AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Come posso risolvere gli errori "Access denied" nelle operazioni di copia tra account in AWS Backup?

6 minuti di lettura

Quando provo a creare una copia di un backup su più account AWS in AWS Backup, ricevo l'errore "Access denied".

Risoluzione

Errore "Call to AWS Backup service"

Se la policy di accesso alla vault di destinazione non dispone dell'autorizzazione backup:CopyIntoBackupVault, ricevi il seguente messaggio di errore:

"Access denied when trying to call AWS Backup service"

Questo errore si verifica anche se il nome della vault di backup non è corretto o non esiste nell'account di destinazione.

Per risolvere il problema, completa i seguenti passaggi:

Per consentire al ruolo AWS Identity and Access Management (AWS IAM) di copiare il backup, aggiungi la seguente istruzione alla policy del ruolo IAM:

{    "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Action": "backup:CopyIntoBackupVault",  
      "Resource": "*",  
      "Effect": "Allow"  
    }  
  ]  
}

Per consentire ad AWS Backup di accedere all'account di origine, includi la seguente istruzione nella policy di accesso alla vault di destinazione:

{      "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Effect": "Allow",  
            "Principal": {  
                "AWS": "arn:aws:iam::SourceAccountID:root"  
            },  
            "Action": "backup:CopyIntoBackupVault",  
            "Resource": "*"  
        }  
    ]  
}

Nota: sostituisci SourceAccountID con l'ID del tuo account di origine.

Verifica che il ruolo IAM per il processo di copia includa una relazione di attendibilità che consenta il servizio backup.amazonaws.com. Esempio di policy:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "backup.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Verifica di avere il nome corretto della vault di backup di destinazione. I nomi delle vault di backup fanno distinzione tra maiuscole e minuscole. Ad esempio, ProdVault e prodvault sono due vault diverse.
Assicurati che la vault esista nell'account di destinazione prima di tentare di copiarvi backup.

Per ulteriori informazioni, consulta Configurazione del backup tra account.

Errore "Insufficient privileges"

Se un'entità IAM non ha l'autorizzazione backup:StartCopyJob per eseguire l'operazione di copia, ricevi il seguente messaggio di errore:

"Access denied Insufficient privileges to perform this action. Please consult with the account administrator for necessary permissions."

Per risolvere il problema, collega l'autorizzazione backup:StartCopyJob all'entità IAM che crea la copia di backup. Collega la seguente istruzione al ruolo IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "backup:StartCopyJob",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Quindi verifica che la policy di accesso alla vault non neghi esplicitamente l'operazione backup:StartCopyJob.

Errore "Source and destination account"

Se gli account di origine e di destinazione non fanno parte della stessa organizzazione di AWS Organizations, ricevi il seguente messaggio di errore:

"Copy job failed. Both source and destination account must be a member of the same organization."

Per risolvere il problema, sposta l'account di origine o di destinazione nella stessa organizzazione dell'altro account.

Errore "Region to Region initiation error"

Se una funzionalità non è supportata per il tipo di risorsa fornito, ricevi il seguente messaggio di errore:

"Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources. Feature is not supported for provided resource type."

Puoi ricevere questo errore anche se la risorsa non supporta un'operazione combinata di copia tra account e Regioni. Ad esempio, l'errore si verifica se Amazon Relational Database Service (Amazon RDS) non supporta la copia di backup tra Regioni e account in un'unica operazione. Ciò significa che non puoi utilizzare questa funzionalità.

Per risolvere il problema, verifica che le risorse del servizio AWS supportino i backup tra account e Regioni. Per vedere quali funzionalità supporta ogni servizio AWS in AWS Backup, controlla la disponibilità delle funzionalità per risorsa. Per visualizzare la disponibilità delle funzionalità in diverse Regioni, verifica la disponibilità delle funzionalità per Regione AWS.

Errore "Given key ID" o "source snapshot KMS key does not exist"

Se l'account di destinazione non ha l'autorizzazione per utilizzare la chiave di crittografia, ricevi uno dei seguenti messaggi di errore:

"Given key ID is not accessible"
"The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it"

Per risolvere questi problemi, intraprendi i seguenti passaggi:

Assicurati che la policy della chiave del Servizio AWS di gestione delle chiavi (AWS KMS) dell'account di origine includa l'utente root dell'account di destinazione. Dopodiché l'utente root dell'account di destinazione può delegare le autorizzazioni IAM richieste a utenti e ruoli.
Aggiorna le policy della chiave a seconda che le risorse abbiano il supporto completo per la gestione di AWS Backup o non abbiano il supporto completo per la gestione di AWS Backup.

Ad esempio, le risorse Amazon Simple Storage Service (Amazon S3) e Amazon Elastic File System (Amazon EFS) hanno il supporto completo. Per tali risorse, tieni presente quanto segue:

La chiave di crittografia della vault funge da chiave AWS KMS di origine.
Puoi avere una chiave gestita dal cliente o una chiave gestita da AWS.
Se utilizzi una chiave gestita dal cliente, devi aggiornare la policy della chiave per includere l'account di destinazione.

Per ulteriori informazioni, consulta Come funziona AWS Backup con i servizi AWS supportati.

Le policy della chiave funzionano in modo diverso per le risorse che non dispongono di un supporto completo, come Amazon Elastic Compute Cloud (Amazon EC2) e Amazon RDS. Per tali risorse, tieni presente quanto segue:

La chiave di crittografia della risorsa originale funge da chiave AWS KMS di origine.
La chiave deve essere una chiave gestita dal cliente.
Devi modificare la policy della chiave per includere l'account di destinazione.

Importante: non puoi utilizzare una chiave gestita da AWS come chiave AWS KMS di origine per i seguenti motivi:

Non puoi modificare la policy della chiave di una chiave gestita da AWS.
Non puoi condividere una chiave gestita da AWS con un account di destinazione.

Per ulteriori informazioni, consulta How can I resolve the "Given key ID not accessible" error when performing a cross-account copy in AWS Backup? (Come posso risolvere l'errore "Given key ID not accessible" durante l'esecuzione di una copia tra account in AWS Backup?)

Informazioni correlate

Creazione di copie di backup tra account AWS

Crittografia per i backup in AWS Backup

How are my backups and copies encrypted in AWS Backup? (Come vengono crittografati i miei backup e le mie copie in AWS Backup?)

Argomenti: Storage
Tag: AWS Backup
Lingua: Italiano

AWS UFFICIALEAggiornata 6 mesi fa

Contenuto pertinente

Come posso risolvere l'errore "Access Denied trying to call AWS Backup service" quando provo a creare una copia tra account in AWS Backup?
AWS UFFICIALEAggiornata un anno fa
Perché la mia copia tra account in AWS Backup non riesce?
AWS UFFICIALEAggiornata 9 mesi fa
Perché non riesco a eliminare i miei punti di ripristino in AWS Backup?
AWS UFFICIALEAggiornata 5 mesi fa
Come posso risolvere gli errori di "insufficient privileges" e "access denied" quando utilizzo AWS Backup per eseguire un ripristino di Amazon EFS?
AWS UFFICIALEAggiornata 6 mesi fa