Come posso risolvere gli errori di "insufficient privileges" e "access denied" quando utilizzo AWS Backup per eseguire un ripristino di Amazon EFS?

Risoluzione

Verifica che l'identità IAM abbia le autorizzazioni richieste

Controlla la policy del ruolo AWS Identity and Access Management (AWS IAM) che crea il processo di ripristino per verificare che contenga l'azione backup:StartRestoreJob.

Se hai attivato la crittografia, assicurati che la policy IAM o la policy della chiave del Servizio AWS di gestione delle chiavi (AWS KMS) preveda le seguenti azioni:

• "kms:DescribeKey"
• "kms:GenerateDataKeyWithoutPlaintext"
• "kms:CreateGrant"

Verifica di aver incluso le azioni per Amazon EFS richieste

La policy IAM associata al ruolo IAM presente nella richiesta di ripristino deve includere le seguenti azioni per Amazon EFS:

• "elasticfilesystem:Restore"
• "elasticfilesystem:CreateFilesystem"
• "elasticfilesystem:DescribeFilesystems"
• "elasticfilesystem:DeleteFilesystem"

Rimuovi le istruzioni Deny

Rimuovi le istruzioni Deny per l'azione backup:StartRestoreJob nella policy di accesso al vault. Ad esempio, la seguente policy di accesso per il vault predefinito di Amazon EFS aws/efs/automatic-backup-vault nega l'azione backup:StartRestoreJob:

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Principal": {  
            "AWS": "*"  
        },  
        "Action": [  
            "backup:DeleteBackupVault",  
            "backup:DeleteBackupVaultAccessPolicy",  
            "backup:DeleteRecoveryPoint",  
            "backup:StartCopyJob",  
            "backup:StartRestoreJob",  
            "backup:UpdateRecoveryPointLifecycle"  
        ],  
        "Resource": "*"  
    }]  
}

Inoltre, rimuovi le istruzioni Deny dalle policy IAM e dalle policy di controllo dei servizi (SCP) di AWS Organizations che negano le azioni richieste per i seguenti servizi:

• AWS Backup
• Amazon EFS
• AWS KMS