の管理ポリシー AWS Backup - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の管理ポリシー AWS Backup

管理ポリシーは、 内の複数のユーザー、グループ、ロールにアタッチできるスタンドアロンのアイデンティティベースのポリシーです AWS アカウント。ポリシーをプリンシパルエンティティにアタッチすると、ポリシーで定義されたアクセス権限がエンティティに付与されます。

AWS 管理ポリシーは、 によって作成および管理されます AWS。 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、その更新は、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。

カスタマー管理ポリシーでは、 でバックアップへのアクセスを設定するためのきめ細かな制御が可能です AWS Backup。たとえば、それらを使用して、データベースバックアップ管理者に Amazon RDS バックアップへのアクセス権を付与できますが、Amazon EFS バックアップにはアクセスできません。

詳細については、「IAM ユーザーガイド」の「 管理ポリシー」を参照してください。

AWS マネージドポリシー

AWS Backup は、一般的なユースケース向けに以下の AWS マネージドポリシーを提供します。これらのポリシーではより簡単に、適切なアクセス許可を定義し、バックアップへのアクセスを制御できます。管理ポリシーには 2 種類あります。1 つのタイプは、 AWS Backupへのアクセスを制御するためにユーザーに割り当てられるように設計されています。もう 1 つのタイプは、 AWS Backupに渡すロールにアタッチされるように設計されています。以下の表では、 AWS Backup が提供するすべての管理ポリシーを示し、それらのポリシーがどのように定義されているかを説明しています。これらの管理ポリシーは、IAM コンソールのポリシーセクションでも確認できます。

AWSBackupAuditAccess

このポリシーは、 AWS Backup リソースとアクティビティに対する期待を定義するコントロールとフレームワークを作成し、定義されたコントロールとフレームワークに対して AWS Backup リソースとアクティビティを監査するアクセス許可をユーザーに付与します。このポリシーは、監査を実行するユーザーの期待を説明するアクセス許可を AWS Config および同様のサービスに付与します。

このポリシーは、Amazon S3 および同様のサービスに監査レポートを配信するアクセス権限も付与し、ユーザーは監査レポートを見つけて開くことができます。

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSBackupAuditAccess」の「」を参照してください。 AWS

AWSBackupDataTransferAccess

このポリシーは、 AWS Backup ストレージプレーンのデータ転送 APIsに対するアクセス許可を提供し、 AWS Backint エージェントが AWS Backup ストレージプレーンとのバックアップデータ転送を完了できるようにします。このポリシーは、 Backint エージェントを使用して SAP HANA を実行する Amazon EC2 インスタンスが引き受けるロールにアタッチできます。

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSBackupDataTransferAccess」の「」を参照してください。 AWS

AWSBackupFullAccess

バックアップ管理者は、バックアッププランの作成または編集、バックアッププランへの AWS リソースの割り当て、バックアップの復元などの AWS Backup オペレーションにフルアクセスできます。バックアップ管理者は、バックアップのコンプライアンスの決定と実施を担当し、組織のビジネスおよび規制関連の要件を満たすバックアッププランを定義します。また、バックアップ管理者は、組織の AWS リソースが適切な計画に割り当てられていることを確認します。

このポリシーのアクセス許可を確認するには、「 管理ポリシーリファレンスAWSBackupFullAccess」の「」を参照してください。 AWS

AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」の「」を参照してください。

AWSBackupOperatorAccess

バックアップオペレーターは、担当するリソースが適切にバックアップされていることを確認する責任のあるユーザーです。バックアップオペレーターには、バックアップ管理者が作成するバックアッププランに AWS リソースを割り当てるアクセス許可があります。また、 AWS リソースのオンデマンドバックアップを作成し、オンデマンドバックアップの保持期間を設定するアクセス許可も持っています。バックアップオペレーターは、バックアッププランを作成または編集したり、スケジュールされたバックアップを作成後に削除したりするためのアクセス許可は持っていません。バックアップオペレーターはバックアップをリストアできます。バックアップオペレーター がバックアッププランに割り当てることができるリソースタイプや、バックアップからリストアできるリソースタイプを制限できます。これを行うには、特定のリソースタイプのアクセス許可 AWS Backup を持つ特定のサービスロールのみを に渡します。

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSBackupOperatorAccess」の「」を参照してください。 AWS

AWSBackupOrganizationAdminAccess

組織管理者は、バックアップポリシーの作成、編集、削除、アカウントと組織単位へのバックアップポリシーの割り当て、組織内のバックアップアクティビティのモニタリングなど、 AWS Organizations オペレーションへのフルアクセスが可能です。組織管理者は、組織のビジネス要件および規制要件を満たすバックアップポリシーを定義して割り当てることによって、組織内のアカウントを保護する責任があります。

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSBackupOrganizationAdminAccess」の「」を参照してください。 AWS

AWSBackupRestoreAccessForSAPHANA

このポリシーは、Amazon EC2 で SAP HANA のバックアップを復元する AWS Backup アクセス許可を提供します。

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSBackupRestoreAccessForSAPHANA」の「」を参照してください。 AWS

AWSBackupServiceLinkedRolePolicyForBackup

このポリシーは、 という名前のサービスにリンクされたロールにアタッチされAWSServiceRoleforBackup、 AWS Backup がユーザーに代わって AWS サービスを呼び出してバックアップを管理できるようにします。詳細については、「ロールを使用したバックアップとコピー」を参照してください。

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンス AWSBackupServiceLinkedRolePolicyforBackup」の「」を参照してください。 AWS

AWSBackupServiceLinkedRolePolicyForBackupTest

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSBackupServiceLinkedRolePolicyForBackupTest」の「」を参照してください。 AWS

AWSBackupServiceRolePolicyForBackup

ユーザーに代わって、サポートされているすべてのリソースタイプのバックアップを作成する AWS Backup アクセス許可を提供します。

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSBackupServiceRolePolicyForBackup」の「」を参照してください。 AWS

AWSBackupServiceRolePolicyForRestores

ユーザーに代わって、サポートされているすべてのリソースタイプのバックアップを復元する AWS Backup アクセス許可を提供します。

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSBackupServiceRolePolicyForRestores」の「」を参照してください。 AWS

EC2 インスタンスのリストアでは、EC2 インスタンスを起動するために次の権限も含める必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/role-name", "Effect": "Allow" } ] }

AWSBackupServiceRolePolicyForS3Backup

このポリシーには、 が S3 バケット AWS Backup をバックアップするために必要なアクセス許可が含まれています。これには、バケット内のすべてのオブジェクトおよび関連する AWS KMS キーへのアクセスが含まれます。

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSBackupServiceRolePolicyForS3Backup」の「」を参照してください。 AWS

AWSBackupServiceRolePolicyForS3Restore

このポリシーには、 が S3 バックアップ AWS Backup をバケットに復元するために必要なアクセス許可が含まれています。これには、バケットへの読み取りおよび書き込みのアクセス許可と、S3 オペレーションに関する任意の AWS KMS キーの使用が含まれます。

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSBackupServiceRolePolicyForS3Restore」の「」を参照してください。 AWS

AWSServiceRolePolicyForBackupReports

AWS Backup は、このポリシーをAWSServiceRoleForBackupReportsサービスにリンクされたロールに使用します。このサービスにリンクされたロールは、バックアップ設定、ジョブ、およびリソースのフレームワークへの準拠をモニタリングおよびレポートする AWS Backup アクセス許可を付与します。

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSServiceRolePolicyForBackupReports」の「」を参照してください。 AWS

AWSServiceRolePolicyForBackupRestoreTesting

このポリシーのアクセス許可を確認するには、「 マネージドポリシーリファレンスAWSServiceRolePolicyForBackupRestoreTesting」の「」を参照してください。 AWS

カスタマー管理ポリシー

以下のセクションでは、 および でサポートされているサードパーティーアプリケーションに推奨されるバックアップ AWS のサービス および復元のアクセス許可について説明します AWS Backup。既存の AWS 管理ポリシーをモデルとして使用して独自のポリシードキュメントを作成し、カスタマイズして AWS リソースへのアクセスをさらに制限できます。

バックアップ

からの次のステートメントから始めますAWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

復元

から RDSPermissionsステートメントから開始しますAWSBackupServiceRolePolicyForRestores

バックアップ

からの次のステートメントから始めますAWSBackupServiceRolePolicyForBackup

  • DynamoDBPermissions

  • DynamoDBBackupResourcePermissions

  • DynamodbBackupPermissions

  • KMSDynamoDBPermissions

復元

からの次のステートメントから始めますAWSBackupServiceRolePolicyForRestores

  • DynamoDBPermissions

  • DynamoDBBackupResourcePermissions

  • DynamoDBRestorePermissions

  • KMSPermissions

バックアップ

からの次のステートメントから始めますAWSBackupServiceRolePolicyForBackup

  • EBSResourcePermissions

  • EBSTagAndDeletePermissions

  • EBSCopyPermissions

  • EBSSnapshotTierPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

復元

からの EBSPermissionsステートメントから開始しますAWSBackupServiceRolePolicyForRestores

次のステートメントを追加します。

{ "Effect":"Allow", "Action": [ "ec2:DescribeSnapshots", "ec2:DescribeVolumes" ], "Resource":"*" },
バックアップ

からの次のステートメントから始めますAWSBackupServiceRolePolicyForBackup

  • EBSCopyPermissions

  • EC2CopyPermissions

  • EC2Permissions

  • EC2TagPermissions

  • EC2ModifyPermissions

  • EBSResourcePermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

復元

からの次のステートメントから始めますAWSBackupServiceRolePolicyForRestores

  • EBSPermissions

  • EC2DescribePermissions

  • EC2RunInstancesPermissions

  • EC2TerminateInstancesPermissions

  • EC2CreateTagsPermissions

次のステートメントを追加します。

{ "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/role-name" },
バックアップ

からの次のステートメントから始めますAWSBackupServiceRolePolicyForBackup

  • EFSPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

復元

からの EFSPermissionsステートメントから開始しますAWSBackupServiceRolePolicyForRestores

バックアップ

から以下のステートメントから始めますAWSBackupServiceRolePolicyForBackup

  • FsxBackupPermissions

  • FsxCreateBackupPermissions

  • FsxPermissions

  • FsxVolumePermissions

  • FsxListTagsPermissions

  • FsxDeletePermissions

  • FsxResourcePermissions

  • KMSPermissions

復元

から以下のステートメントから始めますAWSBackupServiceRolePolicyForRestores

  • FsxPermissions

  • FsxTagPermissions

  • FsxBackupPermissions

  • FsxDeletePermissions

  • FsxDescribePermissions

  • FsxVolumeTagPermissions

  • FsxBackupTagPermissions

  • FsxVolumePermissions

  • DSPermissions

  • KMSDescribePermissions

バックアップ

から以下のステートメントから始めますAWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

復元

からの RDSPermissionsステートメントから開始しますAWSBackupServiceRolePolicyForRestores

バックアップ

からの次のステートメントから始めますAWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

復元

からの RDSPermissionsステートメントから開始しますAWSBackupServiceRolePolicyForRestores

バックアップ

AWSBackupServiceRolePolicyForS3Backup」から開始してください。

バックアップを別のアカウントにコピーする必要がある場合は、 BackupVaultPermissionsおよび BackupVaultCopyPermissionsステートメントを追加します。

復元

AWSBackupServiceRolePolicyForS3Restore」から開始してください。

バックアップ

からの次のステートメントから始めますAWSBackupServiceRolePolicyForBackup

  • StorageGatewayPermissions

  • EBSTagAndDeletePermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

次のステートメントを追加します。

{ "Effect": "Allow", "Action": [ "ec2:DescribeSnapshots" ], "Resource":"*" },
復元

からの次のステートメントから始めますAWSBackupServiceRolePolicyForRestores

  • StorageGatewayVolumePermissions

  • StorageGatewayGatewayPermissions

  • StorageGatewayListPermissions

バックアップ

からの BackupGatewayBackupPermissionsステートメントから開始しますAWSBackupServiceRolePolicyForBackup

復元

からの GatewayRestorePermissionsステートメントから開始しますAWSBackupServiceRolePolicyForRestores

暗号化バックアップ

暗号化されたバックアップを復元するには、次のいずれかの操作を行います。
  • AWS KMS キーポリシーの許可リストにロールを追加する

  • からの次のステートメントAWSBackupServiceRolePolicyForRestoresを復元用の IAM ロールに追加します。

    • KMSDescribePermissions

    • KMSPermissions

    • KMSCreateGrantPermissions

のポリシーの更新 AWS Backup

このサービスがこれらの変更の追跡を開始した AWS Backup 以降の の AWS マネージドポリシーの更新に関する詳細を表示します。

変更 説明 日付
AWSBackupServiceRolePolicyForBackup - 既存ポリシーへの更新

AWS Backup がこのポリシーbackup:TagResourceにアクセス許可を追加しました。

アクセス許可は、リカバリポイントの作成中にタグ付けアクセス許可を取得するために必要です。

2024 年 5 月 17 日
AWSBackupServiceRolePolicyForS3Backup – 既存ポリシーへの更新

AWS Backup がこのポリシーbackup:TagResourceにアクセス許可を追加しました。

アクセス許可は、リカバリポイントの作成中にタグ付けアクセス許可を取得するために必要です。

2024 年 5 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

AWS Backup がこのポリシーbackup:TagResourceにアクセス許可を追加しました。

アクセス許可は、リカバリポイントの作成中にタグ付けアクセス許可を取得するために必要です。

2024 年 5 月 17 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

アクセス許可 を追加しましたrds:DeleteDBInstanceAutomatedBackups

このアクセス許可は、 が Amazon RDS インスタンス point-in-time-restore の継続的なバックアップと をサポートする AWS Backup のに必要です。

2024 年 5 月 1 日
AWSBackupFullAccess – 既存ポリシーへの更新

AWS Backup Storage Gateway API モデルの変更に対応するため、 はアクセス許可の Amazon リソースネーム (ARN) を storagegateway:ListVolumesから arn:aws:storagegateway:*:*:gateway/**に更新しました。

2024 年 5 月 1 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

AWS Backup Storage Gateway API モデルの変更に対応するため、 はアクセス許可の Amazon リソースネーム (ARN) を storagegateway:ListVolumesから arn:aws:storagegateway:*:*:gateway/**に更新しました。

2024 年 5 月 1 日
AWSServiceRolePolicyForBackupRestoreTesting – 既存ポリシーへの更新

復元テストプランを実行するために、復旧ポイントと保護されたリソースを記述および一覧表示するためのアクセス許可 backup:DescribeRecoveryPointbackup:DescribeProtectedResourcebackup:ListProtectedResources、 を追加しましたbackup:ListRecoveryPointsByResource

Amazon EBS アーカイブ階層ストレージec2:DescribeSnapshotTierStatusをサポートするアクセス許可を追加しました。

Amazon Aurora の継続的バックアップrds:DescribeDBClusterAutomatedBackupsをサポートするアクセス許可を追加しました。

Amazon Redshift バックアップの復元テストをサポートするために、 redshift:DescribeClustersおよび のアクセス許可を追加しましたredshift:DeleteCluster

Amazon Timestream バックアップの復元テストtimestream:DeleteTableをサポートするアクセス許可を追加しました。

2024 年 2 月 14 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

アクセス許可 ec2:DescribeSnapshotTierStatusと を追加しましたec2:RestoreSnapshotTier

これらのアクセス許可は、 に保存された Amazon EBS リソースをアーカイブストレージ AWS Backup から復元するオプションをユーザーが持つために必要です。

EC2 インスタンスの復元では、EC2 インスタンスを起動するために次のポリシーステートメントに示されているアクセス許可も含める必要があります。

2023 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

アーカイブストレージ階層に移行ec2:ModifySnapshotTierするためにバックアップされた Amazon EBS リソースの追加ストレージオプションをサポートするために、 アクセス許可 ec2:DescribeSnapshotTierStatusと を追加しました。

これらのアクセス許可は、 に保存された Amazon EBS リソースをアーカイブストレージに移行するオプション AWS Backup をユーザーが持つために必要です。

2023 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

アーカイブストレージ階層に移行ec2:ModifySnapshotTierするためにバックアップされた Amazon EBS リソースの追加ストレージオプションをサポートするために、 アクセス許可 ec2:DescribeSnapshotTierStatusと を追加しました。

これらのアクセス許可は、 に保存された Amazon EBS リソースをアーカイブストレージに移行するオプション AWS Backup をユーザーが持つために必要です。

Aurora クラスターの PITR (point-in-time 復元) rds:RestoreDBClusterToPointInTimeに必要なアクセス許可 rds:DescribeDBClusterSnapshotsと を追加しました。

AWSServiceRolePolicyForBackupRestoreTesting - 新しいポリシー

復元テストを実行するために必要なアクセス許可を提供します。アクセス許可には、Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、FSx for Lustre、FSx for Windows File Server、FSx for ONTAP、FSx for OpenZFS、Amazon Neptune、Amazon RDS、Amazon S3 といったサービスを復元テストに含めるための、list, read, and write アクションが含まれます。

2023 年 11 月 27 日

AWSBackupFullAccess – 既存ポリシーへの更新

restore-testing.backup.amazonaws.comIamPassRolePermissionsIamCreateServiceLinkedRolePermissionsに追加されました。この追加は、 がお客様に代わって復元テストを実行する AWS Backup ために必要です。

2023 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

Aurora クラスターの PITR (point-in-time 復元) rds:RestoreDBClusterToPointInTimeに必要なアクセス許可 rds:DescribeDBClusterSnapshotsと を追加しました。

2023 年 9 月 6 日
AWSBackupFullAccess – 既存ポリシーへの更新

Aurora クラスターの継続的なバックアップと point-in-time 復元rds:DescribeDBClusterAutomatedBackupsに必要なアクセス許可 を追加しました。

2023 年 9 月 6 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

Aurora クラスターの継続的なバックアップと point-in-time 復元rds:DescribeDBClusterAutomatedBackupsに必要なアクセス許可 を追加しました。

2023 年 9 月 6 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

アクセス許可 を追加しましたrds:DescribeDBClusterAutomatedBackups。このアクセス許可は、Aurora クラスターの継続的なバックアップと point-in-time 復元 AWS Backup をサポートするために必要です。

保持期間が終了したときに AWS Backup 、ライフサイクルrds:DeleteDBClusterAutomatedBackupsが Amazon Aurora の継続的リカバリポイントを削除および関連付け解除できるようにするアクセス許可を追加しました。このアクセス許可は、Aurora 復旧ポイントが EXIPIRED の状態への移行を回避するために必要です。

rds:ModifyDBCluster が Aurora クラスターとやり取り AWS Backup できるようにするアクセス許可を追加しました。この追加により、ユーザーは必要な設定に基づいて継続的バックアップを有効または無効にすることができます。

2023 年 9 月 6 日
AWSBackupFullAccess – 既存ポリシーへの更新

新しいボールトタイプのリソース共有の関連付けを取得するアクセス許可をユーザーに付与ram:GetResourceShareAssociationsするアクションを追加しました。

2023 年 8 月 8 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

新しいボールトタイプのリソース共有の関連付けを取得するアクセス許可をユーザーに付与ram:GetResourceShareAssociationsするアクションを追加しました。

2023 年 8 月 8 日
AWSBackupServiceRolePolicyForS3Backup – 既存ポリシーへの更新

バケットインベントリを使用してバックアップのパフォーマンス速度s3:PutInventoryConfigurationを向上させるアクセス許可を追加しました。

2023 年 8 月 1 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

リソースを復元するタグを追加するアクセス許可をユーザーに付与するアクションとしてstoragegateway:AddTagsToResource、、elasticfilesystem:TagResourceRunInstancesのいずれかを含む ec2:CreateTagsのみ、fsx:TagResource、および CreateVolumeが追加されec2:CreateActionましたcloudformation:TagResource

2023 年 5 月 22 日
AWSBackupAuditAccess – 既存ポリシーへの更新

API 内のリソース選択をワイルドカードリソースconfig:DescribeComplianceByConfigRuleに置き換え、ユーザーがリソースを簡単に選択できるようにしました。

2023 年 4 月 11 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

カスタマーマネージドキーを使用して Amazon EFS を復元するアクセス許可 を追加しましたkms:GenerateDataKeyWithoutPlaintext。これにより、ユーザーに Amazon EFS リソースを復元するために必要なアクセス許可が付与されます。

2023 年 3 月 27 日
AWSServiceRolePolicyForBackupReports – 既存ポリシーへの更新

Audit Manager が Audit Manager マネージド AWS Config ルールにアクセスできるように AWS Backup 、 AWS Backup config:DescribeConfigRulesおよび config:DescribeConfigRuleEvaluationStatusアクションを更新しました。

2023 年 3 月 9 日
AWSBackupServiceRolePolicyForS3Restore – 既存ポリシーへの更新

ポリシー s3:GetBucketOwnershipControlskms:Decrypts3:PutBucketOwnershipControls、 のアクセス許可を追加しましたAWSBackupServiceRolePolicyForS3Restore。これらのアクセス許可は、元のバックアップで KMS 暗号化が使用されている場合はオブジェクトの復元をサポートし、オブジェクトの所有権が ACL ではなく元のバケットに設定されている場合にオブジェクトを復元するために必要です。

2023 年 2 月 13 日
AWSBackupFullAccess – 既存ポリシーへの更新

仮想マシンの VMware タグを使用してバックアップをスケジュールしbackup-gateway:GetHypervisorPropertyMappings、スケジュールベースの帯域幅スロットリングをサポートするために、backup-gateway:GetVirtualMachine、、、backup-gateway:PutHypervisorPropertyMappingsbackup-gateway:GetHypervisorbackup-gateway:StartVirtualMachinesMetadataSyncbackup-gateway:GetBandwidthRateLimitScheduleおよび のアクセス許可を追加しましたbackup-gateway:PutBandwidthRateLimitSchedule

2022 年 12 月 15 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

仮想マシンの VMware タグを使用してバックアップをスケジュールし、スケジュールベースの帯域幅スロットリングをサポートするためにbackup-gateway:GetHypervisorPropertyMappings、、backup-gateway:GetVirtualMachine、、backup-gateway:GetHypervisorおよび のアクセス許可を追加しましたbackup-gateway:GetBandwidthRateLimitSchedule

2022 年 12 月 15 日
AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync - 新しいポリシー

オンプレミスネットワーク内の仮想マシンのメタデータを Backup AWS Backup Gateway と同期するためのアクセス許可を Gateway に提供します。

2022 年 12 月 15 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

Timestream バックアップジョブをサポートするために、、timestream:StartAwsBackupJobtimestream:GetAwsBackupStatus、、timestream:ListTablestimestream:ListDatabasestimestream:DescribeTabletimestream:ListTagsForResourceおよび のアクセス許可を追加timestream:DescribeDatabaseしましたtimestream:DescribeEndpoints

2022 年 12 月 13 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

Timestream 復元ジョブをサポートするために、、timestream:StartAwsRestoreJob、、timestream:GetAwsRestoreStatustimestream:ListTablestimestream:ListTagsForResourcetimestream:ListDatabasestimestream:DescribeTable、および のアクセス許可を追加timestream:DescribeDatabases3:GetBucketAclしましたtimestream:DescribeEndpoints

2022 年 12 月 13 日
AWSBackupFullAccess – 既存ポリシーへの更新

Timestream リソースをサポートするために、timestream:ListTables、、timestream:ListDatabasess3:ListAllMyBucketsおよび のアクセス許可を追加しましたtimestream:DescribeEndpoints

2022 年 12 月 13 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

Timestream リソースをサポートするために、timestream:ListDatabases、、timestream:ListTables、および のアクセス許可を追加s3:ListAllMyBucketsしましたtimestream:DescribeEndpoints

2022 年 12 月 13 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

Timestream リソースをサポートするために、、timestream:ListDatabases、、timestream:ListTablestimestream:ListTagsForResourcetimestream:DescribeDatabasetimestream:GetAwsBackupStatustimestream:DescribeTableおよび のアクセス許可を追加timestream:GetAwsRestoreStatusしましたtimestream:DescribeEndpoints

2022 年 12 月 13 日
AWSBackupFullAccess – 既存ポリシーへの更新

Amazon Redshift リソースをサポートするために、、redshift:DescribeClusters、、redshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroupsredshift:DescribeClusterTracks、および のアクセス許可を追加redshift:DescribeSnapshotSchedulesしましたec2:DescribeAddresses

2022 年 11 月 27 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

Amazon Redshift リソースをサポートするために、、redshift:DescribeClusters、、redshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroups,redshift:DescribeClusterTracks、および のアクセス許可を追加redshift:DescribeSnapshotSchedulesしましたec2:DescribeAddresses

2022 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

Amazon Redshift 復元ジョブをサポートするために、redshift:RestoreFromCluster Snapshot、、redshift:RestoreTableFromClusterSnapshot、および のアクセス許可を追加redshift:DescribeClustersしましたredshift:DescribeTableRestoreStatus

2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

Amazon Redshift バックアップジョブをサポートするために、、redshift:CreateClusterSnapshotredshift:DescribeClusterSnapshots、、redshift:DeleteClusterSnapshot、および redshift:DescribeTagsのアクセス許可を追加redshift:DescribeClustersしましたredshift:CreateTags

2022 年 11 月 27 日
AWSBackupFullAccess – 既存ポリシーへの更新

CloudFormation リソースをサポートする次のアクセス許可を追加しました: cloudformation:ListStacks

2022 年 11 月 27 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

CloudFormation リソースをサポートする次のアクセス許可を追加しました: cloudformation:ListStacks

2022 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

CloudFormation リソースをサポートするために、redshift:DescribeClusterSnapshots、、redshift:DescribeTags、および のアクセス許可を追加redshift:DeleteClusterSnapshotしましたredshift:DescribeClusters

2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

AWS CloudFormation アプリケーションスタックのバックアップジョブをサポートするためにcloudformation:GetTemplate、、cloudformation:DescribeStacks、および のアクセス許可を追加しましたcloudformation:ListStackResources

2022 年 11 月 16 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

AWS CloudFormation アプリケーションスタックのバックアップジョブをサポートするために、次のアクセス許可を追加cloudformation:CreateChangeSetしました。 cloudformation:DescribeChangeSet

2022 年 11 月 16 日
AWSBackupOrganizationAdminAccess – 既存ポリシーへの更新

組織管理者が委任管理者機能を使用できるように、このポリシーに次のアクセス許可を追加しました: organizations:ListDelegatedAdministratororganizations:RegisterDelegatedAdministrator、および organizations:DeregisterDelegatedAdministrator

2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

Amazon EC2 インスタンスで SAP HANA をサポートするために、ssm-sap:GetOperation、、ssm-sap:ListDatabasesssm-sap:BackupDatabasessm-sap:UpdateHanaBackupSettingsssm-sap:GetDatabaseおよび のアクセス許可を追加しましたssm-sap:ListTagsForResource

2022 年 11 月 20 日

AWSBackupFullAccess – 既存ポリシーへの更新

Amazon EC2 インスタンスで SAP HANA をサポートするためにssm-sap:ListDatabasesssm-sap:GetOperation、、ssm-sap:GetDatabase、および のアクセス許可を追加しましたssm-sap:ListTagsForResource

2022 年 11 月 20 日

AWSBackupOperatorAccess – 既存ポリシーへの更新

Amazon EC2 インスタンスで SAP HANA をサポートするためにssm-sap:ListDatabasesssm-sap:GetOperation、、ssm-sap:GetDatabase、および のアクセス許可を追加しましたssm-sap:ListTagsForResource

2022 年 11 月 20 日

AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

Amazon EC2 インスタンスで SAP HANA をサポートする次のアクセス許可を追加しました: ssm-sap:GetOperation

2022 年 11 月 20 日

AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

EC2 インスタンスへの Backup ゲートウェイの復元ジョブをサポートするアクセス許可 を追加しましたec2:CreateTags

2022 年 11 月 20 日

AWSBackupDataTransferAccess – 既存ポリシーへの更新

SAP HANA On Amazon EC2 リソースの安全なストレージデータ転送をサポートするために、backup-storage:StartObject、、backup-storage:PutChunkbackup-storage:GetChunkbackup-storage:ListChunksbackup-storage:ListObjectsおよび のアクセス許可を追加backup-storage:GetObjectMetadataしましたbackup-storage:NotifyObjectComplete

2022 年 11 月 20 日
AWSBackupRestoreAccessForSAPHANA – 既存ポリシーへの更新

リソース所有者が SAP HANA On Amazon EC2 リソースの復元を実行するためのアクセス許可としてbackup:Get*、、backup:List*backup:Describe*backup:StartBackupJob、、backup:StartRestoreJobssm-sap:GetOperationssm-sap:ListDatabases、、ssm-sap:BackupDatabasessm-sap:GetDatabase、、ssm-sap:RestoreDatabasessm-sap:UpdateHanaBackupSettingsおよび を追加しましたssm-sap:ListTagsForResource

2022 年 11 月 20 日
AWSBackupServiceRolePolicyForS3Backup – 既存ポリシーへの更新

for Amazon S3 のバックアップオペレーションs3:GetBucketAclをサポートするアクセス許可を追加 AWS Backup しました。

2022 年 8 月 24 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

マルチアベイラビリティーゾーン (マルチ AZ) 機能をサポートするデータベースインスタンスを作成するためのアクセス権を付与するアクションを追加しましたrds:CreateDBInstance

2022 年 7 月 20 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

リソースワイルドカードでバックアップするバケットを選択するアクセス許可をユーザーにs3:GetBucketTagging付与するアクセス許可を追加しました。このアクセス許可がないと、リソースワイルドカードでバックアップするバケットを選択するユーザーは失敗します。

2022 年 5 月 6 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

既存の fsx:CreateBackupおよび fsx:ListTagsForResourceアクションの範囲にボリュームリソースを追加し、FSx for ONTAP ボリュームレベルのバックアップfsx:DescribeVolumesをサポートする新しいアクションを追加しました。

2022 年 4 月 27 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

次のアクションを追加して、FSx for ONTAP ボリューム fsx:DescribeVolumes、、fsx:CreateVolumeFromBackupfsx:DeleteVolumeおよび を復元するアクセス許可をユーザーに付与しましたfsx:UntagResource

2022 年 4 月 27 日
AWSBackupServiceRolePolicyForS3Backup – 既存ポリシーへの更新

バックアップオペレーション中に Amazon S3 バケットへの変更の通知を受け取るアクセス許可をユーザーに付与するアクションとして、 s3:GetBucketNotificationおよび を追加しましたs3:PutBucketNotification

2022 年 2 月 25 日
AWSBackupServiceRolePolicyForS3Backup - 新しいポリシー

Amazon S3 バケットをバックアップするアクセス許可をユーザーに付与するアクションとしてs3:GetInventoryConfiguration、、s3:PutInventoryConfigurations3:ListBucketVersionss3:ListBucket、、s3:GetBucketVersionings3:GetBucketTaggings3:GetBucketNotifications3:GetBucketLocationが追加されました。 s3:ListAllMyBuckets

Amazon S3 オブジェクトをバックアップするアクセス許可をユーザーに付与するアクションとしてs3:GetObject、、s3GetObjectAcls3:GetObjectVersionTaggings3:GetObjectVersionAcls3:GetObjectTaggingが追加されましたs3:GetObjectVersion

暗号化された Amazon S3 データをバックアップするアクセス許可をユーザーに付与するアクションとして、 kms:Decryptおよび を追加しましたkms:DescribeKey

Amazon EventBridge ルールを使用して Amazon S3 データの増分バックアップを作成するアクセス許可をユーザーに付与するアクションとしてevents:DescribeRule、、events:EnableRuleevents:PutRuleevents:DeleteRule、、events:PutTargetsevents:RemoveTargetsevents:ListTargetsByRuleevents:DisableRulecloudwatch:GetMetricDataが追加されましたevents:ListRules

2022 年 2 月 17 日
AWSBackupServiceRolePolicyForS3Restore - 新しいポリシー

Amazon S3 バケットを復元するアクセス許可をユーザーに付与するアクションとしてs3:CreateBucket、、s3:ListBucketVersionss3:ListBuckets3:GetBucketVersionings3:GetBucketLocation、 が追加されましたs3:PutBucketVersioning

Amazon S3 バケットを復元するアクセス許可をユーザーに付与するアクションとしてs3:GetObject、、s3:GetObjectVersions3:DeleteObjects3:PutObjectVersionAcls3:GetObjectVersionAcls3:GetObjectTaggings3:PutObjectTagging、、s3:GetObjectAcls3:PutObjects3:PutObjectAclが追加されましたs3:ListMultipartUploadParts

復元された Amazon S3 データを暗号化するアクセス許可をユーザーに付与するアクションとしてkms:Decrypt、、kms:DescribeKey、および が追加されましたkms:GenerateDataKey

2022 年 2 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

s3:ListAllMyBuckets バケットのリストを表示し、バックアッププランに割り当てるバケットを選択するアクセス許可をユーザーに付与するために を追加しました。

2022 年 2 月 14 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

仮想マシンのリストを表示し、バックアッププランに割り当てる仮想マシンを選択するアクセス許可をユーザーにbackup-gateway:ListVirtualMachines付与するために を追加しました。

仮想マシンのタグを一覧表示するアクセス許可をユーザーに付与backup-gateway:ListTagsForResourceするために を追加しました。

2021 年 11 月 30 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

仮想マシンのバックアップを復元するアクセス許可backup-gateway:Backupをユーザーに付与backup-gateway:ListTagsForResourceするために を追加しました。 AWS Backup また、仮想マシンのバックアップに割り当てられたタグを一覧表示するアクセス許可をユーザーに付与するために も追加しました。

2021 年 11 月 30 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

仮想マシンのバックアップを復元するアクセス許可をユーザーに付与backup-gateway:Restoreするために を追加しました。

2021 年 11 月 30 日
AWSBackupFullAccess – 既存ポリシーへの更新

Gateway を使用して仮想マシンをバックアップ、復元、管理 AWS Backup するためのアクセス許可をユーザーに付与するアクションとして、backup-gateway:AssociateGatewayToServerbackup-gateway:CreateGatewaybackup-gateway:DeleteGatewaybackup-gateway:DeleteHypervisorbackup-gateway:DisassociateGatewayFromServer、、backup-gateway:ImportHypervisorConfigurationbackup-gateway:ListGatewaysbackup-gateway:ListHypervisorsbackup-gateway:ListTagsForResourcebackup-gateway:ListVirtualMachinesbackup-gateway:PutMaintenanceStartTime、、backup-gateway:TagResourcebackup-gateway:TestHypervisorConfigurationbackup-gateway:UntagResourcebackup-gateway:UpdateGatewayInformation、、 が追加されましたbackup-gateway:UpdateHypervisor

2021 年 11 月 30 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

仮想マシンをバックアップするアクセス許可をユーザーに付与するアクションとしてbackup-gateway:ListGateways、、backup-gateway:ListHypervisorsbackup-gateway:ListTagsForResource、 が追加されましたbackup-gateway:ListVirtualMachines

2021 年 11 月 30 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

dynamodb:ListTagsOfResource の高度な DynamoDB バックアップ機能を使用してバックアップする DynamoDB テーブル AWS Backupのタグを一覧表示するアクセス許可をユーザーに付与するために を追加しました。

2021 年 11 月 23 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

高度なバックアップ機能を使用して DynamoDB テーブルをバックアップするアクセス許可をユーザーに付与dynamodb:StartAwsBackupJobするために を追加しました。

ソース DynamoDB テーブルからバックアップにタグをコピーするアクセス許可をユーザーにdynamodb:ListTagsOfResource付与するために を追加しました。

2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

の高度な DynamoDB バックアップ機能を使用してバックアップされた DynamoDB テーブル AWS Backupを復元するアクセス許可をユーザーに付与dynamodb:RestoreTableFromAwsBackupするために を追加しました。

2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

の高度な DynamoDB バックアップ機能を使用してバックアップされた DynamoDB テーブル AWS Backupを復元するアクセス許可をユーザーに付与dynamodb:RestoreTableFromAwsBackupするために を追加しました。

2021 年 11 月 23 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

アクションbackup:GetRecoveryPointRestoreMetadataと は冗長rds:DescribeDBSnapshotsであるため、 を削除しました。

AWS Backup は、 backup:Get*の一部として backup:GetRecoveryPointRestoreMetadataと の両方を必要としませんでしたAWSBackupOperatorAccess。また、 rds:describeDBSnapshotsの一部として rds:DescribeDBSnapshotsと の両方は必要ありません AWS Backup でしたAWSBackupOperatorAccess

2021 年 11 月 23 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

バックアッププランに割り当てるリソースを選択する際にelasticfilesystem:DescribeFileSystemsfsx:DescribeFileSystems AWS Backupがサポートするリソースのリストを表示および選択できるようにする新しいアクション rds:DescribeDBClusters、、dynamodb:ListTablesstoragegateway:ListVolumesec2:DescribeVolumesec2:DescribeInstancesrds:DescribeDBInstances、、、、 が追加されました。

2021 年 11 月 10 日
AWSBackupAuditAccess - 新しいポリシー

AWS Backup Audit Manager を使用するアクセス許可をユーザーにAWSBackupAuditAccess付与するために を追加しました。権限には、コンプライアンスフレームワークを設定し、レポートを生成する機能が含まれます。

2021 年 8 月 24 日
AWSServiceRolePolicyForBackupReports - 新しいポリシー

ユーザーが設定したフレームワークに準拠するためのバックアップ設定、ジョブ、およびリソースのモニタリングを自動化する、サービスにリンクされたロールのアクセス許可を付与AWSServiceRolePolicyForBackupReportsするために を追加しました。

2021 年 8 月 24 日
AWSBackupFullAccess – 既存ポリシーへの更新

サービスにリンクされたロールを (ベストエフォートベースで) 作成し、期限切れの復旧ポイントの削除を自動化iam:CreateServiceLinkedRoleするように を追加しました。このサービスにリンクされたロールがない場合、お客様がリカバリポイントの作成に使用した元の IAM ロールを削除した後は、期限切れのリカバリポイントを削除 AWS Backup することはできません。

2021 年 7 月 5 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

バックアッププランのライフサイクル設定に基づいて、期限切れの DynamoDB リカバリポイントの削除を自動化するDeleteRecoveryPointアクセス許可を付与dynamodb:DeleteBackupする新しいアクションが追加されました。

2021 年 7 月 5 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

アクションbackup:GetRecoveryPointRestoreMetadataと は冗長rds:DescribeDBSnapshotsであるため、 を削除しました。

AWS Backup はbackup:Get*、 の一部として backup:GetRecoveryPointRestoreMetadataAWSBackupOperatorAccess の両方を必要としませんでした。また、 rds:describeDBSnapshotsの一部として rds:DescribeDBSnapshotsと AWS Backup の両方を必要としませんでした。 AWSBackupOperatorAccess

2021 年 5 月 25 日
AWSBackupOperatorAccess – 既存ポリシーへの更新

アクションbackup:GetRecoveryPointRestoreMetadataと は冗長rds:DescribeDBSnapshotsであるため、 を削除しました。

AWS Backup は、 backup:Get*の一部として backup:GetRecoveryPointRestoreMetadataと の両方を必要としませんでしたAWSBackupOperatorAccess。また、 rds:describeDBSnapshotsの一部として rds:DescribeDBSnapshotsと の両方は必要ありません AWS Backup でしたAWSBackupOperatorAccess

2021 年 5 月 25 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

復元プロセス中に Amazon FSx ファイルシステムにタグを適用するためのStartRestoreJobアクセス許可fsx:TagResourceを付与する新しいアクションを追加しました。

2021 年 5 月 24 日
AWSBackupServiceRolePolicyForRestores – 既存ポリシーへの更新

リカバリポイントから Amazon EC2 インスタンスec2:DescribeInstancesを復元するためのStartRestoreJobアクセス許可を付与する新しいアクション ec2:DescribeImagesおよび を追加しました。

2021 年 5 月 24 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

リージョンとアカウント間で Amazon FSx リカバリポイントをコピーするためのStartCopyJobアクセス許可fsx:CopyBackupを付与する新しいアクションを追加しました。

2021 年 4 月 12 日
AWSBackupServiceLinkedRolePolicyForBackup – 既存ポリシーへの更新

リージョンとアカウント間で Amazon FSx リカバリポイントをコピーするためのStartCopyJobアクセス許可fsx:CopyBackupを付与する新しいアクションを追加しました。

2021 年 4 月 12 日
AWSBackupServiceRolePolicyForBackup – 既存ポリシーへの更新

次の要件に準拠するように更新されました。

AWS Backup で暗号化された DynamoDB テーブルのバックアップを作成するには、バックアップに使用される IAM ロールkms:GenerateDataKeyに アクセス許可 kms:Decryptと を追加する必要があります。

2021 年 3 月 10 日
AWSBackupFullAccess – 既存ポリシーへの更新

以下の要件に準拠するように更新されました。

AWS Backup を使用して Amazon RDS データベースの継続的バックアップを設定するには、バックアッププラン設定で定義された IAM ロールに API アクセス許可rds:ModifyDBInstanceが存在することを確認します。

Amazon RDS 連続バックアップをリストアするには、リストアジョブ用に送信した IAM ロールに rds:RestoreDBInstanceToPointInTime 権限を追加する必要があります。

AWS Backup コンソールで、 point-in-time リカバリに使用できる時間の範囲を記述するには、IAM 管理ポリシーに rds:DescribeDBInstanceAutomatedBackups API アクセス許可を含める必要があります。

2021 年 3 月 10 日

AWS Backup が変更の追跡を開始しました

AWS Backup が AWSマネージドポリシーの変更の追跡を開始しました。

2021 年 3 月 10 日