AWS Backup 用の管理ポリシー - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Backup 用の管理ポリシー

マネージドポリシー

管理ポリシーは、AWS アカウント 内の複数のユーザー、グループ、およびロールにアタッチできるスタンドアロンアイデンティティベースのポリシーです。

AWS管理ポリシー配信out-of-the-boxのエクスペリエンスAWS Backup

カスタマー管理ポリシー は AWS Backup のバックアップへのアクセスを設定するためのきめ細かなコントロールを提供します。たとえば、それらを使用して、データベースバックアップ管理者に Amazon RDS バックアップへのアクセス権を付与できますが、Amazon EFS バックアップにはアクセスできません。

管理ポリシーの更新については、「ポリシーの更新」を参照してください。

カスタマー管理ポリシー

スタンドアロンポリシーを作成して独自の AWS アカウント で管理できます。これらのポリシーはカスタマー管理ポリシーと呼ばれます。次に、AWS アカウント の複数のプリンシパルエンティティにポリシーをアタッチできます。ポリシーをプリンシパルエンティティにアタッチすると、ポリシーで定義されたアクセス権限がエンティティに付与されます。

カスタマー管理ポリシーを作成する方法の 1 つは、既存の AWS 管理ポリシーをコピーして開始することです。この方法では、最初の段階でポリシーが正しいことがわかっていれば、後はそのポリシーをお客様の環境に合わせてカスタマイズするだけです。

以下のポリシーでは、個人のバックアップ権限とリストア権限を指定します。AWS Backup-サポート対象AWSサービスとサードパーティアプリケーション。AWS リソースへのアクセスをさらに制限するために、作成したロールをカスタマイズしてアタッチすることができます。

個人向けのバックアップと復元のポリシーAWS Backup-サポート対象リソース
リソースバックアップポリシー リソース復元ポリシー
Amazon S3 バックアップポリシー
{ "Version":"2012-10-17", "Statement":[ { "Sid":"S3BucketBackupPermissions", "Action":[ "s3:GetInventoryConfiguration", "s3:PutInventoryConfiguration", "s3:ListBucketVersions", "s3:ListBucket", "s3:GetBucketVersioning", "s3:GetBucketNotification", "s3:PutBucketNotification", "s3:GetBucketLocation", "s3:GetBucketTagging", "s3:GetBucketAcl" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*" ] }, { "Sid":"S3ObjectBackupPermissions", "Action":[ "s3:GetObjectAcl", "s3:GetObject", "s3:GetObjectVersionTagging", "s3:GetObjectVersionAcl", "s3:GetObjectTagging", "s3:GetObjectVersion" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*/*" ] }, { "Sid":"S3GlobalPermissions", "Action":[ "s3:ListAllMyBuckets" ], "Effect":"Allow", "Resource":[ "*" ] }, { "Sid":"KMSBackupPermissions", "Action":[ "kms:Decrypt", "kms:DescribeKey" ], "Effect":"Allow", "Resource":"*", "Condition":{ "StringLike":{ "kms:ViaService":"s3.*.amazonaws.com" } } }, { "Sid":"EventsPermissions", "Action":[ "events:DescribeRule", "events:EnableRule", "events:PutRule", "events:DeleteRule", "events:PutTargets", "events:RemoveTargets", "events:ListTargetsByRule", "events:DisableRule" ], "Effect":"Allow", "Resource":"arn:aws:events:*:*:rule/AwsBackupManagedRule*" }, { "Sid":"EventsMetricsGlobalPermissions", "Action":[ "cloudwatch:GetMetricData", "events:ListRules" ], "Effect":"Allow", "Resource":"*" } ] }
Amazon S3 リストアポリシー
{ "Version":"2012-10-17", "Statement":[ { "Sid":"S3BucketRestorePermissions", "Action":[ "s3:CreateBucket", "s3:ListBucketVersions", "s3:ListBucket", "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:PutBucketVersioning" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*" ] }, { "Sid":"S3ObjectRestorePermissions", "Action":[ "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:PutObjectVersionAcl", "s3:GetObjectVersionAcl", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:GetObjectAcl", "s3:PutObjectAcl", "s3:PutObject", "s3:ListMultipartUploadParts" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*/*" ] }, { "Sid":"S3KMSPermissions", "Action":[ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Effect":"Allow", "Resource":"*", "Condition":{ "StringLike":{ "kms:ViaService":"s3.*.amazonaws.com" } } } ] }
仮想マシンのバックアップポリシー
{ "Sid": "BackupGatewayBackupPermissions" "Effect": "Allow", "Action": [ "backup-gateway:Backup", "backup-gateway:ListTagsForResource" ], "Resource": "arn:aws:backup-gateway:*:*:vm/*" }
仮想マシンのリストアポリシー
{ "Sid": "GatewayRestorePermissions", "Effect": "Allow", "Action": [ "backup-gateway:Restore" ], "Resource": "arn:aws:backup-gateway:*:*:hypervisor/*" }
Amazon EBS バックアップポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ec2:CreateTags", "Resource":"arn:aws:ec2:*::snapshot/*" }, { "Effect":"Allow", "Action":[ "ec2:CreateSnapshot", "ec2:DeleteSnapshot" ], "Resource":[ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Effect":"Allow", "Action":[ "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:CopySnapshot", "ec2:DescribeTags" ], "Resource":"*" }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" } ] }
Amazon EBS のリストアポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ec2:CreateVolume", "ec2:DeleteVolume" ], "Resource":[ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Effect":"Allow", "Action":[ "ec2:DescribeSnapshots", "ec2:DescribeVolumes" ], "Resource":"*" } ] }
Amazon EFS バックアップポリシー
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "elasticfilesystem:Backup", "elasticfilesystem:DescribeTags" ], "Resource":"arn:aws:elasticfilesystem:*:*:file-system/*", "Effect":"Allow" }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" } ] }
Amazon EFS リストアポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "elasticfilesystem:Restore", "elasticfilesystem:CreateFilesystem", "elasticfilesystem:DescribeFilesystems", "elasticfilesystem:DeleteFilesystem" ], "Resource":"arn:aws:elasticfilesystem:*:*:file-system/*" } ] }
Amazon RDS バックアップポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "rds:AddTagsToResource", "rds:ListTagsForResource", "rds:DescribeDBSnapshots", "rds:CreateDBSnapshot", "rds:CopyDBSnapshot", "rds:DescribeDBInstances", "rds:CreateDBClusterSnapshot", "rds:DescribeDBClusters", "rds:DescribeDBClusterSnapshots", "rds:CopyDBClusterSnapshot" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "rds:DeleteDBSnapshot", "rds:ModifyDBSnapshotAttribute" ], "Resource":[ "arn:aws:rds:*:*:snapshot:awsbackup:*" ] }, { "Effect": "Allow", "Action": [ "rds:DeleteDBClusterSnapshot", "rds:ModifyDBClusterSnapshotAttribute" ], "Resource": [ "arn:aws:rds:*:*:cluster-snapshot:awsbackup:*" ] }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" }, { "Action":"kms:DescribeKey", "Effect":"Allow", "Resource":"*" } ] }
Amazon RDS リストアポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "rds:DescribeDBInstances", "rds:DescribeDBSnapshots", "rds:ListTagsForResource", "rds:RestoreDBInstanceFromDBSnapshot", "rds:DeleteDBInstance", "rds:AddTagsToResource" ], "Resource":"*" } ] }
Amazon Aurora バックアップポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "rds:CreateDBClusterSnapshot", "rds:DescribeDBClusters", "rds:DescribeDBClusterSnapshots", "rds:AddTagsToResource", "rds:ListTagsForResource", "rds:CopyDBClusterSnapshot" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "rds:DeleteDBClusterSnapshot" ], "Resource":[ "arn:aws:rds:*:*:cluster-snapshot:awsbackup:*" ] }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" }, { "Action":"kms:DescribeKey", "Effect":"Allow", "Resource":"*" } ] }
Amazon Aurora のリストアポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "rds:DeleteDBCluster", "rds:DescribeDBClusters", "rds:RestoreDBClusterFromSnapshot", "rds:ListTagsForResource", "rds:AddTagsToResource" ], "Resource":"*" } ] }
Storage Gateway バックアップポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "storagegateway:CreateSnapshot", "storagegateway:ListTagsForResource" ], "Resource":"arn:aws:storagegateway:*:*:gateway/*/volume/*" }, { "Effect":"Allow", "Action":[ "ec2:CreateTags", "ec2:DeleteSnapshot" ], "Resource":"arn:aws:ec2:*::snapshot/*" }, { "Effect":"Allow", "Action":[ "ec2:DescribeSnapshots" ], "Resource":"*" }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" } ] }
Storage Gateway のリストアポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "storagegateway:DeleteVolume", "storagegateway:DescribeCachediSCSIVolumes", "storagegateway:DescribeStorediSCSIVolumes" ], "Resource":"arn:aws:storagegateway:*:*:gateway/*/volume/*" }, { "Effect":"Allow", "Action":[ "storagegateway:DescribeGatewayInformation", "storagegateway:CreateStorediSCSIVolume", "storagegateway:CreateCachediSCSIVolume" ], "Resource":"arn:aws:storagegateway:*:*:gateway/*" }, { "Effect":"Allow", "Action":[ "storagegateway:ListVolumes" ], "Resource":"arn:aws:storagegateway:*:*:*" } ] }
Amazon FSx バックアップポリシー
{ "Version":"2012-10-17", "Statement":[ { "Action": "fsx:DescribeBackups", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:backup/*" }, { "Action": "fsx:CreateBackup", "Effect": "Allow", "Resource": [ "arn:aws:fsx:*:*:file-system/*", "arn:aws:fsx:*:*:backup/*" ] }, { "Action": "fsx:DescribeFileSystems", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:file-system/*" }, { "Action": "fsx:ListTagsForResource", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:file-system/*" }, { "Action": "fsx:DeleteBackup", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:backup/*" }, { "Effect": "Allow", "Action": [ "fsx:ListTagsForResource", "fsx:ManageBackupPrincipalAssociations", "fsx:CopyBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:*:*:backup/*" } ] }
Amazon FSx リストアポリシー
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "fsx:CreateFileSystemFromBackup" ], "Effect": "Allow", "Resource": [ "arn:aws:fsx:*:*:file-system/*", "arn:aws:fsx:*:*:backup/*" ] }, { "Action": "fsx:DescribeFileSystems", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:file-system/*" }, { "Action": "fsx:DescribeBackups", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:backup/*" }, { "Action": [ "fsx:DeleteFileSystem", "fsx:UntagResource" ], "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:file-system/*", "Condition": { "Null": { "aws:ResourceTag/aws:backup:source-resource": "false" } } }, { "Action": "ds:DescribeDirectories", "Effect": "Allow", "Resource": "*" } ] }
Amazon EC2 バックアップポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ec2:CreateTags", "ec2:DeleteSnapshot" ], "Resource":"arn:aws:ec2:*::snapshot/*" }, { "Effect":"Allow", "Action":[ "ec2:CreateImage", "ec2:DeregisterImage" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:CopyImage", "ec2:CopySnapshot" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:CreateTags" ], "Resource":"arn:aws:ec2:*:*:image/*" }, { "Effect":"Allow", "Action":[ "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeInstanceAttribute", "ec2:DescribeInstanceCreditSpecifications", "ec2:DescribeNetworkInterfaces", "ec2:DescribeElasticGpus", "ec2:DescribeSpotInstanceRequests" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource":[ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" } ] }
Amazon EC2 リストアポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ec2:CreateVolume", "ec2:DeleteVolume" ], "Resource":[ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Effect":"Allow", "Action":[ "ec2:DescribeSnapshots", "ec2:DescribeVolumes" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:DescribeImages", "ec2:DescribeInstances" ], "Resource":"*" }, { "Action":[ "ec2:RunInstances" ], "Effect":"Allow", "Resource":"*" }, { "Action":[ "ec2:TerminateInstances" ], "Effect":"Allow", "Resource":"arn:aws:ec2:*:*:instance/*" }, { "Action":"iam:PassRole", "Resource":"arn:aws:iam::<account-id>:role/<role-name>", "Effect":"Allow" } ] }
Windows VSS (ボリュームシャドウコピーサービス) バックアップポリシー
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ec2:CreateTags", "ec2:DeleteSnapshot" ], "Resource":"arn:aws:ec2:*::snapshot/*" }, { "Effect":"Allow", "Action":[ "ec2:CreateImage", "ec2:DeregisterImage" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:CopyImage", "ec2:CopySnapshot" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:CreateTags" ], "Resource":"arn:aws:ec2:*:*:image/*" }, { "Effect":"Allow", "Action":[ "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeInstanceAttribute", "ec2:DescribeInstanceCreditSpecifications", "ec2:DescribeNetworkInterfaces", "ec2:DescribeElasticGpus", "ec2:DescribeSpotInstanceRequests" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource":[ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" }, { "Effect":"Allow", "Action":[ "ssm:CancelCommand", "ssm:GetCommandInvocation" ], "Resource":"*" }, { "Effect":"Allow", "Action":"ssm:SendCommand", "Resource":[ "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot", "arn:aws:ec2:*:*:instance/*" ] } ] }

暗号化されたバックアップをリストアするには、次のいずれかの操作を行います。

  • の許可リストに自分のロールを追加してくださいAWS Key Management Service(AWS KMS) キーポリシー、または

  • リストアのために IAM ロールにこのポリシーをアタッチします。

    { "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Effect": "Allow", "Resource": "*" }

AWS マネージドポリシー

AWS 管理ポリシーは、AWS によって作成され、管理されるスタンドアロンポリシーです。AWS 管理ポリシーは、多くの一般的ユースケースで許可を提供できるように設計されています。AWS 管理ポリシーは、ポリシーを自身で記述する必要がある場合よりも簡単に、適切な許可をユーザー、グループ、およびロールに割り当てられるようにします。

しかし、AWS 管理ポリシーで定義されているアクセス許可は変更できません。AWS はときによって AWS 管理ポリシーで定義されているアクセス許可を更新することがあります。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。

AWS Backup には、一般的ユースケースに対していくつかの AWS 管理ポリシーが用意されています。これらのポリシーではより簡単に、適切なアクセス許可を定義し、バックアップへのアクセスを制御できます。管理ポリシーには 2 種類あります。1 つのタイプは、AWS Backup へのアクセスを制御するためにユーザーに割り当てられるように設計されています。もう 1 つのタイプは、AWS Backup に渡すロールにアタッチされるように設計されています。以下の表では、AWS Backup が提供するすべての管理ポリシーを示し、それらのポリシーがどのように定義されているかを説明しています。これらの管理ポリシーは、IAM コンソールのポリシーセクションでも確認できます。

ポリシー名 IAM 管理ポリシー名 説明
AWS Backupデータ転送、アクセス AWSBackupDataTransferAccess

このポリシーは、以下の権限を付与します。AWS Backupストレージプレーンのデータ転送 API により、AWSBackint エージェントは、とのバックアップデータ転送を完了できます。AWS Backupストレージプレーン。ユーザーは、Backint エージェントを使用して SAP HANA を実行している Amazon EC2 インスタンスが引き受けるロールにこのポリシーをアタッチできます。

AWS BackupSAP HANA へのアクセスのリストア AWSBackupRestoreAccessForSAPHANA このポリシーでは、AWS BackupAmazon EC2 で SAP HANA のバックアップを復元する権限です。
AWS BackupAmazon S3 バックアップポリシー用 AWSBackupServiceRolePolicyForS3Backup このポリシーには、以下に必要な権限が含まれています。AWS Backup任意の S3 バケットをバックアップします。これには、バケット内のすべてのオブジェクトとそれに関連するすべてのオブジェクトへのアクセスが含まれます。AWS KMSキー。
AWS BackupAmazon S3 復元ポリシー用 AWSBackupServiceRolePolicyForS3Restore このポリシーには、以下に必要な権限が含まれています。AWS BackupS3 バックアップをバケットに復元します。これには、バケットへの読み取り権限と書き込み権限、およびバケットの使用状況が含まれます。AWS KMSS3 オペレーションに関するキー。
バックアップ監査 IAM ポリシー AWSBackupAuditAccess

このポリシーは、AWS Backup リソースとアクティビティに対する期待値を定義したコントロールとフレームワークを作成し、AWS Backup リソースとアクティビティを定義したコントロールとフレームワークに照らして監査する権限をユーザーに付与します。このポリシーは、ユーザーの期待を記述するために AWS Config や同様のサービスへの権限を与え、監査を実行します。

このポリシーは、Amazon S3 および同様のサービスに監査レポートを配信するアクセス権限も付与し、ユーザーは監査レポートを見つけて開くことができます。

バックアップレポートの AWS サービスロールポリシー AWSServiceRolePolicyForBackupReports AWS Backup は AWSServiceRoleForBackupReports サービスにリンクされたロールにこのポリシーを使用します。このサービスにリンクされたロールは AWS Backup にバックアップ設定、ジョブ、およびリソースのフレームワークへの準拠を監視し、レポートするための権限を与えます。
バックアップ管理者 IAM ポリシー AWSBackupFullAccess

(AWSBackupAdminPolicy非推奨)

バックアップ管理者は、バックアップ計画の作成や編集、バックアッププランへの AWS リソースの割り当て、バックアップの復元など、AWS Backup のオペレーションにフルアクセスできます。バックアップ管理者は、バックアップのコンプライアンスの決定と実施を担当し、組織のビジネスおよび規制関連の要件を満たすバックアッププランを定義します。バックアップ管理者は、組織の AWS リソースが適切なプランに割り当てられていることも確認します。
バックアップオペレーター IAM ポリシー AWSBackupOperatorAccess

(AWSBackupOperatorPolicy非推奨)

バックアップオペレーターは、担当するリソースが適切にバックアップされていることを確認する責任のあるユーザーです。バックアップオペレーターは、バックアップ管理者が作成したバックアッププランに AWS リソースを割り当てるためのアクセス許可を持っています。また、AWS リソースのオンデマンドバックアップを作成し、オンデマンドバックアップの保持期間を設定するためのアクセス許可も持っています。バックアップオペレーターは、バックアッププランを作成または編集したり、スケジュールされたバックアップを作成後に削除したりするためのアクセス許可は持っていません。バックアップオペレーターはバックアップをリストアできます。バックアップオペレーター がバックアッププランに割り当てることができるリソースタイプや、バックアップからリストアできるリソースタイプを制限できます。これを行うには、特定のリソースタイプに対するアクセス権限を持つ特定のサービスロールのみを AWS Backup に渡します。
バックアップ管理者 AWS Organizations ポリシー AWSBackupOrganizationAdminAccess 組織管理者は、バックアップポリシーの作成、編集、削除、アカウントと組織単位へのバックアップポリシーの割り当て、組織内のバックアップアクティビティのモニタリングなどの AWS Organizations オペレーションにフルアクセスすることができます。組織管理者は、組織のビジネス要件および規制要件を満たすバックアップポリシーを定義して割り当てることによって、組織内のアカウントを保護する責任があります。
バックアップ用のデフォルトのサービスロールポリシー AWSBackupServiceRolePolicyForBackup サポートされているすべてのリソースタイプのバックアップをお客様に代わって作成するためのアクセス許可を AWS Backup に付与します。
リストア用のデフォルトのサービスロールポリシー AWSBackupServiceRolePolicyForRestores サポートされているすべてのリソースタイプのバックアップをお客様に代わってリストアするためのアクセス許可を AWS Backup に付与します。EC2 インスタンスのリストアでは、EC2 インスタンスを起動するために次の権限も含める必要があります。
"Action":"iam:PassRole", "Resource":"arn:aws:iam::account-id:role/role-name", "Effect":"Allow"

AWS Backup のポリシーの更新

AWS サービスは、AWS 管理ポリシーを維持および更新します。AWS マネージドポリシーの許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに許可が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは、AWS マネージドポリシーから許可を削除しないため、ポリシーの更新によって既存の許可が破棄されることはありません。

さらに、AWS では、複数のサービスにまたがるジョブ機能のためのマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS 管理ポリシーでは、すべての AWS のサービスおよびリソースへの読み取り専用アクセスを許可します。あるサービスで新しい機能を立ち上げる場合は、AWS は、追加された演算とリソースに対し、読み込み専用の許可を追加します。職務機能ポリシーのリストと説明については、IAM ユーザーガイドの「職務機能の AWS 管理ポリシー」を参照してください。

このサービスがこれらの変更の追跡を開始してからの、AWS の AWS Backup マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、AWS Backup [Document history] (ドキュメントの履歴) ページの RSS フィードをサブスクライブしてください。

変更 説明 日付

AWSBackupFullAccess— 新しいボールトタイプのリソース共有アソシエーションを取得する権限を追加しました。

AWS Backupアクションを追加しました。ram:GetResourceShareAssociations新しいボルトタイプのリソース共有関連付けを取得する権限をユーザーに付与します。

AWS Backupを操作するには、この追加権限が必要です。AWS RAM。

2023 年 8 月

AWSBackupOperatorAccess— 新しいボールトタイプのリソース共有アソシエーションを取得する権限を追加しました。

AWS Backupアクションが追加されました。ram:GetResourceShareAssociations新しいボルトタイプのリソース共有関連付けを取得する権限をユーザーに付与します。

AWS Backupを操作するには、この追加権限が必要です。AWS RAM。

2023 年 8 月

AWSBackupServiceRolePolicyForS3Backup— Amazon S3 バックアップをサポートする新しい権限を追加しました

AWS Backup にアクセス許可 s3:PutInventoryConfiguration を追加しました。

AWS Backupバケットインベントリを使用してバックアップのパフォーマンスを向上させるには、この権限が必要です。

2023 年 8 月 1 日

AWSBackupServiceRolePolicyForRestores— 復元ジョブ中にリソースにタグを追加する権限を追加しました。

AWS Backupリソースを復元するためのタグを追加する権限をユーザーに付与する次のアクションを追加しました。storagegateway:AddTagsToResourceelasticfilesystem:TagResourceec2:CreateTags専用ec2:CreateActionこれには次のいずれかが含まれますRunInstancesまたはCreateVolumefsx:TagResource、とcloudformation:TagResource

これらの追加権限は以下の場合に必要です。AWS Backup復元処理中にリソースにタグを追加するため。

2023 年 5 月 22 日

AWSBackupAuditAccess— リソース選択の置き換え

AWS BackupAPI 内のリソース選択を置き換えました。config:DescribeComplianceByConfigRuleワイルドカードリソースを使用しました。

このようにリソース選択範囲が拡張されたことで、ユーザーはエラーの少ないリソースを選択しやすくなります。

2023 年 4 月 11 日

AWSBackupServiceRolePolicyForRestores— 暗号化された Amazon Elastic ファイルシステムの復元をサポートする権限を追加しました。

AWS Backupカスタマーマネージドキーを使用して Amazon EFS を復元する次の権限を追加しました。kms:GenerateDataKeyWithoutPlaintext

この更新は、Amazon EFS リソースを復元するために必要なアクセス権限をユーザーが確実に持っていることを確認するために必要です。

2023 年 3 月 27 日

AWSServiceRolePolicyForBackupReports— アクションを更新しました

AWS Backupを更新しましたconfig:DescribeConfigRulesそしてconfig:DescribeConfigRuleEvaluationStatus許可するアクションAWS Backup監査マネージャーがアクセスできるようにするAWS Backup監査マネージャーが管理AWS Configルール。

AWS Backupとの連携にはこの更新が必要ですAWS Config。

2023 年 3 月 9 日

AWSBackupServiceRolePolicyForS3Restore— リストアに関する新しい権限の追加AWS KMS暗号化

AWS Backup以下の権限が追加されました。kms:Decrypts3:PutBucketOwnershipControls、とs3:GetBucketOwnershipControlsポリシーへAWSBackupServiceRolePolicyForS3Restore

これらの権限は、元のバックアップで KMS 暗号化が使用されている場合はオブジェクトの復元をサポートし、オブジェクトの所有権が ACL ではなく元のバケットに設定されている場合にオブジェクトを復元するために必要です。

2023 年 2 月 13 日

AWSBackupFullAccess— VMware のバックアップ操作をサポートする新しい権限を追加しました

AWS Backup次の権限が追加されました。backup-gateway:GetHypervisorPropertyMappingsbackup-gateway:GetVirtualMachinebackup-gateway:PutHypervisorPropertyMappingsbackup-gateway:GetHypervisorbackup-gateway:StartVirtualMachinesMetadataSyncbackup-gateway:GetBandwidthRateLimitSchedule、とbackup-gateway:PutBandwidthRateLimitSchedule

これらの権限は以下の場合に必要です。AWS Backup仮想マシンの VMware タグを使用してバックアップをスケジュールし、スケジュールベースの帯域幅調整をサポートする。

2022 年 12 月 15 日

AWSBackupOperatorAccess— バックアップ操作をサポートする新しい権限を追加しました。

AWS Backup次の権限が追加されました。backup-gateway:GetHypervisorPropertyMappingsbackup-gateway:GetVirtualMachinebackup-gateway:GetHypervisor、とbackup-gateway:GetBandwidthRateLimitSchedule

これらの権限は以下の場合に必要です。AWS Backup仮想マシンの VMware タグを使用してバックアップをスケジュールし、スケジュールベースの帯域幅調整をサポートする。

2022 年 12 月 15 日

AWS BackupGatewayServiceRolePolicyForVirtualMachineMetadataSync— サポートする権限を含む新しいポリシーを追加しましたAWS Backup仮想マシンとのゲートウェイ同期。

AWS Backupこのポリシーを導入し、その中に以下の権限を追加しました。backup-gateway:ListTagsForResourcebackup-gateway:TagResource、とbackup-gateway:UntagResource

これらの権限は以下の場合に必要です。AWS Backupオンプレミスネットワーク内の仮想マシンのメタデータをバックアップゲートウェイと同期するゲートウェイ。

2022 年 12 月 15 日

AWSBackupServiceRolePolicyForBackup— 許可する権限を追加しましたAWS BackupAmazon タイムストリームリソースをバックアップします。

AWS Backup以下の権限が追加されました。timestream:StartAwsBackupJobtimestream:GetAwsBackupStatustimestream:ListTablestimestream:ListDatabasestimestream:ListTagsForResourcetimestream:DescribeTabletimestream:DescribeDatabase、とtimestream:DescribeEndpoints

これらの権限は以下の場合に必要です。AWS BackupTimestream バックアップジョブをサポートするため。

2022 年 12 月 13 日

AWSBackupServiceRolePolicyForRestores— 許可する権限を追加しましたAWS BackupAmazon タイムストリームリソースを復元します。

AWS Backup以下の権限が追加されました。timestream:StartAwsRestoreJobtimestream:GetAwsRestoreStatustimestream:ListTablestimestream:ListTagsForResourcetimestream:ListDatabasestimestream:DescribeTabletimestream:DescribeDatabases3:GetBucketAcl、とtimestream:DescribeEndpoints

これらの権限は以下の場合に必要です。AWS Backupタイムストリームの復元ジョブをサポートするため。

2022 年 12 月 13 日

AWSBackupFullAccess— 許可する権限を追加しましたAWS BackupAmazon タイムストリームリソースをサポートするため。

AWS Backup以下の権限が追加されました。timestream:ListTablestimestream:ListDatabasess3:ListAllMyBucketsそしてtimestream:DescribeEndpoints

これらの権限は以下の場合に必要です。AWS Backupタイムストリームリソースをサポートするため。

2022 年 12 月 13 日

AWSBackupOperatorAccess— 許可する権限を追加しましたAWS BackupAmazon タイムストリームリソースをサポートするため。

AWS Backup以下の権限が追加されました。timestream:ListDatabasestimestream:ListTabless3:ListAllMyBuckets、とtimestream:DescribeEndpoints

これらの権限は以下の場合に必要です。AWS Backupタイムストリームリソースをサポートするため。

2022 年 12 月 13 日

AWSBackupServiceLinkedRolePolicyForBackup— 管理ポリシーの権限が更新され、許可が下されますAWS Backupバックアップ機能のために必要な Timestream リソースにアクセスできるようにする。

AWS Backup以下の権限が追加されました。timestream:ListDatabasestimestream:ListTablestimestream:ListTagsForResourcetimestream:DescribeDatabasetimestream:DescribeTabletimestream:GetAwsBackupStatustimestream:GetAwsRestoreStatus、とtimestream:DescribeEndpoints

これらの権限は以下の場合に必要です。AWS Backupタイムストリームリソースをサポートするため。

2022 年 12 月 13 日

AWSBackupFullAccess— 許可する権限を追加AWS BackupAmazon Redshift リソースをサポートするため。

AWS Backup以下の権限が追加されました。redshift:DescribeClustersredshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroupsredshift:DescribeClusterTracksredshift:DescribeSnapshotSchedules、とec2:DescribeAddresses

これらの権限は以下の場合に必要です。AWS BackupAmazon Redshift リソースを利用するため。

2022 年 11 月 27 日

AWSBackupOperatorAccess— 以下の権限を追加しました。AWS BackupAmazon Redshift リソースをサポートするため。

AWS Backup以下のアクセス権限が追加されました。redshift:DescribeClustersredshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroups,redshift:DescribeClusterTracksredshift:DescribeSnapshotSchedules、とec2:DescribeAddresses

これらの権限は以下の場合に必要です。AWS BackupAmazon Redshift リソースを利用するため。

2022 年 11 月 27 日

AWSBackupServiceRolePolicyForRestores— 許可する権限を追加しましたAWS BackupAmazon Redshift リソースにアクセスできるようにする。

AWS Backup以下のアクセス権限が追加されました。redshift:RestoreFromClusterSnapshotredshift:RestoreTableFromClusterSnapshotredshift:DescribeClusters、とredshift:DescribeTableRestoreStatus

AWS BackupAmazon Redshift の復元ジョブをサポートするには、これらのアクセス権限が必要です。

2022 年 11 月 27 日

AWSBackupServiceRolePolicyForBackup— 許可する権限を追加しましたAWS BackupAmazon Redshift リソースにアクセスできるようにする。

AWS Backup以下のアクセス権限が追加されました。redshift:CreateClusterSnapshotredshift:DescribeClusterSnapshotsredshift:DescribeTagsredshift:DeleteClusterSnapshotredshift:DescribeClusters、とredshift:CreateTags

AWS BackupAmazon Redshift バックアップジョブをサポートするには、これらの権限が必要です。

2022 年 11 月 27 日

AWSBackupFullAccess— 許可する権限を追加しましたAWS BackupサポートへAWS CloudFormation資源。

AWS Backup次の権限が追加されました。cloudformation:ListStacks。この権限はバックアップがサポートするために必要ですCloudFormationリソース。

2022 年 11 月 27 日

AWSBackupOperatorAccess— 許可する権限を追加しましたAWS BackupサポートへAWS CloudFormation資源。

AWS Backup次の権限が追加されました。cloudformation:ListStacks。この権限はバックアップがサポートするために必要ですCloudFormationリソース。

2022 年 11 月 27 日

AWSBackupServiceLinkedRolePolicyForBackup— 許可する権限を追加しましたAWS BackupサポートへAWS CloudFormation資源。

AWS Backup以下の権限が追加されました。redshift:DescribeClusterSnapshotsredshift:DescribeTagsredshift:DeleteClusterSnapshot、とredshift:DescribeClusters

これらの権限は Backup がサポートするために必要です。CloudFormationリソース。

2022 年 11 月 27 日

AWSBackupServiceRolePolicyForBackup— 許可する権限を追加しましたAWS BackupアクセスするにはAWS CloudFormationリソース。

AWS Backup以下の権限が追加されました。cloudformation:GetTemplatecloudformation:DescribeStacks、とcloudformation:ListStackResources

これらの権限は以下の場合に必要です。AWS BackupサポートするにはAWS CloudFormationアプリケーションスタックのバックアップジョブ

2022 年 11 月 16 日

AWSBackupServiceRolePolicyForRestores— 許可する権限を追加AWS BackupアクセスするにはAWS CloudFormationリソース。

AWS Backup以下の権限が追加されました。cloudformation:CreateChangeSetそしてcloudformation:DescribeChangeSet

これらの権限は次の場合に必要です。AWS BackupサポートするにはAWS CloudFormationアプリケーションスタックの復元ジョブ

2022 年 11 月 16 日

AWSBackupOrganizationAdminAccess—AWS Backupこのポリシーに委任管理者機能の権限を追加しました。

AWS Backupこのポリシーに次の権限を追加しました。organizations:ListDelegatedAdministratororganizations:RegisterDelegatedAdministrator、とorganizations:DeregisterDelegatedAdministrator

これらの権限は、組織管理者が委任管理者機能を使用できるようにするために必要です。

2022 年 11 月 27 日

AWSBackupServiceRolePolicyForBackup— 許可する権限を追加しましたAWS BackupAmazon EC2 インスタンスで SAP HANA をサポートするため。

AWS Backup以下の権限が追加されました。ssm-sap:GetOperationssm-sap:ListDatabasesssm-sap:BackupDatabasessm-sap:UpdateHanaBackupSettingsssm-sap:GetDatabase、とssm-sap:ListTagsForResource

バックアップが Amazon EC2 インスタンスで SAP HANA をサポートするには、これらの権限が必要です。

2022 年 11 月 20 日

AWSBackupFullAccess— 許可する権限を追加しましたAWS BackupAmazon EC2 インスタンスでの SAP HANA のサポート。

AWS Backup以下の権限が追加されました。ssm-sap:GetOperationssm-sap:ListDatabasesssm-sap:GetDatabase、とssm-sap:ListTagsForResource

バックアップが Amazon EC2 インスタンスで SAP HANA をサポートするには、これらの権限が必要です。

2022 年 11 月 20 日

AWSBackupOperatorAccess— 許可する権限を追加AWS BackupAmazon EC2 インスタンスでの SAP HANA のサポート。

AWS Backup以下の権限が追加されました。ssm-sap:GetOperationssm-sap:ListDatabasesssm-sap:GetDatabase、とssm-sap:ListTagsForResource

バックアップが Amazon EC2 インスタンスで SAP HANA をサポートするには、これらの権限が必要です。

2022 年 11 月 20 日

AWSBackupServiceLinkedRolePolicyForBackup— 許可する権限を追加しましたAWS BackupAmazon EC2 インスタンスでの SAP HANA のサポート。

AWS Backup次の権限が追加されました。ssm-sap:GetOperation

この権限は、バックアップが Amazon EC2 インスタンスで SAP HANA をサポートするために必要です。

2022 年 11 月 20 日

AWSBackupServiceRolePolicyForRestores— 許可する権限を追加しましたAWS BackupAmazon EC2 リソースにアクセスできるようにする。

AWS Backup次の権限が追加されました。ec2:CreateTags

この許可は以下の場合に必要です。AWS BackupEC2 インスタンスへのバックアップゲートウェイの復元ジョブをサポートするため。

2022 年 11 月 20 日

AWSBackupDataTransferAccess— 許可する権限を追加しましたAWS BackupAmazon EC2 インスタンスリソースでの SAP HANA の安全なストレージデータ転送をサポートするため。

AWS Backup以下の権限が追加されました。backup-storage:StartObjectbackup-storage:PutChunkbackup-storage:GetChunkbackup-storage:ListChunksbackup-storage:ListObjectsbackup-storage:GetObjectMetadata、とbackup-storage:NotifyObjectComplete

これらの権限は以下の場合に必要です。AWS BackupSAP HANA On Amazon EC2 リソースの安全なストレージデータ転送をサポートするため。

2022 年 11 月 20 日

AWSBackupRestoreAccessForSAPHANA— データ所有者が Amazon EC2 インスタンスリソースで SAP HANA の復元ジョブを実行する権限を追加しました。

AWS Backup以下の権限が追加されました。backup:Get*backup:List*backup:Describe*backup:StartBackupJobbackup:StartRestoreJobssm-sap:GetOperationssm-sap:ListDatabasesssm-sap:BackupDatabasessm-sap:RestoreDatabasessm-sap:UpdateHanaBackupSettingsssm-sap:GetDatabase、とssm-sap:ListTagsForResource

これらの権限は、リソース所有者が SAP HANA On Amazon EC2 リソースの復元を実行するために必要です。

2022 年 11 月 20 日

AWSBackupServiceRolePolicyForS3Backup— Amazon S3 バックアップをサポートする新しい権限を追加しました

AWS Backup にアクセス許可 s3:GetBucketAcl を追加しました。

AWS Backupのバックアップ操作にはこの権限が必要ですAWS BackupS3 用。

2022 年 8 月 24 日

AWSBackupServiceRolePolicyForRestores— Amazon RDS の復元ジョブへのアクセスを追加しました。

AWS Backupデータベースインスタンスを作成するためのアクセス権を付与する次のアクションを追加しました。rds:CreateDBInstance

AWS BackupAmazon RDS マルチアベイラビリティーゾーン (マルチ AZ) 機能をサポートするためにこの権限が必要でした。

2022 年 7 月 20 日

AWSBackupServiceLinkedRolePolicyForBackup— Amazon S3 バックアップをサポートする権限を追加しました

AWS Backupが追加されました。s3:GetBucketTaggingリソースワイルドカードを使用して、バックアップするバケットを選択する権限をユーザーに付与する権限。この権限がないと、ユーザーがリソースワイルドカードを使用してバックアップするバケットを選択しても失敗します。

AWS BackupAmazon S3 データをサポートするには、その権限が必要でした。

2022 年 5 月 6 日

AWSBackupServiceRolePolicyForBackup— ONTAP ボリュームレベルのバックアップで FSx をサポートする新しい権限を追加しました。

AWS Backup既存のボリュームリソースの範囲にボリュームリソースを追加しました。fsx:CreateBackupそしてfsx:ListTagsForResourceアクション、および新しいアクションの追加fsx:DescribeVolumesFSx for ONTAP のボリュームレベルバックアップをサポートします。

AWS BackupFSx for ONTAP をサポートするには、この権限が必要でした。

2022 年 4 月 27 日

AWSBackupServiceRolePolicyForRestores— FSx for ONTAP ボリュームのリストアをサポートする権限を追加しました。

AWS BackupFSx for ONTAP ボリュームをリストアする権限をユーザーに付与する次のアクションを追加しましたfsx:DescribeVolumesfsx:CreateVolumeFromBackupfsx:DeleteVolume、とfsx:UntagResource

AWS BackupFSx for ONTAP をサポートするには、この権限が必要でした。

2022 年 4 月 27 日

AWSBackupServiceRolePolicyForS3Backup— Amazon S3 バックアップをサポートする新しい権限を追加しました

AWS Backupバックアップオペレーション中に Amazon S3 バケットの変更の通知を受信する権限をユーザーに付与する次のアクションを追加しました。s3:GetBucketNotificationそしてs3:PutBucketNotification

AWS BackupAmazon S3 データをサポートするにはこれらの権限が必要でした。

2022 年 2 月 25 日

AWSBackupServiceRolePolicyForS3Backup— 新規追加AWSAmazon S3 バックアップをサポートする管理ポリシー

新しいバージョンではAWSBackupServiceRolePolicyForS3Backup AWS管理ポリシー、AWS BackupAmazon S3 バケットをバックアップする権限をユーザーに付与する次のアクションを追加しました。s3:GetInventoryConfigurations3:PutInventoryConfigurations3:ListBucketVersionss3:ListBuckets3:GetBucketTaggings3:GetBucketVersionings3:GetBucketNotifications3:GetBucketLocation、とs3:ListAllMyBuckets

AWS BackupAmazon S3 オブジェクトをバックアップする権限をユーザーに付与する次のアクションを追加しました。s3:GetObjects3GetObjectAcls3:GetObjectVersionTaggings3:GetObjectVersionAcls3:GetObjectTagging、とs3:GetObjectVersion

AWS Backup は以下のアクションを追加し、暗号化された Amazon S3 データをバックアップするアクセス権限をユーザーに付与しました。kms:Decrypt および kms:DescribeKey

AWS BackupAmazon を使用して Amazon S3 データの増分バックアップを作成する権限をユーザーに付与する次のアクションを追加しました。EventBridgeルール:events:DescribeRuleevents:EnableRuleevents:PutRuleevents:DeleteRuleevents:PutTargetsevents:RemoveTargetsevents:ListTargetsByRuleevents:DisableRulecloudwatch:GetMetricData、とevents:ListRules

AWS BackupAmazon S3 データをサポートするにはこれらの権限が必要でした。

2022 年 2 月 17 日

AWSBackupServiceRolePolicyForS3Restore— 新しく追加されましたAWSAmazon S3 のリストアをサポートする管理ポリシー

新しいバージョンではAWSBackupServiceRolePolicyForS3Restore AWS管理ポリシー、AWS BackupAmazon S3 バケットを復元する権限をユーザーに付与する以下のアクションを追加しました。s3:CreateBuckets3:ListBucketVersionss3:ListBuckets3:GetBucketVersionings3:GetBucketLocation、とs3:PutBucketVersioning

AWS BackupAmazon S3 バケットを復元する権限をユーザーに付与する以下のアクションを追加しました。s3:GetObjects3:GetObjectVersions3:DeleteObjects3:PutObjectVersionAcls3:GetObjectVersionAcls3:GetObjectTaggings3:PutObjectTaggings3:GetObjectAcls3:PutObjectAcls3:PutObject、とs3:ListMultipartUploadParts

AWS Backup は以下のアクションを追加し、リストアされた Amazon S3 データを暗号化するアクセス権限をユーザーに付与しました。kms:Decryptkms:DescribeKey、および kms:GenerateDataKey

AWS BackupAmazon S3 データをサポートするにはこれらの権限が必要でした。

2022 年 2 月 17 日

AWSBackupServiceLinkedRolePolicyForBackup— Amazon S3 バックアップをサポートする権限を追加しました

AWS Backup追加しましたs3:ListAllMyBucketsユーザーに自分のバケットのリストを表示し、どのバケットをバックアッププランに割り当てるかを選択する権限を付与します。

AWS BackupAmazon S3 データをサポートするにはその権限が必要でした。

2022 年 2 月 14 日

AWSBackupServiceLinkedRolePolicyForBackup— リストに権限を追加AWS Backupゲートウェイリソース

AWS Backup は backup-gateway:ListVirtualMachines を追加して、仮想マシンのリストを表示し、バックアッププランに割り当てる仮想マシンを選択する権限をユーザーに付与しました。

また、AWS Backup は backup-gateway:ListTagsForResourceを追加して、仮想マシンのタグを一覧表示する権限をユーザーに付与しました。

AWS Backup は 2021 年 11 月 30 日に開始された仮想マシンのサポートに、これらのアクセス許可を必要としていました。

2021 年 11 月 30 日

AWSBackupServiceRolePolicyForBackup— 仮想マシンをバックアップする権限を追加

AWS Backup は backup-gateway:Backup を追加し、仮想マシンのバックアップをリストアする権限をユーザーに付与しました。また、AWS Backup は backup-gateway:ListTagsForResourceを追加して、仮想マシンのバックアップに割り当てられているタグを一覧表示する権限をユーザーに付与しました。

AWS Backup は 2021 年 11 月 30 日に開始された仮想マシンのサポートに、これらのアクセス許可を必要としていました。

2021 年 11 月 30 日

AWSBackupServiceRolePolicyForRestores— 仮想マシンを復元する権限を追加しました。

AWS Backup は backup-gateway:Restore を追加し、仮想マシンのバックアップをリストアする権限をユーザーに付与しました。

AWS Backup は 2021 年 11 月 30 日に開始された仮想マシンのサポートに、これらのアクセス許可を必要としていました。

2021 年 11 月 30 日

AWSBackupFullAccess— 仮想マシンを操作する権限を追加

AWS Backup は次のアクションを追加し、ユーザーに仮想マシンをバックアップ、リストア、および管理するために AWS Backup ゲートウェイ使用するアクセス権限を付与しました。backup-gateway:AssociateGatewayToServerbackup-gateway:CreateGatewaybackup-gateway:DeleteGatewaybackup-gateway:DeleteHypervisorbackup-gateway:DisassociateGatewayFromServerbackup-gateway:ImportHypervisorConfigurationbackup-gateway:ListGatewaysbackup-gateway:ListHypervisorsbackup-gateway:ListTagsForResourcebackup-gateway:ListVirtualMachinesbackup-gateway:PutMaintenanceStartTimebackup-gateway:TagResourcebackup-gateway:TestHypervisorConfigurationbackup-gateway:UntagResourcebackup-gateway:UpdateGatewayInformation、および backup-gateway:UpdateHypervisor

AWS Backup は 2021 年 11 月 30 日に開始された AWS Backup ゲートウェイのサポートに、これらのアクセス許可を必要としていました。

2021 年 11 月 30 日

AWSBackupOperatorAccess— リストへのアクセス権限を追加しましたAWS Backupゲートウェイリソース

AWS Backup は次のアクションを追加し、仮想マシンをバックアップする権限をユーザーに付与しました。backup-gateway:ListGatewaysbackup-gateway:ListHypervisorsbackup-gateway:ListTagsForResource、および backup-gateway:ListVirtualMachines

AWS Backup は 2021 年 11 月 30 日に開始された仮想マシンのサポートに、これらのアクセス許可を必要としていました。

2021 年 11 月 30 日

AWSBackupServiceLinkedRolePolicyForBackup— Amazon DynamoDB テーブルをバックアップするアクセス権限を追加しました

AWS Backup は dynamodb:ListTagsOfResource を追加し、ユーザーに AWS Backup の高度な DynamoDB バックアップ機能を使用して DynamoDB テーブルのタグをリストしてバックアップするアクセス権限を付与しました。

AWS Backup は 2021 年 11 月 23 日に開始された DynamoDB の高度なバックアップ機能に、この権限を必要としていました。

2021 年 11 月 23 日

AWSBackupServiceRolePolicyForBackup— Amazon DynamoDB テーブルをバックアップするためのアクセス権限を追加しました。

AWS Backup は dynamodb:StartAwsBackupJob を追加し、高度なバックアップ機能を使用して DynamoDB テーブルをバックアップする権限をユーザーに付与しました。

また、AWS Backup は dynamodb:ListTagsOfResource を追加して、ソースの DynamoDB テーブルからバックアップにタグをコピーする権限をユーザーに付与しました。

AWS Backup は 2021 年 11 月 23 日に開始された DynamoDB の高度なバックアップ機能に、これらの権限を必要としていました。

2021 年 11 月 23 日

AWSBackupServiceLinkedRolePolicyForRestores— Amazon DynamoDB テーブルを復元するためのアクセス権限を追加しました。

AWS Backup は dynamodb:RestoreTableFromAwsBackup を追加し、ユーザーに AWS Backup 高度な DynamoDB バックアップ機能を使用してバックアップされた DynamoDB テーブルをリストアする権限を付与しました。

AWS Backup は 2021 年 11 月 23 日に開始された AWS Backup の高度な DynamoDB 機能を使って作成されたバックアップのリストアに、この権限を必要としていました。

2021 年 11 月 23 日

AWSBackupServiceRolePolicyForRestores— Amazon DynamoDB テーブルを復元するためのアクセス権限を追加しました。

AWS Backup は dynamodb:RestoreTableFromAwsBackup を追加し、ユーザーに AWS Backup 高度な DynamoDB バックアップ機能を使用してバックアップされた DynamoDB テーブルをリストアする権限を付与しました。

AWS Backup は 2021 年 11 月 23 日に開始された AWS Backup の高度な DynamoDB 機能を使って作成されたバックアップのリストアに、この権限を必要としていました。

2021 年 11 月 23 日

AWSBackupOperatorAccess— 冗長なアクションを削除しました

AWS Backup は冗長だったため、既存のアクションである backup:GetRecoveryPointRestoreMetadata および rds:DescribeDBSnapshots を削除しました。

AWS Backup に AWSBackupOperatorAccess AWS 管理ポリシーの一部として backup:GetRecoveryPointRestoreMetadatabackup:Get* の両方は必要ありませんでした。また、AWS Backup に AWSBackupOperatorAccess AWS 管理ポリシーの一部である rds:DescribeDBSnapshotsrds:describeDBSnapshots の両方は必要ありませんでした。

2021 年 11 月 23 日

AWSBackupServiceLinkedRolePolicyForBackup— バックアッププランへのきめ細かなリソース割り当てをサポートする権限を追加

AWS Backup は新しいアクションである elasticfilesystem:DescribeFileSystemsdynamodb:ListTablesstoragegateway:ListVolumesec2:DescribeVolumesec2:DescribeInstancesrds:DescribeDBInstancesrds:DescribeDBClusters、および fsx:DescribeFileSystems を追加し、お客様がバックアッププランに割り当てるリソースを選択する際に、AWS Backup サポートされたリソースのリストを表示して選択できるようにしました。

AWS Backup はお客様にバックアッププランにリソースを割り当てる柔軟性の高い方法を提供するために、この権限を必要としていました。

2021 年 11 月 10 日

AWSBackupAuditAccess— 新しいポリシーを追加

AWS Backup は AWSBackupAuditAccess を追加し、ユーザーに AWS Backup Audit Manager を使用する権限を付与しました。権限には、コンプライアンスフレームワークを設定し、レポートを生成する機能が含まれます。

AWS Backup は 2021 年 11 月 24 日に開始された AWS Backup Audit Manager に、この権限を必要としていました。

2021 年 8 月 24 日

AWSServiceRolePolicyForBackupReports— 新しいポリシーを追加

AWS Backup は AWSServiceRolePolicyForBackupReports を追加して、ユーザーが設定したフレームワークに準拠するためのバックアップ設定、ジョブ、およびリソースの監視を自動化するために、サービスにリンクされたロールに対する権限を付与しました。

AWS Backup は 2021 年 11 月 24 日に開始された AWS Backup Audit Manager に、この権限を必要としていました。

2021 年 8 月 24 日

AWSBackupFullAccess— サービスにリンクされたロールを作成する権限を追加

AWS Backup は iam:CreateServiceLinkedRole を追加し、サービスにリンクされたロール (ベストエフォートベースで) を作成し、期限切れのリカバリポイントの削除を自動化しました。このサービスにリンクされたロールがない場合、AWS Backup はお客様がリカバリポイントの作成に使用した元の IAM ロールを削除した後、期限切れのリカバリポイントを削除することはできません。

AWS Backup は DeleteRecoveryPoint API オペレーションの一部に、この権限を必要としていました。

2021 年 7 月 5 日

AWSBackupServiceLinkedRolePolicyForBackup— DynamoDB リカバリポイントの削除をサポートする権限を追加しました。

AWS Backup は新しいアクションである dynamodb:DeleteBackup を追加し、バックアッププランのライフサイクル設定に基づき、期限切れの DynamoDB リカバリポイントを自動削除する DeleteRecoveryPoint 権限を付与しました。

AWS Backup は DeleteRecoveryPoint API オペレーションの一部として DynamoDB テーブルを削除するために、この権限を必要としていました。

2021 年 7 月 5 日

AWSBackupOperatorAccess— 冗長アクションを削除しました。

AWS Backup は冗長だったため、既存のアクションである backup:GetRecoveryPointRestoreMetadata および rds:DescribeDBSnapshots を削除しました。

AWS Backup に AWSBackupOperatorAccess AWS 管理ポリシーの一部として backup:GetRecoveryPointRestoreMetadatabackup:Get* の両方は必要ありませんでした。また、AWS Backup に AWSBackupOperatorAccess AWS 管理ポリシーの一部として rds:DescribeDBSnapshotsrds:describeDBSnapshots の両方は必要ありませんでした。

2021 年 5 月 25 日

AWSBackupOperatorPolicy— 冗長アクションを削除しました。

AWS Backup は冗長だったため、既存のアクションである backup:GetRecoveryPointRestoreMetadata および rds:DescribeDBSnapshots を削除しました。

AWS Backup に AWSBackupOperatorPolicy AWS 管理ポリシーの一部として backup:GetRecoveryPointRestoreMetadatabackup:Get* の両方は必要ありませんでした。また、AWS Backup に AWSBackupOperatorPolicy AWS 管理ポリシーの一部として rds:DescribeDBSnapshotsrds:describeDBSnapshots の両方は必要ありませんでした。

2021 年 5 月 25 日

AWSBackupServiceRolePolicyForRestores— Amazon FSx リストアにタグを適用する権限を追加しました

AWS Backup は新しいアクションである fsx:TagResource を追加し、リストアプロセス中に Amazon FSx ファイルシステムにタグを適用できる StartRestoreJob 権限を付与しました。

AWS Backup は StartRestoreJob API オペレーションの一部として、Amazon FSx ファイルシステムにタグを適用する権限を必要としていました。

2021 年 5 月 24 日

AWSBackupServiceRolePolicyForRestores— Amazon EC2 のリストアを実行する権限を追加しました。

AWS Backup は新しいアクションである ec2:DescribeImages および ec2:DescribeInstances を追加して、リカバリポイントから Amazon EC2 インスタンスをリストアできる StartRestoreJob 権限を付与しました。

AWS Backup は StartRestoreJob API オペレーションの一部として、リカバリポイントから Amazon EC2 インスタンスをリストアするために、この権限を必要としていました。

2021 年 5 月 24 日

AWSBackupServiceRolePolicyForBackup— Amazon FSx のクロスリージョンコピーとクロスアカウントコピーを実行する権限を追加しました

AWS Backup は新しいアクションである fsx:CopyBackup を追加し、リージョンとアカウント全体で Amazon FSx リカバリポイントをコピーできるようにする StartCopyJob 権限を付与しました。

AWS Backup は StartCopyJob API オペレーションの一部として、リージョンとアカウント全体で Amazon FSx リカバリポイントをコピーするために、この権限を必要としていました。

2021 年 4 月 12 日

AWSBackupServiceLinkedRolePolicyForBackup— Amazon FSx のクロスリージョンコピーとクロスアカウントコピーを実行する権限を追加しました

AWS Backup は新しいアクションである fsx:CopyBackup を追加し、リージョンとアカウント全体で Amazon FSx リカバリポイントをコピーできるようにする StartCopyJob 権限を付与しました。

AWS Backup は StartCopyJob API オペレーションの一部として、リージョンとアカウント全体で Amazon FSx リカバリポイントをコピーするために、この権限を必要としていました。

2021 年 4 月 12 日

AWSBackupServiceRolePolicyForBackup— 暗号化された DynamoDB テーブルバックアップをサポートする権限を追加しました

AWS Backup は AWS 管理ポリシーを更新して、次の要件に準拠しました。

AWS Backup が暗号化された DynamoDB テーブルのバックアップを作成するには、バックアップに使用される IAM ロールに kms:Decrypt および kms:GenerateDataKey 権限を追加する必要があります。

2021 年 3 月 10 日

AWSBackupFullAccess— Amazon RDS の継続的バックアップをサポートする権限を追加し、point-in-timeリストア

AWS Backup は AWS 管理ポリシーを更新して、次の要件に準拠しました。

AWS Backup が Amazon RDS データベースの継続的なバックアップを設定するには、バックアッププラン設定で定義された IAM ロールに存在する API 権限である rds:ModifyDBInstance 確認します。

Amazon RDS 連続バックアップをリストアするには、リストアジョブ用に送信した IAM ロールに rds:RestoreDBInstanceToPointInTime 権限を追加する必要があります。

でAWS Backupコンソールでは、利用可能な時間の範囲を記述します。point-in-timeリカバリには、次の項目を含める必要があります。rds:DescribeDBInstanceAutomatedBackupsIAM 管理ポリシーの API 権限。

2021 年 3 月 10 日

AWS Backup は変更の追跡を開始しました

AWS Backup は AWS 管理ポリシーの変更の追跡を開始しました。

2021 年 3 月 10 日