EC2 の AMI からは復元できるが、AWS Backup から復元しようとするとエラーになった際の対処方法

この記事はアノテーション株式会社 AWS Technical Support Advent Calendar 2021のカレンダー | Advent Calendar 2021 - Qiita 3日目の記事です。

困っていた内容

AWS Backup で、EC2 を復元しようとするとエラーになります。
同じEC2 の AMI を、EC2 の画面から AMI を指定して復元すると起動させることはできました。
実行ユーザには、ほとんど管理者権限をつけているはずなのですが、IAM の権限設定の問題でしょうか？

どう対応すればいいの?

対象の EC2 を確認すると、IAM ロールがアタッチされていました。
この場合には復元する際に、新たに IAM ロールをアタッチする必要があります。
そのため、AWS Backup から復元する場合には、「AWS Backup 用のロール」に以下のように「EC2 にアタッチするロールを PassRole できる」権限を追加する必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/*",
            "Effect": "Allow"
        }
    ]
}

EC2 のコンソール画面からは復元できるが、AWS Backup の画面から復元できない、という場合は上記内容をご確認ください。

参考資料

[1] AWS Backup を使用して Amazon EC2 インスタンスを復元しようとしたときに表示される、エンコードされた認可エラーメッセージをトラブルシューティングする方法を教えてください。