の マネージドポリシー AWS Backup - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の マネージドポリシー AWS Backup

マネージドポリシーは、 内の複数のユーザー、グループ、ロールにアタッチできるスタンドアロンのアイデンティティベースのポリシーです AWS アカウント。ポリシーをプリンシパルエンティティにアタッチすると、ポリシーで定義されたアクセス権限がエンティティに付与されます。

AWS 管理ポリシーは、 によって作成および管理されます AWS。 AWS マネージドポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。

カスタマー管理ポリシーでは、 のバックアップへのアクセスを設定するためのきめ細かなコントロールが提供されます AWS Backup。例えば、データベースバックアップ管理者に Amazon バックアップへのアクセスを許可できますが、Amazon RDSバックアップにはアクセスできませんEFS。

詳細については、「 ユーザーガイド」の「 マネージドポリシー」を参照してください。 IAM

AWS マネージドポリシー

AWS Backup では、一般的なユースケースに対して以下の AWS 管理ポリシーを提供しています。これらのポリシーではより簡単に、適切なアクセス許可を定義し、バックアップへのアクセスを制御できます。管理ポリシーには 2 種類あります。1 つのタイプは、 AWS Backupへのアクセスを制御するためにユーザーに割り当てられるように設計されています。もう 1 つのタイプは、 AWS Backupに渡すロールにアタッチされるように設計されています。以下の表では、 AWS Backup が提供するすべての管理ポリシーを示し、それらのポリシーがどのように定義されているかを説明しています。これらの管理ポリシーは、IAMコンソールのポリシーセクションにあります。

AWSBackupAuditAccess

このポリシーは、 AWS Backup リソースとアクティビティに対する期待を定義するコントロールとフレームワークを作成し、定義されたコントロールとフレームワークに対して AWS Backup リソースとアクティビティを監査するアクセス許可をユーザーに付与します。このポリシーは、監査を実行するユーザーの期待を説明するアクセス許可を AWS Config および同様のサービスに付与します。

このポリシーは、Amazon S3 および同様のサービスに監査レポートを配信するアクセス権限も付与し、ユーザーは監査レポートを見つけて開くことができます。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSBackupAuditAccess」の「」を参照してください。

AWSBackupDataTransferAccess

このポリシーは、 AWS Backup ストレージプレーンのデータ転送 に対するアクセス許可を提供しAPIs、 AWS Backint エージェントは AWS Backup ストレージプレーンを使用してバックアップデータ転送を完了できます。このポリシーは、Backint エージェントSAPHANAで実行されている Amazon EC2インスタンスが引き受けるロールにアタッチできます。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSBackupDataTransferAccess」の「」を参照してください。

AWSBackupFullAccess

バックアップ管理者は、バックアッププランの作成または編集、バックアッププランへの AWS リソースの割り当て、バックアップの復元など、 AWS Backup オペレーションへのフルアクセスが可能です。バックアップ管理者は、バックアップのコンプライアンスの決定と実施を担当し、組織のビジネスおよび規制関連の要件を満たすバックアッププランを定義します。また、バックアップ管理者は、組織の AWS リソースが適切なプランに割り当てられていることを確認します。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSBackupFullAccess」の「」を参照してください。

AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンス」の「」を参照してください。

AWSBackupOperatorAccess

バックアップオペレーターは、担当するリソースが適切にバックアップされていることを確認する責任のあるユーザーです。バックアップオペレーターには、バックアップ管理者が作成したバックアッププランに AWS リソースを割り当てるアクセス許可があります。また、 AWS リソースのオンデマンドバックアップを作成し、オンデマンドバックアップの保持期間を設定するアクセス許可も付与されます。バックアップオペレーターは、バックアッププランを作成または編集したり、スケジュールされたバックアップを作成後に削除したりするためのアクセス許可は持っていません。バックアップオペレーターはバックアップをリストアできます。バックアップオペレーター がバックアッププランに割り当てることができるリソースタイプや、バックアップからリストアできるリソースタイプを制限できます。これを行うには、特定のリソースタイプに対するアクセス許可 AWS Backup を持つ特定のサービスロールのみに渡されるようにします。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSBackupOperatorAccess」の「」を参照してください。

AWSBackupOrganizationAdminAccess

組織管理者は、バックアップポリシーの作成、編集、削除、アカウントと組織単位へのバックアップポリシーの割り当て、組織内のバックアップアクティビティのモニタリングなど、 AWS Organizations オペレーションへのフルアクセスが可能です。組織管理者は、組織のビジネス要件および規制要件を満たすバックアップポリシーを定義して割り当てることによって、組織内のアカウントを保護する責任があります。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSBackupOrganizationAdminAccess」の「」を参照してください。

AWSBackupRestoreAccessForSAPHANA

このポリシーは、Amazon SAPHANAで のバックアップを復元する AWS Backup アクセス許可を提供しますEC2。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSBackupRestoreAccessForSAPHANA」の「」を参照してください。

AWSBackupServiceLinkedRolePolicyForBackup

このポリシーは、 という名前のサービスにリンクされたロールにアタッチされます。AWSServiceRoleforBackup は、 AWS Backup がユーザーに代わって AWS サービスを呼び出してバックアップを管理します。詳細については、「ロールを使用したバックアップとコピー」を参照してください。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンス AWSBackupServiceLinkedRolePolicyforBackup」の「」を参照してください。

AWSBackupServiceLinkedRolePolicyForBackupTest

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSBackupServiceLinkedRolePolicyForBackupTest」の「」を参照してください。

AWSBackupServiceRolePolicyForBackup

お客様に代わって、サポートされているすべてのリソースタイプのバックアップを作成する AWS Backup アクセス許可を提供します。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSBackupServiceRolePolicyForBackup」の「」を参照してください。

AWSBackupServiceRolePolicyForRestores

お客様に代わって、サポートされているすべてのリソースタイプのバックアップを復元する AWS Backup アクセス許可を提供します。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSBackupServiceRolePolicyForRestores」の「」を参照してください。

EC2 インスタンスの復元では、EC2インスタンスを起動するために次のアクセス許可を含める必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/role-name", "Effect": "Allow" } ] }

AWSBackupServiceRolePolicyForS3Backup

このポリシーには、S3 バケットをバックアップ AWS Backup するために必要なアクセス許可が含まれています。これには、バケット内のすべてのオブジェクトおよび関連する AWS KMS キーへのアクセスが含まれます。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSBackupServiceRolePolicyForS3Backup」の「」を参照してください。

AWSBackupServiceRolePolicyForS3Restore

このポリシーには、S3 バックアップをバケットに復元 AWS Backup するために必要なアクセス許可が含まれています。これには、バケットへの読み取りおよび書き込みアクセス許可と、S3 オペレーションに関する AWS KMS キーの使用が含まれます。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSBackupServiceRolePolicyForS3Restore」の「」を参照してください。

AWSServiceRolePolicyForBackupReports

AWS Backup はAWSServiceRoleForBackupReports、サービスにリンクされたロールにこのポリシーを使用します。このサービスにリンクされたロールは、バックアップ設定、ジョブ、およびリソースのフレームワークへのコンプライアンスをモニタリングおよびレポートする AWS Backup アクセス許可を付与します。

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSServiceRolePolicyForBackupReports」の「」を参照してください。

AWSServiceRolePolicyForBackupRestoreTesting

このポリシーのアクセス許可を表示するには、AWS 「 マネージドポリシーリファレンスAWSServiceRolePolicyForBackupRestoreTesting」の「」を参照してください。

カスタマー管理ポリシー

以下のセクションでは、 および でサポートされているサードパーティーアプリケーションに推奨されるバックアップ AWS のサービス および復元アクセス許可について説明します AWS Backup。既存の AWS マネージドポリシーをモデルとして使用して独自のポリシードキュメントを作成し、リソースへのアクセスをさらに制限するようにカスタマイズできます AWS 。

バックアップ

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

復元

からの RDSPermissionsステートメントから開始しますAWSBackupServiceRolePolicyForRestores

バックアップ

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForBackup

  • DynamoDBPermissions

  • DynamoDBBackupResourcePermissions

  • DynamodbBackupPermissions

  • KMSDynamoDBPermissions

復元

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForRestores

  • DynamoDBPermissions

  • DynamoDBBackupResourcePermissions

  • DynamoDBRestorePermissions

  • KMSPermissions

バックアップ

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForBackup

  • EBSResourcePermissions

  • EBSTagAndDeletePermissions

  • EBSCopyPermissions

  • EBSSnapshotTierPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

復元

からの EBSPermissionsステートメントから開始しますAWSBackupServiceRolePolicyForRestores

次のステートメントを追加します。

{ "Effect":"Allow", "Action": [ "ec2:DescribeSnapshots", "ec2:DescribeVolumes" ], "Resource":"*" },
バックアップ

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForBackup

  • EBSCopyPermissions

  • EC2CopyPermissions

  • EC2Permissions

  • EC2TagPermissions

  • EC2ModifyPermissions

  • EBSResourcePermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

復元

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForRestores

  • EBSPermissions

  • EC2DescribePermissions

  • EC2RunInstancesPermissions

  • EC2TerminateInstancesPermissions

  • EC2CreateTagsPermissions

次のステートメントを追加します。

{ "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/role-name" },
バックアップ

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForBackup

  • EFSPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

復元

からの EFSPermissionsステートメントから始めますAWSBackupServiceRolePolicyForRestores

バックアップ

からの次のステートメントから始めますAWSBackupServiceRolePolicyForBackup

  • FsxBackupPermissions

  • FsxCreateBackupPermissions

  • FsxPermissions

  • FsxVolumePermissions

  • FsxListTagsPermissions

  • FsxDeletePermissions

  • FsxResourcePermissions

  • KMSPermissions

復元

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForRestores

  • FsxPermissions

  • FsxTagPermissions

  • FsxBackupPermissions

  • FsxDeletePermissions

  • FsxDescribePermissions

  • FsxVolumeTagPermissions

  • FsxBackupTagPermissions

  • FsxVolumePermissions

  • DSPermissions

  • KMSDescribePermissions

バックアップ

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

復元

からの RDSPermissionsステートメントから開始しますAWSBackupServiceRolePolicyForRestores

バックアップ

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

復元

からの RDSPermissionsステートメントから開始しますAWSBackupServiceRolePolicyForRestores

バックアップ

で開始しますAWSBackupServiceRolePolicyForS3Backup

バックアップを別のアカウントにコピーする必要がある場合は、 BackupVaultPermissions および BackupVaultCopyPermissionsステートメントを追加します。

復元

で開始しますAWSBackupServiceRolePolicyForS3Restore

バックアップ

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForBackup

  • StorageGatewayPermissions

  • EBSTagAndDeletePermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

次のステートメントを追加します。

{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshots" ], "Resource":"*" },
復元

からの次のステートメントから開始しますAWSBackupServiceRolePolicyForRestores

  • StorageGatewayVolumePermissions

  • StorageGatewayGatewayPermissions

  • StorageGatewayListPermissions

バックアップ

からの BackupGatewayBackupPermissionsステートメントから開始しますAWSBackupServiceRolePolicyForBackup

復元

からの GatewayRestorePermissionsステートメントから開始しますAWSBackupServiceRolePolicyForRestores

暗号化されたバックアップ

暗号化されたバックアップを復元するには、次のいずれかの操作を行います。
  • AWS KMS キーポリシーの許可リストにロールを追加する

  • 復元のために、 からIAMロールAWSBackupServiceRolePolicyForRestoresに次のステートメントを追加します。

    • KMSDescribePermissions

    • KMSPermissions

    • KMSCreateGrantPermissions

のポリシーの更新 AWS Backup

このサービスがこれらの変更の追跡を開始 AWS Backup してからの AWS の管理ポリシーの更新に関する詳細を表示します。

変更 説明 日付
AWSBackupServiceRolePolicyForBackup - 既存ポリシーへの更新

AWS Backup このポリシーbackup:TagResourceに アクセス許可を追加しました。

このアクセス許可は、リカバリポイントの作成中にタグ付けアクセス許可を取得するために必要です。

2024 年 5 月 17 日
AWSBackupServiceRolePolicyForS3Backup – 既存ポリシーへの更新

AWS Backup このポリシーbackup:TagResourceに アクセス許可を追加しました。

このアクセス許可は、リカバリポイントの作成中にタグ付けアクセス許可を取得するために必要です。

2024 年 5 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

AWS Backup このポリシーbackup:TagResourceに アクセス許可を追加しました。

このアクセス許可は、リカバリポイントの作成中にタグ付けアクセス許可を取得するために必要です。

2024 年 5 月 17 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

アクセス許可 を追加しましたrds:DeleteDBInstanceAutomatedBackups

このアクセス許可は、 が Amazon RDSインスタンス point-in-time-restoreの継続的なバックアップと をサポートする AWS Backup のに必要です。

2024 年 5 月 1 日
AWSBackupFullAccess – 既存ポリシーへの更新

AWS Backup Storage Gateway APIモデルの変更に対応するため、 storagegateway:ListVolumesから arn:aws:storagegateway:*:*:gateway/* へのアクセス許可で Amazon * リソースネーム (ARN) を更新しました。

2024 年 5 月 1 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

AWS Backup Storage Gateway APIモデルの変更に対応するため、 storagegateway:ListVolumesから arn:aws:storagegateway:*:*:gateway/* へのアクセス許可で Amazon * リソースネーム (ARN) を更新しました。

2024 年 5 月 1 日
AWSServiceRolePolicyForBackupRestoreTesting – 既存ポリシーへの更新

復元テストプランを実行するために、復旧ポイントと保護されたリソースを記述および一覧表示するアクセス許可を追加しました。backup:DescribeRecoveryPointbackup:DescribeProtectedResourcebackup:ListProtectedResources、および backup:ListRecoveryPointsByResource

Amazon EBSアーカイブ階層ストレージec2:DescribeSnapshotTierStatusをサポートするアクセス許可を追加しました。

Amazon Aurora の継続的バックアップrds:DescribeDBClusterAutomatedBackupsをサポートするアクセス許可を追加しました。

Amazon Redshift バックアップの復元テストをサポートするために、 redshift:DescribeClustersおよび のアクセス許可が追加されましたredshift:DeleteCluster

Amazon Timestream バックアップの復元テストtimestream:DeleteTableをサポートするアクセス許可を追加しました。

2024 年 2 月 14 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

アクセス許可ec2:DescribeSnapshotTierStatusと を追加しましたec2:RestoreSnapshotTier

これらのアクセス許可は、 に保存された Amazon EBSリソースをアーカイブストレージ AWS Backup から復元するオプションをユーザーが持つために必要です。

EC2 インスタンスの復元の場合、EC2インスタンスを起動するには、次のポリシーステートメントに示すようにアクセス許可を含める必要があります。

2023 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

アーカイブストレージ層に移行するバックアップされた Amazon EBSリソースの追加ストレージオプションをサポートするec2:ModifySnapshotTierアクセス許可ec2:DescribeSnapshotTierStatusと を追加しました。

これらのアクセス許可は、 に保存されている Amazon EBSリソースをアーカイブストレージ AWS Backup に移行するオプションをユーザーが持つために必要です。

2023 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

アーカイブストレージ層に移行するバックアップされた Amazon EBSリソースの追加ストレージオプションをサポートするec2:ModifySnapshotTierアクセス許可ec2:DescribeSnapshotTierStatusと を追加しました。

これらのアクセス許可は、 に保存されている Amazon EBSリソースをアーカイブストレージ AWS Backup に移行するオプションをユーザーが持つために必要です。

Aurora クラスターの PITR (point-in-time 復元) rds:RestoreDBClusterToPointInTimeに必要なアクセス許可rds:DescribeDBClusterSnapshotsと を追加しました。

AWSServiceRolePolicyForBackupRestoreTesting – 新しいポリシー

復元テストを実行するために必要なアクセス許可を提供します。アクセス許可には、復元テストに含めるlist, read, and write次のサービスのアクションが含まれます。Aurora、DocumentDB 、DynamoDB 、Amazon EBS、Amazon EC2、Amazon 、Amazon EFS、Lustre FSx用、Windows File Server FSx 用、、Open FSx用ZFS、Amazon Neptune ONTAP、Amazon 、RDSおよび Amazon S3 FSx用。

2023 年 11 月 27 日

AWSBackupFullAccess – 既存ポリシーへの更新

restore-testing.backup.amazonaws.comIamPassRolePermissionsIamCreateServiceLinkedRolePermissionsに追加されました。この追加は、 がお客様に代わって復元テストを実行する AWS Backup ために必要です。

2023 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

Aurora クラスターの PITR (point-in-time 復元) rds:RestoreDBClusterToPointInTimeに必要なアクセス許可rds:DescribeDBClusterSnapshotsと を追加しました。

2023 年 9 月 6 日
AWSBackupFullAccess – 既存ポリシーへの更新

Aurora クラスターの継続的なバックアップと point-in-time復元rds:DescribeDBClusterAutomatedBackupsに必要な アクセス許可 を追加しました。

2023 年 9 月 6 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

Aurora クラスターの継続的なバックアップと point-in-time復元rds:DescribeDBClusterAutomatedBackupsに必要な アクセス許可 を追加しました。

2023 年 9 月 6 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

アクセス許可 を追加しましたrds:DescribeDBClusterAutomatedBackups。このアクセス許可は、Aurora クラスターの継続的なバックアップと point-in-time復元 AWS Backup をサポートするために必要です。

保持期間が終了したときに、 AWS Backup ライフサイクルが Amazon Aurora の継続的リカバリポイントを削除および関連付け解除することを許可rds:DeleteDBClusterAutomatedBackupsするアクセス許可を追加しました。このアクセス許可は、Aurora 復旧ポイントが EXIPIRED の状態への移行を回避するために必要です。

が Aurora クラスターと AWS Backup やり取りrds:ModifyDBClusterできるアクセス許可を追加しました。この追加により、ユーザーは必要な設定に基づいて継続的バックアップを有効または無効にすることができます。

2023 年 9 月 6 日
AWSBackupFullAccess – 既存ポリシーへの更新

新しいボールトタイプのリソース共有の関連付けを取得するアクセス許可をユーザーに付与ram:GetResourceShareAssociationsするアクションを追加しました。

2023 年 8 月 8 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

新しいボールトタイプのリソース共有の関連付けを取得するアクセス許可をユーザーに付与ram:GetResourceShareAssociationsするアクションを追加しました。

2023 年 8 月 8 日
AWSBackupServiceRolePolicyForS3Backup – 既存ポリシーへの更新

バケットインベントリを使用してバックアップのパフォーマンス速度s3:PutInventoryConfigurationを向上させるアクセス許可を追加しました。

2023 年 8 月 1 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

リソースを復元するためのタグを追加するアクセス許可をユーザーに付与するために、 storagegateway:AddTagsToResourceelasticfilesystem:TagResourceRunInstancesのいずれかを含む ec2:CreateTagsのみの CreateVolumefsx:TagResource、 を追加ec2:CreateActionしましたcloudformation:TagResource

2023 年 5 月 22 日
AWSBackupAuditAccess – 既存ポリシーへの更新

内のリソース選択をワイルドカードリソースAPIconfig:DescribeComplianceByConfigRuleに置き換え、ユーザーがリソースを簡単に選択できるようにしました。

2023 年 4 月 11 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

カスタマーマネージドキーEFSを使用して Amazon を復元する次のアクセス許可を追加しました: kms:GenerateDataKeyWithoutPlaintext。これにより、ユーザーに Amazon EFSリソースを復元するために必要なアクセス許可が付与されます。

2023 年 3 月 27 日
AWSServiceRolePolicyForBackupReports – 既存ポリシーへの更新

Audit Manager が Audit Manager が管理する AWS Config ルールにアクセスできるように AWS Backup 、 config:DescribeConfigRulesおよび AWS Backup config:DescribeConfigRuleEvaluationStatusアクションを更新しました。

2023 年 3 月 9 日
AWSBackupServiceRolePolicyForS3Restore – 既存ポリシーへの更新

ポリシー s3:GetBucketOwnershipControlskms:Decrypt、、s3:PutBucketOwnershipControlsおよび のアクセス許可を追加しましたAWSBackupServiceRolePolicyForS3Restore。これらのアクセス許可は、KMS暗号化が元のバックアップで使用される場合のオブジェクトの復元をサポートし、オブジェクトの所有権が ではなく元のバケットに設定されている場合にオブジェクトを復元するために必要ですACL。

2023 年 2 月 13 日
AWSBackupFullAccess – 既存ポリシーへの更新

仮想マシンのVMwareタグを使用してバックアップをスケジュールしbackup-gateway:GetHypervisorPropertyMappings、スケジュールベースの帯域幅スロットリングをサポートするために、、backup-gateway:GetVirtualMachine、、backup-gateway:PutHypervisorPropertyMappingsbackup-gateway:GetHypervisorbackup-gateway:StartVirtualMachinesMetadataSyncbackup-gateway:GetBandwidthRateLimitScheduleおよび のアクセス許可を追加しましたbackup-gateway:PutBandwidthRateLimitSchedule

2022 年 12 月 15 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

仮想マシンのVMwareタグを使用してバックアップをスケジュールし、スケジュールベースの帯域幅スロットリングをサポートするにはbackup-gateway:GetHypervisorPropertyMappings、、backup-gateway:GetVirtualMachinebackup-gateway:GetHypervisor、および のアクセス許可を追加しましたbackup-gateway:GetBandwidthRateLimitSchedule

2022 年 12 月 15 日
AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync – 新しいポリシー

オンプレミスネットワーク内の仮想マシンのメタデータを Backup AWS Backup Gateway と同期するためのアクセス許可を Gateway に提供します。

2022 年 12 月 15 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

Timestream バックアップジョブをサポートするために、、timestream:StartAwsBackupJob、、timestream:GetAwsBackupStatustimestream:ListTables、、timestream:DescribeDatabasetimestream:ListDatabasestimestream:ListTagsForResourcetimestream:DescribeTable、および のアクセス許可が追加されましたtimestream:DescribeEndpoints

2022 年 12 月 13 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

Timestream 復元ジョブをサポートするために、、timestream:StartAwsRestoreJob、、timestream:GetAwsRestoreStatustimestream:ListTables、、、timestream:ListTagsForResourcetimestream:ListDatabasestimestream:DescribeTabletimestream:DescribeDatabases3:GetBucketAcl、、および のアクセス許可が追加されましたtimestream:DescribeEndpoints

2022 年 12 月 13 日
AWSBackupFullAccess – 既存ポリシーへの更新

Timestream リソースをサポートするためにtimestream:ListTables、、timestream:ListDatabasess3:ListAllMyBucketsおよび のアクセス許可が追加されましたtimestream:DescribeEndpoints

2022 年 12 月 13 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

Timestream リソースをサポートするために、、timestream:ListDatabasestimestream:ListTabless3:ListAllMyBuckets、および のアクセス許可が追加されましたtimestream:DescribeEndpoints

2022 年 12 月 13 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

Timestream リソースをサポートするために、、timestream:ListDatabases、、timestream:ListTablestimestream:ListTagsForResource、、timestream:DescribeDatabasetimestream:DescribeTabletimestream:GetAwsBackupStatustimestream:GetAwsRestoreStatus、および のアクセス許可が追加されましたtimestream:DescribeEndpoints

2022 年 12 月 13 日
AWSBackupFullAccess – 既存ポリシーへの更新

Amazon Redshift リソースをサポートするために、、redshift:DescribeClusters、、redshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptions、、redshift:DescribeSnapshotSchedulesredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroupsredshift:DescribeClusterTracks、および のアクセス許可が追加されましたec2:DescribeAddresses

2022 年 11 月 27 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

Amazon Redshift リソースをサポートするには、、redshift:DescribeClusters、、redshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterTracksredshift:DescribeClusterParameterGroups,、および redshift:DescribeSnapshotSchedulesのアクセス許可を追加ec2:DescribeAddressesしました。

2022 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

Amazon Redshift 復元ジョブをサポートするためにredshift:RestoreFromCluster Snapshot、、、redshift:RestoreTableFromClusterSnapshotredshift:DescribeClusters、および のアクセス許可が追加されましたredshift:DescribeTableRestoreStatus

2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

Amazon Redshift バックアップジョブをサポートするために、redshift:CreateClusterSnapshot、、redshift:DescribeClusterSnapshotsredshift:DescribeTagsredshift:DeleteClusterSnapshotredshift:DescribeClusters、および のアクセス許可が追加されましたredshift:CreateTags

2022 年 11 月 27 日
AWSBackupFullAccess – 既存ポリシーへの更新

CloudFormation リソースをサポートするために、次のアクセス許可を追加cloudformation:ListStacksしました。

2022 年 11 月 27 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

CloudFormation リソースをサポートするために、次のアクセス許可を追加cloudformation:ListStacksしました。

2022 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

CloudFormation リソースをサポートするために、redshift:DescribeClusterSnapshots、、redshift:DescribeTagsredshift:DeleteClusterSnapshot、および のアクセス許可が追加されましたredshift:DescribeClusters

2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

AWS CloudFormation アプリケーションスタックのバックアップジョブをサポートするためにcloudformation:GetTemplate、、cloudformation:DescribeStacks、および のアクセス許可が追加されましたcloudformation:ListStackResources

2022 年 11 月 16 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

AWS CloudFormation アプリケーションスタックのバックアップジョブをサポートするために、次のアクセス許可が追加されcloudformation:CreateChangeSetました。 cloudformation:DescribeChangeSet

2022 年 11 月 16 日
AWSBackupOrganizationAdminAccess – 既存ポリシーへの更新

このポリシーに次のアクセス許可を追加し、組織管理者が委任管理者機能を使用できるようにしました。organizations:ListDelegatedAdministratororganizations:RegisterDelegatedAdministrator、および organizations:DeregisterDelegatedAdministrator

2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

Amazon EC2インスタンスSAPHANAで をサポートするには、、ssm-sap:GetOperation、、ssm-sap:ListDatabasesssm-sap:BackupDatabasessm-sap:GetDatabasessm-sap:UpdateHanaBackupSettingsおよび のアクセス許可を追加しましたssm-sap:ListTagsForResource

2022 年 11 月 20 日

AWSBackupFullAccess – 既存ポリシーへの更新

Amazon EC2インスタンスSAPHANAで をサポートするには、ssm-sap:GetOperation、、ssm-sap:ListDatabasesssm-sap:GetDatabase、および のアクセス許可を追加しましたssm-sap:ListTagsForResource

2022 年 11 月 20 日

AWSBackupOperatorAccess – 既存ポリシーへの更新

Amazon EC2インスタンスSAPHANAで をサポートするには、ssm-sap:GetOperation、、ssm-sap:ListDatabasesssm-sap:GetDatabase、および のアクセス許可を追加しましたssm-sap:ListTagsForResource

2022 年 11 月 20 日

AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

Amazon EC2インスタンスSAPHANAで をサポートする次のアクセス許可を追加しました。 ssm-sap:GetOperation

2022 年 11 月 20 日

AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

Backup Gateway の復元ジョブをサポートするためのアクセス許可をEC2インスタンスに追加しました。 ec2:CreateTags

2022 年 11 月 20 日

AWSBackupDataTransferAccess – 既存ポリシーへの更新

SAP HANA On Amazon EC2リソースの安全なストレージデータ転送をサポートするために、、backup-storage:StartObject、、backup-storage:PutChunkbackup-storage:GetChunkbackup-storage:ListChunksbackup-storage:ListObjectsbackup-storage:GetObjectMetadata、および のアクセス許可が追加されましたbackup-storage:NotifyObjectComplete

2022 年 11 月 20 日
AWSBackupRestoreAccessForSAPHANA – 既存ポリシーへの更新

リソース所有者が SAP HANA On Amazon EC2リソースの復元を実行するためのアクセス許可を追加しました。backup:Get*、、backup:List*backup:Describe*backup:StartBackupJobbackup:StartRestoreJob、、、ssm-sap:GetOperationssm-sap:ListDatabasesssm-sap:BackupDatabasessm-sap:RestoreDatabasessm-sap:UpdateHanaBackupSettingsssm-sap:GetDatabase、、、および ssm-sap:ListTagsForResource

2022 年 11 月 20 日
AWSBackupServiceRolePolicyForS3Backup – 既存ポリシーへの更新

AWS Backup for Amazon S3 のバックアップオペレーションs3:GetBucketAclをサポートするアクセス許可を追加しました。

2022 年 8 月 24 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

マルチアベイラビリティーゾーン (マルチ AZ) 機能をサポートするデータベースインスタンスを作成するためのアクセスを許可するアクションを追加しました。 rds:CreateDBInstance

2022 年 7 月 20 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

リソースワイルドカードでバックアップするバケットを選択するアクセス許可をユーザーに付与するs3:GetBucketTaggingアクセス許可を追加しました。このアクセス許可がないと、リソースワイルドカードでバックアップするバケットを選択するユーザーは失敗します。

2022 年 5 月 6 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

既存の fsx:CreateBackup および fsx:ListTagsForResourceアクションの範囲にボリュームリソースを追加し、FSxONTAPボリュームレベルのバックアップfsx:DescribeVolumesをサポートする新しいアクションを追加しました。

2022 年 4 月 27 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

ONTAP ボリューム fsx:DescribeVolumes、、fsx:CreateVolumeFromBackup、および FSxの復元許可をユーザーに付与するためにfsx:DeleteVolume、次のアクションを追加しましたfsx:UntagResource

2022 年 4 月 27 日
AWSBackupServiceRolePolicyForS3Backup – 既存ポリシーへの更新

バックアップオペレーション中に Amazon S3 バケットの変更の通知を受け取るアクセス許可をユーザーに付与するアクションを追加しました。 s3:GetBucketNotification s3:PutBucketNotification

2022 年 2 月 25 日
AWSBackupServiceRolePolicyForS3Backup – 新しいポリシー

Amazon S3 バケットをバックアップするアクセス許可をユーザーに付与するために、、s3:GetInventoryConfiguration、、s3:PutInventoryConfigurations3:ListBucketVersions、、s3:GetBucketNotifications3:GetBucketLocation、、s3:ListBuckets3:GetBucketTaggings3:GetBucketVersioningおよび のアクションを追加しました。 s3:ListAllMyBuckets

Amazon S3 オブジェクトをバックアップするアクセス許可をユーザーに付与するために、、s3:GetObjects3GetObjectAcl、、s3:GetObjectVersionTaggings3:GetObjectVersionAcls3:GetObjectTagging、および のアクションを追加しましたs3:GetObjectVersion

暗号化された Amazon S3 データをバックアップするアクセス許可をユーザーに付与するために、 kms:Decryptおよび のアクションを追加しましたkms:DescribeKey

Amazon EventBridge ルールを使用して Amazon S3 データの増分バックアップを行うアクセス許可をユーザーに付与するアクションを追加しました。events:DescribeRule、、events:EnableRuleevents:PutRuleevents:DeleteRuleevents:PutTargets、、events:RemoveTargetsevents:ListTargetsByRuleevents:DisableRulecloudwatch:GetMetricData、、および events:ListRules

2022 年 2 月 17 日
AWSBackupServiceRolePolicyForS3Restore – 新しいポリシー

Amazon S3 バケットを復元するアクセス許可をユーザーに付与するために、、s3:CreateBuckets3:ListBucketVersionss3:ListBuckets3:GetBucketVersionings3:GetBucketLocation、および のアクションを追加しましたs3:PutBucketVersioning

Amazon S3 バケットを復元するアクセス許可をユーザーに付与するために、、s3:GetObject、、s3:GetObjectVersions3:DeleteObject、、s3:PutObjectVersionAcls3:GetObjectVersionAcls3:GetObjectTaggings3:PutObjectTaggings3:GetObjectAcl、、s3:PutObjectAcls3:PutObject、および のアクションを追加しましたs3:ListMultipartUploadParts

復元された Amazon S3 データを暗号化するアクセス許可をユーザーに付与するアクションとしてkms:Decrypt、、kms:DescribeKey、および が追加されましたkms:GenerateDataKey

2022 年 2 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

s3:ListAllMyBuckets バケットのリストを表示し、バックアッププランに割り当てるバケットを選択するアクセス許可をユーザーに付与するために を追加しました。

2022 年 2 月 14 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

仮想マシンのリストを表示し、バックアッププランに割り当てる仮想マシンを選択するアクセス許可をユーザーに付与backup-gateway:ListVirtualMachinesするために を追加しました。

仮想マシンのタグを一覧表示するアクセス許可をユーザーに付与backup-gateway:ListTagsForResourceするために を追加しました。

2021 年 11 月 30 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

仮想マシンのバックアップを復元するアクセス許可をユーザーに付与backup-gateway:Backupするように を追加しました。 AWS Backup また、仮想マシンのバックアップに割り当てられたタグを一覧表示するアクセス許可をユーザーにbackup-gateway:ListTagsForResource付与するように を追加しました。

2021 年 11 月 30 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

仮想マシンのバックアップを復元するアクセス許可をユーザーに付与backup-gateway:Restoreするために を追加しました。

2021 年 11 月 30 日
AWSBackupFullAccess – 既存ポリシーへの更新

Gateway AWS Backup を使用して仮想マシンをバックアップ、復元、管理するためのアクセス許可をユーザーに付与するアクションを追加しました: backup-gateway:AssociateGatewayToServer、、backup-gateway:CreateGatewaybackup-gateway:DeleteGatewaybackup-gateway:DeleteHypervisorbackup-gateway:DisassociateGatewayFromServer、、backup-gateway:ImportHypervisorConfiguration、、、backup-gateway:ListGatewaysbackup-gateway:ListHypervisorsbackup-gateway:ListTagsForResourcebackup-gateway:ListVirtualMachinesbackup-gateway:PutMaintenanceStartTime、、backup-gateway:TagResourcebackup-gateway:TestHypervisorConfigurationbackup-gateway:UntagResourcebackup-gateway:UpdateGatewayInformation、、、backup-gateway:UpdateHypervisor

2021 年 11 月 30 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

仮想マシンをバックアップするアクセス許可をユーザーに付与するためにbackup-gateway:ListGateways、、backup-gateway:ListHypervisorsbackup-gateway:ListTagsForResource、および のアクションを追加しましたbackup-gateway:ListVirtualMachines

2021 年 11 月 30 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

dynamodb:ListTagsOfResource の高度な DynamoDB バックアップ機能を使用してバックアップする DynamoDB テーブルのタグを一覧表示するアクセス許可をユーザーに付与するために を追加 AWS Backupしました。

2021 年 11 月 23 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

dynamodb:StartAwsBackupJob 高度なバックアップ機能を使用して DynamoDB テーブルをバックアップするアクセス許可をユーザーに付与するために を追加しました。

dynamodb:ListTagsOfResource ソースの DynamoDB テーブルからバックアップにタグをコピーするアクセス許可をユーザーに付与するように を追加しました。

2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

の高度な DynamoDB アドバンストバックアップ機能を使用してバックアップされた DynamoDB テーブル AWS Backupを復元するアクセス許可をユーザーに付与dynamodb:RestoreTableFromAwsBackupするために を追加しました。

2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

の高度な DynamoDB アドバンストバックアップ機能を使用してバックアップされた DynamoDB テーブル AWS Backupを復元するアクセス許可をユーザーに付与dynamodb:RestoreTableFromAwsBackupするために を追加しました。

2021 年 11 月 23 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

アクションbackup:GetRecoveryPointRestoreMetadataと は冗長であったrds:DescribeDBSnapshotsため、 アクションを削除しました。

AWS Backup は、 backup:Get*の一部として backup:GetRecoveryPointRestoreMetadataと の両方を必要としませんでしたAWSBackupOperatorAccess。また、 rds:describeDBSnapshotsの一部として rds:DescribeDBSnapshotsと の両方は必要ありません AWS Backup でしたAWSBackupOperatorAccess

2021 年 11 月 23 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

バックアッププランに割り当てるリソースを選択する際にelasticfilesystem:DescribeFileSystems、 AWS Backupがサポートするリソースのリストを表示して選択fsx:DescribeFileSystemsできるように、新しいアクション rds:DescribeDBClusters、、、dynamodb:ListTablesstoragegateway:ListVolumesec2:DescribeVolumesec2:DescribeInstancesrds:DescribeDBInstances、、、 を追加しました。

2021 年 11 月 10 日
AWSBackupAuditAccess – 新しいポリシー

AWS Backup Audit Manager を使用するアクセス許可をユーザーにAWSBackupAuditAccess付与するために を追加しました。権限には、コンプライアンスフレームワークを設定し、レポートを生成する機能が含まれます。

2021 年 8 月 24 日
AWSServiceRolePolicyForBackupReports – 新しいポリシー

ユーザーが設定したフレームワークに準拠するためのバックアップ設定、ジョブ、リソースのモニタリングを自動化するためのサービスにリンクされたロールのアクセス許可を付与AWSServiceRolePolicyForBackupReportsするために を追加しました。

2021 年 8 月 24 日
AWSBackupFullAccess – 既存ポリシーへの更新

iam:CreateServiceLinkedRole サービスにリンクされたロール (ベストエフォートベース) を作成して、期限切れのリカバリポイントの削除を自動化するように を追加しました。このサービスにリンクされたロールがない場合、お客様がリカバリポイントの作成に使用した元のIAMロールを削除した後、期限切れのリカバリポイントを削除 AWS Backup することはできません。

2021 年 7 月 5 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

バックアッププランのライフサイクル設定に基づいて、期限切れの DynamoDB リカバリポイントの削除を自動化するDeleteRecoveryPointアクセス許可を付与dynamodb:DeleteBackupする新しいアクションを追加しました。

2021 年 7 月 5 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

アクションbackup:GetRecoveryPointRestoreMetadataと は冗長であったrds:DescribeDBSnapshotsため、 アクションを削除しました。

AWS Backup は backup:GetRecoveryPointRestoreMetadata backup:Get*と の両方を の一部として必要とし AWS Backup ませんでした。AWSBackupOperatorAccessまた、 rds:DescribeDBSnapshotsと の両方を rds:describeDBSnapshotsの一部として必要としませんでした。 AWSBackupOperatorAccess

2021 年 5 月 25 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

アクションbackup:GetRecoveryPointRestoreMetadataと は冗長であったrds:DescribeDBSnapshotsため、 アクションを削除しました。

AWS Backup は、 backup:Get* の一部として backup:GetRecoveryPointRestoreMetadataと の両方を必要としませんでしたAWSBackupOperatorAccess。また、 rds:describeDBSnapshotsの一部として rds:DescribeDBSnapshotsと の両方は必要ありません AWS Backup でしたAWSBackupOperatorAccess

2021 年 5 月 25 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

復元プロセス中に Amazon FSx ファイルシステムにタグを適用するためのStartRestoreJobアクセス許可fsx:TagResourceを付与する新しいアクションを追加しました。

2021 年 5 月 24 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

リカバリポイントから Amazon EC2インスタンスを復元するためのStartRestoreJobアクセス許可を付与するためにec2:DescribeInstances、新しいアクションec2:DescribeImagesと を追加しました。

2021 年 5 月 24 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

リージョンとアカウント間で Amazon FSxリカバリポイントをコピーするためのStartCopyJobアクセス許可fsx:CopyBackupを付与する新しいアクションを追加しました。

2021 年 4 月 12 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

リージョンとアカウント間で Amazon FSxリカバリポイントをコピーするためのStartCopyJobアクセス許可fsx:CopyBackupを付与する新しいアクションを追加しました。

2021 年 4 月 12 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

以下の要件に準拠するように更新されました。

で暗号化された AWS Backup DynamoDB テーブルのバックアップを作成するには、バックアップに使用されるIAMロールkms:GenerateDataKeyに 許可kms:Decryptと を追加する必要があります。

2021 年 3 月 10 日
AWSBackupFullAccess – 既存ポリシーへの更新

以下の要件に準拠するように更新されました。

AWS Backup を使用して Amazon RDS データベースの継続的バックアップを設定するには、Backup プラン設定で定義されたIAMロールに API アクセス許可rds:ModifyDBInstanceが存在することを確認します。

Amazon RDSの継続的バックアップを復元するには、復元ジョブに提出したIAMロールrds:RestoreDBInstanceToPointInTimeに アクセス許可を追加する必要があります。

AWS Backup コンソールで、 point-in-time復旧に使用できる時間の範囲を記述するには、 IAMマネージドポリシーに rds:DescribeDBInstanceAutomatedBackups API アクセス許可を含める必要があります。

2021 年 3 月 10 日

AWS Backup 変更の追跡を開始しました

AWS Backup は、 AWSマネージドポリシーの変更の追跡を開始しました。

2021 年 3 月 10 日