ロールを使用したバックアップとコピー - AWS Backup
AWS Backup のサービスリンクロールのアクセス許可AWS Backup のサービスリンクロールの作成AWS Backup のサービスにリンクされたロールの編集AWS Backup のサービスリンクロールの削除AWS Backup のサービスにリンクされたロールをサポートするリージョン

ロールを使用したバックアップとコピー

AWS Backup では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、AWS Backup に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは、AWS Backup による事前定義済みのロールであり、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべての権限を備えています。

サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS Backup の設定が簡単になります。このサービスリンクロールのアクセス許可は AWS Backup で定義します。特に定義されている場合を除き、AWS Backup のみがそのロールを引き受けることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、AWS Backup リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」で、サービスリンクロール列にはいと表示されているサービスを探してください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている Yes] (はい) を選択します。

AWS Backup のサービスリンクロールのアクセス許可

AWS Backup は、AWSServiceRoleForBackup と呼ばれるサービスにリンクされたロールを使用して、お客様に代わって、AWS リソースのバックアップを作成および削除します。

サービスにリンクされた AWSServiceRoleForBackup ロールは、以下のサービスを信頼してロールを引き受けます。

  • backup.amazonaws.com

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSBackupServiceLinkedRolePolicyforBackup」を参照してください。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。

AWS Backup のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。バックアップするリソースを一覧表示する、クロスアカウントバックアップを設定する、または AWS マネジメントコンソール、AWS CLI、AWS API でバックアップを実行すると、AWS Backup はサービスにリンクされたロールを作成します。

重要

このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。バックアップするリソースを一覧表示する、クロスアカウントバックアップを設定する、またはバックアップを実行すると、AWS Backup はサービスにリンクされたロールを再度作成します。

AWS Backup のサービスにリンクされたロールの編集

AWS Backup で、AWSServiceRoleForBackup のサービスリンクロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AWS Backup のサービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンク役割をクリーンアップする必要があります。

サービスリンク役割のクリーンアップ

IAM を使用してサービスにリンクされた役割を削除するには最初に、その役割で使用されているリソースをすべて削除する必要があります。まず、すべてのリカバリポイントを削除する必要があります。次に、すべてのバックアップ保管庫を削除する必要があります。

注記

リソースを削除する際に、AWS Backup のサービスでロールが使用されていると、削除に失敗することがあります。失敗した場合は、数分待ってから再度オペレーションを実行してください。

AWSServiceRoleForBackup (コンソール) が使用している AWS Backup リソースを削除するには

  1. すべての復旧ポイントとバックアップボールト (デフォルトボールトを除く) を削除するには、「ボールトを削除する」の手順に従ってください。

  2. デフォルトの保管庫を削除するには、AWS CLI の次のコマンドを使用します。

    aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
AWSServiceRoleForBackup (AWS CLI) が使用する AWS Backup リソースを削除するには

  1. すべての復旧ポイントを削除するには、delete-recovery-point を使用します。

  2. すべてのバックアップボールトを削除するには、delete-backup-vault を使用します。

AWSServiceRoleForBackup (API) が使用する AWS Backup リソースを削除するには

  1. すべてのリカバリポイントを削除するには、DeleteRecoveryPoint を使用します。

  2. バックアップ保管庫をすべて削除するには、DeleteBackupVault を使用します。

サービスリンクロールの手動による削除

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたAWSServiceRoleForBackup サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AWS Backup のサービスにリンクされたロールをサポートするリージョン

AWS Backup では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS Backup サポートされている機能とリージョン」を参照してください。