For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
如何解决尝试在 AWS Backup 中创建跨账户副本时遇到的“尝试调用 AWS Backup 服务时访问被拒绝”错误?
我想解决尝试在 AWS Backup 中跨 AWS 账户创建副本时遇到的“尝试调用 AWS Backup 服务时访问被拒绝”错误。
解决方法
在您的策略中添加 backup:CopyIntoBackupVault 操作
当您不具备从源 AWS 账户复制备份的权限时,可能会出现 Access Denied(访问被拒绝)错误。
要解决此问题,请将 backup:CopyIntoBackupVault 操作添加到您的 AWS Identity and Access Management (IAM) 基于身份的策略和目标保管库访问策略中。有关详细信息,请参阅设置跨账户备份。
要允许您的 IAM 角色复制备份,请在附加到您的 IAM 角色的基于身份的策略中添加以下语句:
{ "Version": "2012-10-17", "Statement": [ { "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Effect": "Allow" } ] }
要允许 AWS Backup 访问源账户,请在您的目标保管库访问策略中添加以下语句:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::SourceAccountID:root" }, "Action": "backup:CopyIntoBackupVault", "Resource": "*" } ] }
**注意:**将 SourceAccountID 替换为您的源账户 ID。
允许访问 Organizations 或 OU 中的组织
目标保管库访问策略还可以允许访问 AWS Organizations 中的组织或某个组织单元 (OU)。如果您使用的是组织或 OU 的策略,请在保管库访问策略中指定组织 ID 或 OU ID。如果不指定组织 ID 或 OU ID,则跨账户复制将失败。
以下是允许整个组织访问的目标保管库访问策略示例:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "", "Principal": "", "Condition": { "StringEquals": { "aws:PrincipalOrgID": [ "o-xxxxxxxx11" ] } } }] }
以下是允许 OU 访问的目标保管库访问策略示例:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "", "Principal": "", "Condition": { "ForAnyValue:StringLike": { "aws:PrincipalOrgPaths": [ "o-xxxxxxxx11/r-xxxx/ou-[OU]/*" ] } } }] }
**注意:**请务必正确输入 aws:PrincipalOrgPaths 条件键。有关详细信息,请参阅使用 IAM 与 AWS Organizations 中的 AWS 账户组共享您的 AWS 资源。
相关信息
相关内容
- AWS 官方已更新 4 个月前
