AWS Backup に保存されているバックアップを復元と削除したい

復元をする際は、アクセスポリシーの "backup:StartRestoreJob" 部分を削除することにより復元が可能できます。 削除をする際は、アクセスポリシーの "backup:DeleteBackupVault"と"backup:DeleteBackupVaultAccessPolicy"と"backup:DeleteRecoveryPoint"部分を削除すると出来ます。
2021.06.22

テクニカルサポートチームの丸屋 正志(Maruya Masashi)です。

困っていた内容

AWS Backup をコンソール上で EFS のデータを復元と削除をしたいのですが、アクセスが拒否されて実行出来ません。

アクセスが拒否されました このアクションを実行するには権限が不十分です。必要な権限についてはアカウント管理者に相談してください。

AdministratorAccess ポリシーをアタッチしているユーザーで実行しているにも関わらず、アクセスが拒否されてしまうため、どのように設定をしたらいいでしょうか?

具体的な要件は以下です。

  1. バックアップボールト 《aws/efs/automatic-backup-vault》 を使用している
  2. デフォルトのアクセスポリシーがアタッチされていること
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "backup:DeleteBackupVault",
                "backup:DeleteBackupVaultAccessPolicy",
                "backup:DeleteRecoveryPoint",
                "backup:StartCopyJob",
                "backup:StartRestoreJob",
                "backup:UpdateRecoveryPointLifecycle"
            ],
            "Resource": "*"
        }
    ]
}

どう対応すればいいの?

本要件は、 AWS Backup のバックアップボールト 《aws/efs/automatic-backup-vault》 を使用している場合に発生するため、アクセスポリシーの適切に修正する必要があります。

復元の場合

14:行目の部分を削除することにより、アクションから 【復元】 を実施することが出来ます。

  • "backup:StartRestoreJob"
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "backup:DeleteBackupVault",
                "backup:DeleteBackupVaultAccessPolicy",
                "backup:DeleteRecoveryPoint",
                "backup:StartCopyJob",
                "backup:StartRestoreJob",  ← 14行目 : こちらを削除
                "backup:UpdateRecoveryPointLifecycle"
            ],
            "Resource": "*"
        }
    ]
}

削除の場合

10 行目~12 行目までの部分を削除することにより、アクションから 【削除】 を実施することが出来ます。

  • "backup:DeleteBackupVault"
  • "backup:DeleteBackupVaultAccessPolicy"
  • "backup:DeleteRecoveryPoint"
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "backup:DeleteBackupVault",             ←10行目 : 削除
                "backup:DeleteBackupVaultAccessPolicy", ←11行目 : 削除
                "backup:DeleteRecoveryPoint",           ←12行目 : 削除
                "backup:StartCopyJob",
                "backup:StartRestoreJob",
                "backup:UpdateRecoveryPointLifecycle"
            ],
            "Resource": "*"
        }
    ]
}