Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Comment puis-je résoudre l'erreur « Access Denied trying to call AWS Backup service » (Accès refusé lors d’une tentative d’appel du service AWS Backup) lorsque j'essaie de créer une copie intercompte dans AWS Backup ?
Je souhaite résoudre l'erreur « Access Denied trying to call AWS Backup service » (Accès refusé lors d’une tentative d’appel du service AWS Backup) qui s'affiche lorsque j'essaie de créer une copie entre les comptes AWS dans AWS Backup.
Résolution
Ajouter l'action backup:CopyIntoBackupVault à vos politiques
L'erreur Accès refusé peut se produire lorsque vous n'êtes pas autorisé à copier des sauvegardes depuis un compte AWS source.
Pour résoudre ce problème, ajoutez l'action backup:CopyIntoBackupVault à votre politique basée sur l'identité Gestion des identités et des accès AWS (AWS IAM) et à votre stratégie d'accès au coffre-fort de destination. Pour plus d'informations, consultez la section Configuration de la sauvegarde intercompte.
Pour autoriser votre rôle IAM à copier la sauvegarde, incluez l’instruction suivante dans la politique basée sur l'identité associée à votre rôle IAM :
{ "Version": "2012-10-17", "Statement": [ { "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Effect": "Allow" } ] }
Pour autoriser AWS Backup à accéder au compte source, incluez l’instruction suivante dans votre stratégie d'accès au coffre-fort de destination :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::SourceAccountID:root" }, "Action": "backup:CopyIntoBackupVault", "Resource": "*" } ] }
Remarque : Remplacez SourceAccountID par l'ID de votre compte source.
Autoriser l'accès à une organisation dans Organizations ou une OU
La stratégie d'accès au coffre-fort de destination peut également autoriser l'accès à une organisation dans AWS Organizations ou à une unité organisationnelle (UO). Si vous utilisez la stratégie pour une organisation ou une OU, spécifiez l'ID de l'organisation ou l'ID de l'OU dans la stratégie d'accès au coffre-fort. Si l'ID de l'organisation ou l'ID de l'OU n'est pas spécifié, les copies intercomptes échouent.
Un exemple de stratégie d'accès au coffre-fort de destination qui autorise l'ensemble de l'organisation est présenté ci-dessous :
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "", "Principal": "", "Condition": { "StringEquals": { "aws:PrincipalOrgID": [ "o-xxxxxxxx11" ] } } }] }
Voici un exemple de stratégie d'accès au coffre de destination qui autorise l'unité d'organisation :
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "", "Principal": "", "Condition": { "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-xxxxxxxx11/r-xxxx/ou-[OU]/*" ] } } }] }
Remarque : Assurez-vous de saisir correctement la clé de condition aws:PrincipalOrgPaths. Pour plus d'informations, consultez la section Utiliser IAM pour partager vos ressources AWS avec des groupes de comptes AWS dans AWS Organizations.
Informations connexes
Création de copies de sauvegarde sur l'ensemble des comptes AWS
- Sujets
- Storage
- Balises
- AWS Backup
- Langue
- Français
Contenus pertinents
- demandé il y a 6 mois
- demandé il y a 6 mois
- demandé il y a un mois
- demandé il y a 2 ans
- AWS OFFICIELA mis à jour il y a 9 mois
- AWS OFFICIELA mis à jour il y a 5 mois