IAMリソースの権限として”backup:*”と”kms:*”を付与しているのにバックアップボールトが作成できない原因を教えてください

2022.11.01

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

AWS Backupにてバックアップボールトを作成しようとすると「このアクションを実行するには権限が不十分です。」とエラーが表示され作成が出来ません。

操作元のIAMリソースの権限には"backup:*"とバックアップを暗号化する為の"kms:*"も付与しているので権限は十分に思えますが、足りない権限はありますか。

どう対応すればいいの?

バックアップボールトの作成には以下ドキュメントの「CreateBackupVault」の欄に記載された権限が必要なので、要件を満たしているかご確認ください。

アクセスコントロール - AWS Backup

CreateBackupVault
backup:CreateBackupVault
backup-storage:MountCapsule
kms:CreateGrant
kms:GenerateDataKey
kms:Decrypt
kms:RetireGrant
kms:DescribeKey

必要な権限の中でも、backup-storage:MountCapsuleは、"backup:*"の権限に内包されていない為、別途で付与する必要があります。

backup-storage:MountCapsuleはKMSキーをバックアップボールトに関連付けする際に使用されるAPI アクションです。

詳細は認証リファレンスをご参照ください。

AWS Backup ストレージのアクション、リソース、および条件キー - サービス認証リファレンス

MountCapsule [アクセス許可のみ] KMS キーをバックアップボールトに関連付けます。

参考資料

アクセスコントロール - AWS Backup

AWS Backup ストレージのアクション、リソース、および条件キー - サービス認証リファレンス