アクセスコントロール - AWS Backup
リソースおよびオペレーションリソース所有権ポリシー要素 (アクション、効果、プリンシパル) の指定ポリシーでの条件の指定API の権限リファレンスタグ権限のコピーアクセスポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセスコントロール

有効な認証情報があればリクエストを認証できますが、適切な権限がない限り、 AWS Backup バックアップ保管庫などのリソースにはアクセスできません。また、Amazon Elastic Block Store (Amazon EBS) AWS ボリュームなどのリソースをバックアップすることもできません。

AWS すべてのリソースはが所有しており AWS アカウント、リソースを作成またはアクセスする権限はアクセス権限ポリシーによって管理されます。アカウント管理者は、 AWS Identity and Access Management (IAM) アイデンティティ (ユーザー、グループ、ロール) にアクセス権限ポリシーをアタッチできます。また、一部のサービスでは、アクセス権限ポリシーをリソースにアタッチすることができます。

注記

アカウント管理者 (または管理者ユーザー) は、管理者アクセス許可を持つユーザーです。詳細については、「IAM ユーザーガイド 」の「IAM のベストプラクティス」を参照してください。

アクセス許可を付与する場合、アクセス許可を取得するユーザー、取得するアクセス許可の対象となるリソース、およびそれらのリソースに対して許可される特定のアクションを決定します。

以下のセクションでは、アクセスポリシーのしくみと、それらのポリシーを使用してバックアップを保護する方法について説明します。

リソースおよびオペレーション

リソースはサービス内に存在するオブジェクトです。 AWS Backup リソースには、バックアッププラン、バックアップボルト、バックアップが含まれます。Backup は、 AWSに存在するさまざまなタイプのバックアップリソースを指す総称です。たとえば、Amazon EBS スナップショット、Amazon Relational Database Service (Amazon RDS) スナップショット、および Amazon DynamoDB バックアップはすべて、バックアップリソースのタイプです。

では AWS Backup、バックアップはリカバリポイントとも呼ばれます。を使用するときは AWS Backup、Amazon EBS ボリュームや DynamoDB テーブルなど、 AWS 保護しようとしている他のサービスのリソースも使用します。これらのリソースには、一意の Amazon リソースネーム (ARN) が関連付けられています。ARN はリソースを一意に識別します。 AWS IAM ポリシーや API コールなど、すべての AWSでリソースを明確に指定する必要がある場合は、ARN が必要です。

以下の表では、リソース、サブリソース、ARN 形式、および一意の ID の例を示しています。

AWS Backup リソース ARN
リソースタイプ ARN 形式 一意の ID の例
バックアッププラン arn:aws:backup:region:account-id:backup-plan:*
バックアップボールト arn:aws:backup:region:account-id:backup-vault:*
Amazon EBS の復旧ポイント arn:aws:ec2:region::snapshot/* snapshot/snap-05f426fd8kdjb4224
Amazon EC2 の復旧ポイントのイメージ arn:aws:ec2:region::image/ami-* image/ami-1a2b3e4f5e6f7g890
Amazon RDS の復旧ポイント arn:aws:rds:region:account-id:snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Aurora の復旧ポイント arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Storage Gateway の復旧ポイント arn:aws:ec2:region::snapshot/* snapshot/snap-0d40e49137e31d9e0
アドバンスト DynamoDB バックアップ なしの DynamoDB の復旧ポイント arn:aws:dynamodb:region:account-id:table/*/backup/* table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3
アドバンスト DynamoDB バックアップ が有効な DynamoDB の復旧ポイント arn:aws:backup:region:account-id:recovery-point:* 12a34a56-7bb8-901c-cd23-4567d8e9ef01
Amazon EFS の復旧ポイント arn:aws:backup:region:account-id:recovery-point:* d99699e7-e183-477e-bfcd-ccb1c6e5455e
Amazon FSx の復旧ポイント arn:aws:fsx:region:account-id:backup/backup-* backup/backup-1a20e49137e31d9e0
仮想マシンの復旧ポイント arn:aws:backup:region:account-id:recovery-point:* 1801234a-5b6b-7dc8-8032-836f7ffc623b
Amazon S3 継続的バックアップの復旧ポイント arn:aws:backup:region:account-id:recovery-point:* my-bucket-5ec207d0
S3 定期バックアップのリカバリポイント arn:aws:backup:region:account-id:recovery-point:* my-bucket-20211231900000-5ec207d0

AWS Backup 完全な管理をサポートするリソースにはすべてこの形式の回復ポイントがあるため、アクセス権限ポリシーを適用してそれらの回復ポイントを保護するのが簡単になりますarn:aws:backup:region:account-id::recovery-point:*。 AWS Backup どのリソースが完全管理をサポートしているかを確認するには、リソース別の機能の可用性表の該当するセクションを参照してください。

AWS Backup AWS Backup リソースを操作するための一連の操作を提供します。使用可能なオペレーションのリストについては、「 AWS Backup アクション」を参照してください。

リソース所有権

は、誰がリソースを作成したかにかかわらず、 AWS アカウント アカウントで作成されたリソースを所有します。具体的には、リソース所有者は、リソース作成リクエストを認証するプリンシパルエンティティ (つまり、 AWS アカウント ルートユーザー、IAM ユーザー、または IAM ロール) のことです。 AWS アカウント 次の例は、この仕組みを示しています。

  • AWS アカウント のルートユーザー認証情報を使用してバックアップボールトを作成すると、自分がボールトの所有者になります AWS アカウント 。 AWS アカウント

  • で IAM ユーザーを作成し、そのユーザーにバックアップボールトを作成する権限を付与すると、そのユーザーはバックアップボールトを作成できます。 AWS アカウント ただし、バックアップ保管庫リソースを所有しているのは、このユーザーが属する AWS です。

  • AWS アカウント バックアップボールトを作成する権限を持つ IAM ロールをで作成すると、そのロールを引き受けることができるユーザーなら誰でもボールトを作成できます。 AWS アカウントそのロールが属するあなたが、バックアップボールトリソースを所有しています。

ポリシー要素 (アクション、効果、プリンシパル) の指定

AWS Backup サービスはリソースごとに (「」を参照リソースおよびオペレーション)、一連の API オペレーションを定義します (「」を参照アクション)。これらの API オペレーションにアクセス権限を付与するには、 AWS Backup ポリシーで指定できる一連のアクションを定義します。1 つの API オペレーションの実行で、複数のアクションのアクセス権限が必要になる場合があります。

最も基本的なポリシーの要素を次に示します。

  • リソース– ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。詳細については、「リソースおよびオペレーション」を参照してください。

  • アクション – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。

  • 効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • プリンシパル - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用)を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。

IAM ポリシーの構文と記述の詳細については、IAM ユーザーガイドの「IAM JSON ポリシーのリファレンス」を参照してください。

すべての AWS Backup API アクションを示す表については、を参照してくださいAPI のアクセス許可: アクション、リソース、条件リファレンス

ポリシーでの条件の指定

許可を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「IAM ユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。 AWS Backupに固有の条件キーはありません。ただし、必要に応じて使用できる AWS-wide の条件キーもあります。 AWS-wide キーの完全なリストについては、IAM ユーザーガイドの「AWS グローバル条件コンテキストキー」を参照してください。

注記

AWS Backup いずれのアクションについても、アクセスポリシー内のタグ条件やコンテキストキー条件をサポートしていません。

API のアクセス許可: アクション、リソース、条件リファレンス

アクセスコントロール をセットアップし、IAM アイデンティティにアタッチできるアクセス権限ポリシー (アイデンティティベースのポリシー) を作成するときは、以下のテーブルをリファレンスとして使用できます。、各 AWS Backup API オペレーション、そのアクションを実行するためのアクセス権限を付与できる対応するアクション、 AWS およびアクセス権限を付与できるリソースが含まれています。ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソースの値を指定します。Resource フィールドが空白の場合は、ワイルドカード (*) を使用してすべてのリソースを含めることができます。

AWS Backup ポリシーで AWS-wide 条件キーを使用して条件を表現できます。 AWS-wide キーの全リストについては、IAM ユーザーガイドの「使用可能なキー」を参照してください。

スクロールバーを使用して、テーブルの残りの部分を確認します。

タグ権限のコピー

AWS Backup バックアップまたはコピージョブを実行すると、ソースリソース (コピーの場合は復旧ポイント) から復旧ポイントにタグをコピーしようとします。

注記

AWS Backup 復元ジョブ中にタグをネイティブにコピーすることはありません。復元ジョブ中にタグをコピーするイベント駆動型アーキテクチャについては、「AWS Backup 復元ジョブでリソースタグを保持する方法」を参照してください。

バックアップまたはコピージョブ中に、バックアッププラン (またはコピープラン、オンデマンドバックアップ) AWS Backup で指定したタグをソースリソースのタグと集計します。ただし、 AWS 1 リソースにつき 50 個のタグという制限があり、 AWS Backup これを超えることはできません。バックアップまたはコピージョブがプランとソースリソースからタグを集約すると、合計 50 を超えるタグが検出され、ジョブを完了できず、ジョブが失敗する可能性があります。これは AWS-wide のタグ付けのベストプラクティスと一致しています。詳細については、AWS 全般のリファレンスガイドの「タグの制限」を参照してください。

  • バックアップジョブのタグをソースリソースタグと集計すると、リソースに 50 を超えるタグが付与されます。 AWS リソースあたり最大 50 個のタグをサポートします。詳細については、「タグの制限」を参照してください。

  • 指定する IAM ロールには、ソースタグを読み取ったり、 AWS Backup 宛先タグを設定したりする権限がありません。IAM ロールポリシーの詳細とサンプルについては、「管理ポリシー」を参照してください。

バックアッププランを使用して、ソースリソースタグと矛盾するタグを作成できます。2 つの競合が発生すると、バックアッププランのタグが優先されます。ソースリソースからタグ値をコピーしたくない場合は、この方法を使用します。同じタグキーを指定しますが、バックアッププランを使用して、異なる値または空の値を指定します。

バックアップにタグを割り当てるために必要な権限
リソースタイプ 必要なアクセス権限
Amazon EFS ファイルシステム

elasticfilesystem:DescribeTags
Amazon FSx ファイルシステム

fsx:ListTagsForResource
Amazon RDS データベースおよび Amazon Aurora クラスター

rds:AddTagsToResource

rds:ListTagsForResource
Storage Gateway ボリューム

storagegateway:ListTagsForResource
Amazon EC2 インスタンスと Amazon EBS ボリューム

EC2:CreateTags

EC2:DescribeTags

DynamoDB は、最初に アドバンスト DynamoDB バックアップ を有効にしない限り、バックアップへのタグの割り当てをサポートしません。

Amazon EC2 バックアップによってイメージリカバリポイントと一連のスナップショットが作成されると、作成された AMI AWS Backup にタグがコピーされます。 AWS Backup また、Amazon EC2 インスタンスに関連付けられたボリュームから結果のスナップショットにタグをコピーします。

アクセスポリシー

アクセスポリシーは、誰が何に対するアクセス権を持っているのかを説明します。IAM アイデンティティにアタッチされているポリシーは、[アイデンティティベース] のポリシー (IAM ポリシー) と呼ばれます。リソースにアタッチされたポリシーは、リソースベースのポリシーと呼ばれます。 AWS Backup ID ベースのポリシーとリソースベースのポリシーの両方をサポートします。

注記

このセクションでは、のコンテキストでの IAM の使用について説明します。 AWS Backupこれは、IAM サービスに関する詳細情報を取得できません。完全な IAM ドキュメンテーションについては、[IAM ユーザーガイド] の [IAM とは] を参照してください。IAM ポリシー構文の詳細と説明については、IAM ユーザーガイドの「IAM JSON ポリシーのリファレンス」を参照してください。

ID ベースのポリシー (IAM ポリシー)

アイデンティティベースのポリシーは、IAM アイデンティティ (ユーザーやロールなど) にアタッチできるポリシーです。たとえば、 AWS ユーザーによるリソースの表示とバックアップは許可するが、バックアップの復元は禁止するポリシーを定義できます。

ユーザー、グループ、ロール、許可の詳細については、「IAM ユーザーガイド」の「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。

IAM ポリシーを使用してバックアップへのアクセスを制御する方法については、「の管理ポリシー AWS Backup」を参照してください。

リソースベースのポリシー

AWS Backup バックアップ保管庫のリソースベースのアクセスポリシーをサポートします。これにより、バックアップ保管庫内の整理された任意のバックアップにどのユーザーがどのようなアクセス許可を持つかを制御できるアクセスポリシーを定義できます。バックアップ保管庫のリソースベースのアクセスポリシーを使用すると、バックアップへのアクセスを簡単に制御できます。

Backup ボールトアクセスポリシーは、 AWS Backup API を使用する際のユーザーアクセスを制御します。Amazon Elastic Block Store (Amazon EBS) および Amazon Relational Database Service (Amazon RDS) スナップショットなどの一部のバックアップタイプには、それらのサービスの API を使用してもアクセスできます。バックアップへのアクセスを完全に制御するために、これらの API へのアクセスを制御する個別のアクセスポリシーを IAM で作成できます。

バックアップ保管庫のアクセスポリシーを作成する方法については、「バックアップボールトでのアクセスポリシーの設定」を参照してください。