IAM サービスロール - AWS Backup
AWS ロールを使用してバックアップへのアクセスを制御するのデフォルトのサービスロール AWS Backupコンソール内でデフォールトのサービスロールを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM サービスロール

AWS Identity and Access Management (IAM) ロールは、 AWS アイデンティティが でできることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。サービスロールは、 AWS サービスがユーザーに代わってアクションを実行するために引き受けるロールです。お客様に代わってバックアップオペレーションを実行するサービスとして、 AWS Backup には、お客様に代わってバックアップオペレーションを実行するときに、ロールを渡す必要があります。IAM ロールの詳細については、「 IAMユーザーガイド」のIAM「 ロール」を参照してください。

に渡すロールには、 がバックアップの作成、復元、期限切れなどのバックアップオペレーションに関連するアクションを実行 AWS Backup できるようにするアクセス許可を持つ IAMポリシー AWS Backup が必要です。が AWS Backup サポートするサービスごとに AWS 異なるアクセス許可が必要です。ロールは、 がロールを AWS Backup 引き受けることができる信頼されたエンティティとして AWS Backup リストされている必要もあります。

バックアッププランにリソースを割り当てる場合、またはオンデマンドのバックアップ、コピー、または復元を実行する場合は、指定されたリソースで基盤となるオペレーションを実行するためのアクセス権を持つサービスロールを渡す必要があります。 は、このロール AWS Backup を使用して、アカウントでリソースを作成、タグ付け、削除します。

AWS ロールを使用してバックアップへのアクセスを制御する

ロールを使用してバックアップへのアクセスを制御するには、適用範囲を絞り込んだロールを定義し、そのロールを AWS Backupに渡すことのできるユーザーを指定します。例えば、Amazon Relational Database Service (Amazon ) データベースをバックアップするアクセス許可のみを付与し、そのロールを に渡すアクセス許可のみを Amazon RDS データベース所有者に付与するロールを作成できます AWS Backup。 は、サポートされている各サービスに対していくつかの事前定義された管理ポリシー AWS Backup を提供します。 RDSこれらの管理ポリシーは、作成したロールにアタッチできます。これにより、 が AWS Backup 必要とする適切なアクセス許可を持つサービス固有のロールを簡単に作成できます。

の AWS マネージドポリシーの詳細については AWS Backup、「」を参照してくださいの管理ポリシー AWS Backup

のデフォルトのサービスロール AWS Backup

AWS Backup コンソールを初めて使用する場合は、 にデフォルトのサービスロール AWS Backup を作成するように選択できます。このロールには、ユーザーに代わってバックアップを作成および復元 AWS Backup するために必要なアクセス許可があります。

注記

デフォルトロールは、 AWS Management Consoleを使用すると自動的に作成されます。 AWS Command Line Interface (AWS CLI) を使用してデフォルトのロールを作成できますが、手動で実行する必要があります。

リソースタイプごとに異なるロールなど、カスタムロールを使用したい場合は、それを実行し、 AWS Backupにカスタムロールを渡すこともできます。個々のリソースタイプのバックアップと復元を有効にするロールの例を表示するには、カスタマー管理ポリシー 表を参照してください。

デフォルトのサービスロールの名前は ですAWSBackupDefaultServiceRole。このサービスロールには、 AWSBackupServiceRolePolicyForBackupと の 2 つの管理ポリシーが含まれていますAWSBackupServiceRolePolicyForRestores

AWSBackupServiceRolePolicyForBackup には、バックアップされるリソースを記述する AWS Backup アクセス許可、暗号化されている AWS KMS キーに関係なくバックアップを作成、削除、記述、または追加する機能を付与する IAMポリシーが含まれています。

AWSBackupServiceRolePolicyForRestores には、暗号化されている AWS KMS キーに関係なく、バックアップから作成される新しいリソースを作成、削除、または記述する AWS Backup アクセス許可を付与する IAMポリシーが含まれています。また、新しく作成されたリソースにタグを付けるためのアクセス許可も含まれています。

Amazon EC2インスタンスを復元するには、新しいインスタンスを起動する必要があります。

コンソール内でデフォールトのサービスロールを作成する

AWS Backup コンソールで実行する特定のアクションは、 AWS Backup デフォルトのサービスロールを作成します。

AWS アカウントに AWS Backup デフォルトのサービスロールを作成するには

  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. アカウントのロールを作成するには、バックアッププランにリソースを割り当てるか、オンデマンドバックアップを作成します。

    1. バックアッププランを作成し、バックアップにリソースを割り当てます。「スケジュールされたバックアップを作成する」を参照してください。

    2. または、オンデマンドバックアップを作成します。「オンデマンドバックアップを作成する」を参照してください。

  3. 次の手順に従って、アカウントに AWSBackupDefaultServiceRole を作成したことを確認します。

    1. 数分待ちます。詳細については、「AWS Identity and Access Management ユーザーガイド」の「行った変更がすぐに表示されないことがある」を参照してください。

    2. にサインイン AWS Management Console し、 でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

    3. 左のナビゲーションメニューから [ロール] を選択します。

    4. 検索バーに「AWSBackupDefaultServiceRole」と入力します この選択が存在する場合は、 AWS Backup デフォルトのロールを作成し、この手順を完了します。

    5. AWSBackupDefaultServiceRole それでも が表示されない場合は、コンソールへのアクセスに使用するIAMユーザーまたはIAMロールに次のアクセス許可を追加します。

      {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "iam:CreateRole",
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
    },
    {
      "Effect":"Allow",
      "Action":[
        "iam:ListRoles"
      ],
      "Resource":"*"
    }
  ]
}

      中国リージョンの場合は、aws with aws-cn。 AWS GovCloud (US) リージョンの場合は、aws with aws-us-gov.

    6. IAM ユーザーまたはIAMロールにアクセス許可を追加できない場合は、 以外の名前のロールを手動で作成AWSBackupDefaultServiceRoleし、そのロールを次の マネージドポリシーにアタッチするように管理者に依頼してください。

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores