AzureBackupProtectionLock について

Last Update: feedback 共有

皆様こんにちは、Azure Backup サポートです。
Azure ファイル共有のバックアップを構成すると、バックアップ データやストレージ アカウントが誤って削除されないように、削除ロック 「AzureBackupProtectionLock」 がストレージ アカウントに設定されます。
今回は、Azure ファイル共有のバックアップによって、ストレージ アカウントに設定される削除ロック 「AzureBackupProtectionLock」 についてご案内します。

目次


AzureBackupProtectionLock とは
AzureBackupProtectionLock が設定されるタイミング
AzureBackupProtectionLock を一時的に削除する方法
AzureBackupProtectionLock を設定させない方法


AzureBackupProtectionLock とは

Azure ファイル共有のバックアップでは、Azure ファイル共有のスナップショット機能を利用し、バックアップを取得しておりますが、Azure ファイル共有のスナップショットは、ストレージ アカウントが削除されると、全てのスナップショットが併せて削除されます。
そのため、Azure ファイル共有のバックアップでは、Azure Backup サービスによって取得されたバックアップ (スナップショット) が誤って削除されないように、バックアップ対象の Azure ファイル共有がデプロイされているストレージ アカウントに対して、削除ロック 「AzureBackupProtectionLock」 を設定いたします。

ストレージ アカウントが削除されると、すべてのスナップショットが失われます。 誤って削除されないようにアカウントを保護するため、Azure Backup によってストレージ アカウントに削除ロックが設定されます。 つまり、許可されているユーザーはリソースを読んだり変更したりできますが、削除することはできません。 また、このロックにより、ストレージ アカウントの下にあるファイル共有の削除も制限されます。 そのため、ストレージ アカウントとファイル共有の両方が不注意による削除から保護されます。

(例)

  • ロック名 : AzureBackupProtectionLock
  • ロックの種類 : 削除
  • スコープ : ストレージ アカウント
  • メモ : Auto-created by Azure Backup for storage accounts registered with a Recovery Services Vault. This lock is intended to guard against deletion of backups due to accidental deletion of the storage account. (Recovery Services Vaultに登録されているストレージアカウントに対してAzure Backupによって自動的に作成されます。このロックは、ストレージアカウントの誤った削除によるバックアップの削除を防ぐことを目的としています。)

AzureBackupProtectionLock が設定されるタイミング

削除ロック 「AzureBackupProtectionLock」 は、主に下記のタイミングで設定されます。

  • Azure ファイル共有のバックアップが構成されたとき
    (より正確には、ストレージ アカウントが Recovery Services コンテナーのバックアップ インフラストラクチャとして登録されたとき)
  • Azure ファイル共有のバックアップが実行されたとき

削除ロック 「AzureBackupProtectionLock」 を手動削除したとしても、Azure ファイル共有のバックアップが実行されると、削除ロック 「AzureBackupProtectionLock」 が自動設定されます。

AzureBackupProtectionLock を一時的に削除する方法

ファイル共有にアップロードしている一部ファイルを削除したいなどのシナリオにおいては、削除ロック 「AzureBackupProtectionLock」 を手動で削除してください。

前提条件 :
削除ロックを削除するには、作業を行うユーザーが対象のストレージ アカウントに対して、Microsoft.Authorization/* または Microsoft.Authorization/locks/* アクションにアクセス可能である必要がございます。 (組み込みロールでは、所有者 もしくは ユーザー アクセス管理者ロール の割り当てが必要となります。)
削除ロックの作業を行う前に、予め上記アクセス許可を行ってください。

管理ロックを作成または削除するには、Microsoft.Authorization/* または Microsoft.Authorization/locks/* アクションにアクセスする必要があります。所有者ユーザー アクセス管理者ロールに割り当てられているユーザーには、必要なアクセス権があります。

手順 :

  1. 削除ロック 「AzureBackupProtectionLock」 を削除する
    ストレージ アカウントの 設定 > ロック へアクセスし、削除ロック 「AzureBackupProtectionLock」 を削除します

  2. (不要なファイル削除などの作業完了後) 削除ロック 「AzureBackupProtectionLock」 を再設定する

    • ストレージ アカウントの 設定 > ロック へアクセスし、削除ロックを追加します
    • もしくは、Azure ファイル共有のオンデマンド バックアップを手動で実行します (自動的に、削除ロック 「AzureBackupProtectionLock」 が設定されます)
      詳細な手順につきましては、下記ドキュメントをご確認ください。

AzureBackupProtectionLock を設定させない方法

Azure ファイル共有のバックアップ構成時に、ストレージ アカウントのロック無効化設定を行うことで、削除ロック 「AzureBackupProtectionLock」 を設定せずに、Azure ファイル共有のバックアップを構成 / 取得いただくことが可能となります。

重要

Azure Backup サービスといたしましては、削除ロック 「AzureBackupProtectionLock」 を有効化していただくことを推奨いたします。

もし削除ロック 「AzureBackupProtectionLock」 を設定せずにバックアップを構成し、意図せずスナップショットが消失したとしても、基本的には弊社側での復旧対応は致しかねますこと、予めご了承ください。

手順 :

  • Recovery Services コンテナーからバックアップを構成する場合
    Recovery Services コンテナーの はじめに > バックアップ > Azure ファイル共有のバックアップ構成 にアクセスします。

    バックアップの構成画面のストレージ アカウントの選択時に、「ストレージ アカウントのロックを有効にする」のチェックを外してください

  • Azure ファイル共有からバックアップを構成する場合
    Azure ファイル共有の 操作 > バックアップ へアクセスし、「Storage account lock」のトグル ボタンを無効にしてください

警告

Azure ファイル共有を新規作成する際に表示される Azure Backup 構成画面では、ストレージ アカウントのロックを無効化させる設定は行えません。

もしストレージ アカウントのロックを無効化させたい場合には、バックアップを構成せずに Azure ファイル共有を作成し、その後に Azure Backup を構成してください。

警告

同じストレージ アカウントにデプロイされている、他の Azure ファイル共有で既に Azure Backup を構成している場合には、ストレージ アカウントが Recovery Services コンテナーのバックアップ インフラストラクチャとして既に登録されているため、ストレージ アカウントのロック無効化設定が行えません。

ストレージ アカウントのロック無効化設定が行えるのは、Recovery Services コンテナーのバックアップ インフラストラクチャに登録されていないストレージ アカウントにデプロイされている Azure ファイル共有のバックアップを構成する時のみ (ストレージ アカウント配下の Azure ファイル共有全てにおいて、Azure Backup が構成されていないとき) であることにご注意ください。

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。