IAMリソースの権限として”backup:*”と”kms:*”を付与しているのにバックアップボールトが作成できない原因を教えてください
困っていた内容
AWS Backupにてバックアップボールトを作成しようとすると「このアクションを実行するには権限が不十分です。」とエラーが表示され作成が出来ません。
操作元のIAMリソースの権限には"backup:*"
とバックアップを暗号化する為の"kms:*"
も付与しているので権限は十分に思えますが、足りない権限はありますか。
どう対応すればいいの?
バックアップボールトの作成には以下ドキュメントの「CreateBackupVault」の欄に記載された権限が必要なので、要件を満たしているかご確認ください。
CreateBackupVault
backup:CreateBackupVault
backup-storage:MountCapsule
kms:CreateGrant
kms:GenerateDataKey
kms:Decrypt
kms:RetireGrant
kms:DescribeKey
必要な権限の中でも、backup-storage:MountCapsule
は、"backup:*"の権限に内包されていない為、別途で付与する必要があります。
backup-storage:MountCapsule
はKMSキーをバックアップボールトに関連付けする際に使用されるAPI アクションです。
詳細は認証リファレンスをご参照ください。
AWS Backup ストレージのアクション、リソース、および条件キー - サービス認証リファレンス
MountCapsule [アクセス許可のみ] KMS キーをバックアップボールトに関連付けます。