IAM サービスロール - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM サービスロール

AWS Identity and Access Management (IAM) ロールは、ID で実行できることとできないことを決定するアクセス権限ポリシーを持つ AWS ID であるという点で、ユーザーと同様です。 AWSただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。サービスロールは、 AWS ユーザーに代わってアクションを実行するためにサービスが引き受けるロールです。お客様に代わってバックアップオペレーションを実行するサービスとして、 AWS Backup には、お客様に代わってバックアップオペレーションを実行するときに、ロールを渡す必要があります。IAM ロールの詳細については、IAM ユーザーガイドIAM ロールを参照してください。

渡すロールには、バックアップの作成、復元、期限切れなど、バックアップ操作に関連するアクションを実行できる権限を持つ IAM AWS Backup ポリシーが必要です。 AWS Backup AWS サポートするサービスごとに異なる権限が必要です。 AWS Backup また、そのロールは、 AWS Backup AWS Backup そのロールを引き受けることができる信頼できるエンティティとしてリストされている必要があります。

バックアッププランにリソースを割り当てる場合、またはオンデマンドのバックアップ、コピー、または復元を実行する場合は、指定されたリソースに対して基礎となる操作を実行するためのアクセス権を持つサービスロールを渡す必要があります。 AWS Backup このロールを使用して、アカウント内のリソースを作成、タグ付け、削除します。

AWS ロールを使用してバックアップへのアクセスを制御する

ロールを使用してバックアップへのアクセスを制御するには、適用範囲を絞り込んだロールを定義し、そのロールを AWS Backupに渡すことのできるユーザーを指定します。たとえば、Amazon Relational Database Service (Amazon RDS) データベースをバックアップする権限のみを付与するロールを作成し、Amazon RDS データベース所有者だけにそのロールを渡すアクセス権限を付与することができます。 AWS Backup AWS Backup には、サポートされているサービスごとに定義済みの管理ポリシーがいくつか用意されています。これらの管理ポリシーは、作成したロールにアタッチできます。これにより、必要な適切な権限を持つサービス固有のロールを簡単に作成できます。 AWS Backup

AWS の管理ポリシーの詳細については AWS Backup、を参照してください。の管理ポリシー AWS Backup

のデフォルトサービスロール AWS Backup

AWS Backup コンソールを初めて使用するときには、 AWS Backup デフォルトのサービスロールを作成するように選択できます。このロールには、 AWS Backup AWS サポートしているすべてのサービスのバックアップ操作を実行するのに必要な権限があります。デフォルトのサービスロールを選択するには、開始方法のいずれかのオプションに従います。

注記

デフォルトロールは、 AWS Management Consoleを使用すると自動的に作成されます。既定のロールは AWS Command Line Interface (AWS CLI) を使用して作成できますが、手動で作成する必要があります。

リソースタイプごとに異なるロールなど、カスタムロールを使用したい場合は、それを実行し、 AWS Backupにカスタムロールを渡すこともできます。個々のリソースタイプのバックアップと復元を有効にするロールの例を表示するには、カスタマー管理ポリシー 表を参照してください。

によって作成されたデフォルトのサービスロールは、 AWS Backup カスタムロールを使用しなくてもバックアップの作成と復元を管理します。デフォルトのサービスロールはと呼ばれますAWSBackupDefaultServiceRole

AWSBackupDefaultServiceRoleAWSBackupServiceRolePolicyForBackupとの 2 つの管理ポリシーが含まれていますAWSBackupServiceRolePolicyForRestores

AWSBackupServiceRolePolicyForBackupには、バックアップ対象のリソースを記述するアクセス権、 AWS KMS 暗号化に使用したキーに関係なく、バックアップの作成、削除、説明、 AWS Backup またはバックアップへのタグの追加を行う権限を付与する IAM ポリシーが含まれています。この IAM ポリシーには、サポートするすべてのリソースタイプに必要な権限が含まれています。 AWS Backup

AWSBackupServiceRolePolicyForRestoresには、 AWS KMS 暗号化に使用したキーに関係なく、バックアップから作成される新しいリソースを作成、削除、 AWS Backup または記述する権限を付与する IAM ポリシーが含まれています。また、新しく作成されたリソースにタグを付けるためのアクセス許可も含まれています。この IAM ポリシーには、 AWS Backup がサポートしているすべてのリソースタイプに必要なアクセス許可が含まれています。

Amazon EC2 インスタンスをリストアするには、新しいインスタンスを開始する必要があります。

コンソール内でデフォールトのサービスロールを作成する

AWS Backup コンソールで実行する特定のアクションによって、 AWS Backup デフォルトのサービスロールが作成されます。

AWS BackupAWSBackupDefaultServiceRoleAWS アカウントにデフォルトのサービスロールを作成するには:
  1. https://console.aws.amazon.com/backup AWS Backup でコンソールを開きます。

  2. アカウントのロールを作成するには、バックアッププランにリソースを割り当てるか、オンデマンドバックアップを作成します。

    1. バックアッププランを作成し、バックアップにリソースを割り当てます。「スケジュールされたバックアップを作成する」を参照してください。

    2. または、オンデマンドバックアップを作成します。「オンデマンドバックアップを作成する」を参照してください。

  3. 次の手順に従って、アカウントに AWSBackupDefaultServiceRole を作成したことを確認します。

    1. 数分待ちます。詳細については、「AWS Identity and Access Management ユーザーガイド」の「行った変更がすぐに表示されないことがある」を参照してください。

    2. AWS Management Console にサインインし、https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

    3. 左のナビゲーションメニューから [ロール] を選択します。

    4. 検索バーに「AWSBackupDefaultServiceRole」と入力します この選択肢があれば、 AWS Backup デフォルトのロールが作成され、この手順は完了です。

    5. それでも AWSBackupDefaultServiceRole が表示されない場合は、コンソールへのアクセスに使用する IAM ユーザーまたは IAM ロールに次のアクセス許可を追加します。

      { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iam:CreateRole", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole" }, { "Effect":"Allow", "Action":[ "iam:ListRoles" ], "Resource":"*" } ] }

      中国リージョンの場合は、awsaws-cn に置き換えてください。 AWS GovCloud (US) リージョンの場合は aws をに置き換えますaws-us-gov

    6. IAM ユーザーまたは IAM ロールにアクセス許可を追加できない場合は、管理者に依頼して、AWSBackupDefaultServiceRole 以外の名前のロールを手動で作成し、そのロールを以下の管理ポリシーにアタッチするよう依頼します。

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores