AWS Backup を使用して、AWS Backup の復旧時点から Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを復元しています。しかし、「このオペレーションを実行する権限がありません。AWS Backup ロールに関するアクセス権限を確認してください。詳細については AWS Backup のドキュメントを参照してください。」というエンコードされたエラーメッセージが表示されます。
解決策
通常、このエラーは、次の条件で発生します。
- 元の Amazon EC2 インスタンスにはインスタンスプロファイルがアタッチされています。
- [ロールの復元] の [デフォルトのロール] 設定を使用して、AWS Backup コンソール内で、インスタンスの復元を試みます。
- [インスタンス IAM ロール] の [元の IAM ロールで復元] 設定を使用して、AWS Backup コンソール内でインスタンスの復元を試みます。
この問題を解決するには、使用例に基づいて、次のいずれかのオプションを使用します。
「IAM ロールなしで続行」オプションを使用する
AWS Backup コンソールでインスタンスの復元ジョブを実行する場合は、[インスタンス IAM ロール] で [IAM ロールなしで続行] を選択します。このオプションを使用すると、インスタンスを復元できますが、復元インスタンスにはインスタンスプロファイルがアタッチされていません。後で、復元されたインスタンスにインスタンスプロファイルをアタッチできます。
「元の IAM ロールで復元」オプションを使用する
元の IAM ロールを使用して新しいインスタンスを復元するには、[インスタンス IAM ロール] 設定を [元の IAM ロールで復元] に更新する必要があります。 このオプションを選択する場合は、復元ロールに対して追加のポリシーをアタッチする必要があります。復元ロールは、デフォルトのロール AWSDefaultServiceRoleforBackup、またはそれ以外のカスタマーマネージドロールにすることができます。
注: 復元にどのロールを使用したのかわからない場合は、承認メッセージをデコードする必要があります。メッセージをデコードする方法については、「AWS Backup のエンコードされた認証エラーメッセージをデコードする方法を教えてください。」を参照してください。
IAM コンソールを開き、復元ロールに次のポリシーをアタッチします。
注:** 111122223333** をお使いの AWS アカウント ID に置き換えます。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/*",
"Effect": "Allow"
}
]
}
IAM ロールを更新したら、復元ジョブを再度実行します。
関連情報
アクセスコントロール
Amazon EC2 インスタンスの復元