Azure Storage のデータ保護、バックアップ、回復のベスト プラクティス
この記事では、Azure Storage のデータ保護とバックアップのオプション、セルフサービスによる復旧シナリオ、Microsoft による復旧の可能性について説明します。
データ保護、バックアップ、回復のオプション
Azure Storage データ保護とは、次の戦略を指します。
- ストレージ アカウントとその中のデータが削除または変更されないように保護する。
- データが削除または変更された後の復元。
このセクションでは、使用可能なデータ保護、バックアップ、回復オプションについて説明します。 詳細については、「 データのバックアップと保護のオプション」を参照してください。
データ保護とバックアップのオプション
次のセクションでは、データ保護シナリオと推奨される保護オプションについて説明します。
シナリオ 1: ストレージ アカウントの保護
Azure Resource Manager (ARM) ロックを有効にして、すべてのストレージ アカウントをロックし、ストレージ アカウントが削除されないようにします。 ARM ロックの詳細については、「Azure Resource Manager ロックをストレージ アカウントに適用する」を参照してください。
利点と制限事項:
- 削除または構成の変更からストレージ アカウントを保護します。
- アカウント内のコンテナーまたは BLOB が削除または上書きされないように保護しません。
- Azure Data Lake Storage (ADLS) Gen 2 がサポートされています。
シナリオ 2: BLOB コンテナーの保護
法的または規制のコンプライアンス要件を満たすなど、ビジネスに不可欠なドキュメントを保護するために、コンテナーで不変ポリシーを有効にします。
利点と制限事項:
- コンテナーとその BLOB をすべての削除と上書きから保護します。
- 訴訟ホールドまたはロックされた時間ベースのアイテム保持ポリシーが有効な場合、ストレージ アカウントも削除から保護されます。 不変ポリシーが設定されていないコンテナーは、削除から保護されません。
- プレビュー版の ADLS Gen 2 をサポートしています。
コンテナーの不変ポリシーの詳細については、「不変ストレージを使用して ビジネス クリティカルな BLOB データを格納する」を参照してください。
コンテナーの論理的な削除を有効にして、指定した期間内に削除されたコンテナーを復元します。
利点と制限事項:
- 削除されたコンテナーとその内容は、保持期間内に復元される可能性があります。 最小保有期間のベスト プラクティスは 7 日間です。
- 復元できるのは、"コンテナーの削除" などのコンテナー レベルの操作のみです。 コンテナーの論理的な削除では、その BLOB が削除された場合、コンテナー内の個々の BLOB を復元することはできません。
- ADLS Gen 2 がサポートされています。
コンテナーの論理的な削除の詳細については、「コンテナー の論理的な削除」を参照してください。
シナリオ 3: BLOB ファイル保護
BLOB バージョンで不変ポリシーを有効にして、制御する間隔で BLOB バージョンが削除されないようにします。
利点と制限事項:
- BLOB バージョンが削除され、そのメタデータが上書きされないように保護します。 上書き操作により、新しいバージョンが作成されます。
- 少なくとも 1 つのコンテナーでバージョン レベルの不変性が有効になっている場合、ストレージ アカウントも削除から保護されます。
- コンテナーに少なくとも 1 つの BLOB が存在する場合、コンテナーの削除は失敗します。
- ADLS Gen2 では使用できません 。
BLOB バージョンの不変ポリシーの詳細については、「 不変ストレージを使用してビジネス クリティカルな BLOB データを格納する」を参照してください。
BLOB 論理的な削除を有効にして、指定した期間内に削除された BLOB または BLOB バージョンを復元します。
利点:
- 削除された BLOB または BLOB のバージョンは、保持期間内に復元される可能性があります。 最小保有期間のベスト プラクティスは 7 日間です。
- ADLS Gen 2 がサポートされています。
BLOB の論理的な削除の詳細については、「 BLOB の論理的な削除」を参照してください。
BLOB スナップショットを有効にして、特定の時点で BLOB の状態を手動で保存します。
利点と制限事項:
- BLOB が上書きされた場合、BLOB はスナップショットから復元される可能性があります。 ただし、BLOB が削除されると、スナップショットも削除されます。
- プレビュー版の ADLS Gen 2 をサポートしています。
BLOB スナップショットの詳細については、「 BLOB スナップショット」を参照してください。
BLOB のバージョン管理を有効にすると、BLOB が上書きされたときに、以前のバージョンの BLOB の状態が自動的に保存されます。
利点と制限事項:
- すべての BLOB 書き込み操作で、新しいバージョンが作成されます。 現在のバージョンが削除または上書きされた場合、BLOB の現在のバージョンは以前のバージョンから復元される可能性があります。
- ADLS Gen2 では使用できません。
BLOB のバージョン管理の詳細については、「 BLOB のバージョン管理」を参照してください。
ポイントインタイム リストアを有効にして、一連のブロック BLOB を以前の時点に復元します。
利点と制限事項:
- ブロック BLOB のセットは、過去の特定の時点で状態に戻される可能性があります。
- ブロック BLOB に対して実行された操作のみが元に戻されます。
- コンテナー、ページ BLOB、または追加 BLOB に対して実行された操作は元に戻されません。
- ADLS Gen2 では使用できません。
ポイントインタイム リストアの詳細については、「 ブロック BLOB のポイントインタイム リストア」を参照してください。
Azure Storage オブジェクトのレプリケーションまたは AzCopy や Azure Data Factory などのツールを使用して、2 つ目のアカウントにデータをコピーします。
利点と制限事項:
- プライマリ アカウントが何らかの方法で侵害された場合は、2 番目のストレージ アカウントからデータを復元できます。
- AzCopy とAzure Data Factoryがサポートされています。
- オブジェクト レプリケーションはサポートされていません。
データ復旧オプション
次のセクションでは、データ復旧シナリオと考えられる回復オプションについて説明します。
データ保護とバックアップ オプションが有効になった後で、データを回復できます。
シナリオ 1: ストレージ アカウントの回復
Azure portalから削除されたストレージ アカウントを回復することを参照します。
シナリオ 2: BLOB コンテナーの回復
論理的に削除されたコンテナーとその内容を回復します。
回復の要件:
- コンテナーの論理的な削除が有効になっています。
- コンテナーの論理的な削除の保持期間がまだ期限切れになっていません。
詳細については、「コンテナーの 論理的な削除を有効にして管理する」を参照してください。
2 つ目のストレージ アカウントからの復旧。
回復の要件: すべてのコンテナーと BLOB 操作が 2 つ目のストレージ アカウントにレプリケートされています。
シナリオ 3: BLOB ファイルの回復
BLOB のバージョン管理を使用して BLOB を以前のバージョンに復旧します。
回復の要件:
- BLOB のバージョン管理が有効になっています。
- BLOB には、1 つ以上の以前のバージョンがあります。
詳細については、「 BLOB のバージョン管理を有効にして管理する」を参照してください。
このオプションは現在、ADLS ワークロードではサポートされていません。
回復手順:
Azure portalから影響を受ける BLOB に移動します。
回復する BLOB の省略記号 (...) を選択します。
[ バージョンの表示] を選択します。
復元元に必要なバージョンを選択します。
[ 最新バージョンの作成] を選択します。
BLOB 論理的な削除を使用して BLOB を回復します。
回復の要件:
- BLOB の論理的な削除が有効になっています。
- 論理的な削除の保持間隔の有効期限が切れていない。
詳細については、「 論理的に削除された BLOB の管理と復元」を参照してください。
ポイントインタイムを使用してブロック BLOB のセットを復旧します。
回復の要件:
- ポイントインタイム リストアが有効になっています。
- 復元ポイントは保持間隔内にあります。
- ストレージ アカウントが侵害または破損していません。
詳細については、「 ブロック BLOB データに対するポイントインタイム リストアの実行」を参照してください。
スナップショットを使用して BLOB を復旧します。
回復の要件: BLOB には 1 つ以上のスナップショットがあります。 詳細については、「.NET での BLOB スナップショットの作成と管理」を参照してください。
回復手順:
Azure portalから影響を受ける BLOB に移動します。
回復する BLOB の省略記号 (...) を選択します。
[ スナップショットの表示] を選択します。
復元元に必要なスナップショットを選択します。
[ 昇格] を選択します。
Azure RBAC のベスト プラクティス
誤ってアカウントを削除しないようにするもう 1 つのベスト プラクティスは、ロールベースのアクセス制御 (Azure RBAC) を使用してアカウントを削除するアクセス許可を持つユーザーの数を制限することです。
推奨される方法を次に示します。
- ユーザーに必要なアクセス権のみを付与します。
- サブスクリプション所有者の数を制限します。
- Microsoft Entra Privileged Identity Managementを使用します。
- ユーザーではなく、グループにロールを割り当てます。
- ロール名の代わりに一意のロール ID を使用してロールを割り当てます。
詳細については、「 Azure RBAC のベスト プラクティス」を参照してください。
サポートされていないストレージの回復
Microsoft では、次のストレージ回復シナリオはサポートされていません。
- Azure Storage キューの回復はサポートされていません。
- Azure Storage テーブル エントリの回復はサポートされていませんが、削除されたテーブルの回復はサポートされています。 詳細については、「 サポートされている記憶域の回復」を参照してください。
- BLOB ファイル保護を有効にしない Azure BLOB ファイルの回復はサポートされていませんが、削除されたコンテナーの回復はサポートされています。 詳細については、「 サポートされている記憶域の回復」を参照してください。
サポートされているストレージの回復
このセクションでは、いくつかの前提条件が満たされている場合にサポートされるストレージ回復シナリオについて説明します。
- シナリオ 1: ストレージ アカウントの回復 (ARM ストレージ アカウントの回復)
- シナリオ 2: クラシック ストレージ アカウントの回復
- シナリオ 3: コンテナーの回復
- シナリオ 4: ADLS Gen 2 のデータとファイル システムの回復
- シナリオ 5: テーブルの回復
- シナリオ 6: ディスクの回復
Microsoft はデータの復旧に全力を尽くしていますが、復元できるデータの量を保証することはできません。
シナリオ 1: ストレージ アカウントの回復 (ARM ストレージ アカウントの回復)
前提条件:
- ストレージ アカウントは過去 14 日以内に削除されました。
- ストレージ アカウントは、Azure Resource Manager デプロイ モデルで作成されました。
- 元のアカウントが削除されてから、同じ名前の新しいストレージ アカウントは作成されていません。
- ストレージ アカウントを回復するユーザーには、 Microsoft.Storage/storageAccounts/write アクセス許可を提供する Azure RBAC ロールが割り当てられている必要があります。 このアクセス許可を提供する組み込みの Azure RBAC ロールの詳細については、「 Azure 組み込みロール」を参照してください。
- ストレージ アカウントを削除したリソース グループが存在することを確認します。 リソース グループが削除された場合は、手動で再作成する必要があります。
- [特定のケースのみ]削除されたストレージ アカウントが Azure Key Vaultでカスタマー マネージド キーを使用していて、キー コンテナーも削除されている場合は、ストレージ アカウントを復元する前にキー コンテナーを復元する必要があります。 詳細については、「Azure Key Vault Recovery の概要」を参照してください。
提案:
- 既存のストレージ アカウントからストレージ アカウントを回復します。
- サポート チケットを使用してストレージ アカウントを回復します。
詳細については、「Azure portalから削除されたストレージ アカウントを回復する」を参照してください。
シナリオ 2: クラシック ストレージ アカウントの回復
前提条件:
- 元のアカウントが削除されてから、同じ名前の新しいストレージ アカウントは作成されていません。
- ストレージ アカウントは過去 14 日以内に削除されました。
提案:
- サポート エンジニアにサポートを依頼して状況を評価します。
シナリオ 3: コンテナーの回復
前提条件:
- ストレージ アカウントのレプリケーションは、"コンテナー" 削除の前に、geo 冗長ストレージ (GRS)、geo ゾーン冗長ストレージ (GZRS)、読み取りアクセス geo ゾーン冗長ストレージ (RAGZRS)、または読み取りアクセス geo 冗長ストレージ (RA-GRS) に設定されました。 LRS を使用するストレージ アカウントは、削除されたコンテナーを回復するためにサポートされていません。
提案:
- サポート エンジニアにサポートを依頼して状況を評価します。
シナリオ 4: ADLS Gen 2 のデータとファイル システムの回復
前提条件:
- 階層型名前空間 (HNS) が有効になっているストレージ アカウント。
- ADLS Gen2 ファイルまたはフォルダーは 3 日以内に削除されました。
提案:
- サポート エンジニアにサポートを依頼して状況を評価します。
シナリオ 5: テーブルの回復
前提条件:
- テーブルエントリデータを変更することなく、"DELETE Table" 操作を使用してテーブル全体が削除されます。
提案:
- サポート エンジニアにサポートを依頼して状況を評価します。
シナリオ 6: ディスクの回復
前提条件:
- ディスクの回復の前提条件は、いくつかの要因によって異なります。 たとえば、論理的な削除は有効になっていますか? または、回復ディスクはマネージド ディスクまたはアンマネージド ディスクを参照していますか?
提案:
- サポート エンジニアにサポートを依頼して状況を評価します。
Azure portalから削除されたストレージ アカウントを回復する
エンド ユーザーが削除されたストレージ アカウントをAzure portalから回復するには、次の 2 つの方法があります。
別のストレージ アカウントから削除されたストレージ アカウントを回復する
削除されたストレージ アカウントを別のストレージ アカウント内から回復するには、次の手順に従います。
Azure portal内のストレージ アカウントの一覧に移動します。
[ 復元 ] ボタンを選択して、[ 削除されたアカウントの復元 ] ウィンドウを開きます。
[サブスクリプション] ドロップダウン リストから、回復するアカウントの サブスクリプションを 選択します。
ドロップダウン リストから、回復するアカウントを選択します。 回復するストレージ アカウントがドロップダウン リストにない場合は、回復できません。
[ 復元 ] ボタンを選択してアカウントを回復します。 ポータルに、復旧が進行中であることを示す通知が表示されます。
詳細については、「Azure portalから削除されたアカウントを回復する」を参照してください。
サポート チケットを使用してストレージ アカウントを回復する
Azure portalで、[ヘルプとサポート] に移動します。
[ サポート リクエストの作成] を選択します。
[ 問題の説明 ] タブの [ 問題の種類 ] フィールドで、[ 技術] を選択します。
[ サブスクリプション ] フィールドで、削除されたストレージ アカウントを含むサブスクリプションを選択します。
[ サービス ] フィールドで、[ ストレージ アカウント管理] を選択します。
[ リソース ] フィールドで、任意のストレージ アカウント リソースを選択します。 削除されたストレージ アカウントが一覧に表示されません。
問題の簡単な概要を追加します。
[ 問題の種類 ] フィールドで、[ 削除と回復] を選択します。
[ 問題のサブタイプ ] フィールドで、[ 削除されたストレージ アカウントの回復] を選択します。
次のスクリーンショットは、[ 問題の説明 ] タブが入力されている例を示しています。
[ 推奨されるソリューション ] タブに移動し、[ 顧客が制御するストレージ アカウントの回復] を選択します。
ドロップダウン リストから、回復するアカウントを選択します。 回復するストレージ アカウントがドロップダウン リストにない場合は、回復できません。
[ 回復] を選択してアカウントを復元します。 ポータルに、復旧が進行中であることを示す通知が表示されます。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示