AWS Backup 볼트를 생성 시 액세스 거부 오류가 발생하는 이유는 무엇인가요?

2분 분량
0

AWS Backup 볼트 생성 시 발생하는 액세스 거부 오류를 해결하고 싶습니다.

간략한 설명

AWS Backup을 사용하여 백업 볼트를 생성하려면 다음의 권한이 있어야 합니다.

  • backup:CreateBackupVault
  • backup-storage:MountCapsule
  • kms:CreateGrant
  • kms:DescribeKey
  • kms:RetireGrant
  • kms:Decrypt
  • kms:GenerateDataKey

액세스 거부 오류를 해결하려면 이러한 권한이 올바르게 구성되었는지 확인하세요.

해결 방법

필요한 IAM 권한이 있는지 확인

백업 볼트를 생성한는 데 필요한 AWS Identity and Access Management(IAM) 정책이 있는지 확인하세요.

AWS Backup 콘솔에 로그인한 경우 로그인한 사용자 또는 역할에 대한 권한을 확인하세요. 또는, AWS Command Line Interface(AWS CLI)나 SDK를 사용할 수도 있습니다. AWS CLI 또는 SDK에 구성된 IAM 엔티티에 첨부된 권한을 확인하세요.

다음 예시 정책은 AWS Backup 및 AWS Key Management Service(AWS KMS)에서 볼트를 생성하는 데 필요한 권한을 부여합니다. AWS KMS 키는 볼트에 있는 일부 백업을 암호화하는 암호화 키입니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt1",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "ExampleStmt2",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-west-2:444455556666:backup-vault:*"
    },
    {
      "Sid": "ExampleStmt3",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}

IAM 권한 경계가 설정되어 있는지 확인

백업 볼트를 만드는 데 사용하고 있는 IAM 엔티티에 설정된 IAM 권한 범위를 검토하세요. 권한 경계가 설정된 경우 볼트를 만드는 데 필요한 모든 작업에 액세스할 수 있는지 확인하세요.

AWS Organizations 서비스 제어 정책 확인

AWS Organizations를 사용하는 경우 조직의 서비스 제어 정책(SCP)을 검토하세요.

AWS Organizations는 FullAWSAccess라는 AWS 관리형 SCP를 생성할 때 모든 루트 및 OU에 연결합니다. 이 정책은 모든 서비스와 작업을 허용합니다. 계정에 연결된 조직의 SCP 정책을 확인하세요. 백업 볼트 생성을 거부하는 정책이 있는지 확인하세요.

AWS KMS 키 정책 확인

AWS KMS 콘솔을 사용하여 AWS KMS 키를 생성할 때 키 정책은 정책 설명으로 시작됩니다. 이 정책 설명은 AWS 계정에 대한 액세스를 허용하고 IAM 정책을 활성화합니다. 기본 키 정책 설명이 중요합니다. 이 권한이 없으면 키에 대한 액세스를 허용하는 IAM 정책은 효과가 없으나 키에 대한 액세스를 거부하는 IAM 정책은 여전히 유효합니다.

AWS KMS 키 정책 설명에서 볼트를 생성할 때 사용하고 있는 IAM 엔티티를 거부하지 않도록 하세요.

관련 정보

API 권한: 작업, 리소스 및 조건 참조

백업 볼트 생성

AWS 공식
AWS 공식업데이트됨 7달 전