AWS Backup でクロスアカウントコピーの作成中の「AWS Backup サービス呼び出し中にアクセスが拒否されました」エラーの解決方法を教えてください。

解決策

このアクセス拒否エラーは、コピー先バックアップボールトに、ソースアカウントからのコピーを許可するためのボールトアクセスポリシーがない場合に発生する可能性があります。このエラーを解決するには、コピー先のバックアップコンテナアクセスポリシーで backup:CopyIntoBackupVault アクションを許可する必要があります。詳細については、「クロスアカウントバックアップの設定」を参照してください。

以下は、コピー先コンテナアクセスポリシーのポリシーの例です。

**注:**貴社のソースアカウント ID を SourceAccountID をに置き換えます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::SourceAccountID:root"
            },
            "Action": "backup:CopyIntoBackupVault",
            "Resource": "*"
        }
    ]
}

その他のトラブルシューティング

コピー先コンテナアクセスポリシーは、組織全体または組織単位 (OU) へのアクセス許可を付与する場合があります。組織または OU のポリシーを使用する場合は、組織 ID または OU ID がコンテナアクセスポリシーで指定されていることを確認してください。組織 ID または OU ID が指定されていない場合は、クロスアカウントコピーは失敗します。

以下で、組織全体を許可するコピー先コンテナアクセスポリシーの例を示します。

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Allow",  
        "Action": "backup:CopyIntoBackupVault",  
        "Resource": "",  
        "Principal": "",  
        "Condition": {  
            "StringEquals": {  
                "aws:PrincipalOrgID": [  
                    "o-xxxxxxxx11"  
                ]  
            }  
        }  
    }]  
}

以下で、OU を許可するコピー先コンテナアクセスポリシーの例を示します。

**注:**aws:PrincipalOrgPaths 条件キーを適切に入力します。詳細については、「IAM を使用して AWS Organizations の AWS アカウントのグループに AWS リソースを共有する」を参照してください。

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Allow",  
        "Action": "backup:CopyIntoBackupVault",  
        "Resource": "",  
        "Principal": "",  
        "Condition": {  
            "ForAnyValue:StringLike": {  
                "aws:PrincipalOrgPaths": [  
                    "o-xxxxxxxx11/r-xxxx/ou-[OU]/*"  
                ]  
            }  
        }  
    }]  
}

関連情報

AWS アカウントでのバックアップコピーの作成