IAM サービスロール - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM サービスロール

AWS Identity and Access Management (IAM) ロールは、AWS でアイデンティティが実行できることとできないことを決定する許可ポリシーを持つ AWS アイデンティティであるという点で、ユーザーと似ています。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。サービスロールは、お客様に代わって AWS のサービスがアクションを実行するために引き受けるロールです。お客様に代わってバックアップオペレーションを実行するサービスとして、AWS Backup には、お客様に代わってバックアップオペレーションを実行するときに、ロールを渡す必要があります。IAM ロールの詳細については、IAM ユーザーガイドの「IAM ロール」を参照してください。

AWS Backup に渡すロールには、AWS Backup がバックアップの作成、復元、期限切れ指定などのバックアップオペレーションに関連したアクションを実行するためのアクセス許可を付与する IAM ポリシーが必要です。AWS Backup がサポートする AWS のサービスごとに異なるアクセス許可が必要です。ロールには、AWS Backup が信頼されたエンティティとして登録されている必要があります。これにより、AWS Backup はロールを引き受けることができます。

バックアッププランにリソースを割り当てる場合、またはオンデマンドバックアップ、コピー、またはリストアを実行する場合は、指定したリソースで基になる操作を実行するためのアクセス権を持つサービスロールを渡す必要があります。AWS Backup はこのロールを使用して、アカウント内のリソースを作成、タグ付け、および削除します。

AWS ロールを使用したバックアップに対するアクセスコントロール

ロールを使用してバックアップへのアクセスを制御するには、適用範囲を絞り込んだロールを定義し、そのロールを AWS Backup に渡すことのできるユーザーを指定します。たとえば、Amazon Relational Database Service (Amazon RDS) データベースをバックアップするための権限のみを付与するロールを作成し、そのロールを AWS Backup に渡すための権限を Amazon RDS データベース所有者にのみ付与できます。AWS Backup には、サポートされている各サービス用に事前定義されたいくつかの管理ポリシーが用意されています。これらの管理ポリシーは、作成したロールにアタッチできます。これにより、AWS Backup に必要な適切なアクセス権限を持つサービス固有のロールを簡単に作成できます。

AWS Backup の AWS 管理ポリシーの詳細については、「マネージドポリシー」を参照してください。

AWS Backup のデフォルトのサービスロール

初めて AWS Backup コンソールを使用するときは、AWS Backup でデフォルトのサービスロールが作成されるように選択できます。このロールには、AWS BackupがサポートしているすべてのAWSのサービスに対してバックアップオペレーションを実行するためのアクセス許可があります。デフォルトのサービスロールを選択するには、開始方法のいずれかのオプションに従います。

注記

AWS Management Console を使ってデフォルトのロールを作成する必要があります。AWS Command Line Interface (AWS CLI) を使ってデフォルトロールを作成することはできません。

リソースタイプごとに異なるロールなど、カスタムロールを使用したい場合は、それを実行し、AWS Backup にカスタムロールを渡すこともできます。個々のリソースタイプのバックアップとリストアを有効にするロールの例を表示するには、「」カスタマー管理ポリシー を参照してください。

AWS Backupによって作成されたデフォルトのサービスロールはカスタムロールを使用せずにバックアップの作成とリストアを管理します。AWSBackupDefaultServiceRoleデフォルトのサービスロールが呼び出されます。

AWSBackupDefaultServiceRoleには、AWSBackupServiceRolePolicyForBackupと 2 つの管理ポリシーが含まれますAWSBackupServiceRolePolicyForRestores

AWSBackupServiceRolePolicyForBackupには、AWS Backupバックアップされるリソースを定義するための権限、バックアップを作成、削除、説明、またはバックアップにタグを追加する機能をに付与する IAM ポリシーが含まれています。この IAM ポリシーには、AWS Backup がサポートしているすべてのリソースタイプに必要なアクセス許可が含まれています。

AWSBackupServiceRolePolicyForRestoresには、バックアップから作成される新しいリソースを作成、削除、AWS Backupまたは定義するための権限をに付与する IAM ポリシーが含まれています。また、新しく作成されたリソースにタグを付けるためのアクセス許可も含まれています。この IAM ポリシーには、AWS Backup がサポートしているすべてのリソースタイプに必要なアクセス許可が含まれています。

Amazon EC2 インスタンスをリストアするには、新しいインスタンスを開始する必要があります。

デフォルトのサービスロールの作成

AWS Backupコンソールで実行する特定のアクションによって、AWS Backupデフォルトのサービスロールが作成されます。CLI 操作などの他のアクティビティでは、そのロールを作成できません。

AWS BackupAWSBackupDefaultServiceRoleAWSアカウントにデフォルトのサービスロールを作成するには:
  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. アカウントのロールを作成するには、バックアッププランにリソースを割り当てるか、オンデマンドバックアップを作成します。

    1. バックアップ計画を作成し、そのバックアップにリソースを割り当てます。「スケジュールバックアップの作成」を参照してください。

    2. または、オンデマンドバックアップを作成します。オンデマンドバックアップの作成を参照してください

  3. 次の手順に従って、AWSBackupDefaultServiceRoleアカウントでが作成されていることを確認します。

    1. 数分待ってください。AWSIdentity and Access Management ユーザーガイドの行った変更がすぐに表示されないことがある」を参照してください。

    2. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

    3. 左側のナビゲーションメニューの [Cha] を選択します

    4. 検索バーで、「」を入力しますAWSBackupDefaultServiceRole。この選択肢がある場合は、AWS Backupデフォルトのロールを作成してこの手順を完了したことになります。

    5. AWSBackupDefaultServiceRoleそれでも表示されない場合は、コンソールへのアクセスに使用する IAM ユーザーまたは IAM ロールに次の権限を追加してください。

      { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iam:CreateRole", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole" }, { "Effect":"Allow", "Action":[ "iam:ListRoles" ], "Resource":"*" } ] }

      中国リージョンの場合は、aws を aws-cn に置き換えてください。AWS GovCloud (US)リージョンの場合は aws をに置き換えてくださいaws-us-gov

    6. IAM ユーザーまたは IAM ロールにアクセス権限を追加できない場合は、管理者に依頼して、AWSBackupDefaultServiceRole名前を付けたロールを手動で作成し、そのロールを通常使用する管理ポリシーにアタッチしてもらってください。

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores