GetPolicy",
        "ram:ListPoliciesForRole"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "hcs-sgw:DescribeGateways"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "oss:ListBuckets",
        "oss:GetBucketInventory",
        "oss:ListObjects",
        "oss:HeadBucket",
        "oss:GetBucket",
        "oss:GetBucketAcl",
        "oss:GetBucketLocation",
        "oss:GetBucketInfo",
        "oss:PutObject",
        "oss:CopyObject",
        "oss:GetObject",
        "oss:AppendObject",
        "oss:GetObjectMeta",
        "oss:PutObjectACL",
        "oss:GetObjectACL",
        "oss:PutObjectTagging",
        "oss:GetObjectTagging",
        "oss:InitiateMultipartUpload",
        "oss:UploadPart",
        "oss:UploadPartCopy",
        "oss:CompleteMultipartUpload",
        "oss:AbortMultipartUpload",
        "oss:ListMultipartUploads",
        "oss:ListParts"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ots:ListInstance",
        "ots:GetInstance",
        "ots:ListTable",
        "ots:CreateTable",
        "ots:UpdateTable",
        "ots:DescribeTable",
        "ots:BatchWriteRow",
        "ots:CreateTunnel",
        "ots:DeleteTunnel",
        "ots:ListTunnel",
        "ots:DescribeTunnel",
        "ots:ConsumeTunnel",
        "ots:GetRange",
        "ots:ListStream",
        "ots:DescribeStream",
        "ots:CreateIndex",
        "ots:CreateSearchIndex",
        "ots:DescribeSearchIndex",
        "ots:ListSearchIndex"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cms:QueryMetricList"
      ],
      "Resource": "*"
    },
    {
      "Action": [
        "ecs:DescribeSecurityGroups",
        "ecs:DescribeImages",
        "ecs:CreateImage",
        "ecs:DeleteImage",
        "ecs:DescribeSnapshots",
        "ecs:CreateSnapshot",
        "ecs:DeleteSnapshot",
        "ecs:DescribeSnapshotLinks",
        "ecs:DescribeAvailableResource",
        "ecs:ModifyInstanceAttribute",
        "ecs:CreateInstance",
        "ecs:DeleteInstance",
        "ecs:AllocatePublicIpAddress",
        "ecs:CreateDisk",
        "ecs:DescribeDisks",
        "ecs:AttachDisk",
        "ecs:DetachDisk",
        "ecs:DeleteDisk",
        "ecs:ResetDisk",
        "ecs:StartInstance",
        "ecs:StopInstance",
        "ecs:ReplaceSystemDisk",
        "ecs:ModifyResourceMeta"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

信頼ポリシーを変更する: アカウント B のリソースにアクセスするために、アカウント A のサービスリンクロール AliyunServiceRoleForHbrCrossAccountBackup のみがアカウント B の RAM ロールを引き受けることを許可します。

アカウント A で Cloud Backup コンソールにログインしてアカウント B をバックアップアカウントとして追加し、[ロール名] パラメーターに、アカウント B のリソースへのアクセスが承認されている hbrcrossrole を設定します。
クラウドバックアップコンソールで、ログインアカウントをアカウント A からアカウント B に切り替えます。その後、アカウント A を使用してアカウント B のリソースをバックアップおよびリストアできます。

次の表は、アカウント A を使用してアカウント B のリソースをバックアップおよびリストアする場合に、アカウント A とアカウント B が実行できる操作について説明しています。

アカウント B のリソース	アカウント A (バックアップ管理アカウント) が実行できる操作	アカウント B (バックアップ対象リソースの所有者) が実行できる操作
ECS インスタンス	アカウント B のバックアップ対象の ECS インスタンスを表示する ECS インスタンスに作成されたバックアップポリシーを管理するアカウント A の ECS インスタンスのバックアップポリシーを構成し、バックアップジョブを実行する ECS バックアップポイントを管理し、リストアジョブを実行する	バックアップ対象の ECS インスタンスを表示する ECS コンソールで ECS インスタンスのバックアップによって作成されたスナップショットを表示または使用する
その他のリソースタイプ	アカウント B のバックアップ対象のリソースを表示するバックアッププランとバックアップポリシーを管理するアカウント B のリソースのバックアップジョブまたはリストアジョブを実行する	バックアップ対象のリソースを表示する

課金

クラウドバックアップのアカウント間のバックアップ機能の使用については課金されません。ただし、データのバックアップとリストアに使用されるアカウント A は、バックアップとリストアの料金を支払います。ECS インスタンスのバックアップでは、アカウント B はスナップショットサービス料金と OSS リクエスト料金を支払います。詳細については、「課金方法と課金対象項目」をご参照ください。

次の表は、アカウント A を使用してアカウント B のリソースをバックアップおよびリストアする場合に課金されるアカウント A とアカウント B の課金対象項目について説明しています。

アカウント B のリソース	アカウント A (バックアップ管理アカウント) の課金対象項目	アカウント B (バックアップ対象リソースの所有者) の課金対象項目
ECS インスタンス	ECS インスタンスバックアップ用のクラウドバックアップクライアント	ECS スナップショットのストレージ使用量 [リージョン間レプリケーション] が有効になっている場合に生成されるリージョン間レプリケーショントラフィック、およびデスティネーションリージョンにレプリケートされた ECS スナップショットのストレージ使用量
ECS ファイル	ファイルバックアップ用のクラウドバックアップクライアントバックアップボールトのストレージ使用量ミラーボールトのストレージ使用量、およびリージョン間レプリケーションが有効になっている場合に生成されるリージョン間レプリケーショントラフィック	/
NAS	バックアップボールトのストレージ使用量ミラーボールトのストレージ使用量、およびリージョン間レプリケーションが有効になっている場合に生成されるリージョン間レプリケーショントラフィック	NAS ファイルシステムの低頻度アクセス (IA) データにアクセスするときにクラウドバックアップによって生成される読み取りおよび書き込みトラフィック
OSS	バックアップボールトのストレージ使用量ミラーボールトのストレージ使用量、およびリージョン間レプリケーションが有効になっている場合に生成されるリージョン間レプリケーショントラフィック	OSS に送信される HTTP リクエスト
Tablestore	バックアップボールトのストレージ使用量ミラーボールトのストレージ使用量、およびリージョン間レプリケーションが有効になっている場合に生成されるリージョン間レプリケーショントラフィック	/
ECS ホスト型データベース	データベースバックアップボールトのレンタルデータベースバックアップボールトのストレージ使用量	/
SAP HANA	SAP HANA インスタンスバックアップ用の Cloud Backup クライアントバックアップボールトのストレージ使用量ミラーボールトのストレージ使用量、およびクロスリージョンレプリケーションが有効になっている場合に生成されるクロスリージョンレプリケーショントラフィック	/

ステップ 1：AliyunServiceRoleForHbrCrossAccountBackup サービスリンクロールをアカウント A に割り当てる

アカウント A をクロスアカウントバックアップとリストアに使用する場合は、AliyunServiceRoleForHbrCrossAccountBackup サービスリンクロールをアカウント A に割り当てる必要があります。

ロール名：AliyunServiceRoleForHbrCrossAccountBackup
ポリシー：AliyunServiceRolePolicyForHbrCrossAccountBackup
権限の説明：このポリシーにより、Cloud Backup はクロスアカウントバックアップとリストアの際に、承認された他のアカウントのリソースにアクセスできます。

重要

この操作は、クロスアカウントバックアップ機能を初めて使用する場合にのみ必要です。

アカウント A で Cloud Backup コンソールにログインします。
左側のナビゲーションウィンドウで、バックアップ > アカウント間バックアップ を選択します。
表示されるダイアログボックスで、指示に従ってロールを割り当てます。
[Cloud Backup のサービスアクセス承認] ダイアログボックスで、[承認の確認] をクリックします。
詳細については、「Cloud Backup のサービスリンクロール」をご参照ください。

ステップ 2：アカウント B の RAM ロールを作成する

アカウント B で RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] ページで、[プリンシパルタイプ] に [クラウドアカウント] を選択し、[プリンシパル名] に [その他のアカウント] を選択します。フィールドにアカウント A の ID を入力し、[OK] をクリックします。
説明
セキュリティ設定ページで Alibaba Cloud アカウントの ID を表示できます。
[ロールの作成] ダイアログボックスで、RAM ロールの名前（例：hbrcrossrole）を入力し、[OK] をクリックします。

ステップ 3：RAM ロールに権限を付与する

RAM ロールを作成した後、RAM ロールには権限がありません。アカウント A が RAM ロールを引き受けてアカウント B のリソースにアクセスするには、必要なシステムポリシーまたはカスタムポリシーを RAM ロールにアタッチする必要があります。[権限の精密化] パネルでは、RAM はデフォルトで 2 つのシステムポリシーを提供します。システムポリシーのいずれかを RAM ロールにアタッチできます。

AdministratorAccess：すべてのリソースを管理するための権限を付与します。
AliyunHBRRolePolicy：（推奨）Cloud Backup のシステムポリシーで定義されている権限を付与します。

この例では、AliyunHBRRolePolicy を使用します。

アカウント B で RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。
作成された RAM ロール（例：hbrcrossrole）を見つけ、ロール名をクリックして RAM ロールの詳細ページに移動します。
[権限] タブで、[権限の精密化] をクリックします。
[権限の精密化] パネルで、タイプを [システムポリシー] に設定し、ポリシー名フィールドに [AliyunHBRRolePolicy] と入力して、[OK] をクリックします。
システムは、正確な承認が成功したことを通知します。[閉じる] をクリックします。
RAM ロールの信頼ポリシーを変更します。
1. RAM ロールの詳細ページで、[信頼ポリシー] タブをクリックします。
2. [信頼ポリシーの編集] をクリックします。
3. [JSON] タブをクリックします。次のコードをテキストボックスにコピーします。アカウント ID をアカウント A の ID に置き換えます。
  次のポリシーにより、アカウント A は一時トークンを取得して、Cloud Backup コンソールでアカウント B のクラウドリソースを管理できます。
  説明
  Alibaba Cloud アカウントの ID は、セキュリティ設定ページで確認できます。
```
{
 // 文
 "Statement": [
     {
         // アクション
         "Action": "sts:AssumeRole",
         // 効果
         "Effect": "Allow",
         // プリンシパル
         "Principal": {
             "RAM": [
                 // RAM
                 "acs:ram::Account ID:role/AliyunServiceRoleForHbrCrossAccountBackup" // アカウント ID：ロール/AliyunServiceRoleForHbrCrossAccountBackup
             ]
         }
     }
 ],
 "Version": "1" // バージョン
}
```
4. [OK] をクリックします。

ステップ 4：バックアップアカウントを追加する

アカウント A を使用してクラウドバックアップコンソールにログインします。
上部のナビゲーションバーで、リージョンを選択します。
重要
リージョン C にあるアカウント B が所有する ECS ファイル、NAS ファイル、OSS オブジェクト、Tablestore テーブル、または ECS インスタンスをバックアップする場合、リージョン C を選択します。つまり、バックアップ対象のリソースが配置されているリージョンにバックアップアカウントを追加します。
左側のナビゲーションウィンドウで、バックアップ > アカウント間バックアップ を選択します。
アカウント間バックアップ ページで、バックアップアカウントの追加 をクリックします。

バックアップアカウントの追加 ダイアログボックスで、次のパラメーターを構成し、[OK] をクリックします。

パラメーター	説明
Alibaba Cloud アカウント ID	Alibaba Cloud アカウントの ID を入力します。この例では、アカウント B の ID を入力します。説明セキュリティ設定ページで Alibaba Cloud アカウントの ID を表示できます。
ロール名	作成した RAM ロールの名前を入力します。この例では、ステップ 2：アカウント B の RAM ロールを作成するで作成した hbrcrossrole を入力します。重要権限の確認をクリックして、権限付与の構成が正しいかどうかを確認できます。エラーが表示された場合は、権限付与の構成を変更して、再試行してください。確認に合格すると、次のメッセージが表示されます。このロールのリソースにアクセスする権限が付与されています。
アカウントのエイリアス	バックアップアカウントの管理に役立つアカウントエイリアスを入力します。

バックアップアカウントが作成されると、[アカウントをまたがるバックアップ] ページに表示されます。

zhanghao

ステップ 5：クロスアカウントバックアップを実行する

バックアップアカウントが作成された後、アカウント A を使用して Cloud Backup コンソールにログインし、ログインアカウントをアカウント B に切り替えてから、アカウント B のデータソースをバックアップできます。

アカウント A を使用して Cloud Backup コンソールにログインします。
上部のナビゲーションバーで、バックアップするリソースが存在するリージョンを選択します。
ログインアカウント をクリックし、アカウント B を選択します。
左側のナビゲーションウィンドウで、クロスアカウントバックアップを実行するバックアップ機能を選択します。
重要
クロスアカウントバックアップ機能は、ECS ファイルバックアップ、NAS バックアップ、OSS バックアップ、Tablestore バックアップ、データベースバックアップ、および SAP HANA バックアップのシナリオで使用できます。 Alibaba Cloud アカウント間で ECS インスタンスをバックアップできます。ただし、ECS インスタンスをバックアップした後、インスタンスをソース Alibaba Cloud アカウントにのみリストアできます。サポートされているシナリオの詳細については、Cloud Backup コンソールをご参照ください。
たとえば、ECS ファイルバックアップを選択すると、ECS インスタンスリストにアカウント B の ECS アセットが表示されます。データバックアップが完了すると、アカウント B のデータソースはアカウント A のバックアップボールトにバックアップされます。
重要
バックアップジョブを作成する前に、すべての前提条件となるステップが完了していることを確認してください。
- ECS インスタンスからファイルをバックアップする
- ファイルストレージ NAS ファイルシステムからファイルをバックアップする
- OSS オブジェクトをバックアップする
- Tablestore テーブルをバックアップする
- ECS でホストされているデータベースをバックアップする（MySQL データベースをバックアップする、Oracle データベースをバックアップする、および SQL Server データベースをバックアップする）
- SAP HANA データベースをバックアップする

ステップ 6：アカウント間でデータをリストアする

アカウント A を使用してアカウント B のデータソースをバックアップした後、バックアップボールトにはアカウント A とアカウント B のバックアップデータが保存されます。バックアップボールトは共通のバックアップボールトです。バックアップボールト内の任意の履歴バックアップポイントからアカウント A またはアカウント B にデータをリストアできます。

アカウントを切り替えます。
バックアップボールトは共通のバックアップボールトです。アカウント A とアカウント B の両方で、バックアップボールト内の履歴バックアップポイントを使用してデータをリストアできます。データをリストアするアカウントに切り替えます。
リストアジョブを作成します。さまざまなデータソースのリストアジョブを作成するには、次のトピックを参照してください。
- ファイルを ECS インスタンスにリストアする
- ファイルをファイルストレージ NAS ファイルシステムにリストアする
- OSS オブジェクトをリストアする
- Tablestore テーブルをリストアする
- ECS ホスト型データベースをリストアする（MySQL データベースをリストアする、Oracle データベースをリストアする、および SQL Server データベースをリストアする）
- データベースを SAP HANA インスタンスにリストアする

クロスアカウントバックアップを無効にする

重要

アカウント A とアカウント B のクロスアカウントバックアップ機能を無効にすると、アカウント A はアカウント B からデータソースをバックアップできなくなります。ビジネス要件を評価し、慎重に進めてください。
他のアカウントのクロスアカウントバックアップ機能は無効にしないことをお勧めします。バックアップと復元操作を実行しない場合、追加料金は発生しません。
クロスアカウントバックアップ機能を無効にした後も、バックアップデータは Cloud Backup のバックアップボールトに保存されます。バックアップボールトのストレージ使用量に対しては引き続き課金されます。請求を停止する方法の詳細については、「Cloud Backup の請求を停止するにはどうすればよいですか?」をご参照ください。バックアップが削除された後、データは復元できません。

アカウント B に切り替えます。データソースを見つけ、Cloud Backup クライアント (存在する場合) をアンインストールし、関連付けられているインスタンスの登録を解除し、バックアップボールトを削除します。詳細については、「Cloud Backup の請求を停止するにはどうすればよいですか?」をご参照ください。
アカウント A に切り替えます。Cloud Backup コンソールのクロスアカウントバックアップページで、アカウント B を削除します。
アカウント B 用に作成された RAM ロールを削除します。
1. アカウント B で RAM コンソールにログオンします。
2. 左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。
3. アカウント B 用に作成された RAM ロール (例: hbrcrossrole) を見つけます。「操作」列の [ロールの削除] をクリックします。

Cloud Backup:アカウント間のバックアップ