Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
¿Cómo puedo solucionar el error «Access Denied trying to call AWS Backup service» cuando intento crear una copia entre cuentas en AWS Backup?
Quiero resolver el error «Access Denied trying to call AWS Backup service» que aparece cuando intento crear una copia de todas las cuentas de AWS en AWS Backup.
Resolución
Adición de la acción backup:CopyIntoBackupVault a las políticas
El error Access Denied puede producirse cuando no tienes permiso para copiar copias de seguridad de una cuenta de AWS de origen.
Para resolver este problema, agrega la acción backup:CopyIntoBackupVault a tu política basada en identidades de AWS Identity and Access Management (IAM) y a la política de acceso al almacén de destino. Para obtener más información, consulta Configuración de copias de seguridad entre cuentas.
Para permitir que tu rol de IAM copie la copia de seguridad, incluye la siguiente instrucción en la política basada en identidades que se adjunta a tu rol de IAM:
{ "Version": "2012-10-17", "Statement": [ { "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Effect": "Allow" } ] }
Para permitir el acceso de AWS Backup a la cuenta de origen, incluye la siguiente instrucción en la política de acceso al almacén de destino:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::SourceAccountID:root" }, "Action": "backup:CopyIntoBackupVault", "Resource": "*" } ] }
Nota: Sustituye SourceAccountID por el ID de tu cuenta de origen.
Permitir el acceso a una organización en Organizaciones o UO
La política de acceso al almacén de destino también puede permitir el acceso a una organización de AWS Organizations o a una unidad organizativa (UO). Si utilizas la política para una organización o unidad organizativa, especifica el ID de la organización o el ID de la unidad organizativa en la política de acceso al almacén. Si no especificas el ID de la organización o el ID de la UO, las copias entre cuentas fallarán.
El siguiente es un ejemplo de una política de acceso al almacén de destino que permite toda la organización:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "", "Principal": "", "Condition": { "StringEquals": { "aws:PrincipalOrgID": [ "o-xxxxxxxx11" ] } } }] }
El siguiente es un ejemplo de una política de acceso al almacén de destino que permite la UO:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "", "Principal": "", "Condition": { "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-xxxxxxxx11/r-xxxx/ou-[OU]/*" ] } } }] }
Nota: Asegúrate de introducir correctamente la clave de condición aws:PrincipalOrgPaths. Para obtener más información, consulta Uso de IAM para compartir tus recursos de AWS con grupos de cuentas de AWS en AWS Organizations.
Información relacionada
- Temas
- Storage
- Etiquetas
- AWS Backup
- Idioma
- Español
Contenido relevante
- preguntada hace 7 meses
- preguntada hace 4 meses
- preguntada hace un año
- preguntada hace 4 meses
- OFICIAL DE AWSActualizada hace 3 meses
- OFICIAL DE AWSActualizada hace 6 meses