スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

AWS Backup のクロスアカウントコピーオペレーションの "Access denied" エラーをトラブルシューティングする方法を教えてください。

所要時間2分
0

AWS Backup の AWS アカウント間でバックアップのコピーを作成しようとすると、"Access denied" エラーが表示されます。

解決策

"Call to AWS Backup service" エラー

コピー先のボールトアクセスポリシーに Backup:CopyIntoBackupVault 権限がない場合は、次のエラーメッセージが表示されます。

"Access denied when trying to call AWS Backup service"

このエラーは、バックアップボールト名が正しくない場合や、コピー先アカウントに存在しない場合にも発生します。

このエラーを解決するには、次の手順を実行します。

  1. AWS Identity and Access Management (IAM) ロールがバックアップをコピーできるようにするには、IAM ロールのポリシーに次のステートメントを追加します。

    {    "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Action": "backup:CopyIntoBackupVault",  
      "Resource": "*",  
      "Effect": "Allow"  
    }  
  ]  
}

  2. AWS Backup がソースアカウントにアクセスできるようにするには、コピー先ボールトのアクセスポリシーに次のステートメントを含めます。

    {      "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Effect": "Allow",  
            "Principal": {  
                "AWS": "arn:aws:iam::SourceAccountID:root"  
            },  
            "Action": "backup:CopyIntoBackupVault",  
            "Resource": "*"  
        }  
    ]  
}

    注: SourceAccountID を実際のソースアカウント ID に置き換えてください。

  3. コピージョブの IAM ロールに backup.amazonaws.com サービスを許可する信頼関係が含まれていることを確認します。ポリシー例:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "backup.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  4. コピー先バックアップボールトの名前が正しいことを確認してください。バックアップボールト名は大文字と小文字が区別されます。たとえば、ProdVaultProdvault は 2 つの異なるボールトです。

  5. バックアップをボールトにコピーする前に、ボールトがコピー先アカウントに存在することを確認してください。

詳細については、「クロスアカウントバックアップの設定」を参照してください。

"Insufficient privileges" エラー

IAM エンティティにコピーアクションを実行する backup:StartCopyJob 権限がない場合、次のエラーメッセージが表示されます。

"Access denied Insufficient privileges to perform this action.Please consult with the account administrator for necessary permissions."

このエラーを解決するには、バックアップコピーを作成する IAM エンティティに **backup:StartCopyJob ** 権限をアタッチします。IAM ロールに次のステートメントをアタッチしてください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "backup:StartCopyJob",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

次に、ボールトアクセスポリシーbackup:StartCopyJob アクションを明示的に拒否していないことを確認します。

"Source and destination account" エラー

ソースアカウントとコピー先アカウントが同じ AWS Organizations に属していない場合、次のエラーメッセージが表示されます。

"Copy job failed.Both source and destination account must be a member of the same organization."

この問題を解決するには、ソースアカウントまたはコピー先アカウントのいずれかを他のアカウントと同じ組織に移動します。

"Region to Region initiation error" エラー

指定されたリソースタイプで機能がサポートされていない場合、次のエラーメッセージが表示されます。

"Copy job from us-west-2 to us-east-1 cannot be initiated for RDS resources.Feature is not supported for provided resource type."

このエラーは、リソースがクロスアカウントとクロスリージョンのコピーアクションの組み合わせをサポートしていない場合にも表示されます。たとえば、このエラーは、Amazon Relational Database Service (Amazon RDS) が 1 回の操作でリージョン間およびアカウント間のバックアップコピーをサポートしていない場合に発生します。つまり、この機能は使用できません。

この問題を解決するには、AWS のサービスのリソースがクロスアカウントバックアップとクロスリージョンバックアップの両方をサポートしていることを確認してください。各 AWS のサービスが AWS Backup でサポートしている機能を確認するには、「リソース別の機能の可用性」を確認してください。さまざまなリージョンで利用できる機能を確認するには、「AWS リージョン別の機能の可用性」を確認してください。

"Given key ID" または "source snapshot KMS key does not exist" エラー

コピー先アカウントに暗号化キーを使用する権限がない場合は、次のいずれかのエラーメッセージが表示されます。

  • "Given key ID is not accessible"
  • "The source snapshot KMS key does not exist, is not enabled or you do not have permissions to access it"

To resolve these errors, complete the following tasks:

  • ソースアカウントの AWS Key Management Service (AWS KMS) キーポリシーに、コピー先アカウントのルートユーザーが含まれていることを確認してください。その後、コピー先アカウントのルートユーザーは、必要な IAM 権限をユーザーとロールに委任できます。
  • リソースは、AWS Backup 管理が完全にサポートされているか、それとも AWS Backup 管理は完全にはサポートされていないかに基づいて、キーポリシーを更新してください。

たとえば、Amazon Simple Storage Service (Amazon S3) と Amazon Elastic File System (Amazon EFS) のリソースは完全にサポートされています。このようなリソースについては、次の点に注意してください。

  • ボールトの暗号化キーは、ソース AWS KMS キーとして機能します。
  • カスタマーマネージドキーまたは AWS マネージドキーのいずれかを使用できます。
  • カスタマーマネージドキーを使用する場合は、キーポリシーを更新してコピー先アカウントを含める必要があります。

詳細については、「AWS Backup が、サポート対象の AWS のサービスと連携する方法」を参照してください。

Amazon Elastic Compute Cloud (Amazon EC2) や Amazon RDS など、完全にサポートされていないリソースでは、主要なポリシーの仕組みが異なります。このようなリソースについては、次の点に注意してください。

  • 元のリソースの暗号化キーは、ソース AWS KMS キーとして機能します。
  • キーはカスタマーマネージドキーである必要があります。
  • キーポリシーを変更して、コピー先アカウントを含める必要があります。

重要: 以下の理由により、AWS マネージドキーをソース AWS KMS キーとして使用することはできません。

  • AWS マネージドキーのキーポリシーは変更できません。
  • AWS マネージドキーをコピー先アカウントと共有することはできません。

詳細については、「AWS Backup でクロスアカウントコピーを実行するときに "Given key ID not accessible" というエラーを解決する方法を教えてください」を参照してください。

関連情報

AWS アカウントでのバックアップコピーの作成

AWS Backup でのバックアップの暗号化

バックアップとコピーは AWS Backup でどのように暗号化されますか

トピック
Storage
タグ
AWS Backup
言語
日本語
AWS公式更新しました 6ヶ月前
コメントはありません

関連するコンテンツ