この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
テクニカルサポートチームの丸屋 正志(Maruya Masashi)です。
困っていた内容
AWS Backup をコンソール上で EFS のデータを復元と削除をしたいのですが、アクセスが拒否されて実行出来ません。
アクセスが拒否されました このアクションを実行するには権限が不十分です。必要な権限についてはアカウント管理者に相談してください。
AdministratorAccess ポリシーをアタッチしているユーザーで実行しているにも関わらず、アクセスが拒否されてしまうため、どのように設定をしたらいいでしょうか?
具体的な要件は以下です。
- バックアップボールト 《aws/efs/automatic-backup-vault》 を使用している
- デフォルトのアクセスポリシーがアタッチされていること
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"backup:DeleteBackupVault",
"backup:DeleteBackupVaultAccessPolicy",
"backup:DeleteRecoveryPoint",
"backup:StartCopyJob",
"backup:StartRestoreJob",
"backup:UpdateRecoveryPointLifecycle"
],
"Resource": "*"
}
]
}
どう対応すればいいの?
本要件は、 AWS Backup のバックアップボールト 《aws/efs/automatic-backup-vault》 を使用している場合に発生するため、アクセスポリシーの適切に修正する必要があります。
復元の場合
14:行目の部分を削除することにより、アクションから 【復元】 を実施することが出来ます。
- "backup:StartRestoreJob"
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"backup:DeleteBackupVault",
"backup:DeleteBackupVaultAccessPolicy",
"backup:DeleteRecoveryPoint",
"backup:StartCopyJob",
"backup:StartRestoreJob", ← 14行目 : こちらを削除
"backup:UpdateRecoveryPointLifecycle"
],
"Resource": "*"
}
]
}
削除の場合
10 行目~12 行目までの部分を削除することにより、アクションから 【削除】 を実施することが出来ます。
- "backup:DeleteBackupVault"
- "backup:DeleteBackupVaultAccessPolicy"
- "backup:DeleteRecoveryPoint"
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"backup:DeleteBackupVault", ←10行目 : 削除
"backup:DeleteBackupVaultAccessPolicy", ←11行目 : 削除
"backup:DeleteRecoveryPoint", ←12行目 : 削除
"backup:StartCopyJob",
"backup:StartRestoreJob",
"backup:UpdateRecoveryPointLifecycle"
],
"Resource": "*"
}
]
}