Warum erhalte ich die Fehlermeldung „Zugriff verweigert“, wenn ich versuche, einen AWS-Backup-Tresor zu erstellen?

Kurzbeschreibung

Um mit AWS Backup einen Backup-Tresor zu erstellen, benötigen Sie die folgenden Berechtigungen:

• backup:CreateBackupVault
• backup-storage:MountCapsule
• kms:CreateGrant
• kms:DescribeKey
• kms:RetireGrant
• kms:Decrypt
• kms:GenerateDataKey

Überprüfen Sie zur Behebung des Fehlers „Zugriff verweigert“, ob diese Berechtigungen korrekt eingerichtet sind.

Behebung

Sicherstellen, dass Sie über die erforderlichen IAM-Berechtigungen verfügen

Vergewissern Sie sich, dass die nötigen AWS Identity and Access Management (IAM)-Richtlinien vorhanden sind, um einen Backup-Tresor zu erstellen.

Wenn Sie bei der AWS-Backup-Konsole angemeldet sind, überprüfen Sie die Berechtigungen für den angemeldeten Benutzer oder die angemeldete Rolle. Alternativ können Sie AWS Command Line Interface (AWS CLI) oder SDK verwenden. Überprüfen Sie die Berechtigungen, die der IAM-Entität zugeordnet sind, die in AWS CLI oder SDK konfiguriert wurde.

Die folgende Beispielrichtlinie gewährt in AWS Backup und AWS Key Management Service (AWS KMS) die nötigen Berechtigungen, um einen Tresor zu erstellen. Der AWS-KMS-Schlüssel ist der Verschlüsselungsschlüssel, der einige der in Ihrem Tresor gespeicherten Backups verschlüsselt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt1",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "ExampleStmt2",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-west-2:444455556666:backup-vault:*"
    },
    {
      "Sid": "ExampleStmt3",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}

Prüfen, ob eine IAM-Berechtigungsgrenze eingerichtet ist

Überprüfen Sie die IAM-Berechtigungsgrenzen für die IAM-Entität, die Sie zum Erstellen eines Backup-Tresors verwenden. Wenn eine Berechtigungsgrenze besteht, vergewissern Sie sich, dass diese den Zugriff auf alle Aktionen erlaubt, die zum Erstellen eines Tresors erforderlich sind.

Prüfen Ihrer Service-Kontrollrichtlinie in AWS Organizations

Wenn Sie AWS Organizations verwenden, überprüfen Sie die Service-Kontrollrichtlinien (SCPs) Ihres Unternehmens.

AWS Organizations fügt eine von AWS verwaltete SCP namens FullAWSAccess an jedes Stammverzeichnis und jede Organisationseinheit an, wenn diese erstellt werden. Diese Richtlinie ermöglicht alle Dienste und Aktionen. Prüfen Sie die Ihrem Konto zugeordneten SCPs der Organisation. Überprüfen Sie, ob Richtlinien vorhanden sind, die die Erstellung des Backup-Tresors verweigern.

Prüfen der AWS-KMS-Schlüsselrichtlinie

Wenn Sie mithilfe der AWS-KMS-Konsole einen AWS-KMS-Schlüssel erstellen, beginnt die Schlüsselrichtlinie mit einer Richtlinienanweisung. Diese Richtlinienanweisung ermöglicht Zugriff auf das AWS-Konto und aktiviert die IAM-Richtlinien. Die Anweisung zur standardmäßigen Schlüsselrichtlinie ist entscheidend. Ohne diese Erlaubnis sind IAM-Richtlinien unwirksam, die den Zugriff auf den Schlüssel erlauben, während IAM-Richtlinien, die den Zugriff verweigern, weiterhin wirksam sind.

Stellen Sie sicher, dass die AWS-KMS-Schlüsselrichtlinien nicht die IAM-Entität ausschließen, die Sie beim Erstellen des Tresors verwenden.

Verwandte Informationen

API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

Erstellen eines Backup-Tresors