Amazon EC2 インスタンスを復元しようとするときの “You are not authorized to perform this operation" というエラーをトラブルシューティングする方法を教えてください。
AWS Backup を使用して、AWS Backup の復旧ポイントから Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを復元しています。しかし、"You are not authorized to perform this operation.Please consult the permissions associated with your AWS Backup role(s), and refer to the AWS Backup documentation for more details." というエンコードされたエラーメッセージが表示されます。
解決策
通常、このエラーは、次の条件で発生します。
- 元の Amazon EC2 インスタンスにインスタンスプロファイルがアタッチされている。
- [ロールを復元] の [デフォルトのロール] 設定を使用して、AWS Backup コンソール内で、インスタンスの復元を試みている。
- [インスタンス IAM ロール] の [元の IAM ロールで復元] 設定を使用して、AWS Backup コンソール内でインスタンスの復元を試みている。
この問題を解決するには、ユースケースに基づいて、次のいずれかのオプションを使用します。
「IAM ロールなしで続行」オプションを使用する
AWS Backup コンソールでインスタンスの復元ジョブを実行する場合は、[インスタンス IAM ロール] で [IAM ロールなしで続行] を選択します。このオプションを使用すると、インスタンスを復元できますが、復元インスタンスにはインスタンスプロファイルがアタッチされていません。後で、復元されたインスタンスにインスタンスプロファイルをアタッチできます。
「元の IAM ロールで復元」オプションを使用する
元の IAM ロールを使用して新しいインスタンスを復元するには、[インスタンス IAM ロール] 設定を [元の IAM ロールで復元] に更新する必要があります。 このオプションを選択する場合は、復元ロールに対して追加のポリシーをアタッチする必要があります。復元ロールは、デフォルトのロール AWSDefaultServiceRoleforBackup、またはそれ以外のカスタマーマネージドロールにすることができます。
注: 復元にどのロールを使用したのかわからない場合は、認証メッセージをデコードする必要があります。メッセージをデコードする方法については、「エンコードされた AWS Backup の認証エラーメッセージをデコードするには、どうすればよいですか」を参照してください。
IAM コンソールを開き、復元ロールに次のポリシーをアタッチします。
注: 111122223333 をお使いの AWS アカウント ID に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Action": "iam:PassRole", "Resource": "arn:aws:iam::111122223333:role/*", "Effect": "Allow" } ] }
IAM ロールを更新したら、復元ジョブを再度実行します。
関連情報
Access control (アクセスコントロール)
Restoring an Amazon EC2 instance (Amazon EC2 インスタンスの復元)
関連するコンテンツ
- 質問済み 3年前
