ディスクの自動スナップショットポリシーを有効にして、人為的ミス、マルウェア、またはハードウェア障害によるデータ損失を防止します。
セキュリティリスク
ディスクデータは、データの破損や恒久的な損失につながる複数の脅威にさらされています:
人為的ミス:誤ったファイル削除、ディスクのフォーマット、または不適切な設定。
悪意のある攻撃:データを暗号化するランサムウェア、またはデータを削除もしくは改ざんするハッカー。
ソフトウェア障害:不整合な書き込みやデータの破損を引き起こすアプリケーションのバグ、またはシステムクラッシュ。
ハードウェア障害:可能性は低いものの、物理デバイスが故障する場合があります。
ベストプラクティス
自動スナップショットポリシーは、指定したディスクのスナップショットを定期的に作成し、データ損失を防止して信頼性を向上させます。
コンソール
インスタンス購入ページでインスタンスを作成する際、[スナップショット] セクションで、システムディスクとデータディスクに自動スナップショットポリシーが適用されます。
デフォルトポリシーが要件を満たさない場合は、自動スナップショットポリシーの作成 をクリックしてカスタムポリシーを作成し、選択してください。
API
CreateAutoSnapshotPolicy API を呼び出して、自動スナップショットポリシーを作成します。
timePointsでバックアップ時刻を指定し、repeatWeekdaysでバックアップスケジュールを指定し、retentionDaysで保持期間を指定します。リクエストが成功すると、AutoSnapshotPolicyIdが返されます。RunInstances または CreateInstance API を呼び出してインスタンスを作成する際は、システムディスクに
SystemDisk.AutoSnapshotPolicyIdを使用し、データディスクにDataDisk.X.AutoSnapshotPolicyIdを使用します。
ポリシーが有効になると、システムが自動的にバックアップを作成します。その後、スナップショットを使用してディスクをロールバックし、過去のデータを復元できます。
コンプライアンス機能
自動スナップショットポリシーが有効かどうかの確認
ECS Insight
ECS Insight に移動します。
[信頼性] タブで、[過去 7 日間に作成されたスナップショット] をクリックし、直近 7 日間にディスクのスナップショットが作成されたかどうかを確認します。
Security Center
Security Center コンソールに移動します。
左側のナビゲーションペインで、 を選択します。[クラウドサービス設定リスク] タブで、[自動スナップショットポリシーの有効化] を見つけ、操作 列の [スキャン] をクリックします。
ステータスが Failed の場合、1 つ以上のインスタンスで自動スナップショットポリシーが有効になっていません。詳細 をクリックして、影響を受けるインスタンスを確認します。
インターセプト:自動スナップショットポリシー未設定の Elastic Compute Service (ECS) インスタンス作成のブロック
このポリシーは招待制プレビューであり、中国 (成都)、中国 (ウランチャブ)、中国 (フフホト) リージョンでのみ利用できます。
ランサムウェアなどの脅威に対するデータ保護を強制するには、すべての新規インスタンスに自動スナップショットポリシーを必須とすることができます。ECS では、新規インスタンスのシステムディスクとデータディスクに自動スナップショットポリシーを必須とする RAM ポリシーを設定できます。この制限は、指定した RAM ユーザーおよび RAM ロールに適用されます。制限対象のユーザーがインスタンスまたはディスクを作成すると、ECS はリクエストに自動スナップショットポリシーが含まれているかどうかを確認します。確認結果は認証のために RAM に送信されます。リクエストがポリシー条件を満たさない場合、RAM はリクエストを拒否します。
企業ユーザーの場合:
Alibaba Cloud アカウントで リソースディレクトリ コンソールにログオンします。左側のナビゲーションペインで、[管理ポリシー] をクリックします。カスタムポリシーを作成し、次の JSON コンテンツを貼り付けます。
{ "Version": "1", "Statement": [ { "Action": [ "ecs:RunInstances", "ecs:CreateInstance" ], "Resource": "*", "Condition": { "StringLike": { "ecs:IsDiskAutoSnapshotPolicyEnabled": "*false*" } }, "Effect": "Deny" }, { "Action": [ "ecs:RunInstances", "ecs:CreateInstance" ], "Resource": "*", "Condition": { "StringEquals": { "ecs:IsSystemDiskAutoSnapshotPolicyEnabled": "false" } }, "Effect": "Deny" } ] }リソースディレクトリで、ターゲットフォルダまたはメンバーにポリシーをアタッチします。このポリシーは、フォルダ内のすべてのアカウント、または指定したメンバーからの非準拠リクエストをブロックします。
個人ユーザーの場合:
Alibaba Cloud アカウントで RAM コンソールにログオンします。左側のナビゲーションペインで、権限付与ポリシー をクリックします。上記と同じ JSON コンテンツでカスタムポリシーを作成します。
必要な RAM ユーザー、RAM ユーザーグループ、または RAM ロールにポリシーをアタッチします。RAM ユーザーに権限を付与する をご参照ください。
修正:ディスクの自動スナップショットポリシーの有効化
チェックの結果、自動スナップショットポリシーが有効になっていないことが判明した場合は、ディスクに自動スナップショットポリシーを設定してください。