翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
バックアップボールトでのアクセスポリシーの設定
では AWS Backup、バックアップボールトとそのボールトに含まれるリソースにポリシーを割り当てることができます。ポリシーを割り当てると、バックアッププランやオンデマンドバックアップを作成するアクセス権をユーザーに付与するなどの操作が可能になりますが、作成後に復旧ポイントを削除する機能は制限されます。
ポリシーを使用してリソースへのアクセスを許可または制限する方法については、IAM ユーザーガイドの「アイデンティティベースおよびリソースベースのポリシー」を参照してください。タグを使用してアクセスを管理することもできます。
次のポリシーの例をガイドとして使用して、 AWS Backup ボールトの使用時にリソースへのアクセスを制限できます。他の IAM ベースのポリシーとは異なり、 AWS Backup アクセスポリシーはActionキー内のワイルドカードをサポートしていません。
さまざまなリソースタイプの復旧ポイントを識別するために使用できる Amazon リソースネーム (ARN) のリストについては、「AWS Backup リソース ARNs」を参照して、リソース固有の復旧ポイントの ARN を確認してください。
ボールトアクセスポリシーは AWS Backup APIsへのユーザーアクセスのみを制御します。Amazon Elastic Block Store (Amazon EBS) や Amazon Realational Database Service (Amazon RDS) スナップショットなど一部のBack upタイプには、これらサービスの API を使用してもアクセスできます。これらのバックアップタイプへのアクセスを完全に管理するために、これら API へのアクセスを管理する個別のアクセスポリシーを IAM で作成できます。
AWS Backup ボールトのアクセスポリシーに関係なく、 以外のアクションのクロスアカウントアクセスは拒否backup:CopyIntoBackupVaultされます。つまり、参照されているリソースのアカウントとは異なるアカウントからの他のリクエストは拒否 AWS Backup されます。
バックアップボールトのリソースタイプへのアクセスを拒否する
このポリシーは、バックアップボールト内のすべての Amazon EBS スナップショットに対して、指定された API 操作へのアクセスを拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }
バックアップボールトへのアクセスを拒否する
このポリシーは、バックアップボールトを対象とする、指定された API 操作へのアクセスを拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }
バックアップボールトの復旧ポイントを削除するアクセスを拒否する
ボールトにアクセスできるかどうか、ボールトに保存されている復旧ポイントを削除できるかは、ユーザーに付与するアクセス許可によって決まります。
バックアップボールトに対するリソースベースのアクセスポリシーを作成して、バックアップボールト内のバックアップの削除を禁止する手順は、以下のとおりです。
バックアップボールトのリソースベースのアクセスポリシーを作成するには
にサインインし AWS Management Console、https://console.aws.amazon.com/backup
で AWS Backup コンソールを開きます。 -
左側のナビゲーションペインで、[バックアップボールト] を選択します。
-
リストからバックアップボールトを選択します。
-
[Access policy (アクセスポリシー)] セクションに、以下の JSON の例を貼り付けます。このポリシーは、プリンシパルでないユーザーがターゲットバックアップコンテナー内の復旧ポイントを削除することを禁止します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }ARN を使用して IAM ID のリストを許可するには、次の例の
aws:PrincipalArnグローバル条件キーを使用します。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }IAM エンティティの一意の ID の取得については、IAM ユーザーガイドの「一意識別子の取得」を参照してください。
これを特定のリソースタイプに制限する場合は、
"Resource": "*"の代わりに、拒否する復旧ポイントタイプを明示的に含めることができます。たとえば、Amazon EBS スナップショットの場合は、リソースタイプを次のように変更します。"Resource": ["arn:aws:ec2::Region::snapshot/*"] -
Attach policy] (ポリシーのアタッチ) を選択します。
