AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
Come posso risolvere l'errore "Access Denied trying to call AWS Backup service" quando provo a creare una copia tra account in AWS Backup?
Desidero risolvere l'errore "Access Denied trying to call AWS Backup service" che ricevo quando provo a creare una copia tra account AWS in AWS Backup.
Risoluzione
Aggiungi l'azione backup:CopyIntoBackupVault alle policy
L'errore Access Denied può verificarsi quando non hai l'autorizzazione per copiare i backup da un account AWS di origine.
Per risolvere il problema, aggiungi l'azione backup:CopyIntoBackupVault alla policy basata sull'identità AWS Identity and Access Management (AWS IAM) e alla policy di accesso al vault di destinazione. Per ulteriori informazioni, consulta Configurazione del backup tra account.
Per consentire al ruolo IAM di copiare il backup, includi la seguente istruzione nella policy basata sull'identità collegata al ruolo IAM:
{ "Version": "2012-10-17", "Statement": [ { "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Effect": "Allow" } ] }
Per consentire ad AWS Backup di accedere all'account di origine, includi la seguente istruzione nella policy di accesso al vault di destinazione:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::SourceAccountID:root" }, "Action": "backup:CopyIntoBackupVault", "Resource": "*" } ] }
Nota: sostituisci SourceAccountID con l'ID del tuo account di origine.
Consenti l'accesso a un'organizzazione in Organizations o a un'OU
La policy di accesso al vault di destinazione può anche consentire l'accesso a un'organizzazione in AWS Organizations o a un'unità organizzativa (OU). Se utilizzi la policy per un'organizzazione o un'unità organizzativa, specifica l'ID dell'organizzazione o l'ID dell'unità organizzativa nella policy di accesso al vault. Se non specifichi l'ID dell'organizzazione o l'ID dell'unità organizzativa, le copie tra account hanno esito negativo.
Di seguito è riportato un esempio di policy di accesso al vault di destinazione che autorizza l'intera organizzazione:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "", "Principal": "", "Condition": { "StringEquals": { "aws:PrincipalOrgID": [ "o-xxxxxxxx11" ] } } }] }
Di seguito è riportato un esempio di policy di accesso al vault di destinazione che autorizza l'unità organizzativa:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "", "Principal": "", "Condition": { "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-xxxxxxxx11/r-xxxx/ou-[OU]/*" ] } } }] }
Nota: assicurati di inserire correttamente la chiave di condizione aws:PrincipalOrgPaths. Per ulteriori informazioni, consulta Use IAM to share your AWS resources with groups of AWS accounts in AWS Organizations (Utilizzo di IAM per condividere le risorse AWS con gruppi di account AWS in AWS Organizations).
Informazioni correlate
- Argomenti
- Storage
- Tag
- AWS Backup
- Lingua
- Italiano
Contenuto pertinente
- AWS UFFICIALEAggiornata 4 mesi fa
- AWS UFFICIALEAggiornata 3 mesi fa