Perché ricevo un errore di accesso negato quando provo a creare un vault di Backup AWS?

Breve descrizione

Per creare un vault di backup utilizzando Backup AWS, devi disporre delle seguenti autorizzazioni:

• backup:CreateBackupVault
• backup-storage:MountCapsule
• kms:CreateGrant
• kms:DescribeKey
• kms:RetireGrant
• kms:Decrypt
• kms:GenerateDataKey

Per risolvere l'errore di accesso negato, verifica che queste autorizzazioni siano configurate correttamente.

Risoluzione

Verifica di disporre delle autorizzazioni IAM richieste

Verifica di disporre delle policy di AWS Identity and Access Management (IAM) necessarie per creare un vault di backup.

Se hai effettuato l'accesso alla console di Backup AWS, verifica le autorizzazioni sull'utente o sul ruolo che ha effettuato l'accesso. In alternativa, potresti utilizzare l'Interfaccia della linea di comando AWS (AWS CLI) o l'SDK. Controlla le autorizzazioni associate all'entità IAM configurata in AWS CLI o SDK.

La seguente policy di esempio concede le autorizzazioni necessarie in Backup AWS e Servizio di gestione delle chiavi AWS (AWS KMS) per creare un vault. La chiave AWS KMS è la chiave di crittografia che crittografa alcuni dei backup che si trovano nel tuo vault.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt1",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "ExampleStmt2",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-west-2:444455556666:backup-vault:*"
    },
    {
      "Sid": "ExampleStmt3",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}

Verifica la presenza di un limite delle autorizzazioni IAM

Controlla i limiti delle autorizzazioni IAM impostati sull'entità IAM che stai utilizzando per creare un vault di backup. Se esiste un limite delle autorizzazioni, assicurati che consenta l'accesso a tutte le azioni necessarie per creare un vault.

Verifica la tua policy di controllo dei servizi di AWS Organizations

Se utilizzi AWS Organizations, consulta le policy di controllo dei servizi (SCP) della tua organizzazione.

AWS Organizations collega un SCP gestito da AWS denominato FullAWSAccess a ogni root e unità organizzativa al momento della creazione. Questa policy consente tutti i servizi e le azioni. Controlla le policy SCP dell'organizzazione che sono associate al tuo account. Verifica se esistono policy che negano la creazione del vault di backup.

Controlla la policy della chiave AWS KMS

Quando crei una chiave AWS KMS utilizzando la console AWS KMS, la policy della chiave inizia con un'istruzione sulla policy. Questa istruzione sulla policy consente l'accesso all'account AWS e attiva le policy IAM. L'istruzione della policy della chiave predefinita è critica. Senza questa autorizzazione, le policy IAM che consentono l'accesso alla chiave sono inefficaci, ma le policy IAM che negano l'accesso alla chiave restano comunque efficaci.

Assicurati che le istruzioni sulle policy della chiave AWS KMS non rifiutino l'accesso all'entità IAM che stai utilizzando durante la creazione del vault.

Informazioni correlate

Autorizzazioni API: riferimento ad azioni, risorse e condizioni

Creazione di un vault di backup