Comment puis-je résoudre l'erreur « Access Denied trying to call AWS Backup service » lorsque j'essaie de créer une copie multi compte dans AWS Backup ?

Résolution

Cette erreur d'Accès Refusé peut se produire lorsque le coffre de sauvegarde de destination ne dispose pas d'une stratégie d'accès au coffre autorisant les copies depuis un compte source. Pour résoudre cette erreur, vous devez autoriser l'action Backup:CopyIntoBackupVault dans le cadre de votre stratégie d'accès au coffre de sauvegarde de destination. Pour plus d'informations, consultez la section Configuration de la sauvegarde multi comptes.

Voici un exemple de stratégie d'accès au coffre de destination :

Remarque : Remplacez le SourceAccountID par l'ID de votre compte source.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::SourceAccountID:root"
            },
            "Action": "backup:CopyIntoBackupVault",
            "Resource": "*"
        }
    ]
}

Résolution des problèmes supplémentaires

La stratégie d'accès au coffre de destination peut également autoriser l'accès à l'ensemble d'une organisation ou à une unité organisationnelle (UO). Si vous utilisez la stratégie pour une organisation ou une unité d'organisation, vérifiez que l'ID de l'organisation ou l'ID de l'unité d'organisation est spécifié dans la stratégie d'accès au coffre-fort. Si l'ID de l'organisation ou l'ID de l'unité d'organisation n'est pas spécifié, les copies multi comptes échouent.

Voici un exemple de stratégie d'accès au coffre de destination qui autorise l'ensemble de l'organisation à :

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Allow",  
        "Action": "backup:CopyIntoBackupVault",  
        "Resource": "",  
        "Principal": "",  
        "Condition": {  
            "StringEquals": {  
                "aws:PrincipalOrgID": [  
                    "o-xxxxxxxx11"  
                ]  
            }  
        }  
    }]  
}

Voici un exemple de stratégie d'accès au coffre de destination qui autorise l'unité d'organisation :

Remarque : Assurez-vous de saisir correctement la clé de condition aws:PrincipalOrgPaths. Pour plus d'informations, consultez la section Utiliser IAM pour partager vos ressources AWS avec des groupes de comptes AWS dans AWS Organizations.

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Allow",  
        "Action": "backup:CopyIntoBackupVault",  
        "Resource": "",  
        "Principal": "",  
        "Condition": {  
            "ForAnyValue:StringLike": {  
                "aws:PrincipalOrgPaths": [  
                    "o-xxxxxxxx11/r-xxxx/ou-[OU]/*"  
                ]  
            }  
        }  
    }]  
}

Informations connexes

Création de copies de sauvegarde sur l'ensemble des comptes AWS