Pourquoi une erreur Accès Refusé s’affiche-t-elle lorsque j’essaie de créer un coffre-forts AWS Backup ?

Lecture de 3 minute(s)
0

Je souhaite résoudre une erreur Accès Refusé que j’obtiens lorsque j’essaie de créer un coffre AWS Backup.

Brève description

Pour créer un coffre-fort de sauvegarde à l'aide d'AWS Backup, vous devez disposer des autorisations suivantes :

  • backup:CreateBackupVault
  • backup-storage:MountCapsule
  • kms:CreateGrant
  • kms:DescribeKey
  • kms:RetireGrant
  • kms:Decrypt
  • kms:GenerateDataKey

Pour résoudre l’erreur Accès Refusé, vérifiez que ces autorisations sont correctement configurées.

Résolution

Vérifiez que vous disposez des autorisations IAM requises

Vérifiez que vous disposez des politiques de Gestion des Identités et des Accès AWS (IAM) requises pour créer un coffre de sauvegarde.

En cas de connexion à la console AWS Backup, vérifiez les autorisations de l'utilisateur ou du rôle connecté. Vous pouvez également utiliser l'Interface de la Ligne de Commande AWS (AWS CLI) ou le SDK. Vérifiez les autorisations associées à l'entité IAM configurée sur l'AWS CLI ou le SDK.

L'exemple de politique suivant accorde les autorisations nécessaires dans AWS Backup et AWS Key Management Service (AWS KMS) pour créer un coffre-fort. La clé AWS KMS permet de chiffrer certaines des sauvegardes placées dans votre coffre-fort.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt1",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "ExampleStmt2",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-west-2:444455556666:backup-vault:*"
    },
    {
      "Sid": "ExampleStmt3",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}

Vérifiez si vous avez défini une limite des autorisations IAM

Passez en revue les limites des autorisations IAM définies pour l'entité IAM que vous utilisez pour créer un coffre-fort de sauvegarde. Si une limite des autorisations est en place, vérifiez qu'elle autorise l'accès à toutes les actions nécessaires à la création d'un coffre-fort.

Vérifiez votre politique de contrôle des services dans AWS Organizations

Si vous utilisez AWS Organizations, consultez les politiques de contrôle des services (SCP) de votre organisation.

AWS Organizations associe une SCP gérée par AWS et nommée FullAWSAccess à chaque racine et à chaque unité d'organisation lors de leur création. Cette politique autorise tous les services et toutes les actions. Vérifiez les SCP de l'organisation qui sont associées à votre compte. Vérifiez s'il existe des politiques qui refusent la création du coffre-fort de sauvegarde.

Vérifiez la stratégie de clé AWS KMS

Lorsque vous créez une clé AWS KMS à l'aide de la console AWS KMS, la stratégie de clé commence par une déclaration de politique. Cette déclaration de politique autorise l'accès au compte AWS et active les politiques IAM. La déclaration relative à la stratégie de clé par défaut est essentielle. Sans cette autorisation, les politiques IAM qui autorisent l'accès à la clé sont inefficaces, mais celles qui le refusent restent efficaces.

Assurez-vous que les déclarations relatives à la stratégie de clé AWS KMS ne refusent pas l'entité IAM que vous utilisez lors de la création du coffre-fort.

Informations connexes

Autorisations d’API : référence aux actions, aux ressources et aux conditions

Création d'un coffre-fort de sauvegarde

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 7 mois