我想解决 AWS Backup 中的“尝试调用 AWS Backup 服务时访问被拒绝”错误。
解决方法
当目标备份保管库没有保管库访问策略允许来自源账户的副本时,可能会出现此访问被拒绝错误。要解决此错误,您必须在目标备份库访问策略中允许 backup:CopyIntoBackupVault 操作。有关详细信息,请参阅设置跨账户备份。
以下是目标保管库访问策略的示例策略:
**注意:**将 SourceAccountID 替换为您的源账户 ID。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::SourceAccountID:root"
},
"Action": "backup:CopyIntoBackupVault",
"Resource": "*"
}
]
}
其他故障排除
目标保管库访问策略还可以允许访问整个组织或某个组织单位(OU)。如果您使用的是组织或 OU 的策略,请验证保管库访问策略中是否指定了组织 ID 或 OU ID。如果未指定组织 ID 或 OU ID,则跨账户复制将失败。
以下是允许整个组织访问的目标保管库访问策略示例:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "backup:CopyIntoBackupVault",
"Resource": "",
"Principal": "",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": [
"o-xxxxxxxx11"
]
}
}
}]
}
以下是允许 OU 访问的目标保管库访问策略示例:
**注意:**一定要正确输入 aws:PrincipalOrgPaths 条件密钥。有关详细信息,请参阅使用 IAM 与 AWS Organizations 中的 AWS 账户组共享您的 AWS 资源。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "backup:CopyIntoBackupVault",
"Resource": "",
"Principal": "",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": [
"o-xxxxxxxx11/r-xxxx/ou-[OU]/*"
]
}
}
}]
}
相关信息
在 AWS 账户之间创建备份副本