Ir para o conteúdo
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Como resolver o erro “Access Denied trying to call AWS Backup service” ao tentar criar uma cópia entre contas no AWS Backup?

3 minuto de leitura
0

Quero resolver o erro “Access Denied trying to call AWS Backup service” (Acesso negado ao tentar chamar o serviço AWS Backup) que recebo quando tento criar uma cópia entre contas da AWS no AWS Backup.

Resolução

Adicionar a ação Backup:CopyIntoBackupVault às suas políticas

O erro de Acesso negado pode ocorrer quando você não tem permissão para copiar backups de uma conta de origem da AWS.

Para resolver esse problema, adicione a ação backup:CopyIntoBackupVault à sua política baseada em identidade do AWS Identity and Access Management (AWS IAM) e à política de acesso ao cofre de destino. Para mais informações, consulte Configurar o backup entre contas.

Para permitir que o perfil do IAM copie o backup, inclua a seguinte declaração na política baseada em identidade anexada ao perfil do IAM:

{  
  "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Action": "backup:CopyIntoBackupVault",  
      "Resource": "*",  
      "Effect": "Allow"  
    }  
  ]  
}

Para permitir o acesso do AWS Backup à conta de origem, inclua a seguinte declaração na sua política de acesso ao cofre de destino:

{  
    "Version": "2012-10-17",  
    "Statement": [  
        {  
            "Effect": "Allow",  
            "Principal": {  
                "AWS": "arn:aws:iam::SourceAccountID:root"  
            },  
            "Action": "backup:CopyIntoBackupVault",  
            "Resource": "*"  
        }  
    ]  
}

Observação: substitua o SourceAccountID pelo ID da sua conta de origem.

Permitir acesso a uma organização em Organizations ou UO

A política de acesso ao cofre de destino também pode permitir o acesso a uma organização no AWS Organizations ou a uma unidade organizacional (UO). Se você estiver usando a política para uma organização ou UO, especifique o ID da organização ou a ID da UO na política de acesso ao cofre. Se você não especificar o ID da organização ou o ID da UO, as cópias entre contas falharão.

Veja a seguir um exemplo de uma política de acesso ao cofre de destino que permite a toda a organização:

{  
     "Version": "2012-10-17",    
    "Statement": [{    
        "Effect": "Allow",    
        "Action": "backup:CopyIntoBackupVault",    
        "Resource": "",    
        "Principal": "",    
        "Condition": {    
            "StringEquals": {    
                "aws:PrincipalOrgID": [    
                    "o-xxxxxxxx11"    
                ]    
            }    
        }    
    }]    
}

Veja a seguir um exemplo de uma política de acesso ao cofre de destino que permite a UO:

{   
    "Version": "2012-10-17",    
    "Statement": [{    
        "Effect": "Allow",    
        "Action": "backup:CopyIntoBackupVault",    
        "Resource": "",    
        "Principal": "",    
        "Condition": {    
            "ForAnyValue:StringLike": {    
                "aws:PrincipalOrgPaths": [    
                    "o-xxxxxxxx11/r-xxxx/ou-[OU]/*"    
                ]    
            }    
        }    
    }]    
}

Observação: certifique-se de inserir corretamente a chave de condição aws:PrincipalOrgPaths. Para mais informações, consulte Usar o IAM para compartilhar recursos da AWS com grupos de contas da AWS no AWS Organizations.

Informações relacionadas

Criar cópias de backup em todas as contas da AWS

Tópicos
Storage
Tags
AWS Backup
Idioma
Português
AWS OFICIALAtualizada há 7 meses
Sem comentários

Conteúdo relevante