AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Wie behebe ich den Fehler „Access denied“ bei kontoübergreifenden Kopiervorgängen in AWS Backup?

Lesedauer: 5 Minute

Wenn ich versuche, eine Kopie eines Backups für mehrere AWS-Konten in AWS Backup zu erstellen, erhalte ich die Fehlermeldung „Access denied“.

Lösung

Fehler „Call to AWS Backup service“

Wenn deine Zieltresor-Zugriffsrichtlinie nicht über die backup:CopyIntoBackupVault-Berechtigung verfügt, wird die folgende Fehlermeldung angezeigt:

„Access denied when trying to call AWS Backup service“

Dieser Fehler tritt auch auf, wenn der Name des Backup-Tresors falsch ist oder im Zielkonto nicht vorhanden ist.

Führe die folgenden Schritte aus, um diesen Fehler zu beheben:

Damit deine AWS Identity and Access Management (IAM)-Rolle das Backup kopieren kann, füge der Richtlinie deiner IAM-Rolle die folgende Anweisung hinzu:

{    "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Action": "backup:CopyIntoBackupVault",  
      "Resource": "*",  
      "Effect": "Allow"  
    }  
  ]  
}

Um AWS Backup den Zugriff auf das Quellkonto zu ermöglichen, füge die folgende Erklärung in deine Zieltresor-Zugriffsrichtlinie ein:

{      "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Effect": "Allow",  
            "Principal": {  
                "AWS": "arn:aws:iam::SourceAccountID:root"  
            },  
            "Action": "backup:CopyIntoBackupVault",  
            "Resource": "*"  
        }  
    ]  
}

Hinweis: Ersetze SourceAccountID durch deine Quellkonto-ID.

Stelle sicher, dass deine IAM-Rolle für den Copyjob eine Vertrauensbeziehung beinhaltet, die den Dienst backup.amazonaws.com zulässt. Beispiel für eine Richtlinie:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "backup.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Stelle sicher, dass du den richtigen Namen für den Ziel-Backup-Tresor hast. Bei Namen von Backup-Tresoren wird zwischen Groß- und Kleinschreibung unterschieden. Beispielsweise sind ProdVault und prodvault zwei verschiedene Tresore.
Stelle sicher, dass der Tresor im Zielkonto vorhanden ist, bevor du versuchst, Backups in den Tresor zu kopieren.

Weitere Informationen findest du unter Kontoübergreifendes Backup einrichten.

Fehler „Insufficient privileges“

Wenn eine IAM-Entität nicht über die backup:StartCopyJob-Berechtigung zum Ausführen der Kopieraktion verfügt, wird die folgende Fehlermeldung angezeigt:

„Access denied Insufficient privileges to perform this action. Please consult with the account administrator for necessary permissions.“

Um diesen Fehler zu beheben, hänge die backup:StartCopyJob-Berechtigung an die IAM-Entität an, die deine Sicherungskopie erstellt. Füge deiner IAM-Rolle die folgende Aussage hinzu:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "backup:StartCopyJob",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Stelle dann sicher, dass deine Tresorzugriffsrichtlinie die Aktion backup:StartCopyJob nicht explizit ablehnt.

Fehler „Source and destination account“

Wenn deine Quell- und Zielkonten nicht Mitglieder derselben AWS Organizations sind, erhältst du die folgende Fehlermeldung:

„Copy job failed. Both source and destination account must be a member of the same organization.“

Um dieses Problem zu beheben, verschiebe entweder das Quell- oder das Zielkonto in dieselbe Organisation wie das andere Konto.

Fehler „Region to Region initiation error“

Wenn eine Funktion für den angegebenen Ressourcentyp nicht unterstützt wird, erhältst du die folgende Fehlermeldung:

„Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources. Feature is not supported for provided resource type.“

Du kannst diesen Fehler auch erhalten, wenn deine Ressource eine kombinierte konto- und regionsübergreifende Kopieraktion nicht unterstützt. Dieser Fehler tritt beispielsweise auf, wenn Amazon Relational Database Service (Amazon RDS) das regionsübergreifende und kontoübergreifende Kopieren von Backups in einem einzigen Vorgang nicht unterstützt. Das bedeutet, dass du diese Funktion nicht verwenden kannst.

Um dieses Problem zu lösen, stelle sicher, dass die Ressourcen deines AWS-Diensts sowohl konto- als auch regionsübergreifende Backups unterstützen. Um zu sehen, welche Funktionen jeder AWS-Dienst in AWS Backup unterstützt, überprüfe die Verfügbarkeit der Funktionen nach Ressourcen. Um die Verfügbarkeit von Funktionen in verschiedenen Regionen anzuzeigen, überprüfe die Verfügbarkeit der Funktionen nach AWS-Regionen.

Fehler „Given key ID“ oder „source snapshot KMS key does not exist“

Wenn das Zielkonto nicht berechtigt ist, den Verschlüsselungsschlüssel zu verwenden, wird eine der folgenden Fehlermeldungen angezeigt:

„Given key ID is not accessible“
„The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it“

Führe die folgenden Aufgaben aus, um diese Fehler zu beheben:

Stelle sicher, dass die AWS Key Management Service (AWS KMS)-Schlüsselrichtlinie des Quellkontos den Root-Benutzer des Zielkontos einschließt. Anschließend kann der Root-Benutzer des Zielkontos die erforderlichen IAM-Berechtigungen an Benutzer und Rollen delegieren.
Aktualisiere deine wichtigsten Richtlinien je nachdem, ob deine Ressourcen den vollen AWS Backup-Management-Support haben oder nicht.

Beispielsweise werden Ressourcen von Amazon Simple Storage Service (Amazon S3) und Amazon Elastic File System (Amazon EFS) vollständig unterstützt. Beachte bei solchen Ressourcen Folgendes:

Der Verschlüsselungsschlüssel des Tresors dient als AWS-KMS-Quellschlüssel.
Du kannst entweder einen vom Kunden verwalteten Schlüssel oder einen von AWS verwalteten Schlüssel verwenden.
Wenn du einen vom Kunden verwalteten Schlüssel verwendest, musst du die Schlüsselrichtlinie aktualisieren, um das Zielkonto einzubeziehen.

Weitere Informationen findest du unter So funktioniert AWS Backup mit unterstützten AWS-Diensten.

Wichtige Richtlinien funktionieren anders für Ressourcen, die nicht vollständig unterstützt werden, wie Amazon Elastic Compute Cloud (Amazon EC2) und Amazon RDS. Beachte bei solchen Ressourcen Folgendes:

Der Verschlüsselungsschlüssel der ursprünglichen Ressource dient als AWS-KMS-Quellschlüssel.
Der Schlüssel muss ein vom Kunden verwalteter Schlüssel sein.
Du musst die Schlüsselrichtlinie so ändern, dass sie das Zielkonto einbezieht.

Wichtig: Du kannst aus den folgenden Gründen keinen von AWS verwalteten Schlüssel als AWS-KMS-Quellschlüssel verwenden:

Du kannst die Schlüsselrichtlinie eines von AWS verwalteten Schlüssels nicht ändern.
Du kannst einen von AWS verwalteten Schlüssel nicht mit einem Zielkonto teilen.

Weitere Informationen findest du unter Wie kann ich den Fehler „Given key ID not accessible“ beheben, wenn ich eine kontoübergreifende Kopie in AWS Backup durchführe?

Relevanter Inhalt

Wie behebe ich den Fehler „Access Denied trying to call AWS Backup service“, wenn ich versuche, eine kontoübergreifende Kopie in AWS Backup zu erstellen?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie behebe ich die Fehler „insufficient privileges“ und „access denied“, wenn ich AWS Backup für eine Amazon-EFS-Wiederherstellung verwende?
AWS OFFICIALAktualisiert vor 4 Monaten
Warum kann ich meine AWS Backup-Wiederherstellungspunkte nicht löschen?
AWS OFFICIALAktualisiert vor 3 Monaten
Wie behebe ich den Fehler „Access Denied“ (Zugriff verweigert) oder „Permission Denied“ (Berechtigung verweigert) für Vorgänge auf meinem AWS Transfer Family-Server?
AWS OFFICIALAktualisiert vor einem Jahr