の管理ポリシー AWS Backup - AWS Backup

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の管理ポリシー AWS Backup

管理ポリシーは、 の複数のユーザー、グループ、ロールにアタッチできるスタンドアロンのアイデンティティベースのポリシーです AWS アカウント。ポリシーをプリンシパルエンティティにアタッチすると、ポリシーで定義されたアクセス権限がエンティティに付与されます。

AWS マネージドポリシーは、 によって作成および管理されます AWS。

カスタマー管理ポリシーでは、 のバックアップへのアクセスを設定するためのきめ細かな制御が可能です AWS Backup。たとえば、それらを使用して、データベースバックアップ管理者に Amazon RDS バックアップへのアクセス権を付与できますが、Amazon EFS バックアップにはアクセスできません。

カスタマー管理ポリシー

カスタマー管理ポリシーを作成する方法の 1 つは、既存の AWS 管理ポリシーをコピーして開始することです。この方法では、最初の段階でポリシーが正しいことがわかっていれば、後はそのポリシーをお客様の環境に合わせてカスタマイズするだけです。

次のポリシーは、 AWS Backupがサポートする個々の AWS のサービスおよびサードパーティーアプリケーションのバックアップおよび復元のアクセス許可を指定します。 AWS リソースへのアクセスをさらに制限するために、作成したロールをカスタマイズしてアタッチできます。

以下のポリシーは、 AWS Backupがサポートする個々の AWS のサービスおよびサードパーティーアプリケーションのバックアップ許可を指定します。 AWS リソースへのアクセスをさらに制限するために、作成したロールをカスタマイズしてアタッチできます。

Amazon S3
{ "Version":"2012-10-17", "Statement":[ { "Sid":"S3BucketBackupPermissions", "Action":[ "s3:GetInventoryConfiguration", "s3:PutInventoryConfiguration", "s3:ListBucketVersions", "s3:ListBucket", "s3:GetBucketVersioning", "s3:GetBucketNotification", "s3:PutBucketNotification", "s3:GetBucketLocation", "s3:GetBucketTagging", "s3:GetBucketAcl" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*" ] }, { "Sid":"S3ObjectBackupPermissions", "Action":[ "s3:GetObjectAcl", "s3:GetObject", "s3:GetObjectVersionTagging", "s3:GetObjectVersionAcl", "s3:GetObjectTagging", "s3:GetObjectVersion" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*/*" ] }, { "Sid":"S3GlobalPermissions", "Action":[ "s3:ListAllMyBuckets" ], "Effect":"Allow", "Resource":[ "*" ] }, { "Sid":"KMSBackupPermissions", "Action":[ "kms:Decrypt", "kms:DescribeKey" ], "Effect":"Allow", "Resource":"*", "Condition":{ "StringLike":{ "kms:ViaService":"s3.*.amazonaws.com" } } }, { "Sid":"EventsPermissions", "Action":[ "events:DescribeRule", "events:EnableRule", "events:PutRule", "events:DeleteRule", "events:PutTargets", "events:RemoveTargets", "events:ListTargetsByRule", "events:DisableRule" ], "Effect":"Allow", "Resource":"arn:aws:events:*:*:rule/AwsBackupManagedRule*" }, { "Sid":"EventsMetricsGlobalPermissions", "Action":[ "cloudwatch:GetMetricData", "events:ListRules" ], "Effect":"Allow", "Resource":"*" } ] }
VM
{ "Sid": "BackupGatewayBackupPermissions" "Effect": "Allow", "Action": [ "backup-gateway:Backup", "backup-gateway:ListTagsForResource" ], "Resource": "arn:aws:backup-gateway:*:*:vm/*" }
Amazon EBS
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ec2:CreateTags", "Resource":"arn:aws:ec2:*::snapshot/*" }, { "Effect":"Allow", "Action":[ "ec2:CreateSnapshot", "ec2:DeleteSnapshot" ], "Resource":[ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Effect":"Allow", "Action":[ "ec2:DescribeVolumes", "ec2:DescribeSnapshots", "ec2:CopySnapshot", "ec2:DescribeTags" ], "Resource":"*" }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" } ] }
Amazon EFS
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "elasticfilesystem:Backup", "elasticfilesystem:DescribeTags" ], "Resource":"arn:aws:elasticfilesystem:*:*:file-system/*", "Effect":"Allow" }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" } ] }
Amazon RDS
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "rds:AddTagsToResource", "rds:ListTagsForResource", "rds:DescribeDBSnapshots", "rds:CreateDBSnapshot", "rds:CopyDBSnapshot", "rds:DescribeDBInstances", "rds:CreateDBClusterSnapshot", "rds:DescribeDBClusters", "rds:DescribeDBClusterSnapshots", "rds:CopyDBClusterSnapshot" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "rds:DeleteDBSnapshot", "rds:ModifyDBSnapshotAttribute" ], "Resource":[ "arn:aws:rds:*:*:snapshot:awsbackup:*" ] }, { "Effect": "Allow", "Action": [ "rds:DeleteDBClusterSnapshot", "rds:ModifyDBClusterSnapshotAttribute" ], "Resource": [ "arn:aws:rds:*:*:cluster-snapshot:awsbackup:*" ] }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" }, { "Action":"kms:DescribeKey", "Effect":"Allow", "Resource":"*" } ] }
Amazon Aurora
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "rds:CreateDBClusterSnapshot", "rds:DescribeDBClusters", "rds:DescribeDBClusterSnapshots", "rds:AddTagsToResource", "rds:ListTagsForResource", "rds:CopyDBClusterSnapshot" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "rds:DeleteDBClusterSnapshot" ], "Resource":[ "arn:aws:rds:*:*:cluster-snapshot:awsbackup:*" ] }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" }, { "Action":"kms:DescribeKey", "Effect":"Allow", "Resource":"*" } ] }
Storage Gateway
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "storagegateway:CreateSnapshot", "storagegateway:ListTagsForResource" ], "Resource":"arn:aws:storagegateway:*:*:gateway/*/volume/*" }, { "Effect":"Allow", "Action":[ "ec2:CreateTags", "ec2:DeleteSnapshot" ], "Resource":"arn:aws:ec2:*::snapshot/*" }, { "Effect":"Allow", "Action":[ "ec2:DescribeSnapshots" ], "Resource":"*" }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" } ] }
Amazon FSx
{ "Version":"2012-10-17", "Statement":[ { "Action": "fsx:DescribeBackups", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:backup/*" }, { "Action": "fsx:CreateBackup", "Effect": "Allow", "Resource": [ "arn:aws:fsx:*:*:file-system/*", "arn:aws:fsx:*:*:backup/*" ] }, { "Action": "fsx:DescribeFileSystems", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:file-system/*" }, { "Action": "fsx:ListTagsForResource", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:file-system/*" }, { "Action": "fsx:DeleteBackup", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:backup/*" }, { "Effect": "Allow", "Action": [ "fsx:ListTagsForResource", "fsx:ManageBackupPrincipalAssociations", "fsx:CopyBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:*:*:backup/*" } ] }
Amazon EC2
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ec2:CreateTags", "ec2:DeleteSnapshot" ], "Resource":"arn:aws:ec2:*::snapshot/*" }, { "Effect":"Allow", "Action":[ "ec2:CreateImage", "ec2:DeregisterImage" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:CopyImage", "ec2:CopySnapshot" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:CreateTags" ], "Resource":"arn:aws:ec2:*:*:image/*" }, { "Effect":"Allow", "Action":[ "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeInstanceAttribute", "ec2:DescribeInstanceCreditSpecifications", "ec2:DescribeNetworkInterfaces", "ec2:DescribeElasticGpus", "ec2:DescribeSpotInstanceRequests" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeVolumes", "ec2:DescribeSnapshots" ], "Resource":[ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Action":[ "tag:GetResources" ], "Resource":"*", "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "backup:DescribeBackupVault", "backup:CopyIntoBackupVault" ], "Resource":"arn:aws:backup:*:*:backup-vault:*" } ] }
DynamoDB
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "dynamodb:DescribeTable", "dynamodb:CreateBackup" ], "Resource":"arn:aws:dynamodb:*:*:table/*", "Effect":"Allow" }, { "Action":[ "dynamodb:DescribeBackup", "dynamodb:DeleteBackup" ], "Resource":"arn:aws:dynamodb:*:*:table/*/backup/*", "Effect":"Allow" }, { "Action":[ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect":"Allow", "Resource":"*", "Condition":{ "StringLike":{ "kms:ViaService":[ "dynamodb.*.amazonaws.com" ] } } }, { "Sid":"DynamodbBackupPermissions", "Effect":"Allow", "Action":[ "dynamodb:StartAwsBackupJob", "dynamodb:ListTagsOfResource" ], "Resource":"arn:aws:dynamodb:*:*:table/*" } ] }

以下のポリシーは、 AWS Backupがサポートする個々の AWS のサービスおよびサードパーティーアプリケーションの復元許可を指定します。 AWS リソースへのアクセスをさらに制限するために、作成したロールをカスタマイズしてアタッチできます。

Amazon S3
{ "Version":"2012-10-17", "Statement":[ { "Sid":"S3BucketRestorePermissions", "Action":[ "s3:CreateBucket", "s3:ListBucketVersions", "s3:ListBucket", "s3:GetBucketVersioning", "s3:GetBucketLocation", "s3:PutBucketVersioning" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*" ] }, { "Sid":"S3ObjectRestorePermissions", "Action":[ "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:PutObjectVersionAcl", "s3:GetObjectVersionAcl", "s3:GetObjectTagging", "s3:PutObjectTagging", "s3:GetObjectAcl", "s3:PutObjectAcl", "s3:PutObject", "s3:ListMultipartUploadParts" ], "Effect":"Allow", "Resource":[ "arn:aws:s3:::*/*" ] }, { "Sid":"S3KMSPermissions", "Action":[ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Effect":"Allow", "Resource":"*", "Condition":{ "StringLike":{ "kms:ViaService":"s3.*.amazonaws.com" } } } ] }
VM
{ "Sid": "GatewayRestorePermissions", "Effect": "Allow", "Action": [ "backup-gateway:Restore" ], "Resource": "arn:aws:backup-gateway:*:*:hypervisor/*" }
Amazon EBS
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ec2:CreateVolume", "ec2:DeleteVolume" ], "Resource":[ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Effect":"Allow", "Action":[ "ec2:DescribeSnapshots", "ec2:DescribeVolumes" ], "Resource":"*" } ] }
Amazon EFS
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "elasticfilesystem:Restore", "elasticfilesystem:CreateFilesystem", "elasticfilesystem:DescribeFilesystems", "elasticfilesystem:DeleteFilesystem" ], "Resource":"arn:aws:elasticfilesystem:*:*:file-system/*" } ] }
Amazon RDS
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "rds:DescribeDBInstances", "rds:DescribeDBSnapshots", "rds:ListTagsForResource", "rds:RestoreDBInstanceFromDBSnapshot", "rds:DeleteDBInstance", "rds:AddTagsToResource" ], "Resource":"*" } ] }
Amazon Aurora
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "rds:DeleteDBCluster", "rds:DescribeDBClusters", "rds:RestoreDBClusterFromSnapshot", "rds:ListTagsForResource", "rds:AddTagsToResource" ], "Resource":"*" } ] }
Storage Gateway
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "storagegateway:DeleteVolume", "storagegateway:DescribeCachediSCSIVolumes", "storagegateway:DescribeStorediSCSIVolumes" ], "Resource":"arn:aws:storagegateway:*:*:gateway/*/volume/*" }, { "Effect":"Allow", "Action":[ "storagegateway:DescribeGatewayInformation", "storagegateway:CreateStorediSCSIVolume", "storagegateway:CreateCachediSCSIVolume" ], "Resource":"arn:aws:storagegateway:*:*:gateway/*" }, { "Effect":"Allow", "Action":[ "storagegateway:ListVolumes" ], "Resource":"arn:aws:storagegateway:*:*:*" } ] }
Amazon FSx
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "fsx:CreateFileSystemFromBackup" ], "Effect": "Allow", "Resource": [ "arn:aws:fsx:*:*:file-system/*", "arn:aws:fsx:*:*:backup/*" ] }, { "Action": "fsx:DescribeFileSystems", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:file-system/*" }, { "Action": "fsx:DescribeBackups", "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:backup/*" }, { "Action": [ "fsx:DeleteFileSystem", "fsx:UntagResource" ], "Effect": "Allow", "Resource": "arn:aws:fsx:*:*:file-system/*", "Condition": { "Null": { "aws:ResourceTag/aws:backup:source-resource": "false" } } }, { "Action": "ds:DescribeDirectories", "Effect": "Allow", "Resource": "*" } ] }
Amazon EC2
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ec2:CreateVolume", "ec2:DeleteVolume" ], "Resource":[ "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:volume/*" ] }, { "Effect":"Allow", "Action":[ "ec2:DescribeSnapshots", "ec2:DescribeVolumes" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:DescribeImages", "ec2:DescribeInstances" ], "Resource":"*" }, { "Action":[ "ec2:RunInstances" ], "Effect":"Allow", "Resource":"*" }, { "Action":[ "ec2:TerminateInstances" ], "Effect":"Allow", "Resource":"arn:aws:ec2:*:*:instance/*" }, { "Action":"iam:PassRole", "Resource":"arn:aws:iam::<account-id>:role/<role-name>", "Effect":"Allow" } ] }
DynamoDB
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "dynamodb:Scan", "dynamodb:Query", "dynamodb:UpdateItem", "dynamodb:PutItem", "dynamodb:GetItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem", "dynamodb:DescribeTable" ], "Resource":"arn:aws:dynamodb:*:*:table/*" }, { "Effect":"Allow", "Action":[ "dynamodb:RestoreTableFromBackup" ], "Resource":"arn:aws:dynamodb:*:*:table/*/backup/*" }, { "Effect":"Allow", "Action":[ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:ViaService":[ "dynamodb.*.amazonaws.com" ] } } }, { "Sid":"DynamoDBRestorePermissions", "Effect":"Allow", "Action":[ "dynamodb:RestoreTableFromAwsBackup" ], "Resource":"arn:aws:dynamodb:*:*:table/*" } ] }
暗号化されたバックアップを復元するには、次のいずれかの操作を行います。
  • AWS Key Management Service (AWS KMS) キーポリシーの許可リストにロールを追加する

  • リストアのために IAM ロールにこのポリシーをアタッチします。

    { "Action": [ "kms:DescribeKey", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:ReEncrypt*" ], "Effect": "Allow", "Resource": "*" }

AWS マネージドポリシー

AWS 管理ポリシーは、多くの一般的ユースケースにアクセス許可を付与するように設計されています。 AWS 管理ポリシーを使用すると、ポリシーを自分で記述するよりも簡単に、ユーザー、グループ、ロールに適切なアクセス許可を割り当てることができます。

ただし、 AWS マネージドポリシーで定義されているアクセス許可は変更できません。 AWS は、 AWS マネージドポリシーで定義されているアクセス許可を更新することがあります。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。

AWS Backup には、一般的なユースケース向けのいくつかの AWS マネージドポリシーが用意されています。これらのポリシーではより簡単に、適切なアクセス許可を定義し、バックアップへのアクセスを制御できます。管理ポリシーには 2 種類あります。1 つのタイプは、 AWS Backupへのアクセスを制御するためにユーザーに割り当てられるように設計されています。もう 1 つのタイプは、 AWS Backupに渡すロールにアタッチされるように設計されています。以下の表では、 AWS Backup が提供するすべての管理ポリシーを示し、それらのポリシーがどのように定義されているかを説明しています。これらの管理ポリシーは、IAM コンソールのポリシーセクションでも確認できます。

ポリシー 管理ポリシー名 説明
AWS Backup Backup のサービスリンクロールポリシー AWSBackupServiceLinkedRolePolicyforBackup

このポリシーは、 という名前のサービスにリンクされたロールにアタッチAWSServiceRoleforBackupされ、 AWS Backup がユーザーに代わって AWS サービスを呼び出してバックアップを管理できるようにします。

詳細については、「AWS Backupのサービスリンクロールのアクセス許可」を参照してください。

AWS Backup データ転送アクセス AWSBackupDataTransferAccess

このポリシーは、 AWS Backup ストレージプレーンのデータ転送 APIsのアクセス許可を付与し、 AWS Backint エージェントが AWS Backup ストレージプレーンとのバックアップデータ転送を完了できるようにします。ユーザーは、Backint agent を使用して SAP HANA を実行している Amazon EC2 インスタンスが引き受けるロールにこのポリシーをアタッチできます。

AWS Backup SAP HANA の復元アクセス AWSBackupRestoreAccessForSAPHANA このポリシーは、Amazon EC2 で SAP HANA のバックアップを復元する AWS Backup アクセス許可を提供します。
AWS Backup Amazon S3 バックアップポリシーの場合 AWSBackupServiceRolePolicyForS3Backup このポリシーには、 が S3 バケット AWS Backup をバックアップするために必要なアクセス許可が含まれています。これには、バケット内のすべてのオブジェクトと関連する AWS KMS キーへのアクセスが含まれます。
AWS Backup Amazon S3 復元ポリシーの場合 AWSBackupServiceRolePolicyForS3Restore このポリシーには、 が S3 バックアップをバケットに復元 AWS Backup するために必要なアクセス許可が含まれています。これには、バケットに対する読み取りおよび書き込みのアクセス許可と、S3 オペレーションに関する任意の AWS KMS キーの使用が含まれます。
バックアップ監査 IAM ポリシー AWSBackupAuditAccess

このポリシーは、 AWS Backup リソースとアクティビティに対する期待を定義するコントロールとフレームワークを作成し、定義されたコントロールとフレームワークに照らして AWS Backup リソースとアクティビティを監査するアクセス許可をユーザーに付与します。このポリシーは、ユーザーの期待を記述するためのアクセス許可を AWS Config および同様のサービスに付与し、監査を実行します。

このポリシーは、Amazon S3 および同様のサービスに監査レポートを配信するアクセス権限も付与し、ユーザーは監査レポートを見つけて開くことができます。

AWS バックアップレポートのサービスロールポリシー AWSServiceRolePolicyForBackupReports AWS Backup はAWSServiceRoleForBackupReports、サービスにリンクされたロールにこのポリシーを使用します。このサービスにリンクされたロールは、バックアップ設定、ジョブ、およびリソースのフレームワークへの準拠をモニタリングおよびレポートする AWS Backup アクセス許可を付与します。
バックアップ管理者 IAM ポリシー AWSBackupFullAccess バックアップ管理者は、バックアッププランの作成または編集、バックアッププランへの AWS リソースの割り当て、バックアップの復元などの AWS Backup オペレーションにフルアクセスできます。バックアップ管理者は、バックアップのコンプライアンスの決定と実施を担当し、組織のビジネスおよび規制関連の要件を満たすバックアッププランを定義します。また、バックアップ管理者は、組織の AWS リソースが適切なプランに割り当てられていることを確認します。
バックアップオペレーター IAM ポリシー AWSBackupOperatorAccess バックアップオペレーターは、担当するリソースが適切にバックアップされていることを確認する責任のあるユーザーです。バックアップオペレーターには、バックアップ管理者が作成するバックアッププランに AWS リソースを割り当てるアクセス許可があります。また、 AWS リソースのオンデマンドバックアップを作成し、オンデマンドバックアップの保持期間を設定するアクセス許可も持っています。バックアップオペレーターは、バックアッププランを作成または編集したり、スケジュールされたバックアップを作成後に削除したりするためのアクセス許可は持っていません。バックアップオペレーターはバックアップをリストアできます。バックアップオペレーター がバックアッププランに割り当てることができるリソースタイプや、バックアップからリストアできるリソースタイプを制限できます。これを行うには、特定のリソースタイプのアクセス許可 AWS Backup を持つ特定のサービスロールのみを に渡すことを許可します。
バックアップ管理者 AWS Organizations ポリシー AWSBackupOrganizationAdminAccess 組織管理者は、バックアップポリシーの作成、編集、削除、アカウントと組織単位へのバックアップポリシーの割り当て、組織内のバックアップアクティビティのモニタリングなど、 AWS Organizations オペレーションにフルアクセスできます。組織管理者は、組織のビジネス要件および規制要件を満たすバックアップポリシーを定義して割り当てることによって、組織内のアカウントを保護する責任があります。
バックアップ用のデフォルトのサービスロールポリシー AWSBackupServiceRolePolicyForBackup ユーザーに代わって、サポートされているすべてのリソースタイプのバックアップを作成する AWS Backup アクセス許可を付与します。
リストア用のデフォルトのサービスロールポリシー AWSBackupServiceRolePolicyForRestores ユーザーに代わって、サポートされているすべてのリソースタイプのバックアップを復元する AWS Backup アクセス許可を付与します。EC2 インスタンスのリストアでは、EC2 インスタンスを起動するために次の権限も含める必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/role-name", "Effect": "Allow" } ] }

のポリシーの更新 AWS Backup

AWS のサービスは、 AWS マネージドポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新しい機能をサポートするために、 AWS 管理ポリシーに許可を追加することがあります。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。新しい機能が起動されたとき、または新しいオペレーションが利用可能になったときに、サービスが AWS 管理ポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破棄されることはありません。

さらに、 は、複数の サービスにまたがる職務機能の管理ポリシー AWS をサポートしています。例えば、 ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新しい機能を起動すると、 は新しいオペレーションとリソースに読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。

このサービスがこれらの変更の追跡を開始した AWS Backup 以降の、 の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、 AWS Backup ドキュメント履歴ページの RSS フィードを購読してください。

変更 説明 日付
AWSServiceRolePolicyForBackupRestoreTesting — 復元テスト機能で追加のリソースタイプをサポートするアクセス許可を追加

AWS Backup は、復元テストプランを実行するために、リカバリポイントと保護されたリソースを記述および一覧表示するためのアクセス許可 backup:DescribeRecoveryPoint、、backup:DescribeProtectedResourcebackup:ListProtectedResourcesおよび を追加しましたbackup:ListRecoveryPointsByResource

AWS Backup は、Amazon EBS アーカイブ階層ストレージec2:DescribeSnapshotTierStatusをサポートするアクセス許可を追加しました。

AWS Backup は、Amazon Aurora の継続的バックアップrds:DescribeDBClusterAutomatedBackupsをサポートするアクセス許可を追加しました。

AWS Backup は、Amazon Redshift バックアップの復元テストをサポートするために、 redshift:DescribeClustersおよび のアクセス許可を追加しましたredshift:DeleteCluster

AWS Backup は、Amazon Timestream バックアップの復元テストtimestream:DeleteTableをサポートするアクセス許可を追加しました。

2024 年 2 月 14 日

AWSBackupServiceRolePolicyForRestores — Amazon Elastic Block Store アーカイブストレージ階層 AWS Backup への移行をサポートするアクセス許可を追加

AWS Backup はアクセス許可 ec2:DescribeSnapshotTierStatusと を追加しましたec2:RestoreSnapshotTier

これらのアクセス許可は、 に保存された Amazon EBS リソースをアーカイブストレージ AWS Backup から復元するオプションをユーザーに付与するために必要です。

EC2 インスタンスの復元では、EC2 インスタンスを起動するために次のポリシーステートメントに示されているアクセス許可も含める必要があります。

2023 年 11 月 27 日

AWSBackupServiceRolePolicyForBackups — Amazon Elastic Block Store アーカイブストレージ階層 AWS Backup への移行をサポートするアクセス許可を追加

AWS Backup は、アーカイブストレージ階層に移行するためにバックアップされた Amazon EBS リソースの追加ストレージオプションec2:ModifySnapshotTierをサポートするアクセス許可 ec2:DescribeSnapshotTierStatusと を追加しました。

これらのアクセス許可は、 に保存された Amazon EBS リソースをアーカイブストレージに移行するオプション AWS Backup をユーザーに付与するために必要です。

2023 年 11 月 27 日

AWSBackupServiceLinkedRolePolicyForBackup — Amazon Elastic Block Store アーカイブストレージ階層 AWS Backup への移行をサポートするアクセス許可を追加

— Amazon Aurora の継続的なバックアップと PITR (point-in-time 復元) をサポートするアクセス許可も追加されました。

AWS Backup は、アーカイブストレージ階層に移行するためにバックアップされた Amazon EBS リソースの追加ストレージオプションec2:ModifySnapshotTierをサポートするアクセス許可 ec2:DescribeSnapshotTierStatusと を追加しました。

これらのアクセス許可は、 に保存された Amazon EBS リソースをアーカイブストレージに移行するオプション AWS Backup をユーザーに付与するために必要です。

AWS Backup はrds:RestoreDBClusterToPointInTime、Aurora クラスターの PITR (point-in-time 復元) に必要なアクセス許可 rds:DescribeDBClusterSnapshotsと を追加しました。

AWSServiceRoleForBackupRestoreTesting — 新しいサービスにリンクされたロールを追加しました。

AWS Backup は、復元テストを実行するためのバックアップアクセス許可を提供するAWSServiceRoleForBackupRestoreTesting、 という名前の新しいサービスにリンクされたロールを追加しました。

この新しいサービスにリンクされたロールは、復元テストを実行するために必要なアクセス許可 AWS Backup を に付与します。アクセス許可には、Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、FSx for Lustre、FSx for Windows File Server、FSx for ONTAP、FSx for OpenZFS、Amazon Neptune、Amazon RDS、Amazon S3 といったサービスを復元テストに含めるための、list, read, and write アクションが含まれます。

このポリシーの変更追跡が開始されました。

2023 年 11 月 27 日

AWSBackupFullAccess — 復元テストをサポートするパスロールのアクセス許可を追加しました。

AWS Backup が IamPassRolePermissionsrestore-testing.backup.amazonaws.comに追加されましたIamCreateServiceLinkedRolePermissions。この追加は、お客様に代わって復元テストを実行する AWS Backup ために必要です。

2023 年 11 月 27 日

AWSBackupServiceRolePolicyForRestores — Amazon Aurora の継続的なバックアップと PITR (point-in-time 復元) をサポートするアクセス許可を追加しました。

AWS Backup はrds:RestoreDBClusterToPointInTime、Aurora クラスターの PITR (point-in-time 復元) に必要なアクセス許可 rds:DescribeDBClusterSnapshotsと を追加しました。

2023 年 9 月 6 日

AWSBackupFullAccess — Amazon Aurora の継続的なバックアップと PITR (point-in-time 復元) をサポートする新しいアクセス許可を追加しました。

AWS Backup はrds:DescribeDBClusterAutomatedBackups、Aurora クラスターの継続的なバックアップと point-in-time 復元に必要なアクセス許可 を追加しました。

2023 年 9 月 6 日

AWSBackupOperatorAccess — Amazon Aurora の継続的なバックアップと PITR (point-in-time 復元) をサポートする新しいアクセス許可を追加しました。

AWS Backup はrds:DescribeDBClusterAutomatedBackups、Aurora クラスターの継続的なバックアップと point-in-time 復元に必要なアクセス許可 を追加しました。

2023 年 9 月 6 日

AWSBackupServiceRolePolicyForBackup — Amazon Aurora の継続的なバックアップと PITR (point-in-time 復元) をサポートするアクセス許可を追加しました。

AWS Backup はアクセス許可 を追加しましたrds:DescribeDBClusterAutomatedBackups。このアクセス許可は、Aurora クラスターの継続的なバックアップと point-in-time 復元 AWS Backup をサポートするために必要です。

AWS Backup は、保持期間が終了したときに AWS Backup ライフサイクルが Amazon Aurora 継続的リカバリポイントを削除および関連付け解除rds:DeleteDBClusterAutomatedBackupsできるようにするアクセス許可を追加しました。このアクセス許可は、Aurora 復旧ポイントが EXIPIRED の状態への移行を回避するために必要です。

AWS Backup は、 rds:ModifyDBClusterが Aurora クラスターとやり取り AWS Backup できるようにする アクセス許可を追加しました。この追加により、ユーザーは必要な設定に基づいて継続的バックアップを有効または無効にすることができます。

2023 年 9 月 6 日

AWSBackupFullAccess — 新しいボールトタイプのリソース共有の関連付けを取得するアクセス許可を追加しました。

AWS Backup は、新しいボールトタイプのリソース共有の関連付けを取得するアクセス許可をユーザーにram:GetResourceShareAssociations付与する アクションを追加しました。

AWS Backup では、 とやり取りするために、この追加のアクセス許可が必要です AWS RAM。

2023 年 8 月 8 日

AWSBackupOperatorAccess — 新しいボールトタイプのリソース共有の関連付けを取得するアクセス許可を追加しました。

AWS Backup は、新しいボールトタイプのリソース共有の関連付けを取得するアクセス許可をユーザーにram:GetResourceShareAssociations付与する アクションを追加しました。

AWS Backup では、 とやり取りするために、この追加のアクセス許可が必要です AWS RAM。

2023 年 8 月 8 日

AWSBackupServiceRolePolicyForS3Backup — Amazon S3 バックアップをサポートする新しいアクセス許可を追加

AWS Backup はアクセス許可 を追加しましたs3:PutInventoryConfiguration

AWS Backup では、バケットインベントリを使用してバックアップのパフォーマンス速度を向上させるために、このアクセス許可が必要です。

2023 年 8 月 1 日

AWSBackupServiceRolePolicyForRestores — 復元ジョブ中にリソースにタグを追加するアクセス許可を追加しました。

AWS Backup は次のアクションを追加して、リソースを復元するタグを追加するアクセス許可をユーザーに付与しました: storagegateway:AddTagsToResourceelasticfilesystem:TagResourceRunInstancesまたは 、CreateVolumefsx:TagResourceおよび ec2:CreateActionを含む ec2:CreateTagsのみcloudformation:TagResource

これらの追加アクセス許可は、復元プロセス中に がリソースにタグを追加 AWS Backup するために必要です。

2023 年 5 月 22 日

AWSBackupAuditAccess — 置き換えられたリソースの選択

AWS Backup は API 内のリソース選択をワイルドカードリソースconfig:DescribeComplianceByConfigRuleに置き換えました。

このようにリソース選択範囲が拡張されたため、ユーザーはエラーの少ないリソースを選択しやすくなりました。

2023 年 4 月 11 日

AWSBackupServiceRolePolicyForRestores — 暗号化された Amazon Elastic File System の復元をサポートするアクセス許可を追加しました。

AWS Backup は、カスタマーマネージドキーを使用して Amazon EFS を復元するアクセス許可 を追加しましたkms:GenerateDataKeyWithoutPlaintext

この更新は、ユーザーが Amazon EFS リソースを復元するために必要なアクセス許可を持っていることを確認するために必要です。

2023 年 3 月 27 日

AWSServiceRolePolicyForBackupReports — 更新されたアクション

AWS Backup は、Audit Manager AWS Backup が Audit Manager マネージド AWS Config ルールにアクセスできるように AWS Backup config:DescribeConfigRulesおよび config:DescribeConfigRuleEvaluationStatusアクションを更新しました。

AWS Backup では、 とやり取りするためにこの更新が必要です AWS Config。

2023 年 3 月 9 日

AWSBackupServiceRolePolicyForS3Restore — AWS KMS 暗号化を伴う復元に対する新しいアクセス許可の追加

AWS Backup は、ポリシー s3:GetBucketOwnershipControlskms:Decrypts3:PutBucketOwnershipControls、および のアクセス許可を追加しましたAWSBackupServiceRolePolicyForS3Restore

これらのアクセス許可は、元のバックアップで KMS 暗号化が使用されている場合はオブジェクトの復元をサポートし、オブジェクトの所有権が ACL ではなく元のバケットに設定されている場合にオブジェクトを復元するために必要です。

2023 年 2 月 13 日

AWSBackupFullAccess — VMware バックアップオペレーションをサポートする新しいアクセス許可を追加

AWS Backup は、、backup-gateway:GetHypervisorPropertyMappings、、backup-gateway:GetVirtualMachinebackup-gateway:PutHypervisorPropertyMappingsbackup-gateway:GetHypervisorbackup-gateway:GetBandwidthRateLimitSchedulebackup-gateway:StartVirtualMachinesMetadataSyncおよび のアクセス許可を追加しましたbackup-gateway:PutBandwidthRateLimitSchedule

これらのアクセス許可は AWS Backup 、仮想マシンの VMware タグを使用してバックアップをスケジュールし、スケジュールベースの帯域幅スロットリングをサポートするために必要です。

2022 年 12 月 15 日

AWSBackupOperatorAccess — バックアップオペレーションをサポートする新しいアクセス許可を追加

AWS Backup は、、backup-gateway:GetHypervisorPropertyMappingsbackup-gateway:GetVirtualMachine、および のアクセス許可を追加backup-gateway:GetHypervisorしましたbackup-gateway:GetBandwidthRateLimitSchedule

これらのアクセス許可は AWS Backup 、仮想マシンの VMware タグを使用してバックアップをスケジュールし、スケジュールベースの帯域幅スロットリングをサポートするために必要です。

2022 年 12 月 15 日

AWS Backup GatewayServiceRolePolicyForVirtualMachineMetadataSync — 仮想マシンとの AWS Backup ゲートウェイ同期をサポートするアクセス許可を持つ新しいポリシーを追加しました。

AWS Backup は、このポリシーを導入し、その中で、、 backup-gateway:ListTagsForResourceのアクセス許可を導入backup-gateway:TagResourceしましたbackup-gateway:UntagResource

これらのアクセス許可は、 AWS Backup ゲートウェイがオンプレミスネットワーク内の仮想マシンのメタデータを Backup Gateway と同期するために必要です。

2022 年 12 月 15 日

AWSBackupServiceRolePolicyForBackup — Amazon Timestream リソースのバックアップを に許可 AWS Backup するアクセス許可を追加しました。

AWS Backup は、timestream:StartAwsBackupJob、、timestream:GetAwsBackupStatus、、timestream:ListTablestimestream:ListDatabasestimestream:DescribeDatabasetimestream:ListTagsForResourcetimestream:DescribeTableおよび のアクセス許可を追加しましたtimestream:DescribeEndpoints

これらのアクセス許可は、 AWS Backup が Timestream バックアップジョブをサポートするために必要です。

2022 年 12 月 13 日

AWSBackupServiceRolePolicyForRestores — が Amazon Timestream リソース AWS Backup を復元できるようにするアクセス許可を追加しました。

AWS Backup は次のアクセス許可を追加しました: timestream:StartAwsRestoreJobtimestream:GetAwsRestoreStatustimestream:ListTablestimestream:ListTagsForResourcetimestream:ListDatabasestimestream:DescribeTabletimestream:DescribeDatabases3:GetBucketAcl、および timestream:DescribeEndpoints

これらのアクセス許可は、 AWS Backup が Timestream 復元ジョブをサポートするために必要です。

2022 年 12 月 13 日

AWSBackupFullAccess - Amazon Timestream リソースをサポートすることを に許可 AWS Backup するアクセス許可を追加しました。

AWS Backup は、、timestream:ListTablestimestream:ListDatabasess3:ListAllMyBucketsおよび のアクセス許可を追加しましたtimestream:DescribeEndpoints

これらのアクセス許可は、 AWS Backup が Timestream リソースをサポートするために必要です。

2022 年 12 月 13 日

AWSBackupOperatorAccess - Amazon Timestream リソースをサポートすることを に許可 AWS Backup するアクセス許可を追加しました。

AWS Backup は、、timestream:ListDatabasestimestream:ListTables、および のアクセス許可を追加s3:ListAllMyBucketsしましたtimestream:DescribeEndpoints

これらのアクセス許可は、 AWS Backup が Timestream リソースをサポートするために必要です。

2022 年 12 月 13 日

AWSBackupServiceLinkedRolePolicyForBackup — マネージドポリシーのアクセス許可を更新し AWS Backup 、バックアップ機能のために Timestream リソースへの必要なアクセスを に許可しました。

AWS Backup は次のアクセス許可を追加しました: timestream:ListDatabasestimestream:ListTablestimestream:ListTagsForResourcetimestream:DescribeDatabasetimestream:DescribeTabletimestream:GetAwsBackupStatustimestream:GetAwsRestoreStatus、および timestream:DescribeEndpoints

これらのアクセス許可は、 AWS Backup が Timestream リソースをサポートするために必要です。

2022 年 12 月 13 日

AWSBackupFullAccess - Amazon Redshift リソースのサポートを に許可 AWS Backup するアクセス許可を追加しました。

AWS Backup は、、redshift:DescribeClusters、、redshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeSnapshotSchedulesredshift:DescribeClusterParameterGroupsredshift:DescribeClusterTracksおよび のアクセス許可を追加しましたec2:DescribeAddresses

これらのアクセス許可は、 が Amazon Redshift リソースを利用する AWS Backup ために必要です。

2022 年 11 月 27 日

AWSBackupOperatorAccess — Amazon Redshift リソースをサポートする AWS Backup のアクセス許可を追加しました。

AWS Backup は次のアクセス許可を追加しました: redshift:DescribeClustersredshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroups,redshift:DescribeClusterTracksredshift:DescribeSnapshotSchedulesec2:DescribeAddresses

これらのアクセス許可は、 が Amazon Redshift リソースを利用する AWS Backup ために必要です。

2022 年 11 月 27 日

AWSBackupServiceRolePolicyForRestores — Amazon Redshift リソースへのアクセスを に許可 AWS Backup するアクセス許可を追加しました。

AWS Backup は、、redshift:RestoreFromClusterSnapshotredshift:RestoreTableFromClusterSnapshot、および のアクセス許可を追加redshift:DescribeClustersしましたredshift:DescribeTableRestoreStatus

AWS Backup では、Amazon Redshift 復元ジョブをサポートするために、これらのアクセス許可が必要です。

2022 年 11 月 27 日

AWSBackupServiceRolePolicyForBackup — Amazon Redshift リソースへのアクセスを に許可 AWS Backup するアクセス許可を追加しました。

AWS Backup は、、redshift:CreateClusterSnapshot、、redshift:DescribeClusterSnapshotsredshift:DescribeTagsredshift:DeleteClusterSnapshotredshift:DescribeClustersおよび のアクセス許可を追加しましたredshift:CreateTags

AWS Backup では、Amazon Redshift バックアップジョブをサポートするために、これらのアクセス許可が必要です。

2022 年 11 月 27 日

AWSBackupFullAccess — が AWS CloudFormation リソースをサポート AWS Backup できるようにするアクセス許可を追加しました。

AWS Backup は、次のアクセス許可を追加しました: cloudformation:ListStacks。このアクセス許可は、 Backup が CloudFormation リソースをサポートするために必要です。

2022 年 11 月 27 日

AWSBackupOperatorAccess — が AWS CloudFormation リソースをサポート AWS Backup できるようにするアクセス許可を追加しました。

AWS Backup は、次のアクセス許可を追加しました: cloudformation:ListStacks。このアクセス許可は、 Backup が CloudFormation リソースをサポートするために必要です。

2022 年 11 月 27 日

AWSBackupServiceLinkedRolePolicyForBackup — が AWS CloudFormation リソースをサポート AWS Backup できるようにするアクセス許可を追加しました。

AWS Backup は、、redshift:DescribeClusterSnapshotsredshift:DescribeTags、および のアクセス許可を追加redshift:DeleteClusterSnapshotしましたredshift:DescribeClusters

これらのアクセス許可は、 Backup が リソースをサポートするために CloudFormation必要です。

2022 年 11 月 27 日

AWSBackupServiceRolePolicyForBackup — が AWS CloudFormation リソースにアクセス AWS Backup できるようにするアクセス許可を追加しました。

AWS Backup は、、cloudformation:GetTemplatecloudformation:DescribeStacksおよび のアクセス許可を追加しましたcloudformation:ListStackResources

これらのアクセス許可は、 AWS Backup が AWS CloudFormation アプリケーションスタックのバックアップジョブをサポートするために必要です。

2022 年 11 月 16 日

AWSBackupServiceRolePolicyForRestores — が AWS CloudFormation リソースにアクセス AWS Backup できるようにするアクセス許可を追加しました。

AWS Backup は次のアクセス許可を追加しました: cloudformation:CreateChangeSetおよび cloudformation:DescribeChangeSet

これらのアクセス許可は、 AWS Backup が AWS CloudFormation アプリケーションスタックの復元ジョブをサポートするために必要です。

2022 年 11 月 16 日

AWSBackupOrganizationAdminAccess — 委任管理者関数のこのポリシーにアクセス許可 AWS Backup を追加しました。

AWS Backup は、このポリシーに次のアクセス許可を追加しました: organizations:ListDelegatedAdministratororganizations:RegisterDelegatedAdministrator、および organizations:DeregisterDelegatedAdministrator

これらのアクセス許可は、組織管理者が、委任された管理者の機能を使用できるようにするために必要です。

2022 年 11 月 27 日

AWSBackupServiceRolePolicyForBackup — Amazon EC2 インスタンスで SAP HANA をサポート AWS Backup できるようにするアクセス許可を追加しました。

AWS Backup は、、ssm-sap:GetOperation、、ssm-sap:ListDatabasesssm-sap:BackupDatabasessm-sap:UpdateHanaBackupSettingsssm-sap:GetDatabaseおよび のアクセス許可を追加しましたssm-sap:ListTagsForResource

これらのアクセス許可は、バックアップが Amazon EC2 インスタンスで SAP HANA をサポートするために必要です。

2022 年 11 月 20 日

AWSBackupFullAccess — Amazon EC2 インスタンスで SAP HANA AWS Backup のサポートを許可するアクセス許可を追加しました。

AWS Backup は、、ssm-sap:GetOperationssm-sap:ListDatabases、および のアクセス許可を追加ssm-sap:GetDatabaseしましたssm-sap:ListTagsForResource

これらのアクセス許可は、バックアップが Amazon EC2 インスタンスで SAP HANA をサポートするために必要です。

2022 年 11 月 20 日

AWSBackupOperatorAccess — Amazon EC2 インスタンスで SAP HANA のサポートを許可する AWS Backup アクセス許可を追加しました。

AWS Backup は、、ssm-sap:GetOperationssm-sap:ListDatabases、および のアクセス許可を追加ssm-sap:GetDatabaseしましたssm-sap:ListTagsForResource

これらのアクセス許可は、バックアップが Amazon EC2 インスタンスで SAP HANA をサポートするために必要です。

2022 年 11 月 20 日

AWSBackupServiceLinkedRolePolicyForBackup — Amazon EC2 インスタンスで SAP HANA AWS Backup のサポートを許可するアクセス許可を追加しました。

AWS Backup は、次のアクセス許可を追加しました: ssm-sap:GetOperation

このアクセス許可は、バックアップが Amazon EC2 インスタンスで SAP HANA をサポートするために必要です。

2022 年 11 月 20 日

AWSBackupServiceRolePolicyForRestores — Amazon EC2 リソースへのアクセスを に許可 AWS Backup するアクセス許可を追加しました。

AWS Backup は次のアクセス許可を追加しました: ec2:CreateTags

このアクセス許可は、 が EC2 インスタンス AWS Backup への Backup ゲートウェイの復元ジョブをサポートするために必要です。

2022 年 11 月 20 日

AWSBackupDataTransferAccess — Amazon EC2 インスタンスリソース上の SAP HANA の安全なストレージデータ転送を がサポートできるようにする AWS Backup アクセス許可を追加しました。

AWS Backup は、、backup-storage:StartObject、、backup-storage:PutChunkbackup-storage:GetChunkbackup-storage:ListChunksbackup-storage:GetObjectMetadatabackup-storage:ListObjectsおよび のアクセス許可を追加しましたbackup-storage:NotifyObjectComplete

これらのアクセス許可は、 AWS Backup が SAP HANA On Amazon EC2 リソースの安全なストレージデータ転送をサポートするために必要です。

2022 年 11 月 20 日

AWSBackupRestoreAccessForSAPHANA — Amazon EC2 インスタンスリソースで SAP HANA の復元ジョブを実行するためのデータ所有者のアクセス許可を追加しました。

AWS Backup は次のアクセス許可を追加しました: backup:Get*backup:List*backup:Describe*backup:StartBackupJob、、backup:StartRestoreJobssm-sap:GetOperationssm-sap:ListDatabasesssm-sap:BackupDatabasessm-sap:GetDatabase、、および ssm-sap:RestoreDatabase ssm-sap:UpdateHanaBackupSettingsssm-sap:ListTagsForResource

これらのアクセス許可は、リソース所有者が SAP HANA On Amazon EC2 リソースの復元を実行するために必要です。

2022 年 11 月 20 日

AWSBackupServiceRolePolicyForS3Backup — Amazon S3 バックアップをサポートする新しいアクセス許可を追加

AWS Backup はアクセス許可 を追加しましたs3:GetBucketAcl

AWS Backup では、S3 AWS Backup の のバックアップオペレーションにこのアクセス許可が必要です。

2022 年 8 月 24 日

AWSBackupServiceRolePolicyForRestores — Amazon RDS 復元ジョブへのアクセスを追加しました。

AWS Backup は、データベースインスタンスを作成するためのアクセス権を付与するアクション を追加しましたrds:CreateDBInstance

AWS Backup は、Amazon RDS マルチアベイラビリティーゾーン (マルチ AZ) 機能をサポートするために、このアクセス許可を必要としていました。

2022 年 7 月 20 日

AWSBackupServiceLinkedRolePolicyForBackup — Amazon S3 バックアップをサポートするアクセス許可を追加

AWS Backup は、リソースワイルドカードを使用してバックアップするバケットを選択するアクセス許可をユーザーに付与するs3:GetBucketTaggingアクセス許可を追加しました。このアクセス許可がないと、リソースワイルドカードを使用してバックアップするバケットをユーザーが選択しても失敗します。

AWS Backup は、Amazon S3 データをサポートするためにそのアクセス許可を必要としていました。

2022 年 5 月 6 日

AWSBackupServiceRolePolicyForBackup — FSx for ONTAP ボリュームレベルのバックアップをサポートする新しいアクセス許可を追加しました。

AWS Backup は、既存の fsx:CreateBackup および fsx:ListTagsForResourceアクションの範囲内でボリュームリソースを追加し、FSx for ONTAP ボリュームレベルのバックアップfsx:DescribeVolumesをサポートする新しいアクションを追加しました。

AWS Backup は、FSx for ONTAP のサポートにこのアクセス許可を必要としていました。

2022 年 4 月 27 日

AWSBackupServiceRolePolicyForRestores — FSx for ONTAP ボリュームの復元をサポートするアクセス許可を追加しました。

AWS Backup は次のアクションを追加して、FSx for ONTAP ボリューム fsx:DescribeVolumesfsx:CreateVolumeFromBackup、、fsx:DeleteVolumeおよび を復元するアクセス許可をユーザーに付与しましたfsx:UntagResource

AWS Backup は、FSx for ONTAP のサポートにこのアクセス許可を必要としていました。

2022 年 4 月 27 日

AWSBackupServiceRolePolicyForS3Backup — Amazon S3 バックアップをサポートする新しいアクセス許可を追加

AWS Backup では、バックアップオペレーション中に Amazon S3 バケットの変更の通知を受け取るアクセス許可をユーザーに付与するアクションとして、 s3:GetBucketNotificationおよび が追加されましたs3:PutBucketNotification

AWS Backup は、Amazon S3 データをサポートするためにこれらのアクセス許可を必要としていました。

2022 年 2 月 25 日

AWSBackupServiceRolePolicyForS3Backup — Amazon S3 バックアップをサポートする新しい AWS マネージドポリシーを追加

新しい AWSBackupServiceRolePolicyForS3Backup AWS マネージドポリシーで、 は次のアクション AWS Backup を追加して、Amazon S3 バケットをバックアップするアクセス許可をユーザーに付与しました: s3:GetInventoryConfigurations3:PutInventoryConfigurations3:ListBucketVersionss3:ListBucket、、s3:GetBucketTaggings3:GetBucketVersionings3:GetBucketNotifications3:GetBucketLocation、、および s3:ListAllMyBuckets

AWS Backup は、Amazon S3 オブジェクトをバックアップするアクセス許可をユーザーに付与するアクション s3:GetObject、、s3GetObjectAcls3:GetObjectVersionTaggings3:GetObjectVersionAcls3:GetObjectTagging、および を追加しましたs3:GetObjectVersion

AWS Backup は、暗号化された Amazon S3 データをバックアップするアクセス許可をユーザーに付与するアクション kms:Decryptおよび を追加しましたkms:DescribeKey

AWS Backup は、Amazon EventBridge ルールを使用して Amazon S3 データの増分バックアップを作成するアクセス許可をユーザーに付与するために、次のアクションを追加しました: events:DescribeRule、、events:EnableRuleevents:PutRuleevents:DeleteRuleevents:PutTargetsevents:RemoveTargets、、events:DisableRulecloudwatch:GetMetricData、および events:ListTargetsByRuleevents:ListRules

AWS Backup は、Amazon S3 データをサポートするためにこれらのアクセス許可を必要としていました。

2022 年 2 月 17 日

AWSBackupServiceRolePolicyForS3Restore — Amazon S3 の復元をサポートする新しい AWS マネージドポリシーを追加

新しい AWSBackupServiceRolePolicyForS3Restore AWS マネージドポリシーで、 が次のアクション AWS Backup を追加して、Amazon S3 バケットを復元するアクセス許可をユーザーに付与しました: s3:CreateBuckets3:ListBucketVersions、、s3:ListBuckets3:GetBucketVersionings3:GetBucketLocation、および s3:PutBucketVersioning

AWS Backup は次のアクションを追加して、Amazon S3 バケットを復元するアクセス許可をユーザーに付与しました: s3:GetObjects3:GetObjectVersions3:DeleteObject、、s3:PutObjectVersionAcls3:GetObjectVersionAcls3:GetObjectTaggings3:PutObjectTaggings3:GetObjectAcl、、s3:PutObjectAcls3:PutObject、、および s3:ListMultipartUploadParts

AWS Backup は次のアクションを追加して、復元された Amazon S3 データを暗号化するアクセス許可をユーザーに付与しました: kms:Decryptkms:DescribeKey、および kms:GenerateDataKey

AWS Backup は、Amazon S3 データをサポートするためにこれらのアクセス許可を必要としていました。

2022 年 2 月 17 日

AWSBackupServiceLinkedRolePolicyForBackup — Amazon S3 バックアップをサポートするアクセス許可を追加

AWS Backup s3:ListAllMyBucketsは を追加し、バケットのリストを表示し、バックアッププランに割り当てるバケットを選択するアクセス許可をユーザーに付与しました。

AWS Backup は、Amazon S3 データをサポートするためにそのアクセス許可を必要としていました。

2022 年 2 月 14 日

AWSBackupServiceLinkedRolePolicyForBackup — AWS Backup Gateway リソースを一覧表示するアクセス許可を追加

AWS Backup backup-gateway:ListVirtualMachinesは を追加し、仮想マシンのリストを表示し、バックアッププランに割り当てる仮想マシンを選択するアクセス許可をユーザーに付与しました。

AWS Backup は も追加backup-gateway:ListTagsForResourceし、仮想マシンのタグを一覧表示するアクセス許可をユーザーに付与しました。

AWS Backup は、2021 年 11 月 30 日に開始された仮想マシンのサポートにこれらのアクセス許可を必要としていました。

2021 年 11 月 30 日

AWSBackupServiceRolePolicyForBackup — 仮想マシンをバックアップするアクセス許可を追加

AWS Backup は を追加backup-gateway:Backupし、仮想マシンのバックアップを復元するアクセス許可をユーザーに付与しました。 AWS Backup また、 を追加backup-gateway:ListTagsForResourceし、仮想マシンのバックアップに割り当てられたタグを一覧表示するアクセス許可をユーザーに付与しました。

AWS Backup は、2021 年 11 月 30 日に開始された仮想マシンのサポートにこのアクセス許可を必要としていました。

2021 年 11 月 30 日

AWSBackupServiceRolePolicyForRestores — 仮想マシンを復元するアクセス許可を追加

AWS Backup は を追加backup-gateway:Restoreし、仮想マシンのバックアップを復元するアクセス許可をユーザーに付与しました。

AWS Backup は、2021 年 11 月 30 日に開始された仮想マシンのサポートにこのアクセス許可を必要としていました。

2021 年 11 月 30 日

AWSBackupFullAccess — 仮想マシンを操作するアクセス許可を追加

AWS Backup は次のアクションを追加して、 AWS Backup ゲートウェイを使用して仮想マシンをバックアップ、復元、管理するアクセス許可をユーザーに付与しました: backup-gateway:AssociateGatewayToServer、、backup-gateway:CreateGatewaybackup-gateway:DeleteGateway、、backup-gateway:DeleteHypervisorbackup-gateway:DisassociateGatewayFromServerbackup-gateway:ImportHypervisorConfiguration、、、backup-gateway:ListGatewaysbackup-gateway:ListHypervisorsbackup-gateway:ListTagsForResourcebackup-gateway:ListVirtualMachinesbackup-gateway:PutMaintenanceStartTimebackup-gateway:TagResource、、、backup-gateway:TestHypervisorConfiguration、、backup-gateway:UntagResourcebackup-gateway:UpdateGatewayInformation、、および backup-gateway:UpdateHypervisor

AWS Backup は、2021 年 11 月 30 日に開始された AWS Backup Gateway のサポートにこのアクセス許可を必要としていました。

2021 年 11 月 30 日

AWSBackupOperatorAccess — ゲートウェイリソースを一覧表示 AWS Backup するアクセス許可を追加

AWS Backup は、仮想マシンをバックアップするアクセス許可をユーザーに付与するアクション backup-gateway:ListGateways、、backup-gateway:ListHypervisorsbackup-gateway:ListTagsForResourceおよび を追加しましたbackup-gateway:ListVirtualMachines

AWS Backup は、2021 年 11 月 30 日に開始された仮想マシンのサポートにこのアクセス許可を必要としていました。

2021 年 11 月 30 日

AWSBackupServiceLinkedRolePolicyForBackup — Amazon DynamoDB テーブルをバックアップするアクセス許可を追加

AWS Backup dynamodb:ListTagsOfResourceは を追加し、 の高度な DynamoDB バックアップ機能を使用してバックアップする DynamoDB テーブル AWS Backupのタグを一覧表示するアクセス許可をユーザーに付与しました。

AWS Backup は、2021 年 11 月 23 日に開始された高度な DynamoDB バックアップ機能にこのアクセス許可を必要としていました。

2021 年 11 月 23 日

AWSBackupServiceRolePolicyForBackup — Amazon DynamoDB テーブルをバックアップするアクセス許可を追加

AWS Backup は を追加dynamodb:StartAwsBackupJobし、高度なバックアップ機能を使用して DynamoDB テーブルをバックアップするアクセス許可をユーザーに付与しました。

AWS Backup またdynamodb:ListTagsOfResource、 は を追加して、ソース DynamoDB テーブルからバックアップにタグをコピーするアクセス許可をユーザーに付与しました。

AWS Backup は、2021 年 11 月 23 日に開始された高度な DynamoDB バックアップ機能にこれらのアクセス許可を必要としていました。

2021 年 11 月 23 日

AWSBackupServiceLinkedRolePolicyForRestores — Amazon DynamoDB テーブルを復元するアクセス許可を追加

AWS Backup は を追加dynamodb:RestoreTableFromAwsBackupし、 AWS Backupの高度な DynamoDB バックアップ機能を使用してバックアップされた DynamoDB テーブルを復元するアクセス許可をユーザーに付与しました。

AWS Backup は、2021 年 11 月 23 日に開始された AWS Backupの高度な DynamoDB 機能を使用して作成されたバックアップを復元するために、このアクセス許可を必要としていました。

2021 年 11 月 23 日

AWSBackupServiceRolePolicyForRestores — Amazon DynamoDB テーブルを復元するアクセス許可を追加

AWS Backup は を追加dynamodb:RestoreTableFromAwsBackupし、 AWS Backupの高度な DynamoDB バックアップ機能を使用してバックアップされた DynamoDB テーブルを復元するアクセス許可をユーザーに付与しました。

AWS Backup は、2021 年 11 月 23 日に開始された AWS Backupの高度な DynamoDB 機能を使用して作成されたバックアップを復元するために、このアクセス許可を必要としていました。

2021 年 11 月 23 日

AWSBackupOperatorAccess — 冗長アクションを削除しました

AWS Backup 既存のアクション backup:GetRecoveryPointRestoreMetadataおよび は冗長rds:DescribeDBSnapshotsであるため、 は削除されました。

AWS Backup は、 AWSBackupOperatorAccess AWS マネージドポリシーbackup:Get*の一部として backup:GetRecoveryPointRestoreMetadataと の両方を必要としませんでした。また、 AWS Backup AWSBackupOperatorAccess AWS マネージドポリシーrds:describeDBSnapshotsの一部として rds:DescribeDBSnapshotsと の両方は必要ありませんでした。

2021 年 11 月 23 日

AWSBackupServiceLinkedRolePolicyForBackup — バックアッププランへのきめ細かなリソース割り当てをサポートするアクセス許可を追加

AWS Backup では、新しいアクション elasticfilesystem:DescribeFileSystemsdynamodb:ListTablesstoragegateway:ListVolumes、、ec2:DescribeVolumesec2:DescribeInstances、 が追加されました。fsx:DescribeFileSystemsこれにより、バックアッププランに割り当てるリソースを選択するときにrds:DescribeDBInstancesrds:DescribeDBClusters、 で AWS Backupサポートされているリソースのリストから表示および選択できます。

AWS Backup では、バックアッププランにリソースを割り当てるための追加の柔軟な方法を提供するために、これらのアクセス許可を必要としていました。

2021 年 11 月 10 日

AWSBackupAuditAccess — 新しいポリシーを追加

AWS Backup AWSBackupAuditAccessは、 AWS Backup Audit Manager を使用するアクセス許可をユーザーに付与するために を追加しました。権限には、コンプライアンスフレームワークを設定し、レポートを生成する機能が含まれます。

AWS Backup は、2021 年 8 月 24 日に開始された AWS Backup Audit Manager に対してこのアクセス許可を必要としていました。

2021 年 8 月 24 日

AWSServiceRolePolicyForBackupReports — 新しいポリシーを追加

AWS Backup AWSServiceRolePolicyForBackupReportsは を追加し、ユーザーが設定したフレームワークに準拠するためのバックアップ設定、ジョブ、およびリソースのモニタリングを自動化するためのサービスにリンクされたロールのアクセス許可を付与しました。

AWS Backup は、2021 年 8 月 24 日に開始された AWS Backup Audit Manager に対してこのアクセス許可を必要としていました。

2021 年 8 月 24 日

AWSBackupFullAccess — サービスにリンクされたロールを作成するアクセス許可を追加

AWS Backup は を追加iam:CreateServiceLinkedRoleし、サービスにリンクされたロールを (ベストエフォートベースで) 作成して、期限切れのリカバリポイントの削除を自動化しました。このサービスにリンクされたロールがない場合、お客様がリカバリポイントの作成に使用した元の AWS Backup IAM ロールを削除した後は、期限切れのリカバリポイントを削除することはできません。

AWS Backup は、 DeleteRecoveryPoint API オペレーションの一部としてこのアクセス許可を必要としていました。

2021 年 7 月 5 日

AWSBackupServiceLinkedRolePolicyForBackup — DynamoDB リカバリポイントの削除をサポートするアクセス許可を追加

AWS Backup は、バックアッププランのライフサイクル設定に基づいて、期限切れの DynamoDB リカバリポイントの削除を自動化dynamodb:DeleteBackupするDeleteRecoveryPointアクセス許可を付与する新しいアクションを追加しました。

AWS Backup は、 DeleteRecoveryPoint API オペレーションの一部として DynamoDB テーブルを削除するために、このアクセス許可を必要としていました。

2021 年 7 月 5 日

AWSBackupOperatorAccess — 冗長アクションを削除しました

AWS Backup 既存のアクション backup:GetRecoveryPointRestoreMetadataおよび は冗長rds:DescribeDBSnapshotsであるため、 は削除されました。

AWS Backup は、 AWSBackupOperatorAccess AWS マネージドポリシーbackup:Get*の一部として backup:GetRecoveryPointRestoreMetadataと の両方を必要としませんでした。また、 AWS Backup AWSBackupOperatorAccess AWS マネージドポリシーrds:describeDBSnapshotsの一部として rds:DescribeDBSnapshotsと の両方は必要ありませんでした。

2021 年 5 月 25 日

AWSBackupOperatorPolicy — 冗長アクションを削除しました

AWS Backup 既存のアクション backup:GetRecoveryPointRestoreMetadataおよび は冗長rds:DescribeDBSnapshotsであるため、 は削除されました。

AWS Backup は、 AWSBackupOperatorPolicy AWS マネージドポリシーbackup:Get*の一部として backup:GetRecoveryPointRestoreMetadataと の両方を必要としませんでした。また、 AWS Backup AWSBackupOperatorPolicy AWS マネージドポリシーrds:describeDBSnapshotsの一部として rds:DescribeDBSnapshotsと の両方は必要ありませんでした。

2021 年 5 月 25 日

AWSBackupServiceRolePolicyForRestores — Amazon FSx 復元にタグを適用するアクセス許可を追加

AWS Backup は、復元プロセス中に Amazon FSx ファイルシステムにタグを適用するためのStartRestoreJobアクセス許可fsx:TagResourceを付与する新しいアクションを追加しました。

AWS Backup は、 StartRestoreJob API オペレーションの一部として Amazon FSx ファイルシステムにタグを適用するために、このアクセス許可を必要としていました。

2021 年 5 月 24 日

AWSBackupServiceRolePolicyForRestores — Amazon EC2 復元を実行するアクセス許可を追加

AWS Backup は新しいアクション ec2:DescribeImagesと を追加しec2:DescribeInstances、リカバリポイントから Amazon EC2 インスタンスを復元できるようにするStartRestoreJobアクセス許可を付与しました。

AWS Backup は、 StartRestoreJob API オペレーションの一部としてリカバリポイントから Amazon EC2 インスタンスを復元するために、このアクセス許可を必要としていました。

2021 年 5 月 24 日

AWSBackupServiceRolePolicyForBackup — Amazon FSx クロスリージョンコピーとクロスアカウントコピーを実行するアクセス許可を追加

AWS Backup は、リージョンとアカウント間で Amazon FSx リカバリポイントをコピーできるようにするStartCopyJobアクセス許可fsx:CopyBackupを付与する新しいアクションを追加しました。

AWS Backup は、 StartCopyJob API オペレーションの一部としてリージョンとアカウント間で Amazon FSx リカバリポイントをコピーするために、このアクセス許可を必要としていました。

2021 年 4 月 12 日

AWSBackupServiceLinkedRolePolicyForBackup — Amazon FSx クロスリージョンコピーとクロスアカウントコピーから を実行するアクセス許可を追加

AWS Backup は、リージョンとアカウント間で Amazon FSx リカバリポイントをコピーできるようにするStartCopyJobアクセス許可fsx:CopyBackupを付与する新しいアクションを追加しました。

AWS Backup は、 StartCopyJob API オペレーションの一部としてリージョンとアカウント間で Amazon FSx リカバリポイントをコピーするために、このアクセス許可を必要としていました。

2021 年 4 月 12 日

AWSBackupServiceRolePolicyForBackup — 暗号化された DynamoDB テーブルバックアップをサポートするアクセス許可を追加

AWS Backup は、次の要件を満たすように AWS マネージドポリシーを更新しました。

で暗号化された DynamoDB テーブルのバックアップ AWS Backup を作成するには、バックアップに使用する IAM ロールkms:GenerateDataKeykms:Decryptおよび 権限を追加する必要があります。

2021 年 3 月 10 日

AWSBackupFullAccess — Amazon RDS の継続的なバックアップと point-in-time 復元をサポートするアクセス許可を追加

AWS Backup は次の要件を満たすように AWS マネージドポリシーを更新しました。

AWS Backup を使用して Amazon RDS データベースの継続的バックアップを設定するには、バックアッププラン設定で定義された IAM ロールに API アクセス許可rds:ModifyDBInstanceが存在することを確認します。

Amazon RDS 連続バックアップをリストアするには、リストアジョブ用に送信した IAM ロールに rds:RestoreDBInstanceToPointInTime 権限を追加する必要があります。

AWS Backup コンソールで復旧に使用できる時間の範囲を記述するには point-in-time 、IAM 管理ポリシーに rds:DescribeDBInstanceAutomatedBackups API アクセス許可を含める必要があります。

2021 年 3 月 10 日

AWS Backup が変更の追跡を開始

AWS Backup が AWS管理ポリシーの変更の追跡を開始しました。

2021 年 3 月 10 日