AWS Backup に保存されているバックアップを復元と削除したい
テクニカルサポートチームの丸屋 正志(Maruya Masashi)です。
困っていた内容
AWS Backup をコンソール上で EFS のデータを復元と削除をしたいのですが、アクセスが拒否されて実行出来ません。
アクセスが拒否されました このアクションを実行するには権限が不十分です。必要な権限についてはアカウント管理者に相談してください。
AdministratorAccess ポリシーをアタッチしているユーザーで実行しているにも関わらず、アクセスが拒否されてしまうため、どのように設定をしたらいいでしょうか?
具体的な要件は以下です。
- バックアップボールト 《aws/efs/automatic-backup-vault》 を使用している
- デフォルトのアクセスポリシーがアタッチされていること
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "backup:DeleteBackupVault", "backup:DeleteBackupVaultAccessPolicy", "backup:DeleteRecoveryPoint", "backup:StartCopyJob", "backup:StartRestoreJob", "backup:UpdateRecoveryPointLifecycle" ], "Resource": "*" } ] }
どう対応すればいいの?
本要件は、 AWS Backup のバックアップボールト 《aws/efs/automatic-backup-vault》 を使用している場合に発生するため、アクセスポリシーの適切に修正する必要があります。
復元の場合
14:行目の部分を削除することにより、アクションから 【復元】 を実施することが出来ます。
- "backup:StartRestoreJob"
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "backup:DeleteBackupVault", "backup:DeleteBackupVaultAccessPolicy", "backup:DeleteRecoveryPoint", "backup:StartCopyJob", "backup:StartRestoreJob", ← 14行目 : こちらを削除 "backup:UpdateRecoveryPointLifecycle" ], "Resource": "*" } ] }
削除の場合
10 行目~12 行目までの部分を削除することにより、アクションから 【削除】 を実施することが出来ます。
- "backup:DeleteBackupVault"
- "backup:DeleteBackupVaultAccessPolicy"
- "backup:DeleteRecoveryPoint"
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "backup:DeleteBackupVault", ←10行目 : 削除 "backup:DeleteBackupVaultAccessPolicy", ←11行目 : 削除 "backup:DeleteRecoveryPoint", ←12行目 : 削除 "backup:StartCopyJob", "backup:StartRestoreJob", "backup:UpdateRecoveryPointLifecycle" ], "Resource": "*" } ] }