IAM サービスロール - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM サービスロール

AWS Identity and Access Management (IAM) ロールは、 で AWS ID ができることとできないことを決定するアクセス許可ポリシーを持つ ID であるという点で、ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。サービスロールは、ユーザーに代わってアクションを実行するために AWS サービスが引き受けるロールです。お客様に代わってバックアップオペレーションを実行するサービスとして、 AWS Backup には、お客様に代わってバックアップオペレーションを実行するときに、ロールを渡す必要があります。IAM ロールの詳細については、IAM「 ユーザーガイド」のIAM「ロール」を参照してください。

渡すロールには、バックアップの作成、復元、期限切れなどのバックアップオペレーションに関連するアクションを実行 AWS Backup するためのアクセス許可を持つIAMポリシー AWS Backup が必要です。が AWS Backup サポートするサービスごとに AWS 異なるアクセス許可が必要です。ロールは、 がロールを AWS Backup 引き受けることができる信頼されたエンティティとして AWS Backup リストされている必要があります。

バックアッププランにリソースを割り当てる場合、またはオンデマンドのバックアップ、コピー、または復元を実行する場合は、指定されたリソースに対して基盤となるオペレーションを実行するためのアクセス権限を持つサービスロールを渡す必要があります。 は、このロール AWS Backup を使用して、アカウント内のリソースを作成、タグ付け、削除します。

AWS ロールを使用してバックアップへのアクセスを制御する

ロールを使用してバックアップへのアクセスを制御するには、適用範囲を絞り込んだロールを定義し、そのロールを AWS Backupに渡すことのできるユーザーを指定します。例えば、Amazon Relational Database Service (Amazon RDS) データベースをバックアップするアクセス許可のみを付与し、そのロールを に渡すアクセス許可のみを Amazon RDS データベース所有者に付与するロールを作成できます AWS Backup。 は、サポートされているサービスごとにいくつかの事前定義された管理ポリシー AWS Backup を提供します。これらの管理ポリシーは、作成したロールにアタッチできます。これにより、 AWS Backup 必要な適切なアクセス許可を持つサービス固有のロールを簡単に作成できます。

の AWS マネージドポリシーの詳細については AWS Backup、「」を参照してくださいの マネージドポリシー AWS Backup

のデフォルトのサービスロール AWS Backup

AWS Backup コンソールを初めて使用する場合は、デフォルトのサービスロール AWS Backup を作成するように選択できます。このロールには、ユーザーに代わってバックアップを作成および復元 AWS Backup するために必要なアクセス許可があります。

注記

デフォルトロールは、 AWS Management Consoleを使用すると自動的に作成されます。 AWS Command Line Interface (AWS CLI) を使用してデフォルトのロールを作成できますが、手動で行う必要があります。

リソースタイプごとに異なるロールなど、カスタムロールを使用したい場合は、それを実行し、 AWS Backupにカスタムロールを渡すこともできます。個々のリソースタイプのバックアップと復元を有効にするロールの例を表示するには、カスタマー管理ポリシー 表を参照してください。

デフォルトのサービスロールの名前は ですAWSBackupDefaultServiceRole。このサービスロールには、 AWSBackupServiceRolePolicyForBackupと の 2 つの管理ポリシーが含まれていますAWSBackupServiceRolePolicyForRestores

AWSBackupServiceRolePolicyForBackup には、バックアップされるリソースを記述する AWS Backup アクセス許可を付与するIAMポリシー、暗号化される AWS KMS キーに関係なく、バックアップにタグを作成、削除、記述、または追加する機能が含まれています。

AWSBackupServiceRolePolicyForRestores には、暗号化される AWS KMS キーに関係なく、バックアップから作成される新しいリソースを作成、削除、または記述する AWS Backup アクセス許可を付与するIAMポリシーが含まれています。また、新しく作成されたリソースにタグを付けるためのアクセス許可も含まれています。

Amazon EC2インスタンスを復元するには、新しいインスタンスを起動する必要があります。

コンソール内でデフォールトのサービスロールを作成する

AWS Backup コンソールで実行する特定のアクションによって、 AWS Backup デフォルトのサービスロールが作成されます。

AWS アカウントに AWS Backup デフォルトのサービスロールを作成するには
  1. https://console.aws.amazon.com/backup で AWS Backup コンソールを開きます。

  2. アカウントのロールを作成するには、バックアッププランにリソースを割り当てるか、オンデマンドバックアップを作成します。

    1. バックアッププランを作成し、バックアップにリソースを割り当てます。「バックアッププランの作成」を参照してください。

    2. または、オンデマンドバックアップを作成します。「オンデマンドバックアップを作成する」を参照してください。

  3. 次の手順に従って、アカウントに AWSBackupDefaultServiceRole を作成したことを確認します。

    1. 数分待ちます。詳細については、「AWS Identity and Access Management ユーザーガイド」の「行った変更がすぐに表示されないことがある」を参照してください。

    2. にサインイン AWS Management Console し、 でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

    3. 左のナビゲーションメニューから [ロール] を選択します。

    4. 検索バーに「AWSBackupDefaultServiceRole」と入力します この選択が存在する場合は、 AWS Backup デフォルトのロールを作成し、この手順を完了します。

    5. AWSBackupDefaultServiceRole それでも表示されない場合は、コンソールへのアクセスに使用するIAMユーザーまたはIAMロールに次のアクセス許可を追加します。

      { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iam:CreateRole", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole" }, { "Effect":"Allow", "Action":[ "iam:ListRoles" ], "Resource":"*" } ] }

      中国リージョンの場合は、aws with aws-cn。 AWS GovCloud (US) リージョンの場合は、 を置き換えます。aws with aws-us-gov.

    6. IAM ユーザーまたはIAMロールにアクセス許可を追加できない場合は、 以外の名前のロールを手動で作成AWSBackupDefaultServiceRoleし、そのロールを次の管理ポリシーにアタッチするように管理者に依頼してください。

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores