AWS Backup에서 계정 간 복사를 생성하려고 할 때 발생하는 "Access Denied trying to call AWS Backup service"(“AWS 백업 서비스 호출 시도 중 액세스 거부됨”) 오류를 해결하려면 어떻게 해야 하나요?

해결 방법

이러한Access Denied(액세스 거부됨)오류는 대상 백업 볼트에 소스 계정의 복사를 허용하는 볼트 액세스 정책이 없을 때 발생할 수 있습니다. 이 오류를 해결하려면, 사용자의 대상 백업 볼트 액세스 정책에서backup:CopyintoBackupVault작업을 허용해야 합니다. 자세한 내용은 Setting up cross-account backup(계정 간 백업 설정)을 참조하세요.

다음은 대상 볼트 액세스 정책의 예제 정책입니다.

**참고:**SourceAccountID(소스 계정 ID)를 사용자의 소스 계정 ID로바꿉니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::SourceAccountID:root"
            },
            "Action": "backup:CopyIntoBackupVault",
            "Resource": "*"
        }
    ]
}

추가 문제 해결

대상 볼트 액세스 정책을 통해 전체 조직이나 OU(조직 단위)에 대한 액세스도 허용할 수 있습니다. 조직이나 OU에 대한 정책을 사용하는 경우, 볼트 액세스 정책에 조직 ID나 OU ID가 지정되어 있는지 확인하세요. 조직 ID나 OU ID가 지정되지 않은 경우, 계정 간 복사는 실패합니다.

다음은 전체 조직을 허용하는 대상 볼트 액세스 정책의 예입니다.

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Allow",  
        "Action": "backup:CopyIntoBackupVault",  
        "Resource": "",  
        "Principal": "",  
        "Condition": {  
            "StringEquals": {  
                "aws:PrincipalOrgID": [  
                    "o-xxxxxxxx11"  
                ]  
            }  
        }  
    }]  
}

다음은 OU를 허용하는 대상 볼트 액세스 정책의 예입니다.

참고:****aws:PrincipalOrgPaths조건 키를 올바르게 입력해야 합니다. 자세한 내용은Use IAM to share your AWS resources with groups of AWS accounts in AWS Organizations(IAM을 사용하여 사용자의 AWS 자원을 AWS Organizations의 AWS 계정 그룹과 공유)를 참조하세요.

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Allow",  
        "Action": "backup:CopyIntoBackupVault",  
        "Resource": "",  
        "Principal": "",  
        "Condition": {  
            "ForAnyValue:StringLike": {  
                "aws:PrincipalOrgPaths": [  
                    "o-xxxxxxxx11/r-xxxx/ou-[OU]/*"  
                ]  
            }  
        }  
    }]  
}

관련 정보

AWS 계정 전체에 백업 복사 생성