災害対策で差がつくEBSスナップショットのクロスリージョン運用入門

AWS

災害対策で何を守りたいのかを決める

DRを考えるとき、最初に決めるべきなのは「別リージョンに何を残せば復旧できるのか」です。EBSスナップショットのクロスリージョン運用は強力ですが、設計の順番を間違えると、いざという時に復元が間に合わなかったり、復元できるつもりで必要なものが欠けていたりします。

RTOとRPOを雑に決めない

  • RPOは「どこまで巻き戻って良いか」。1日1回のコピーなら最大24時間分のデータ損失を許容する前提になります。
  • RTOは「いつまでに復旧したいか」。スナップショットからの復元はできますが、台数が多い・初回I/Oが重い・手順が属人化していると時間が伸びます。

SAA-C03の学習でも、DRは「サービス名暗記」より「要件→設計判断」が問われやすい前提として扱われがちです。要件の言葉を見た瞬間に、どの層で守るかを整理できる状態が理想です。

具体例でイメージする

例えば、東京リージョンでEC2+EBS(データボリューム)を使っているケースを考えます。

  • 失って困るのは「OS」より「業務データ」
  • OSは再構築できるが、データは戻せない
  • ならば、データボリュームのスナップショットを別リージョンへコピーしておき、必要なら別リージョンでボリュームを作ってEC2に付け直す

この発想ができると、DRの話が一気に現実味を帯びます。

SAA-C03対策で評価の高いUdemy講座をまとめて確認できます。👇

SAA-C03対策|Udemyのおすすめ講座を見る

EBSスナップショットとクロスリージョンコピーの仕組み

ここを押さえると、運用・コスト・復旧時間の見積もりがブレにくくなります。EBSスナップショットは「ある瞬間のEBSボリュームの状態」を保存する仕組みで、基本は増分バックアップとして扱われます。

スナップショットは増分という意味

「増分」といっても、復元時に差分を当てるのを自分で管理するわけではありません。AWS側でスナップショットチェーンが管理され、指定したスナップショットからボリュームを作成すれば、その時点の状態になります。学習者がつまずくのは「増分=復元が難しいのでは」と誤解するところですが、復元操作はシンプルです。

クロスリージョンコピーの要点

別リージョンに持っていく方法は大きく2つあります。

  • スナップショットをコピーする(EBSスナップショットコピー)
  • バックアップの仕組みでコピーする(AWS Backupなど)

EBSのスナップショットコピーは、コンソールから対象スナップショットを選んでコピーできます。コピー先を別リージョンにすれば、災害対策としてリージョン分離ができます。

そして重要なのが「コピーは毎回フルとは限らない」という点です。条件を満たすと増分コピーとして扱われ、2回目以降の転送量が抑えられる場合があります。

ただし、暗号化でKMSキーを変えるとフルコピーになり得ます。設計で「キーを変える必然性」があるのか、コストに納得できるのかを考えたいところです。

料金の考え方もセットで理解する

クロスリージョンコピーでは、リージョン間のデータ転送と、コピー先リージョンでのスナップショット保管が発生します。ここを把握していないと、DRのつもりが想定外の請求になりがちです。

自動化の定番パターン DLMとAWS Backup

運用を考えると、手動コピーはすぐ破綻します。人が忘れるからではなく、障害時に「やってたはず」が一番危ないからです。ここではSAA-C03の学習にも直結する、定番の2パターンを整理します。

DLMでスナップショット作成とコピーをまとめる

**Amazon Data Lifecycle Manager(DLM)**は、EBSスナップショットのライフサイクル(作成・保持・削除)を自動化できます。スナップショットの定期取得に加えて、ポリシーでクロスリージョンコピーの設定も扱えます。

  • EC2(特定タグ)に付くEBSを毎日スナップショット
  • 保持は30日
  • さらに別リージョンへコピーして保持は60日

こういう「要件→設定」の流れが、試験でも実務でも強いです。

また、アカウント侵害対策として、クロスアカウント+クロスリージョンで隔離する考え方もあります。DLMにはクロスアカウントコピーを自動化する仕組みが用意されています。

AWS Backupでバックアップを一元管理する

EBSだけを守るならDLMで十分な場面もありますが、RDSやEFSなどもまとめて扱うならAWS Backupが運用しやすいです。バックアッププランに「別リージョンへのコピー」を組み込めます。

AWS Backupの良さは「バックアップの標準化」です。

  • バックアッププラン(頻度・保持)
  • バックアップボールト
  • クロスリージョンコピー
  • 暗号化の扱い

このセットで統制しやすく、組織運用に寄せられます。

学習の進め方の一例

ここは独学だと点で覚えがちなので、ハンズオン形式で一度通すのがおすすめです。UdemyにもSAA-C03向けに、EBSスナップショット、DLM、AWS Backup、KMSまで一連で触れる講座がいくつかあります。体系的に手を動かすと、設計問題で「言葉の意味」を落ち着いて読めるようになります。

暗号化とアクセス設計 KMSと共有の勘所

クロスリージョン運用で詰まりやすいのが「暗号化」と「権限」です。ここを整理しておくと、復旧時のハマりどころが減ります。

暗号化の基本はKMSキーの所在

EBSスナップショットは暗号化できます。暗号化されたスナップショットを共有する場合、スナップショットだけ共有しても不十分で、暗号化に使ったカスタマーマネージドキー(KMSキー)へのアクセス許可も必要になります。

「復旧先のアカウントでボリュームが作れない」という事故の多くは、ここが原因です。

共有はスナップショット権限とキー権限の二段構え

スナップショットは「Modify permissions」で他アカウントに共有できます。
しかし暗号化されているなら、KMS側でもキーの利用を許可しないと復元に進めません。

そしてもう一つ大事なのが、共有された暗号化スナップショットを使う時は、自アカウントのKMSキーで再暗号化するためにコピーする考え方です。元のキーが無効化されたり、権限が剥奪されたりすると、後からアクセスできなくなる可能性があるためです。

デフォルト暗号化のリージョン差にも注意

EBSの「デフォルト暗号化」はリージョンごとの設定です。DR先リージョンでも同じ前提で運用するなら、設定を揃える必要があります。

復旧手順と運用の落とし穴 RTOとコストを現実に合わせる

DRは「バックアップがある」だけでは成立しません。復旧手順が短く、迷いがなく、時間を読める状態にして初めて意味が出ます。

最低限の復旧手順を言語化する

別リージョンにコピー済みスナップショットがある前提で、復旧はざっくり次の流れです。

  • DRリージョンでスナップショットを確認
  • そのスナップショットからEBSボリュームを作成
  • EC2を起動(AMIからでも、既存テンプレでも)
  • ボリュームをアタッチしてマウント、アプリ設定を反映
  • 動作確認

ここでのポイントは、復旧に必要なのがスナップショットだけとは限らないことです。OSやミドルウェアの再構築が長いなら、EBSだけでなく「AMI」「IaC」「設定管理」まで整備した方がRTOが縮みます。EBSスナップショットはDRの中心パーツですが、万能ではありません。

初回I/O遅延を避けたいならFSRを知っておく

スナップショットから作ったボリュームは、初回アクセス時にレイテンシーが出ることがあります。これを避けたい要件では、**Fast Snapshot Restore(FSR)**が選択肢になります。FSRを有効にしておくと、スナップショットから作成したボリュームが作成時点でフル初期化され、初回I/Oの遅延を抑えられます。

試験でも「復旧を急ぎたい」「性能がすぐ必要」といった要件から、こうした機能を想起できると判断がしやすくなります。

長期保管にはスナップショットアーカイブという選択肢

頻繁に戻す必要がない(監査・保管目的が中心)なら、EBS Snapshots Archiveも覚えておくと設計の幅が広がります。標準階層とは別の低コスト保管階層で、必要な時は復元して使います。

ただし、アーカイブすると共有やFSRが無効化されるなど制約もあります。DR用途で「すぐ戻す」が要件なら、むしろ相性が悪い場合があります。

ありがちな落とし穴チェック

  • コピーはできているが、復元の権限が足りずボリュームを作れない(KMSの許可不足)
  • コピー先リージョンの保持期間が短く、肝心の世代が消えている
  • コストを見ずにリージョンコピーを増やしてしまい、データ転送と保管が積み上がる
  • 「年1回のDR訓練」をやらず、手順が誰も分からない(実務あるあるです)

SAA-C03対策で評価の高いUdemy講座をまとめて確認できます。👇

SAA-C03対策|Udemyのおすすめ講座を見る

まとめ

EBSスナップショットのクロスリージョン運用は、DRの基本として押さえておくと強い武器になります。ポイントは「スナップショットを別リージョンに置く」だけで終わらせず、RPO/RTOの要件から逆算して、自動化・暗号化・復旧手順までを一続きで設計することです。スナップショットは増分で扱われ、コピーも条件によって増分になり得ますが、KMSキー変更などでフルコピーになりコストが跳ねることもあります。

自動化は、EBS中心ならDLM、複数サービスを横断するならAWS Backupが運用の定番です。
暗号化と共有では、スナップショット権限に加えてKMSキー権限が必要で、復旧先で再暗号化コピーする考え方も重要です。
復旧時間を現実に寄せるなら、FSRやアーカイブの特徴を理解し、要件に合わせて使い分けます。

SAA-C03の勉強としては、サービス名を増やすより、「要件の言い回し→この設計判断」という変換を練習するのが近道です。ハンズオンで一度、DLMやAWS Backup、KMSまで通して触れると、設計問題で迷いにくくなります。

タイトルとURLをコピーしました