Azure Storage のデータ保護、バックアップ、回復のベストプラクティス

[アーティクル]
04/10/2024

この記事では、Azure Storage のデータ保護とバックアップのオプション、セルフサービスによる復旧シナリオ、Microsoft による復旧の可能性について説明します。

データ保護、バックアップ、回復のオプション

Azure Storage データ保護とは、次の戦略を指します。

ストレージアカウントとその中のデータが削除または変更されないように保護する。
データが削除または変更された後の復元。

このセクションでは、使用可能なデータ保護、バックアップ、回復オプションについて説明します。詳細については、「データのバックアップと保護のオプション」を参照してください。

データ保護とバックアップのオプション

次のセクションでは、データ保護シナリオと推奨される保護オプションについて説明します。

シナリオ 1: ストレージアカウントの保護
シナリオ 2: BLOB コンテナーの保護
シナリオ 3: BLOB ファイル保護

シナリオ 1: ストレージアカウントの保護

Azure Resource Manager (ARM) ロックを有効にして、すべてのストレージアカウントをロックし、ストレージアカウントが削除されないようにします。 ARM ロックの詳細については、「Azure Resource Manager ロックをストレージアカウントに適用する」を参照してください。

利点と制限事項:

削除または構成の変更からストレージアカウントを保護します。
アカウント内のコンテナーまたは BLOB が削除または上書きされないように保護しません。
Azure Data Lake Storage (ADLS) Gen 2 がサポートされています。

シナリオ 2: BLOB コンテナーの保護

法的または規制のコンプライアンス要件を満たすなど、ビジネスに不可欠なドキュメントを保護するために、コンテナーで不変ポリシーを有効にします。

利点と制限事項:
- コンテナーとその BLOB をすべての削除と上書きから保護します。
- 訴訟ホールドまたはロックされた時間ベースのアイテム保持ポリシーが有効な場合、ストレージアカウントも削除から保護されます。不変ポリシーが設定されていないコンテナーは、削除から保護されません。
- プレビュー版の ADLS Gen 2 をサポートしています。
コンテナーの不変ポリシーの詳細については、「不変ストレージを使用してビジネスクリティカルな BLOB データを格納する」を参照してください。
コンテナーの論理的な削除を有効にして、指定した期間内に削除されたコンテナーを復元します。

利点と制限事項:
- 削除されたコンテナーとその内容は、保持期間内に復元される可能性があります。最小保有期間のベストプラクティスは 7 日間です。
- 復元できるのは、"コンテナーの削除" などのコンテナーレベルの操作のみです。コンテナーの論理的な削除では、その BLOB が削除された場合、コンテナー内の個々の BLOB を復元することはできません。
- ADLS Gen 2 がサポートされています。
コンテナーの論理的な削除の詳細については、「コンテナーの論理的な削除」を参照してください。

シナリオ 3: BLOB ファイル保護

BLOB バージョンで不変ポリシーを有効にして、制御する間隔で BLOB バージョンが削除されないようにします。

利点と制限事項:
- BLOB バージョンが削除され、そのメタデータが上書きされないように保護します。上書き操作により、新しいバージョンが作成されます。
- 少なくとも 1 つのコンテナーでバージョンレベルの不変性が有効になっている場合、ストレージアカウントも削除から保護されます。
- コンテナーに少なくとも 1 つの BLOB が存在する場合、コンテナーの削除は失敗します。
- ADLS Gen2 では使用できません 。
BLOB バージョンの不変ポリシーの詳細については、「不変ストレージを使用してビジネスクリティカルな BLOB データを格納する」を参照してください。
BLOB 論理的な削除を有効にして、指定した期間内に削除された BLOB または BLOB バージョンを復元します。

利点：
- 削除された BLOB または BLOB のバージョンは、保持期間内に復元される可能性があります。最小保有期間のベストプラクティスは 7 日間です。
- ADLS Gen 2 がサポートされています。
BLOB の論理的な削除の詳細については、「 BLOB の論理的な削除」を参照してください。
BLOB スナップショットを有効にして、特定の時点で BLOB の状態を手動で保存します。

利点と制限事項:
- BLOB が上書きされた場合、BLOB はスナップショットから復元される可能性があります。ただし、BLOB が削除されると、スナップショットも削除されます。
- プレビュー版の ADLS Gen 2 をサポートしています。
BLOB スナップショットの詳細については、「 BLOB スナップショット」を参照してください。
BLOB のバージョン管理を有効にすると、BLOB が上書きされたときに、以前のバージョンの BLOB の状態が自動的に保存されます。

利点と制限事項:
- すべての BLOB 書き込み操作で、新しいバージョンが作成されます。現在のバージョンが削除または上書きされた場合、BLOB の現在のバージョンは以前のバージョンから復元される可能性があります。
- ADLS Gen2 では使用できません。
BLOB のバージョン管理の詳細については、「 BLOB のバージョン管理」を参照してください。
ポイントインタイムリストアを有効にして、一連のブロック BLOB を以前の時点に復元します。

利点と制限事項:
- ブロック BLOB のセットは、過去の特定の時点で状態に戻される可能性があります。
- ブロック BLOB に対して実行された操作のみが元に戻されます。
- コンテナー、ページ BLOB、または追加 BLOB に対して実行された操作は元に戻されません。
- ADLS Gen2 では使用できません。
ポイントインタイムリストアの詳細については、「ブロック BLOB のポイントインタイムリストア」を参照してください。
Azure Storage オブジェクトのレプリケーションまたは AzCopy や Azure Data Factory などのツールを使用して、2 つ目のアカウントにデータをコピーします。

利点と制限事項:
- プライマリアカウントが何らかの方法で侵害された場合は、2 番目のストレージアカウントからデータを復元できます。
- AzCopy とAzure Data Factoryがサポートされています。
- オブジェクトレプリケーションはサポートされていません。

データ復旧オプション

次のセクションでは、データ復旧シナリオと考えられる回復オプションについて説明します。

シナリオ 1: ストレージアカウントの回復
シナリオ 2: BLOB コンテナーの回復
シナリオ 3: BLOB ファイルの回復

データ保護とバックアップオプションが有効になった後で、データを回復できます。

シナリオ 1: ストレージアカウントの回復

Azure portalから削除されたストレージアカウントを回復することを参照します。

シナリオ 2: BLOB コンテナーの回復

論理的に削除されたコンテナーとその内容を回復します。

回復の要件:
- コンテナーの論理的な削除が有効になっています。
- コンテナーの論理的な削除の保持期間がまだ期限切れになっていません。
詳細については、「コンテナーの論理的な削除を有効にして管理する」を参照してください。
2 つ目のストレージアカウントからの復旧。

回復の要件: すべてのコンテナーと BLOB 操作が 2 つ目のストレージアカウントにレプリケートされています。

シナリオ 3: BLOB ファイルの回復

BLOB のバージョン管理を使用して BLOB を以前のバージョンに復旧します。

回復の要件:
- BLOB のバージョン管理が有効になっています。
- BLOB には、1 つ以上の以前のバージョンがあります。
詳細については、「 BLOB のバージョン管理を有効にして管理する」を参照してください。

このオプションは現在、ADLS ワークロードではサポートされていません。

回復手順:
1. Azure portalから影響を受ける BLOB に移動します。
2. 回復する BLOB の省略記号 (...) を選択します。
3. [ バージョンの表示] を選択します。
4. 復元元に必要なバージョンを選択します。
5. [ 最新バージョンの作成] を選択します。
BLOB 論理的な削除を使用して BLOB を回復します。

回復の要件:
- BLOB の論理的な削除が有効になっています。
- 論理的な削除の保持間隔の有効期限が切れていない。
詳細については、「論理的に削除された BLOB の管理と復元」を参照してください。
ポイントインタイムを使用してブロック BLOB のセットを復旧します。

回復の要件:
- ポイントインタイムリストアが有効になっています。
- 復元ポイントは保持間隔内にあります。
- ストレージアカウントが侵害または破損していません。
詳細については、「ブロック BLOB データに対するポイントインタイムリストアの実行」を参照してください。
スナップショットを使用して BLOB を復旧します。

回復の要件: BLOB には 1 つ以上のスナップショットがあります。詳細については、「.NET での BLOB スナップショットの作成と管理」を参照してください。

回復手順:
1. Azure portalから影響を受ける BLOB に移動します。
2. 回復する BLOB の省略記号 (...) を選択します。
3. [ スナップショットの表示] を選択します。
4. 復元元に必要なスナップショットを選択します。
5. [ 昇格] を選択します。

Azure RBAC のベストプラクティス

誤ってアカウントを削除しないようにするもう 1 つのベストプラクティスは、ロールベースのアクセス制御 (Azure RBAC) を使用してアカウントを削除するアクセス許可を持つユーザーの数を制限することです。

推奨される方法を次に示します。

ユーザーに必要なアクセス権のみを付与します。
サブスクリプション所有者の数を制限します。
Microsoft Entra Privileged Identity Managementを使用します。
ユーザーではなく、グループにロールを割り当てます。
ロール名の代わりに一意のロール ID を使用してロールを割り当てます。

詳細については、「 Azure RBAC のベストプラクティス」を参照してください。

サポートされていないストレージの回復

Microsoft では、次のストレージ回復シナリオはサポートされていません。

Azure Storage キューの回復はサポートされていません。
Azure Storage テーブルエントリの回復はサポートされていませんが、削除されたテーブルの回復はサポートされています。詳細については、「サポートされている記憶域の回復」を参照してください。
BLOB ファイル保護を有効にしない Azure BLOB ファイルの回復はサポートされていませんが、削除されたコンテナーの回復はサポートされています。詳細については、「サポートされている記憶域の回復」を参照してください。

サポートされているストレージの回復

このセクションでは、いくつかの前提条件が満たされている場合にサポートされるストレージ回復シナリオについて説明します。

シナリオ 1: ストレージアカウントの回復 (ARM ストレージアカウントの回復)
シナリオ 2: クラシックストレージアカウントの回復
シナリオ 3: コンテナーの回復
シナリオ 4: ADLS Gen 2 のデータとファイルシステムの回復
シナリオ 5: テーブルの回復
シナリオ 6: ディスクの回復

Microsoft はデータの復旧に全力を尽くしていますが、復元できるデータの量を保証することはできません。

シナリオ 1: ストレージアカウントの回復 (ARM ストレージアカウントの回復)

前提条件:

ストレージアカウントは過去 14 日以内に削除されました。
ストレージアカウントは、Azure Resource Manager デプロイモデルで作成されました。
元のアカウントが削除されてから、同じ名前の新しいストレージアカウントは作成されていません。
ストレージアカウントを回復するユーザーには、 Microsoft.Storage/storageAccounts/write アクセス許可を提供する Azure RBAC ロールが割り当てられている必要があります。このアクセス許可を提供する組み込みの Azure RBAC ロールの詳細については、「 Azure 組み込みロール」を参照してください。
ストレージアカウントを削除したリソースグループが存在することを確認します。リソースグループが削除された場合は、手動で再作成する必要があります。
[特定のケースのみ]削除されたストレージアカウントが Azure Key Vaultでカスタマーマネージドキーを使用していて、キーコンテナーも削除されている場合は、ストレージアカウントを復元する前にキーコンテナーを復元する必要があります。詳細については、「Azure Key Vault Recovery の概要」を参照してください。

提案:

既存のストレージアカウントからストレージアカウントを回復します。
サポートチケットを使用してストレージアカウントを回復します。

詳細については、「Azure portalから削除されたストレージアカウントを回復する」を参照してください。

シナリオ 2: クラシックストレージアカウントの回復

前提条件:

元のアカウントが削除されてから、同じ名前の新しいストレージアカウントは作成されていません。
ストレージアカウントは過去 14 日以内に削除されました。

提案:

サポートエンジニアにサポートを依頼して状況を評価します。

シナリオ 3: コンテナーの回復

前提条件:

ストレージアカウントのレプリケーションは、"コンテナー" 削除の前に、geo 冗長ストレージ (GRS)、geo ゾーン冗長ストレージ (GZRS)、読み取りアクセス geo ゾーン冗長ストレージ (RAGZRS)、または読み取りアクセス geo 冗長ストレージ (RA-GRS) に設定されました。 LRS を使用するストレージアカウントは、削除されたコンテナーを回復するためにサポートされていません。

提案:

サポートエンジニアにサポートを依頼して状況を評価します。

シナリオ 4: ADLS Gen 2 のデータとファイルシステムの回復

前提条件:

階層型名前空間 (HNS) が有効になっているストレージアカウント。
ADLS Gen2 ファイルまたはフォルダーは 3 日以内に削除されました。

提案:

サポートエンジニアにサポートを依頼して状況を評価します。

シナリオ 5: テーブルの回復

前提条件:

テーブルエントリデータを変更することなく、"DELETE Table" 操作を使用してテーブル全体が削除されます。

提案:

サポートエンジニアにサポートを依頼して状況を評価します。

シナリオ 6: ディスクの回復

前提条件:

ディスクの回復の前提条件は、いくつかの要因によって異なります。たとえば、論理的な削除は有効になっていますか? または、回復ディスクはマネージドディスクまたはアンマネージドディスクを参照していますか?

提案:

サポートエンジニアにサポートを依頼して状況を評価します。

Azure portalから削除されたストレージアカウントを回復する

エンドユーザーが削除されたストレージアカウントをAzure portalから回復するには、次の 2 つの方法があります。

既存のストレージアカウントから削除されたアカウントを回復します。
サポートチケットを使用してアカウントを回復します。

別のストレージアカウントから削除されたストレージアカウントを回復する

削除されたストレージアカウントを別のストレージアカウント内から回復するには、次の手順に従います。

Azure portal内のストレージアカウントの一覧に移動します。
[ 復元 ] ボタンを選択して、[ 削除されたアカウントの復元 ] ウィンドウを開きます。
[サブスクリプション] ドロップダウンリストから、回復するアカウントの サブスクリプションを 選択します。
ドロップダウンリストから、回復するアカウントを選択します。回復するストレージアカウントがドロップダウンリストにない場合は、回復できません。
[ 復元 ] ボタンを選択してアカウントを回復します。ポータルに、復旧が進行中であることを示す通知が表示されます。

詳細については、「Azure portalから削除されたアカウントを回復する」を参照してください。

サポートチケットを使用してストレージアカウントを回復する

Azure portalで、[ヘルプとサポート] に移動します。
[ サポートリクエストの作成] を選択します。
[ 問題の説明 ] タブの [ 問題の種類 ] フィールドで、[ 技術] を選択します。
[ サブスクリプション ] フィールドで、削除されたストレージアカウントを含むサブスクリプションを選択します。
[ サービス ] フィールドで、[ ストレージアカウント管理] を選択します。
[ リソース ] フィールドで、任意のストレージアカウントリソースを選択します。削除されたストレージアカウントが一覧に表示されません。
問題の簡単な概要を追加します。
[ 問題の種類 ] フィールドで、[ 削除と回復] を選択します。
[ 問題のサブタイプ ] フィールドで、[ 削除されたストレージアカウントの回復] を選択します。

次のスクリーンショットは、[ 問題の説明 ] タブが入力されている例を示しています。
[ 推奨されるソリューション ] タブに移動し、[ 顧客が制御するストレージアカウントの回復] を選択します。
ドロップダウンリストから、回復するアカウントを選択します。回復するストレージアカウントがドロップダウンリストにない場合は、回復できません。
[ 回復] を選択してアカウントを復元します。ポータルに、復旧が進行中であることを示す通知が表示されます。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティサポートにお問い合わせください。 Azure フィードバックコミュニティに製品フィードバックを送信することもできます。

次の方法で共有

Azure Storage のデータ保護、バックアップ、回復のベストプラクティス

データ保護、バックアップ、回復のオプション

データ保護とバックアップのオプション

シナリオ 1: ストレージアカウントの保護

シナリオ 2: BLOB コンテナーの保護

シナリオ 3: BLOB ファイル保護

データ復旧オプション

シナリオ 1: ストレージアカウントの回復

シナリオ 2: BLOB コンテナーの回復

シナリオ 3: BLOB ファイルの回復

Azure RBAC のベストプラクティス

サポートされていないストレージの回復

サポートされているストレージの回復

シナリオ 1: ストレージアカウントの回復 (ARM ストレージアカウントの回復)

シナリオ 2: クラシックストレージアカウントの回復

シナリオ 3: コンテナーの回復

シナリオ 4: ADLS Gen 2 のデータとファイルシステムの回復

シナリオ 5: テーブルの回復

シナリオ 6: ディスクの回復

Azure portalから削除されたストレージアカウントを回復する

別のストレージアカウントから削除されたストレージアカウントを回復する

サポートチケットを使用してストレージアカウントを回復する

お問い合わせはこちらから

フィードバック

フィードバック

その他のリソース

次の方法で共有

Azure Storage のデータ保護、バックアップ、回復のベスト プラクティス

データ保護、バックアップ、回復のオプション

データ保護とバックアップのオプション

シナリオ 1: ストレージ アカウントの保護

シナリオ 2: BLOB コンテナーの保護

シナリオ 3: BLOB ファイル保護

データ復旧オプション

シナリオ 1: ストレージ アカウントの回復

シナリオ 2: BLOB コンテナーの回復

シナリオ 3: BLOB ファイルの回復

Azure RBAC のベスト プラクティス

サポートされていないストレージの回復

サポートされているストレージの回復

シナリオ 1: ストレージ アカウントの回復 (ARM ストレージ アカウントの回復)

シナリオ 2: クラシック ストレージ アカウントの回復

シナリオ 3: コンテナーの回復

シナリオ 4: ADLS Gen 2 のデータとファイル システムの回復

シナリオ 5: テーブルの回復

シナリオ 6: ディスクの回復

Azure portalから削除されたストレージ アカウントを回復する

別のストレージ アカウントから削除されたストレージ アカウントを回復する

サポート チケットを使用してストレージ アカウントを回復する

お問い合わせはこちらから

フィードバック

フィードバック

その他のリソース

Azure Storage のデータ保護、バックアップ、回復のベストプラクティス

シナリオ 1: ストレージアカウントの保護

シナリオ 1: ストレージアカウントの回復

Azure RBAC のベストプラクティス

シナリオ 1: ストレージアカウントの回復 (ARM ストレージアカウントの回復)

シナリオ 2: クラシックストレージアカウントの回復

シナリオ 4: ADLS Gen 2 のデータとファイルシステムの回復

Azure portalから削除されたストレージアカウントを回復する

別のストレージアカウントから削除されたストレージアカウントを回復する

サポートチケットを使用してストレージアカウントを回復する