EC2インスタンスのAWS Backupが「問題ありで完了」となる事象の原因切り分けについて

困っていた内容

EC2インスタンスのAWS Backupが「問題ありで完了」となって、バックアップジョブの詳細を確認いたしましたところにて、VSS エラー「Windows VSS Backup attempt failed because either Instance or SSM Agent has invalid state or insufficient privileges.」が出力されました。
この事象の原因と回避策を教えてください。

発生原因

当該エラーを確認したところ、VSS バックアップを取得する必要がある EC2 インスタンスに適切な IAM ポリシーとロールが設定されていない場合に発生されるエラーとお見受けしております。
現在「問題ありで完了」となっているバックアップから復元した場合、ジョブのエラー内容からはインスタンス自体は正常に使用可能ではあるものの、VSS の情報が失われた形でのインスタンスが復元されるものと予想されます。

対策

対処法としましては、下記AWSドキュメント [1] および、AWS re:Post [2] を参考に権限をアタッチしてください。

記述例）

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*::image/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:CreateSnapshot",
                "ec2:CreateImage",
                "ec2:DescribeImages"
            ],
            "Resource": "*"
        }
    ]
}

[1] Windows VSS ベースの EBS スナップショット用の VSS コンポーネントパッケージを管理する - Amazon Elastic Compute Cloud
[2] AWS backup status as Completed but with warning VSS or SSM | AWS re:Post

This error can arise if the proper IAM policies and roles are not set on the Ec2 instance where VSS backups needs to be taken. You need to attach the below policy while creating a role for VSS in IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:::snapshot/", "arn:aws:ec2:::image/" ] }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:CreateSnapshot", "ec2:CreateImage", "ec2:DescribeImages" ], "Resource": "*" } ] }

参考資料

Windows VSS ベースの EBS スナップショットを作成するための前提条件 - Amazon Elastic Compute Cloud