Comment résoudre les erreurs « Privilèges insuffisants pour effectuer cette action » lors d’une restauration d’Amazon EFS à l’aide d’AWS Backup ?

Lecture de 4 minute(s)

Je reçois le message d’erreur « Privilèges insuffisants pour effectuer cette action » ou « Accès refusé » lorsque j’essaie d’effectuer une restauration du système de fichiers Amazon Elastic File System (Amazon EFS) à l’aide d’AWS Backup.

Brève description

Pour restaurer un point de récupération d’Amazon EFS à l’aide d’AWS Backup, vous devez disposer des autorisations suivantes :

L’identité AWS Identity and Access Management (IAM) qui crée la tâche de restauration doit disposer de l’autorisation backup:StartRestoreJob.
Le rôle IAM utilisé pour la restauration doit disposer des autorisations de l’EFS.
Vous êtes peut-être en train de restaurer l’EFS vers un nouveau système de fichiers avec le chiffrement activé. Dans ce cas, le rôle IAM transmis dans la demande de restauration doit disposer des autorisations de l’AWS Key Management Service (AWS KMS).

Résolution

Pour résoudre l’erreur « Privilèges insuffisants pour effectuer cette action » ou « Accès refusé », procédez comme suit :

1. Vérifiez que l’identité IAM qui crée la tâche de restauration possède l’action backup:StartRestoreJob d’AWS Backup. Cette autorisation doit être accordée par le biais d’une politique IAM jointe.

2. Vérifiez que les actions de l’EFS suivantes sont autorisées par le biais de la politique IAM jointe pour le rôle IAM transmis dans la demande de restauration.

Actions de l’EFS :

"elasticfilesystem:Restore"  
"elasticfilesystem:CreateFilesystem"  
"elasticfilesystem:DescribeFilesystems"  
"elasticfilesystem:DeleteFilesystem"

3. Si vous effectuez une restauration vers un nouveau système de fichiers avec le chiffrement activé, vérifiez que le rôle IAM possède également les autorisations de l’AWS KMS suivantes. Ces autorisations doivent être accordées dans la politique de clé AWS KMS ou autorisées par le biais de la politique IAM jointe.

Actions d’AWS KMS :

"kms:DescribeKey"  
"kms:GenerateDataKeyWithoutPlaintext"  
"kms:CreateGrant"

4. Vérifiez qu’il n’y a pas de refus explicite pour l’action backup:StartRestoreJob dans la stratégie d’accès au coffre-fort. Par exemple, le coffre-fort de l’EFS par défaut aws/efs/automatic-backup-vault reçoit la stratégie d’accès suivante lors de sa création, qui refuse l’action backup:StartRestreJob.

{  
    "Version": "2012-10-17",  
    "Statement": \[{  
        "Effect": "Deny",  
        "Principal": {  
            "AWS": "\*"  
        },  
        "Action": \[  
            "backup:DeleteBackupVault",  
            "backup:DeleteBackupVaultAccessPolicy",  
            "backup:DeleteRecoveryPoint",  
            "backup:StartCopyJob",  
            "backup:StartRestoreJob", <--- This action restricts restore  
            "backup:UpdateRecoveryPointLifecycle"  
        \],  
        "Resource": "\*"  
    }\]  
}

5. Vérifiez que les politiques IAM et les SCP de l’organisation AWS ne contiennent aucune déclaration de refus refusant les actions de sauvegarde, d’EFS et d’AWS KMS requises.

Remarques :

vous pouvez restaurer l’EFS sur un nouveau système de fichiers ou sur un système de fichiers existant. Vous pouvez effectuer une restauration complète, qui restaure l’intégralité du système de fichiers. Vous pouvez également effectuer une restauration au niveau des éléments, qui restaure des fichiers et des répertoires spécifiques. Dans tous les cas, AWS Backup restaure le point de récupération dans le répertoire de restauration aws-backup-restore_timestamp-of-restore.
Lorsque la restauration est terminée, vous pouvez voir le répertoire de restauration à la racine du système de fichiers. Si la restauration ne se termine pas, vous pouvez voir le répertoire aws-backup-failed-restore_timestamp-of-restore.
Les fragments de données qui ne peuvent pas être restaurés dans le répertoire de restauration sont placés dans le répertoire aws-backup-lost+found. Si des modifications sont apportées au système de fichiers pendant la sauvegarde, des fragments peuvent être déplacés vers ce répertoire.
Lorsque vous effectuez une restauration au niveau des éléments, vous devez spécifier le chemin relatif lié au point de montage. Par exemple, si le système de fichiers est monté sur /user/home/myname/efs et que le chemin du fichier est user/home/myname/efs/file1, vous entrez /file1. Les chemins distinguent les majuscules des minuscules et ne peuvent pas contenir de caractères spéciaux, de caractères génériques ou de chaînes d’expression régulière (regex).

Sujets

Stockage

Balises

AWS Backup

Langue

Français

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

Création image AMI fait passer instance EC2 en erreur
Erwan
demandé il y a un an
Meilleur choix pour un abonnement
rePost-User-9376885
demandé il y a un an
problème de placement de sous titres lors de la création de fichier dans MEDIACONVERT
rePost-User-0874367
demandé il y a un an
[ACTION REQUIRED] Update your TLS connections to 1.2 : quelles applications sont concernées ?
rePost-User-7550145
demandé il y a un an
y aura-t'il un surcout pour moi si je sélectionne un autre GPU ?
GPU demand
demandé il y a un an
Comment restaurer un système de fichiers Amazon EFS à partir d'un point de restauration AWS Backup à l'aide de l'interface de ligne de commande AWS ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je vérifier la progression d'une tâche de restauration AWS Backup pour Amazon EFS ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment résoudre l'erreur « Vous n'êtes pas autorisé à effectuer cette opération » lorsque j'essaie de restaurer mon instance Amazon EC2 ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment supprimer un point de restauration d’un coffre de sauvegarde dans AWS Backup ?
AWS OFFICIELA mis à jour il y a un an