¿Por qué aparece un error de acceso denegado cuando intento crear un almacén de AWS Backup?

Descripción breve

Para crear un almacén de copia de seguridad con AWS Backup, debe contar con los siguientes permisos:

• backup:CreateBackupVault
• backup-storage:MountCapsule
• kms:CreateGrant
• kms:DescribeKey
• kms:RetireGrant
• kms:Decrypt
• kms:GenerateDataKey

Para solucionar el error de acceso denegado, compruebe que estos permisos estén configurados correctamente.

Resolución

Compruebe que dispone de los permisos de IAM necesarios

Compruebe que cuenta con las políticas de AWS Identity and Access Management (IAM) necesarias para crear un almacén de copia de seguridad.

Si ha iniciado sesión en la consola de AWS Backup, compruebe los permisos del usuario o rol con el que ha iniciado sesión. Es posible que esté utilizando la Interfaz de la línea de comandos de AWS (AWS CLI) o AWS SDK . Compruebe los permisos adjuntos a la entidad de IAM configurada en AWS CLI o AWS SDK.

La siguiente política de ejemplo otorga los permisos necesarios en AWS Backup y AWS Key Management Service (AWS KMS) para crear un almacén. La clave de AWS KMS es la clave de cifrado que cifra algunas de las copias de seguridad que se encuentran en su almacén.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt1",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "ExampleStmt2",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-west-2:444455556666:backup-vault:*"
    },
    {
      "Sid": "ExampleStmt3",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}

Compruebe que dispone de un límite de permisos de IAM

Revise los límites de permisos de IAM establecidos en la entidad de IAM que está utilizando para crear un almacén de copia de seguridad. Si existe un límite de permisos, confirme que este permite el acceso a todas las acciones necesarias para crear un almacén.

Compruebe la política de control de servicios de AWS Organizations

Si utiliza AWS Organizations, revise las políticas de control de servicios (SCP) de su organización.

AWS Organizations adjunta una SCP administrada por AWS denominada FullAWSAccess a cada raíz y unidad organizativa cuando se crea. Esta política permite todos los servicios y acciones. Consulte las SCP de la organización que están adjuntas a su cuenta. Compruebe si hay políticas que denieguen la creación del almacén de copia de seguridad.

Compruebe la política de claves de AWS KMS

Al crear una clave de AWS KMS mediante la consola de AWS KMS, la política de claves comienza con una declaración de la política. Esta declaración permite el acceso a la cuenta de AWS y activa las políticas de IAM. La declaración de la política de claves predeterminada es fundamental. Sin este permiso, las políticas de IAM que permiten el acceso a la clave no son efectivas, pero las políticas de IAM que deniegan el acceso a la clave siguen siendo efectivas.

Asegúrese de que las instrucciones de la política de claves de AWS KMS no denieguen la entidad de IAM que utiliza al crear el almacén.

Información relacionada

Permisos de la API: referencia de acciones, recursos y condiciones

Creación de un almacén de copia de seguridad