AWS Backup で「AWS Backup サービス呼び出し中にアクセスが拒否されました」エラーメッセージが表示されました。
解決策
このアクセス拒否エラーは、コピー先バックアップボールトに、ソースアカウントからのコピーを許可するためのボールトアクセスポリシーがない場合に発生する可能性があります。このエラーを解決するには、コピー先のバックアップコンテナアクセスポリシーで backup:CopyIntoBackupVault アクションを許可する必要があります。詳細については、「クロスアカウントバックアップの設定」を参照してください。
以下は、コピー先コンテナアクセスポリシーのポリシーの例です。
**注:**貴社のソースアカウント ID を SourceAccountID をに置き換えます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::SourceAccountID:root"
},
"Action": "backup:CopyIntoBackupVault",
"Resource": "*"
}
]
}
その他のトラブルシューティング
コピー先コンテナアクセスポリシーは、組織全体または組織単位 (OU) へのアクセス許可を付与する場合があります。組織または OU のポリシーを使用する場合は、組織 ID または OU ID がコンテナアクセスポリシーで指定されていることを確認してください。組織 ID または OU ID が指定されていない場合は、クロスアカウントコピーは失敗します。
以下で、組織全体を許可するコピー先コンテナアクセスポリシーの例を示します。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "backup:CopyIntoBackupVault",
"Resource": "",
"Principal": "",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": [
"o-xxxxxxxx11"
]
}
}
}]
}
以下で、OU を許可するコピー先コンテナアクセスポリシーの例を示します。
**注:**aws:PrincipalOrgPaths 条件キーを適切に入力します。詳細については、「IAM を使用して AWS Organizations の AWS アカウントのグループに AWS リソースを共有する」を参照してください。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "backup:CopyIntoBackupVault",
"Resource": "",
"Principal": "",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-xxxxxxxx11/r-xxxx/ou-[OU]/*"
]
}
}
}]
}
関連情報
AWS アカウントでのバックアップコピーの作成