特定の IAM ユーザーによる AWS Backup での復旧ポイントの復元を制限する方法を教えてください。

解決策

IAM ユーザーまたはロールによる AWS Backup での復旧ポイントの復元を制限するには、アクセス許可を拒否するバックアップボールトのポリシーまたは IAM ポリシーを作成します。ユーザーまたはユーザーグループを AWS Organizations レベルで制限するには、ポリシーで StartRestoreJob アクションを拒否する必要があります。

AWS Organizations では、サービスコントロールポリシー (SCP) を使用して IAM ユーザーを制限することもできます。

バックアップボールトのポリシーを使用して IAM ID による復元を制限する

次の手順を実行します。

1.    AWS Backup コンソールを開きます。

2.    ナビゲーションペインで、[バックアップボールト] を選択します。

3.    ポリシーを適用するバックアップボールトを選択します。

4.    [アクセスポリシー] で [編集] を選択し、次の属性を使用してポリシーを更新します。

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Principal": "*",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

このボールトのアクセスポリシーでは、IAM ユーザー arn:aws:iam::11111111111:user/Admin を除くすべてのユーザーの StartRestoreJob アクションへのアクセスを拒否します。

その他のポリシーの例については、「Setting access policies on backup vaults」を参照してください。

IAM ポリシーを使用して IAM ID による復元を制限する

これを行うには、カスタマー管理ポリシーを編集するか、IAM ユーザーにポリシーをアタッチする方法があります。

カスタマー管理ポリシーを編集する

1.    AWS Backup コンソールを開きます。

2.    ナビゲーションペインで、[ポリシー] を選択します。

3.    [ポリシーを作成] を選択します。

4.    [JSON] タブを選択します。

5.    JSON ポリシードキュメントを入力または貼り付けます。IAM ポリシー言語の詳細については、「IAM JSON policy reference」を参照してください。

6.    [次へ: タグ] を選択します。

7.    [ポリシーの確認] で、作成したポリシーの名前と説明を入力します。ポリシーの概要を確認して、付与されているアクセス許可を確認できます。

8.    [ポリシーを作成] を選択します。

IAM ユーザーにポリシーをアタッチする

次の手順を実行します。

1.    IAM コンソールを開きます。

2.    ナビゲーションペインで、[ユーザーグループ] を選択し、グループの名前を選択します。

3.    [アクセス許可] タブを選択します。

4.    [アクセス許可を追加] を選択し、その後 [ポリシーをアタッチ] を選択します。ユーザーグループにアタッチされている現在のポリシーは、[現在の許可ポリシー] のリストに表示されます。

5.    **[その他の許可ポリシー]**で、前の手順で作成したポリシーの名前を選択します。
注: 検索ボックスを使用して、ポリシーのリストを名前とタイプでフィルタリングできます。

6.    [アクセス許可を追加] を選択し、次の属性を使用してポリシーを更新します。

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

組織の SCP を作成する

[組織] では、SCP を作成して IAMユーザーによる復旧ポイントの復元を制限できます。

次の SCP の例を使用すると、backup:StartRestoreJob アクションへのアクセスを拒否できます。

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

この SCP では、IAM ユーザー arn:aws:iam::11111111111:user/Admin を除くすべてのユーザーの StartRestoreJob アクションを拒否します。