Warum kann ich meine AWS Backup-Wiederherstellungspunkte nicht löschen?

Behebung

Hinweis: Wenn du beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehlermeldungen erhältst, findest du weitere Informationen dazu unter Problembehandlung bei der AWS CLI. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.

Um AWS Backup-Wiederherstellungspunkte zu löschen, benötigst du die erforderlichen Berechtigungen für deine AWS Identity and Access Management (IAM)-Rolle. Vergewissere dich, dass du auch uneingeschränkte Vault-Zugriff-Richtlinien und uneingeschränkte Service-Kontrollrichtlinien (SCPs) hast. Stelle außerdem sicher, dass deine Wiederherstellungspunkte nicht gesetzlich geschützt sind und nicht in einem gesperrten Backup-Vault gespeichert sind.

Gehe wie folgt vor, um „Access denied“-Fehler zu beheben.

Sicherstellen, dass deine IAM-Rolle über die erforderlichen Berechtigungen verfügt

Vergewissere dich, dass du die DeleteRecoveryPoint-Berechtigung mit deiner IAM-Rolle verknüpft hast.

Beispiel für eine IAM-Richtlinie:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "backup:DeleteRecoveryPoint",
        "backup:DescribeRecoveryPoint",
        "backup:ListRecoveryPoints"
      ],
      "Resource": "*"
    }
  ]
}

Zugriffsrichtlinieneinschränkungen entfernen

Wenn dein Backup-Vault über eine ressourcenbasierte Zugriffsrichtlinie verfügt, die die Aktion backup:DeleteRecoveryPoint verweigert, musst du diese Einschränkung aufheben.

Beispiel für eine restriktive Richtlinie, die das Löschen verhindert:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyDeleteRecoveryPoint",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "backup:DeleteRecoveryPoint",
      "Resource": "*"
    }
  ]
}

Um die Zugriffsrichtlinieneinschränkung aufzuheben und das Löschen von Wiederherstellungspunkten zu ermöglichen, führe den folgenden AWS-CLI-Befehl delete-backup-vault-access-policy aus:

aws backup delete-backup-vault-access-policy --backup-vault-name your-vault-name

Hinweis: Ersetze your-vault-name durch den Namen deines Backup-Vaults.

Alternativ kannst du die Richtlinie aktualisieren, um die Aktion backup:DeleteRecoveryPoint explizit zuzulassen:

Beispielrichtlinie, die das Löschen von Wiederherstellungspunkten ermöglicht:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDeleteRecoveryPoint",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:root"
      },
      "Action": [
        "backup:DeleteRecoveryPoint",
        "backup:DescribeRecoveryPoint"
      ],
      "Resource": "*"
    }
  ]
}

SCP-Einschränkungen entfernen

Wenn deine Service-Kontrollrichtlinie (SCP) die Aktion backup:DeleteRecoveryPoint verweigert, musst du den SCP aktualisieren, um diese Aktion zuzulassen.

Beispiel-SCP, die das Löschen von Wiederherstellungspunkten verhindert:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PreventBackupRecoveryPointDeletion",
      "Effect": "Deny",
      "Action": [
        "backup:DeleteRecoveryPoint"
      ],
      "Resource": "*"
    }
  ]
}

Um dieses Problem zu beheben, aktualisiere deine SCP, um die Aktion backup:DeleteRecoveryPoint aus der Deny-Anweisung zu entfernen. Oder füge eine explizite Allow-Anweisung für die erforderlichen Prinzipale hinzu.

Wiederherstellungspunkte löschen, die gesetzlich geschützt sind oder sich in einem gesperrten Backup-Vault befinden

Wenn deine Wiederherstellungspunkte gesetzlich geschützt sind oder in einem gesperrten Backup-Vault gespeichert sind, solltest du diese Einschränkungen vor dem Löschen berücksichtigen. Anweisungen findest du unter Wie lösche ich Wiederherstellungspunkte, die einer gesetzlichen Aufbewahrungspflicht unterliegen oder in einem gesperrten Backup-Vault für AWS Backup gespeichert sind?

Ähnliche Informationen

Löschen von Backups

AWS Backup Vault Lock