AWS Backup のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Backup のアクション、リソース、および条件キー

AWS Backup (サービスプレフィックス: backup) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Backup で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
CopyFromBackupVault [アクセス許可のみ] バックアップボールトからコピーするアクセス権限を付与します 書き込み

backup:CopyTargets

backup:CopyTargetOrgPaths

CopyIntoBackupVault [アクセス許可のみ] バックアップボールトにコピーするアクセス権限を付与します 書き込み

aws:RequestTag/${TagKey}

CreateBackupPlan 新しいバックアッププランを作成するアクセス権限を付与します 書き込み

backupPlan*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBackupSelection バックアッププランで新しいリソース割り当てを作成するアクセス権限を付与します 書き込み

backupPlan*

iam:PassRole

CreateBackupVault 新しいバックアップボールトを作成するアクセス権限を付与します 書き込み

backupVault*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteBackupPlan バックアッププランを削除するアクセス権限を付与します 書き込み

backupPlan*

DeleteBackupSelection バックアッププランからリソース割り当てを削除するアクセス権限を付与します 書き込み

backupPlan*

DeleteBackupVault バックアップボールトを削除するアクセス権限を付与します 書き込み

backupVault*

DeleteBackupVaultAccessPolicy バックアップボールトアクセスポリシーを削除するアクセス権限を付与します 書き込み

backupVault*

DeleteBackupVaultNotifications バックアップボールトから通知を削除する権限を付与します。 書き込み

backupVault*

DeleteRecoveryPoint バックアップボールトからリカバリポイントを削除するアクセス権限を付与します 書き込み

recoveryPoint*

DescribeBackupJob バックアップジョブを記述するアクセス権限を付与します Read
DescribeBackupVault 指定された名前の新しいバックアップボールトを記述するアクセス権限を付与します Read

backupVault*

DescribeCopyJob コピージョブを記述するアクセス権限を付与します Read

aws:RequestTag/${TagKey}

aws:TagKeys

DescribeGlobalSettings グローバル設定を記述するアクセス権限を付与します Read
DescribeProtectedResource 保護されたリソースを記述するアクセス権限を付与します Read
DescribeRecoveryPoint リカバリポイントを記述するアクセス権限を付与します Read

recoveryPoint*

DescribeRegionSettings リージョン設定を記述するアクセス権限を付与します Read
DescribeRestoreJob 復元ジョブを記述するアクセス権限を付与します Read
DisassociateRecoveryPoint バックアップボールトからリカバリポイントの関連付けを解除するアクセス権限を付与します 書き込み

recoveryPoint*

ExportBackupPlanTemplate バックアッププランを JSON としてエクスポートするアクセス権限を付与します Read
GetBackupPlan バックアッププランを取得するアクセス権限を付与します Read

backupPlan*

GetBackupPlanFromJSON JSON をバックアッププランに変換するアクセス権限を付与します Read
GetBackupPlanFromTemplate テンプレートをバックアッププランに変換するアクセス権限を付与します Read
GetBackupSelection バックアッププランのリソース割り当てを取得するアクセス権限を付与します Read

backupPlan*

GetBackupVaultAccessPolicy バックアップボールトアクセスポリシーを取得するアクセス権限を付与します Read

backupVault*

GetBackupVaultNotifications バックアップボールト通知を取得するアクセス権限を付与します Read

backupVault*

GetRecoveryPointRestoreMetadata リカバリポイント復元メタデータを取得するアクセス権限を付与します Read

recoveryPoint*

GetSupportedResourceTypes サポートされているリソースタイプを取得するアクセス権限を付与します Read
ListBackupJobs バックアップジョブを一覧表示するアクセス権限を付与します リスト
ListBackupPlanTemplates AWS Backup が提供するバックアッププランテンプレートを一覧表示するアクセス権限を付与します リスト
ListBackupPlanVersions バックアッププランのバージョンを一覧表示するアクセス権限を付与します リスト

backupPlan*

ListBackupPlans バックアッププランを一覧表示するアクセス権限を付与します リスト
ListBackupSelections 特定のバックアッププランのリソース割り当てを一覧表示するアクセス権限を付与します リスト

backupPlan*

ListBackupVaults バックアップボールトを一覧表示するアクセス権限を付与します。 リスト
ListCopyJobs コピージョブを一覧表示するアクセス権限を付与します リスト
ListProtectedResources AWS Backup によって保護されたリソースを一覧表示するアクセス権限を付与します リスト
ListRecoveryPointsByBackupVault バックアップボールト内のリカバリポイントを一覧表示するアクセス権限を付与します リスト

backupVault*

ListRecoveryPointsByResource リソースのリカバリポイントを一覧表示するアクセス権限を付与します リスト
ListRestoreJobs 復元ジョブを一覧表示するアクセス権限を付与します リスト
ListTags リソースのタグを一覧表示するアクセス許可を付与します。 Read

backupPlan

backupVault

recoveryPoint

PutBackupVaultAccessPolicy バックアップボールトにアクセスポリシーを追加するアクセス権限を付与します 書き込み

backupVault*

PutBackupVaultNotifications バックアップボールトに SNS トピックを追加するアクセス権限を付与します 書き込み

backupVault*

StartBackupJob 新しいバックアップジョブを開始するアクセス権限を付与します 書き込み

backupVault*

iam:PassRole

StartCopyJob バックアップ元ボールトからバックアップ先ボールトにバックアップデータをコピーするアクセス権限を付与します 書き込み

recoveryPoint*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

StartRestoreJob 新しい復元ジョブを開始するアクセス権限を付与します 書き込み

recoveryPoint*

iam:PassRole

StopBackupJob バックアップジョブを停止するアクセス権限を付与します 書き込み
TagResource リソースにタグを付けるアクセス許可を付与します タグ付け

backupPlan

backupVault

recoveryPoint

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource リソースのタグを解除するアクセス許可を付与します タグ付け

backupPlan

backupVault

recoveryPoint

aws:TagKeys

UpdateBackupPlan バックアッププランを更新するアクセス権限を付与します 書き込み

backupPlan*

UpdateGlobalSettings AWS アカウントの現在のグローバル設定を更新するアクセス権限を付与します 書き込み
UpdateRecoveryPointLifecycle リカバリポイントのライフサイクルを更新するアクセス権限を付与します 書き込み

recoveryPoint*

UpdateRegionSettings リージョンの現在のサービスオプトイン設定を更新するアクセス権限を付与します 書き込み

AWS Backup で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
backupVault arn:${Partition}:backup:${Region}:${Account}:backup-vault:${BackupVaultName}

aws:ResourceTag/${TagKey}

backupPlan arn:${Partition}:backup:${Region}:${Account}:backup-plan:${BackupPlanId}

aws:ResourceTag/${TagKey}

recoveryPoint arn:${Partition}:${Vendor}:${Region}:*:${ResourceType}:${RecoveryPointId}

aws:ResourceTag/${TagKey}

AWS Backup の条件キー

AWS Backup では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} 各タグの許可された値のセットでアクセスをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられたタグでアクセスをフィルタリングする 文字列
aws:TagKeys リクエスト内の必須タグの存在でアクセスをフィルタリングします 文字列
backup:CopyTargetOrgPaths 組織単位でアクセスをフィルタリングします 文字列
backup:CopyTargets バックアップボールトの ARN でアクセスをフィルタリングします 文字列