Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
如何解決當我嘗試在 AWS Backup 中建立跨帳戶複本時,收到的「嘗試呼叫 AWS Backup 服務時拒絕存取」錯誤?
我想解決在 AWS Backup 中嘗試跨 AWS 帳戶建立複本時,收到的「嘗試呼叫 AWS Backup 服務時拒絕存取」錯誤。
解決方法
在您的政策中新增「backup:CopyIntoBackupVault」動作
當您沒有從來源 AWS 帳戶複製備份的權限時,就可能會出現拒絕存取錯誤。
若要解決此問題,請將 backup:CopyIntoBackupVault 動作新增至您的 AWS Identity and Access Management (IAM) 身分型政策和目標保存庫存取政策。如需詳細資訊,請參閱設定跨帳戶備份。
若要允許您的 IAM 角色複製備份,請將下列陳述式新增至附加到 IAM 角色的身分型政策中:
{ "Version": "2012-10-17", "Statement": [ { "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Effect": "Allow" } ] }
若要允許 AWS Backup 存取來源帳戶,請將下列陳述式新增至目的地保存庫存取政策:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::SourceAccountID:root" }, "Action": "backup:CopyIntoBackupVault", "Resource": "*" } ] }
**注意:**將 SourceAccountID 替換為您的來源帳號 ID。
允許存取組織或 OU 中的組織
目的地保存庫存取政策也可允許存取 AWS Organizations 中的組織或組織單位 (OU)。如果您使用的是組織或 OU 的政策,請在保存庫存取政策中指定組織 ID 或 OU ID。如果您未指定組織 ID 或 OU ID,則跨帳戶複製將會失敗。
以下是允許整個組織的目的地保存庫存取政策範例:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "", "Principal": "", "Condition": { "StringEquals": { "aws:PrincipalOrgID": [ "o-xxxxxxxx11" ] } } }] }
以下是允許 OU 的目的地保存庫存取政策範例:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "", "Principal": "", "Condition": { "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-xxxxxxxx11/r-xxxx/ou-[OU]/*" ] } } }] }
**注意:**確認正確輸入 aws:PrincipalOrgPaths 條件索引鍵。如需詳細資訊,請參閱使用 IAM 與 AWS Organizations 中的 AWS 帳戶群組共用您的 AWS 資源。
相關資訊
相關內容
- 已提問 2 年前
- 已提問 6 個月前
- 已提問 8 個月前
- 已提問 1 年前
