Passer au contenu
En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Comment résoudre les erreurs « Access denied » liées aux opérations de copie intercompte dans AWS Backup ?

Lecture de 6 minute(s)
0

Lorsque j'essaie de créer une copie d'une sauvegarde sur plusieurs comptes AWS dans AWS Backup, le message d'erreur « Access denied » s'affiche.

Résolution

Erreur « Call to AWS Backup service »

Si votre stratégie d'accès au coffre-fort de destination ne dispose pas de l'autorisation backup:CopyIntoBackupVault, le message d'erreur suivant s'affiche :

« Access denied when trying to call AWS Backup service »

Cette erreur se produit également si le nom du coffre de sauvegarde est incorrect ou s'il n'existe pas dans le compte de destination.

Pour résoudre cette erreur, procédez comme suit :

  1. Pour autoriser votre rôle Gestion des identités et des accès AWS (AWS IAM) à copier la sauvegarde, ajoutez l’instruction suivante à la politique de votre rôle IAM :

    {    "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Action": "backup:CopyIntoBackupVault",  
      "Resource": "*",  
      "Effect": "Allow"  
    }  
  ]  
}

  2. Pour autoriser AWS Backup à accéder au compte source, incluez l’instruction suivante dans votre stratégie d'accès au coffre-fort de destination :

    {      "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Effect": "Allow",  
            "Principal": {  
                "AWS": "arn:aws:iam::SourceAccountID:root"  
            },  
            "Action": "backup:CopyIntoBackupVault",  
            "Resource": "*"  
        }  
    ]  
}

    Remarque : Remplacez SourceAccountID par l'ID de votre compte source.

  3. Vérifiez que votre rôle IAM pour la tâche de copie inclut une relation d’approbation qui autorise le service backup.amazonaws.com. Exemple de stratégie :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "backup.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. Vérifiez que le nom du coffre de sauvegarde de destination est correct. Les noms des coffres de sauvegarde distinguent les majuscules et minuscules. Par exemple, ProdVault et prodvault sont deux coffres-forts différents.

  5. Assurez-vous que le coffre-fort existe dans le compte de destination avant d'essayer d'y copier des sauvegardes.

Pour plus d'informations, consultez la section Configuration de la sauvegarde intercompte.

Erreur « Insufficient privileges »

Si une entité IAM ne dispose pas de l'autorisation backup:StartCopyJob pour effectuer l'action de copie, le message d'erreur suivant s'affiche :

« Access denied Insufficient privileges to perform this action. Please consult with the account administrator for necessary permissions. »

Pour résoudre cette erreur, associez l'autorisation backup:StartCopyJob à l'entité IAM qui crée votre copie de sauvegarde. Attachez l’instruction suivante à votre rôle IAM :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "backup:StartCopyJob",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Vérifiez ensuite que votre stratégie d’accès au coffre-fort ne refuse pas explicitement l'action backup:StartCopyJob.

Erreur « Source and destination account »

Si vos comptes source et de destination ne font pas partie de la même organisation AWS Organizations, le message d'erreur suivant s'affiche :

« Copy job failed. Both source and destination account must be a member of the same organization. »

Pour résoudre ce problème, déplacez le compte source ou de destination dans la même organisation que l'autre compte.

Erreur « Region to Region initiation error »

Si une fonctionnalité n'est pas prise en charge pour le type de ressource fourni, le message d'erreur suivant s'affiche :

« Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources. Feature is not supported for provided resource type. »

Vous pouvez également recevoir cette erreur si votre ressource ne prend pas en charge une action de copie intercompte ou interrégionale combinée. Par exemple, cette erreur se produit si Amazon Relational Database Service (Amazon RDS) ne prend pas en charge la copie de sauvegarde interrégionale ou intercompte en une seule opération. Cela signifie que vous ne pouvez pas utiliser cette fonctionnalité.

Pour résoudre ce problème, vérifiez que les ressources de votre service AWS prennent en charge les sauvegardes intercomptes et interrégionales. Pour connaître les fonctionnalités prises en charge par chaque service AWS dans AWS Backup, vérifiez la disponibilité des fonctionnalités par ressource. Pour consulter la disponibilité des fonctionnalités dans les différentes régions, vérifiez la disponibilité des fonctionnalités par région AWS.

Erreur « Given key ID » ou « source snapshot KMS key does not exist »

Si le compte de destination n'est pas autorisé à utiliser la clé de chiffrement, l'un des messages d'erreur suivants s'affiche :

  • « Given key ID is not accessible »
  • « The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it »

Pour résoudre ces erreurs, procédez comme suit :

  • Assurez-vous que la stratégie de clé AWS Key Management Service (AWS KMS) du compte source inclut l'utilisateur racine du compte de destination. L'utilisateur racine du compte de destination peut ensuite déléguer les autorisations IAM requises aux utilisateurs et aux rôles.
  • Mettez à jour vos stratégies de clé selon que vos ressources bénéficient ou non d'une prise en charge complète de la gestion d’AWS Backup.

Par exemple, les ressources Amazon Simple Storage Service (Amazon S3) et Amazon Elastic File System (Amazon EFS) bénéficient d'une prise en charge complète. Pour de telles ressources, gardez à l'esprit les points suivants :

  • La clé de chiffrement du coffre-fort sert de clé AWS KMS source.
  • Vous pouvez disposer d'une clé gérée par le client ou d'une clé gérée par AWS.
  • Si vous utilisez une clé gérée par le client, vous devez mettre à jour la stratégie de clé pour inclure le compte de destination.

Pour plus d'informations, consultez la section Comment AWS Backup fonctionne avec les services AWS pris en charge.

Les stratégies de clé fonctionnent différemment pour les ressources qui ne bénéficient pas d'une prise en charge complète, comme Amazon Elastic Compute Cloud (Amazon EC2) et Amazon RDS. Pour de telles ressources, gardez à l'esprit les points suivants :

  • La clé de chiffrement de la ressource d'origine sert de clé AWS KMS source.
  • La clé doit être une clé gérée par le client.
  • Vous devez modifier la stratégie de clé pour inclure le compte de destination.

Important : Vous ne pouvez pas utiliser de clé gérée par AWS comme clé AWS KMS source pour les raisons suivantes :

  • Vous ne pouvez pas modifier la stratégie de clé d'une clé gérée par AWS.
  • Vous ne pouvez pas partager une clé gérée par AWS avec un compte de destination.

Pour plus d’informations, consultez la section Comment résoudre l'erreur « Given key ID not accessible » lors d'une copie intercompte dans AWS Backup ?

Informations connexes

Création de copies de sauvegarde sur l'ensemble des comptes AWS

Chiffrement des sauvegardes dans AWS Backup

Comment mes sauvegardes et mes copies sont-elles chiffrées dans AWS Backup ?

Sujets
Storage
Balises
AWS Backup
Langue
Français
AWS OFFICIELA mis à jour il y a 8 mois
Aucun commentaire

Contenus pertinents