ボールトアクセスポリシー - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ボールトアクセスポリシー

を使用すると AWS Backup、バックアップボールトとそれらに含まれるリソースにポリシーを割り当てることができます。ポリシーを割り当てると、バックアッププランやオンデマンドバックアップを作成するアクセス権をユーザーに付与するなどの操作が可能になりますが、作成後に復旧ポイントを削除する機能は制限されます。

ポリシーを使用してリソースへのアクセスを許可または制限する方法については、IAM「 ユーザーガイド」の「アイデンティティベースのポリシーとリソースベースのポリシー」を参照してください。タグを使用してアクセスを管理することもできます。

次のポリシーの例をガイドとして使用して、 AWS Backup ボールトの使用時にリソースへのアクセスを制限できます。他の IAMベースのポリシーとは異なり、 AWS Backup アクセスポリシーはActionキー内のワイルドカードをサポートしていません。

さまざまなリソースタイプのリカバリポイントを識別するために使用できる Amazon リソースネーム (ARNs) のリストについては、リソース固有のリカバリポイントAWS Backup リソース ARNsについては、「」を参照してくださいARNs。

ボールトアクセスポリシーは、 へのユーザーアクセスのみを制御します AWS Backup APIs。Amazon Elastic Block Store (Amazon EBS) や Amazon Relational Database Service (Amazon RDS) スナップショットなどの一部のバックアップタイプには、APIsこれらのサービスの を使用してアクセスすることもできます。これらのバックアップタイプへのアクセスAPIsを完全に制御IAMするために、それらのアクセスを制御する個別のアクセスポリシーを に作成できます。

AWS Backup ボールトのアクセスポリシーに関係なく、 以外のアクションに対するクロスアカウントアクセスbackup:CopyIntoBackupVaultは拒否されます。つまり、参照されているリソースのアカウントとは異なるアカウントからの他のリクエストは AWS Backup 拒否されます。

バックアップボールトのリソースタイプへのアクセスを拒否する

このポリシーは、バックアップボールト内のすべての Amazon EBSスナップショットの指定されたAPIオペレーションへのアクセスを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }

バックアップボールトへのアクセスを拒否する

このポリシーは、バックアップボールトをターゲットとする指定されたAPIオペレーションへのアクセスを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }

バックアップボールトの復旧ポイントを削除するアクセスを拒否する

ボールトにアクセスできるかどうか、ボールトに保存されている復旧ポイントを削除できるかは、ユーザーに付与するアクセス許可によって決まります。

バックアップボールトに対するリソースベースのアクセスポリシーを作成して、バックアップボールト内のバックアップの削除を禁止する手順は、以下のとおりです。

バックアップボールトのリソースベースのアクセスポリシーを作成するには
  1. にサインインし AWS Management Console、https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. 左側のナビゲーションペインで、[バックアップボールト] を選択します。

  3. リストからバックアップボールトを選択します。

  4. アクセスポリシーセクションで、次のJSON例を貼り付けます。このポリシーは、プリンシパルでないユーザーがターゲットバックアップコンテナー内の復旧ポイントを削除することを禁止します。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }

    を使用してリスト ID IAM を許可するにはARN、次の例のグローバルaws:PrincipalArn条件キーを使用します。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }

    IAM エンティティの一意の ID を取得する方法については、IAM「 ユーザーガイド」の「一意の識別子の取得」を参照してください。

    これを特定のリソースタイプに制限する場合は、"Resource": "*" の代わりに、拒否する復旧ポイントタイプを明示的に含めることができます。例えば、Amazon EBSスナップショットの場合は、リソースタイプを次のように変更します。

    "Resource": ["arn:aws:ec2::Region::snapshot/*"]
  5. Attach policy] (ポリシーのアタッチ) を選択します。