Por que recebo um erro de acesso negado ao tentar criar um cofre do AWS Backup?

3 minuto de leitura
0

Quero resolver um erro de acesso negado que recebo ao tentar criar um cofre do AWS Backup.

Breve descrição

Para criar um cofre de backup usando o AWS Backup, você deve ter as seguintes permissões:

  • backup:CreateBackupVault
  • backup-storage:MountCapsule
  • kms:CreateGrant
  • kms:DescribeKey
  • kms:RetireGrant
  • kms:Decrypt
  • kms:GenerateDataKey

Para solucionar o erro de acesso negado, verifique se essas permissões estão configuradas corretamente.

Resolução

Verifique se você tem as permissões do IAM necessárias em vigor

Verifique se você cumpre as políticas do AWS Identity and Access Management (IAM) necessárias para criar um cofre de backup.

Se tiver feito login no console do AWS Backup, verifique as permissões do usuário ou perfil conectado. Ou você pode estar usando a AWS Command Line Interface (AWS CLI) ou SDK. Verifique as permissões vinculadas à entidade do IAM configurada na no AWS CLI ou SDK.

O exemplo de política a seguir concede as permissões necessárias no AWS Backup e no AWS Key Management Service (AWS KMS) para criar um cofre. A chave do AWS KMS é a chave de criptografia que criptografa alguns dos backups colocados em seu cofre.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ExampleStmt1",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:RetireGrant",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "arn:aws:kms:us-west-2:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Sid": "ExampleStmt2",
      "Effect": "Allow",
      "Action": [
        "backup:CreateBackupVault"
      ],
      "Resource": "arn:aws:backup:us-west-2:444455556666:backup-vault:*"
    },
    {
      "Sid": "ExampleStmt3",
      "Effect": "Allow",
      "Action": [
        "backup-storage:MountCapsule"
      ],
      "Resource": "*"
    }
  ]
}

Verifique se você tem um limite de permissões do IAM em vigor

Analise os limites de permissões do IAM definidos na entidade do IAM que você está usando para criar um cofre de backup. Se houver um limite de permissões em vigor, confirme se ele permite o acesso a todas as ações necessárias para criar um cofre.

Verificar sua política de controle de serviços do AWS Organizations

Se estiver usando o AWS Organizations, examine as políticas de controle de serviços (SCPs) de sua organização.

O AWS Organizations associa uma SCP gerenciada pela AWS chamada FullAWSAccess a cada raiz e OU no momento de sua criação. Essa política permite todos os serviços e ações. Verifique as políticas SCP da organização associadas a sua conta. Verifique se há alguma política que nega a criação do cofre de backup.

Verifique a política de chave do AWS KMS

Ao criar uma chave do AWS KMS usando o console do AWS KMS, a política de chave começa com uma declaração de política. Essa declaração de política permite o acesso à conta da AWS e ativa as políticas do IAM. A declaração da política de chave padrão é crítica. Sem essa permissão, as políticas do IAM que permitem o acesso à chave são ineficazes, mas as políticas do IAM que negam o acesso à chave continuam em vigor.

Certifique-se de que as declarações da política de chave do AWS KMS não neguem a entidade do IAM que você está usando ao criar o cofre.

Informações relacionadas

Permissões de API: referência de ações, recursos e condições

Criação de um cofre de backup

AWS OFICIAL
AWS OFICIALAtualizada há 8 meses