為什麼在嘗試建立 AWS Backup 保存庫時出現「拒絕存取」錯誤？

1 分的閱讀內容

我想解決嘗試建立 AWS Backup 保存庫時收到的「拒絕存取」錯誤。

簡短描述

若要使用 AWS Backup 建立備份保存庫，您必須具備下列權限：

backup:CreateBackupVault
backup-storage:MountCapsule
kms:CreateGrant
kms:DescribeKey
kms:RetireGrant
kms:Decrypt
kms:GenerateDataKey

若要對「拒絕存取」錯誤進行疑難排解，請確認這些權限已正確設定。

解決方法

檢查您是否擁有必要的 IAM 權限

檢查您是否具有建立備份保存庫所需的 AWS Identity and Access Management (IAM) 政策。

如果您已登入 AWS Backup 主控台，請驗證登入使用者或角色的許可。或者，您可能正在使用 AWS Command Line Interface (AWS CLI) 或 SDK。檢查連接至 AWS CLI 或 SDK 上設定的 IAM 實體的許可。

下列範例政策授予 AWS Backup 和 AWS Key Management Service (AWS KMS) 中建立保存庫的必要許可。AWS KMS 金鑰是加密金鑰，可加密保存庫中某些備份的加密金鑰。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt1",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "ExampleStmt2",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-west-2:444455556666:backup-vault:*"
    },
    {
      "Sid": "ExampleStmt3",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}

檢查您是否擁有 IAM 許可界限

檢閱在您用來建立備份保存庫的 IAM 實體上設定的 IAM 許可界限。如果存在許可界限，請確該認許可界限允許存取建立保存庫所需的所有動作。

檢查您的 AWS Organizations 服務控制政策

如果您使用 AWS Organizations，請檢閱組織的服務控制政策 (SCP)。

AWS Organizations 在建立時，將名為 FullAWSAccess 的 AWS 受管 SCP 連接至每個根目錄和 OU。此政策允許所有服務和動作。檢查連接至您帳戶的組織的 SCP 政策。確認是否有任何政策拒絕建立備份保存庫。

檢查 AWS KMS 金鑰政策

當您使用 AWS KMS 主控台建立 AWS KMS 金鑰時，金鑰政策會從政策陳述式開始。此政策陳述式允許存取 AWS 帳戶並啟用 IAM 政策。預設金鑰政策陳述式很重要。如果沒有此許可，允許存取金鑰的 IAM 政策無效，但拒絕存取金鑰的 IAM 政策仍然有效。

請確定 AWS KMS 金鑰政策陳述式不會拒絕您在建立保存庫時所使用的 IAM 實體。