Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie behebe ich den Fehler „Access Denied trying to call AWS Backup service“, wenn ich versuche, eine kontoübergreifende Kopie in AWS Backup zu erstellen?

Lesedauer: 2 Minute
0

Ich möchte den Fehler „Access Denied trying to call AWS Backup service“ beheben, der angezeigt wird, wenn ich versuche, eine Kopie für mehrere AWS-Konten in AWS Backup zu erstellen.

Lösung

Den Richtlinien die Aktion backup:CopyIntoBackupVault hinzufügen

Der Fehler Access Denied kann auftreten, wenn du nicht berechtigt bist, Backups von einem AWS-Quellkonto zu kopieren.

Um dieses Problem zu beheben, füge die Aktion backup:CopyIntoBackupVault zur identitätsbasierten AWS Identity and Access Management (IAM, Identitäts- und Zugriffsmanagement)-Richtlinie und der Zugriffsrichtlinie des Zieltresors hinzu. Weitere Informationen findest du unter Kontoübergreifendes Backup einrichten.

Damit deine IAM-Rolle das Backup kopieren kann, füge der identitätsbasierten Richtlinie, die der IAM-Rolle angefügt ist, die folgende Anweisung hinzu:

{  
  "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Action": "backup:CopyIntoBackupVault",  
      "Resource": "*",  
      "Effect": "Allow"  
    }  
  ]  
}

Um AWS Backup den Zugriff auf das Quellkonto zu ermöglichen, füge der Zugriffsrichtlinie des Zieltresors die folgende Anweisung hinzu:

{  
    "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Effect": "Allow",  
            "Principal": {  
                "AWS": "arn:aws:iam::SourceAccountID:root"  
            },  
            "Action": "backup:CopyIntoBackupVault",  
            "Resource": "*"  
        }  
    ]  
}

Hinweis: Ersetze SourceAccountID durch deine Quellkonto-ID.

Den Zugriff auf eine Organisation in Organizations oder OU erlauben

Die Zugriffsrichtlinie des Zieltresors kann auch den Zugriff auf eine Organisation in AWS Organizations oder eine Organisationseinheit (Organizational Unit, OU) ermöglichen. Wenn du die Richtlinie für eine Organisation oder OU verwendest, gib die Organisations- oder OU-ID in der Tresorzugriffsrichtlinie an. Wenn du die Organisations- oder OU-ID nicht angibst, schlagen die kontoübergreifenden Kopien fehl.

Nachfolgend ist ein Beispiel für eine Zieltresor-Zugriffsrichtlinie, die der gesamten Organisation Folgendes erlaubt:

{  
     "Version": "2012-10-17",    
    "Statement": [{    
        "Effect": "Allow",    
        "Action": "backup:CopyIntoBackupVault",    
        "Resource": "",    
        "Principal": "",    
        "Condition": {    
            "StringEquals": {    
                "aws:PrincipalOrgID": [    
                    "o-xxxxxxxx11"    
                ]    
            }    
        }    
    }]    
}

Im Folgenden findest du ein Beispiel für eine Zieltresor-Zugriffsrichtlinie, die der OU Folgendes erlaubt:

{   
    "Version": "2012-10-17",    
    "Statement": [{    
        "Effect": "Allow",    
        "Action": "backup:CopyIntoBackupVault",    
        "Resource": "",    
        "Principal": "",    
        "Condition": {    
            "ForAnyValue:StringLike": {    
                "aws:PrincipalOrgPaths": [    
                    "o-xxxxxxxx11/r-xxxx/ou-[OU]/*"    
                ]    
            }    
        }    
    }]    
}

Hinweis: Stelle sicher, dass du den Bedingungsschlüssel aws:PrincipalOrgPaths korrekt eingegeben hast. Weitere Informationen findest du unter Verwendung des IAM, um AWS-Ressourcen für Gruppen von AWS-Konten in AWS Organizations freizugeben.

Ähnliche Informationen

Erstellen von Sicherungskopien für mehrere AWS-Konten

Themen
Storage
Tags
AWS Backup
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 7 Monaten

Relevanter Inhalt