尝试在 AWS Backup 中创建跨账户副本时,如何解决“尝试调用 AWS Backup 服务时访问被拒绝”错误?

1 分钟阅读
0

我想解决 AWS Backup 中的“尝试调用 AWS Backup 服务时访问被拒绝”错误。

解决方法

当目标备份保管库没有保管库访问策略允许来自源账户的副本时,可能会出现此访问被拒绝错误。要解决此错误,您必须在目标备份库访问策略中允许 backup:CopyIntoBackupVault 操作。有关详细信息,请参阅设置跨账户备份

以下是目标保管库访问策略的示例策略:

**注意:**将 SourceAccountID 替换为您的源账户 ID。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::SourceAccountID:root"
            },
            "Action": "backup:CopyIntoBackupVault",
            "Resource": "*"
        }
    ]
}

其他故障排除

目标保管库访问策略还可以允许访问整个组织或某个组织单位(OU)。如果您使用的是组织或 OU 的策略,请验证保管库访问策略中是否指定了组织 ID 或 OU ID。如果未指定组织 ID 或 OU ID,则跨账户复制将失败。

以下是允许整个组织访问的目标保管库访问策略示例:

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Allow",  
        "Action": "backup:CopyIntoBackupVault",  
        "Resource": "",  
        "Principal": "",  
        "Condition": {  
            "StringEquals": {  
                "aws:PrincipalOrgID": [  
                    "o-xxxxxxxx11"  
                ]  
            }  
        }  
    }]  
}

以下是允许 OU 访问的目标保管库访问策略示例:

**注意:**一定要正确输入 aws:PrincipalOrgPaths 条件密钥。有关详细信息,请参阅使用 IAM 与 AWS Organizations 中的 AWS 账户组共享您的 AWS 资源

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Allow",  
        "Action": "backup:CopyIntoBackupVault",  
        "Resource": "",  
        "Principal": "",  
        "Condition": {  
            "ForAnyValue:StringLike": {  
                "aws:PrincipalOrgPaths": [  
                    "o-xxxxxxxx11/r-xxxx/ou-[OU]/*"  
                ]  
            }  
        }  
    }]  
}

相关信息

在 AWS 账户之间创建备份副本

AWS 官方
AWS 官方已更新 9 个月前
没有评论