AWS Backup ボールトを作成しようとしたときに表示されるアクセス拒否エラーを解決したいと考えています。
簡単な説明
AWS Backup を使用してバックアップボールトを作成するには、以下の権限が必要です。
- backup:CreateBackupVault
- backup-storage:MountCapsule
- kms:CreateGrant
- kms:DescribeKey
- kms:RetireGrant
- kms:Decrypt
- kms:GenerateDataKey
アクセス拒否エラーのトラブルシューティングを行うには、これらの権限が正しく設定されていることを確認してください。
解決策
必要な IAM 権限が揃っていることを確認する
バックアップボールトの作成に必要な AWS Identity and Access Management (IAM) ポリシーがあることを確認します。
AWS Backup コンソールにログインしている場合は、ログインしているユーザーまたはロールの権限を確認します。または、AWS コマンドラインインターフェイス (AWS CLI) または SDK を使用することもできます。AWS CLI または SDK で設定された IAM エンティティにアタッチされている権限を確認します。
以下のポリシー例では、AWS Backup と AWS Key Management Service (AWS KMS) でボールトを作成するために必要なアクセス権限を付与します。AWS KMS キーは、ボールトにあるバックアップの一部を暗号化する暗号化キーです。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ExampleStmt1",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:RetireGrant",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Sid": "ExampleStmt2",
"Effect": "Allow",
"Action": [
"backup:CreateBackupVault"
],
"Resource": "arn:aws:backup:us-west-2:444455556666:backup-vault:*"
},
{
"Sid": "ExampleStmt3",
"Effect": "Allow",
"Action": [
"backup-storage:MountCapsule"
],
"Resource": "*"
}
]
}
IAM アクセス許可の境界が設定されているかを確認する
バックアップボールトの作成に使用している IAM エンティティに設定されている IAM アクセス許可の境界を確認します。アクセス許可の境界が設定されている場合は、ボールトの作成に必要なすべてのアクションにアクセスできることを確認してください。
AWS Organizationsのサービスコントロールポリシーを確認する
AWS Organizations を使用している場合は、組織のサービスコントロールポリシー (SCP) を確認します。
AWS Organizations は、作成時に FullAWSAccess という名前の AWS マネージド SCP をすべてのルートと OU にアタッチします。このポリシーでは、すべてのサービスとアクションが許可されます。アカウントにアタッチされている組織の SCP ポリシーを確認してください。バックアップボールトの作成を拒否するポリシーがあるかどうかを確認してください。
AWS KMS キーポリシーを確認する
AWS KMS コンソールを使用して AWS KMS キーを作成する場合、キーポリシーはポリシーステートメントから始まります。このポリシーステートメントは AWS アカウントへのアクセスを許可し、IAM ポリシーを有効にします。デフォルトのキーポリシーステートメントは重要です。この権限がないと、キーへのアクセスを許可する IAM ポリシーは無効ですが、キーへのアクセスを拒否する IAM ポリシーは有効のままです。
AWS KMS キーポリシーステートメントが、ボールトの作成時に使用している IAM エンティティを拒否していないことを確認してください。
関連情報
API の権限: アクション、リソース、条件リファレンス
バックアップボールトの作成