本記事では、Veeam Backup&Replicationを使用して、バックアップデータをAmazon S3へバックアップするためのAWS側での設定手順について紹介いたします。
今回は、環境構成の概要およびAWS側の設定方法について紹介いたします。
構成
環境構成図
環境構成情報
- リージョン:東京リージョン(ap-northeast-1)
- Veeam Backup&Replicationのバージョン:ver12.2
- ESXiのバージョン:7.0
- VMのOS:Windows Server2022
- Veeam Backup&Replication Serverのインターネット通信:通信可
- Veeam Backup&Replication SeverとAmazon S3への通信:HTTPS
- Backup Repository:Amazon S3
前提条件
本手順を実施するにあたり、以下の項目を前提とします。
- AWSマネジメントコンソールにログインするIAMユーザーがIAM・S3の操作権限が付与されていること
手順詳細
Amazon S3バケットの作成
AWSマネジメントコンソールにログインを行い、検索窓より「S3」と検索し「S3」をクリックします。
「バケットを作成」をクリックします。
「バケットを作成」の画面が表示されるので、以下設定項目について設定します。
- バケットタイプ:汎用
- バケット名:任意のバケット名を入力
- オブジェクト所有者:ACL無効(推奨)
画面を下へスクロールすると以下の画面が表示されるので設定項目について設定します。
- パブリックアクセスをすべてブロック:チェックを入れる
- バケットのバージョニング:有効化にする(オブジェクトロックを使用するため自動的に有効化となる)
- タグ:任意のタグを追加
以下、設定項目について設定を行い「バケットを作成」をクリックします。
- 暗号化タイプ:Amazon S3 マネージドキーを使用したサーバー側の暗号化 (SSE-S3)
- バケットキー:有効にする
- オブジェクトロック:有効にする
- オブジェクトロックを有効にすると、このバケット内のオブジェクトが永続的にロックされることを了承します。:チェックを入れ同意する
バケットが正常に作成されたことを確認します。
Veeam用IAMユーザーの作成
[IAMダッシュボード]>[アクセス管理]>[ユーザー]より「ユーザーの作成」をクリックします。
以下、設定項目について設定を行い「次へ」をクリックします。
- ユーザー名:任意のユーザー名を入力する
- AWSマネジメントコンソールへのユーザーアクセスを提供する-オプション:チェックを入れない
※VeeamからAmazon S3へバックアップする際に使用されるIAMユーザーであるため、AWSマネジメントコンソールへのログインは不要
「次へ」をクリックします。
※IAMポリシーのアタッチは本手順記載にある、Veeam用IAMポリシーのアタッチで行います。
「ユーザーの作成」をクリックします。
ユーザーが正常に作成されたことを確認します。
Veeam用IAMユーザーのアクセスキー作成
[対象のIAMユーザー]>[セキュリティ認証情報]より「アクセスキーを作成」をクリックします。
ユースケースより「AWSの外部で実行されるアプリケーション」にチェックを入れて「次へ」をクリックします。
「説明タグ値」に任意の値を入力し、「アクセスキーを作成」をクリックします。
アクセスキーが作成されるので、アクセスキーとシークレットアクセスキーをメモとして記録するか、CSVファイルとして出力し、「完了」をクリックします。
※シークレットアクセスキーは一度のみ表示またはダウンロードできます。
[セキュリティ認証情報]>[アクセスキー]より、作成されたアクセスキーがあることを確認します。
Veeam用IAMポリシー作成
[IAMダッシュボード]>[アクセス管理]>[ポリシー]より、「ポリシーの作成」をクリックします。
ポリシーエディタをビジュアルからJSONに変更します。
ポリシーエディタにポリシーをJSON形式で記述します。
ポリシーの記述内容は以下になります。
S3バケット名は作成したS3バケット名に書き換えてください。
※以下のポリシーはオブジェクトロックを有効化しているS3バケットに対してのポリシーとなります。
Veeamが推奨しているポリシーに関しては以下URLを参照してください。
KB3151: How to Create Secure IAM Policy for Connection to S3 Object Storage
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketVersioning",
"s3:GetBucketObjectLockConfiguration",
"s3:ListBucketVersions",
"s3:GetObjectVersion",
"s3:GetObjectRetention",
"s3:GetObjectLegalHold",
"s3:PutObjectRetention",
"s3:PutObjectLegalHold",
"s3:DeleteObjectVersion"
],
"Resource": [
"arn:aws:s3:::S3バケット名/*",
"arn:aws:s3:::S3バケット名"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket"
],
"Resource": "*"
}
]
}
ポリシーエディタにポリシーを記述した後、「次へ」をクリックします。
以下、設定項目について設定を行い「ポリシーの作成」をクリックします。
- ポリシー名:任意のポリシー名を入力する
- 説明-オプション:任意でポリシーの説明を入力する
- タグを追加-オプション:任意でタグを追加する
ポリシーが作成されたことを確認します。
Veeam用IAMポリシーのアタッチ
[IAMダッシュボード]>[アクセス管理]>[ユーザー]より、先ほど作成したVeeam用IAMユーザーにチェックボックスにチェックを入れ、クリックします。
「許可を追加」をクリックします。
「ポリシーを直接アタッチする」にチェックを入れ、先ほど作成したポリシーを選択し、「次へ」をクリックします。
「許可を追加」をクリックします。
ポリシーがアタッチされたことを確認します。
まとめ
本記事ではVeeam Backup&Replicationを使ってAmazon S3へバックアップする上でのAWS側の設定を行いました。次回はVeeam側でのAmazon S3の登録手順について紹介します。
Veeamを使ってAmazon S3へバックアップをする際に本記事が参考になれば幸いです。最後までお読みいただきありがとうございました。
