AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

AWS Backup ボールトを作成しようとすると、アクセス拒否エラーが表示されるのはなぜですか?

所要時間1分
0

AWS Backup ボールトを作成しようとしたときに表示されるアクセス拒否エラーを解決したいと考えています。

簡単な説明

AWS Backup を使用してバックアップボールトを作成するには、以下の権限が必要です。

  • backup:CreateBackupVault
  • backup-storage:MountCapsule
  • kms:CreateGrant
  • kms:DescribeKey
  • kms:RetireGrant
  • kms:Decrypt
  • kms:GenerateDataKey

アクセス拒否エラーのトラブルシューティングを行うには、これらの権限が正しく設定されていることを確認してください。

解決策

必要な IAM 権限が揃っていることを確認する

バックアップボールトの作成に必要な AWS Identity and Access Management (IAM) ポリシーがあることを確認します。

AWS Backup コンソールにログインしている場合は、ログインしているユーザーまたはロールの権限を確認します。または、AWS コマンドラインインターフェイス (AWS CLI) または SDK を使用することもできます。AWS CLI または SDK で設定された IAM エンティティにアタッチされている権限を確認します。

以下のポリシー例では、AWS Backup と AWS Key Management Service (AWS KMS) でボールトを作成するために必要なアクセス権限を付与します。AWS KMS キーは、ボールトにあるバックアップの一部を暗号化する暗号化キーです。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt1",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "ExampleStmt2",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-west-2:444455556666:backup-vault:*"
    },
    {
      "Sid": "ExampleStmt3",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}

IAM アクセス許可の境界が設定されているかを確認する

バックアップボールトの作成に使用している IAM エンティティに設定されている IAM アクセス許可の境界を確認します。アクセス許可の境界が設定されている場合は、ボールトの作成に必要なすべてのアクションにアクセスできることを確認してください。

AWS Organizationsのサービスコントロールポリシーを確認する

AWS Organizations を使用している場合は、組織のサービスコントロールポリシー (SCP) を確認します。

AWS Organizations は、作成時に FullAWSAccess という名前の AWS マネージド SCP をすべてのルートと OU にアタッチします。このポリシーでは、すべてのサービスとアクションが許可されます。アカウントにアタッチされている組織の SCP ポリシーを確認してください。バックアップボールトの作成を拒否するポリシーがあるかどうかを確認してください。

AWS KMS キーポリシーを確認する

AWS KMS コンソールを使用して AWS KMS キーを作成する場合、キーポリシーはポリシーステートメントから始まります。このポリシーステートメントは AWS アカウントへのアクセスを許可し、IAM ポリシーを有効にしますデフォルトのキーポリシーステートメントは重要です。この権限がないと、キーへのアクセスを許可する IAM ポリシーは無効ですが、キーへのアクセスを拒否する IAM ポリシーは有効のままです。

AWS KMS キーポリシーステートメントが、ボールトの作成時に使用している IAM エンティティを拒否していないことを確認してください。

関連情報

API の権限: アクション、リソース、条件リファレンス

バックアップボールトの作成

トピック
ストレージ
タグ
AWS Backup
言語
日本語
AWS公式
AWS公式更新しました 9ヶ月前
コメントはありません

関連するコンテンツ