Azure Backup の不変コンテナー
不変コンテナーは、復旧ポイントを失う可能性のある操作をブロックすることで、バックアップ データを保護するのに役立ちます。 さらに、不変コンテナーの設定をロックして元に戻せないようにすることで、悪意のあるアクターが不変性を無効にしてバックアップを削除するのを防ぐことができます。
開始する前に
- 不変コンテナーは、すべての Azure パブリック リージョンと US Gov リージョンで使用できます。
- 不変コンテナーは、Recovery Services コンテナーと Backup コンテナーに対してサポートされています。
- 不変コンテナーを有効にすると、コンテナーとその保護された項目に対して特定の操作を実行できなくなります。 「制限される操作」をご覧ください。
- コンテナーの不変性の有効化は、元に戻せる操作です。 ただし、悪意のあるアクターによる無効化を防ぐため (無効にした後、破壊的操作を実行できます)、元に戻せないようにすることもできます。 不変コンテナーを元に戻せないようにする方法を確認してください。
- 不変コンテナーは、コンテナー内のすべてのデータに適用されます。 したがって、コンテナーで保護されているすべてのインスタンスに不変性が適用されます。
- 不変性は、BLOB、ファイル、ディスクの運用バックアップなどの運用バックアップには適用されません。
不変性の動作のしくみ
Azure Backup ではデータは運用ワークロードから分離して格納されますが、復旧ポイントを削除できる操作など、ユーザーがバックアップを管理するのに役立つ管理操作を実行できます。 ただし、特定のシナリオでは、悪意のあるアクターによって使われた場合にバックアップが失われる可能性がある操作を防ぐことで、バックアップ データを不変にすることが必要な場合があります。 コンテナーでの不変コンテナーの設定により、そのような操作をブロックし、悪意のあるアクターがデータを削除してその回復可能性に影響を与えようとした場合でも、バックアップ データを確実に保護することができます。
不変性を元に戻せないようにする
コンテナーの不変性は元に戻せる設定であり、必要に応じて不変性を無効にできます (バックアップ データを削除できるようになります)。 ただし、不変性の影響に満足したら、コンテナーをロックして、不変コンテナーの設定を元に戻せないようにし、悪意のあるアクターが無効にできないようにすることをお勧めします。 したがって、不変コンテナーの設定は、次の 3 つの状態を受け入れます。
| 不変コンテナーの設定の状態 | 説明 |
|---|---|
| 無効 | コンテナーで不変性は有効になっておらず、操作はブロックされません。 |
| 有効 | コンテナーで不変性が有効になっており、バックアップが失われる可能性のある操作は許可されません。 ただし、この設定は無効にすることができます。 |
| 有効でロック済み | コンテナーで不変性が有効になっており、バックアップが失われる可能性のある操作は許可されません。 不変コンテナーの設定はロックされているので、無効にすることはできません。 不変性のロックは元に戻すことができないので、ロックするときは、よく理解した上で決定してください。 |
制限される操作
不変コンテナーを有効にすると、データの損失につながる可能性がある次の操作を、コンテナーに対して実行できなくなります。
コンテナーを選択してください
| 演算の種類 | 説明 |
|---|---|
| データを削除して保護を停止 | 保護された項目の復旧ポイントは、それぞれの有効期限日より前に削除できません。 ただし、その場合でも、データを永続的に、または有効期限が切れるまで保持しながら、インスタンスの保護を停止することができます。 |
| バックアップ ポリシーを修正して保持期間を短縮する | バックアップ ポリシーの保持期間を短縮するアクションは、不変コンテナーでは許可されません。 ただし、保持期間が長くなるようにポリシーを変更することはできます。 バックアップ ポリシーのスケジュールを変更することもできます。 アイテムのバックアップが中断されている (バックアップを停止する) 場合、保持期間の延長は適用できないことに注意してください。 |
| バックアップ ポリシーを変更して保持期間を短縮する | バックアップ項目に関連付けられているバックアップ ポリシーを、既存のものより保持期間が短い別のポリシーに置き換えようとすると、ブロックされます。 ただし、保持期間がさらに長いポリシーに置き換えることはできます。 |