S3バケットポリシーにIPアドレス制限を加えると AWS Backup の S3 バケットのバックアップに失敗する事象の対処法

S3バケットポリシーにIPアドレス制限を加えると AWS Backup の S3 バケットのバックアップに失敗する事象の対処法

S3 バケットポリシーでアクセス制限を加えた場合は、AWS Backup で用いるサービスロールからのアクセスに対する明示的な拒否を除外する必要があります。
AWSテクニカルサポートノート

AWSテクニカルサポートノート

#AWS Backup
#Amazon S3
#AWS
m.hayakawa

m.hayakawa

facebook logohatena logotwitter logo
Clock Icon2022.08.16

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

awsbackup-test-001 のバケットを AWS Backup でバックアップを取っています。

セキュリティ対策として、S3バケットポリシーに下記の通り、IP アドレス制限を加えました。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SourceIPRestriction001",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::awsbackup-test-001",
                "arn:aws:s3:::awsbackup-test-001/*"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

この設定を行ったことで、AWS Backup の S3 バケットのバックアップに失敗するようになりました。

どのように対処すれば良いですか?

どう対応すればいいの?

AWS Backup などサービスからアクションを実行する場合は、サービスロールを使用します。

そのため、S3 バケットポリシーに、当該のロールからのアクションについて明示的な拒否から除外する必要があります。

下記のように変更してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SourceIPRestriction001",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::awsbackup-test-001",
                "arn:aws:s3:::awsbackup-test-001/*"
            ],
            "Condition": {
                "StringNotLike": {
                    "aws:userId": "AROASAMPLESAMPLESAMPL:*"
                },
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

なお、AWS Backup でデフォルトで使用しているサービスロール: AWSBackupDefaultServiceRole の RoleId を取得するためには AWS CLI コマンドの get-role を用います。

$ aws iam get-role --role-name AWSBackupDefaultServiceRole
{
    "Role": {
        "Path": "/service-role/",
        "RoleName": "AWSBackupDefaultServiceRole",
        "RoleId": "AROASAMPLESAMPLESAMPL",
        "Arn": "arn:aws:iam::<account-id>:role/service-role/AWSBackupDefaultServiceRole",
        "CreateDate": "2022-08-15T07:46:37+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "backup.amazonaws.com"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        },
        "Description": "Provides AWS Backup permission to create backups and perform restores on your behalf across AWS services",
        "MaxSessionDuration": 3600,
        "RoleLastUsed": {}
    }
}

やってみた

事前に デフォルトサービスロール: AWSBackupDefaultServiceRole にマネージドポリシー: AWSBackupServiceRolePolicyForS3BackupAWSBackupServiceRolePolicyForS3Restore をアタッチしておきます。

IP 制限がされている S3 バケットに対して、AWS Backup のオンデマンドバックアップを実行してみます。

「Access Denied」というエラーメッセージが発生し、失敗しました。

バケットポリシーで AWSBackupDefaultServiceRole の RoleId を Condition 句を用いて明示的な拒否対象から除外した後、再度実行します。

無事、成功しました。

参考資料

How to Restrict Amazon S3 Bucket Access to a Specific IAM Role | AWS Security Blog

[アップデート] AWS BackupのAmazon S3サポートがGAになりました | DevelopersIO

Share this article

facebook logohatena logotwitter logo

関連記事

AWS Backupを使用して EC2 スナップショットからEC2 インスタンスを復元する方法

AWS Backupを使用して EC2 スナップショットからEC2 インスタンスを復元する方法

AWS Backup を使用して Amazon EC2 を定期的にバックアップする方法

AWS Backup を使用して Amazon EC2 を定期的にバックアップする方法

AWSBackupで前のバックアップが終わらない場合の挙動を教えて下さい

AWSBackupで前のバックアップが終わらない場合の挙動を教えて下さい

User avatar
Lei
2024.11.11
AWS Backup を使用して Amazon EC2 をオンデマンドでバックアップする方法

AWS Backup を使用して Amazon EC2 をオンデマンドでバックアップする方法

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.