AWS Organizations の AWS Backup ポリシーがメンバーアカウントに添付されていますが、バックアップジョブが作成されていません。
簡単な説明
この問題を解決するには、以下を確認してください。
- ロールパスとボールト名がバックアップポリシーに正しく入力されている。
**注:**AWS Backup は、ロールパスとボールトがバックアップポリシーに正しく入力されているかどうかを検証しません。
- ロールとボールト名は、バックアップポリシーがアタッチされている各メンバーアカウントにあります。
**注:**AWS Backup では、ロールとボールトがメンバーアカウントで作成されているかどうかは検証しません。
- AWS Organizations バックアップポリシーが管理アカウントからリソースオプトイン設定を継承するため、サービスオプトインは AWS 管理アカウントでオンになっています。
- バックアップポリシーは、アカウント、組織単位 (OU)、または組織ルートに適切な階層レベルでアタッチされます。
解決方法
メンバーアカウントでのロールとボールトの作成
ロールとボールト名がバックアップポリシーに正しく入力されていることを確認するには、次の手順を実行してください。
- 組織の管理アカウントにサインインします。
- AWS Backupコンソールを開きます。
- ナビゲーションペインの**[マイ組織]** で、[バックアップポリシー] を選択します。
- 影響を受けるポリシーの名前を選択してください。
- バックアップポリシーの内容を拡張してください。ポリシーで使用されているターゲット\ _バックアップ\ _vault\ _name と iam\ _role\ _arn を書き留めておきます。
- カスタムボルト、デフォルトボルト、カスタムロール、またはデフォルトロールを使用している場合は、 [編集] を選択してポリシーを変更します。
カスタムボルト
カスタムバックアップデータ保管庫を使用している場合は、メンバーアカウントで保管庫を作成する必要があります。バックアップボルトの作成手順については、「バックアップボルトの作成」を参照してください。
デフォルトボルト
デフォルトのバックアップ保管庫を使用している場合は、各メンバーアカウントと AWS リージョンの AWS Backup コンソールに少なくとも 1 回アクセスする必要があります。AWS Backup コンソールに初めてサインインすると、リージョンにデフォルトのデータ保管庫が作成されます。
**カスタムロール **
自分で作成したカスタムロールを使用している場合は、それをビジュアルエディターで customRoleNameとして指定する必要があります。カスタムロールは、バックアップポリシー JSON に次の形式の形式で表示されます。
arn:aws:iam::$account:role/CustomRoleName
**重要:**これらの ARN の $account の部分は変更しないでください。
AWS Backup が引き受けることができるカスタム IAM ロールを作成するには、「 IAM ロールの作成」を参照してください。
デフォルトロール
サービスで作成されたデフォルトロールを使用している場合は、ビジュアルエディターで service-role/AWSBackupDefaultServiceRole として指定する必要があります。デフォルトロールは、バックアップポリシー JSON に次の形式の形式で表示されます。
arn:aws:iam::$account:role/service-role/AWSBackupDefaultServiceRole
**重要:**これらの ARN の $account の部分は変更しないでください。
デフォルトロールを作成するには、「デフォルトサービスロールの作成」を参照してください。
その他のトラブルシューティング
サービスオプトイン
バックアッププランのサービスを確実に有効化するには、サポートされているすべてのリソースタイプを保護するために AWS Backup の使用をオプトインする必要があります。
管理アカウントでサービスオプトインをオンにする必要があります。Organizations が管理するバックアッププランでは、管理アカウントのリソースオプトイン設定がメンバーアカウントの設定よりも優先されます。委任管理者アカウントを使用する場合、管理アカウントのリソースオプトイン設定は継承され、委任管理者アカウントのオプトイン設定は継承されません。詳細については、「リソースオプトインルール」を参照してください。
**OU または単一アカウントにアタッチされたバックアップポリシー **
バックアップポリシーが、バックアップを作成する対象の OU またはアカウントに添付されていることを確認します。
**クロスアカウントモニタリング **
メンバーアカウントで作成されたジョブを管理アカウントから表示するには、管理アカウントでクロスアカウントモニタリングを有効にしてください。委任された管理者アカウントでクロスアカウント監視を有効にして、メンバーアカウントで作成されたジョブを表示することもできます。
関連情報
バックアップポリシーの構文と例
AWS バックアップのポリシー更新