アクセスコントロール - AWS Backup
リソースおよびオペレーションリソース所有権ポリシー要素 (アクション、効果、プリンシパル) の指定ポリシーでの条件の指定API の権限リファレンスタグ権限のコピーアクセスポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセスコントロール

リクエストを認証するための有効な認証情報を持つことができますが、適切なアクセス許可がない限り、バックアップボールトなどの AWS Backup リソースにアクセスすることはできません。Amazon Elastic Block Store (Amazon EBS) ボリュームなどの AWS リソースをバックアップすることもできません。

すべての AWS リソースは によって所有され AWS アカウント、リソースを作成またはアクセスするためのアクセス許可はアクセス許可ポリシーによって管理されます。アカウント管理者は、アクセス許可ポリシーを AWS Identity and Access Management (IAM) ID (ユーザー、グループ、ロール) にアタッチできます。また、一部のサービスでは、アクセス権限ポリシーをリソースにアタッチすることができます。

アカウント管理者 (または管理者ユーザー) は、管理者アクセス許可を持つユーザーです。詳細については、「 ユーザーガイド」のIAM「ベストプラクティス」を参照してください。 IAM

アクセス許可を付与する場合、アクセス許可を取得するユーザー、取得するアクセス許可の対象となるリソース、およびそれらのリソースに対して許可される特定のアクションを決定します。

以下のセクションでは、アクセスポリシーのしくみと、それらのポリシーを使用してバックアップを保護する方法について説明します。

リソースおよびオペレーション

リソースは、service. AWS Backup resources 内に存在するオブジェクトです。リソースには、バックアッププラン、バックアップボールト、バックアップが含まれます。Backup は、 に存在するさまざまなタイプのバックアップリソースを指す一般的な用語です AWS。例えば、Amazon EBSスナップショット、Amazon Relational Database Service (Amazon RDS) スナップショット、Amazon DynamoDB バックアップはすべてタイプのバックアップリソースです。

では AWS Backup、バックアップはリカバリポイント とも呼ばれます。を使用する場合 AWS Backup、Amazon EBSボリュームや DynamoDB テーブルなど、保護しようとしている他の AWS サービスのリソースも使用します。これらのリソースには、一意の Amazon リソースネーム (ARNs) が関連付けられています。ARNs AWS リソースを一意に識別します。IAM ポリシーやAPI呼び出しなど、すべての でリソースを明確に指定ARNする必要がある場合は AWS、 が必要です。

次の表に、リソース、サブリソース、ARN形式、および一意の ID の例を示します。

AWS Backup リソース ARNs
リソースタイプ ARN 形式 一意の ID の例
バックアッププラン arn:aws:backup:region:account-id:backup-plan:*
バックアップボールト arn:aws:backup:region:account-id:backup-vault:*
Amazon の復旧ポイント EBS arn:aws:ec2:region::snapshot/* snapshot/snap-05f426fd8kdjb4224
Amazon EC2イメージのリカバリポイント arn:aws:ec2:region::image/ami-* image/ami-1a2b3e4f5e6f7g890
Amazon の復旧ポイント RDS arn:aws:rds:region:account-id:snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Aurora の復旧ポイント arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Storage Gateway の復旧ポイント arn:aws:ec2:region::snapshot/* snapshot/snap-0d40e49137e31d9e0
アドバンスト DynamoDB バックアップ なしの DynamoDB の復旧ポイント arn:aws:dynamodb:region:account-id:table/*/backup/* table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3
アドバンスト DynamoDB バックアップ が有効な DynamoDB の復旧ポイント arn:aws:backup:region:account-id:recovery-point:* 12a34a56-7bb8-901c-cd23-4567d8e9ef01
Amazon の復旧ポイント EFS arn:aws:backup:region:account-id:recovery-point:* d99699e7-e183-477e-bfcd-ccb1c6e5455e
Amazon の復旧ポイント FSx arn:aws:fsx:region:account-id:backup/backup-* backup/backup-1a20e49137e31d9e0
仮想マシンの復旧ポイント arn:aws:backup:region:account-id:recovery-point:* 1801234a-5b6b-7dc8-8032-836f7ffc623b
Amazon S3 継続的バックアップの復旧ポイント arn:aws:backup:region:account-id:recovery-point:* amzn-s3-demo-bucket-5ec207d0
S3 定期バックアップのリカバリポイント arn:aws:backup:region:account-id:recovery-point:* amzn-s3-demo-bucket-20211231900000-5ec207d0
Amazon DocumentDB のリカバリポイント arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Neptune の復旧ポイント arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Amazon Redshift の復旧ポイント arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Amazon Timestream の復旧ポイント arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta
AWS CloudFormation テンプレートのリカバリポイント arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012
Amazon EC2インスタンス上のSAPHANAデータベースのリカバリポイント arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012

フル AWS Backup 管理をサポートするリソースには、すべて 形式のリカバリポイントがありますarn:aws:backup:region:account-id::recovery-point:*。これにより、アクセス許可ポリシーを適用して、これらのリカバリポイントを簡単に保護できます。どのリソースがフル AWS Backup 管理をサポートしているかを確認するには、リソース別の機能の可用性表の セクションを参照してください。

AWS Backup は、 AWS Backup リソースを操作するための一連のオペレーションを提供します。使用可能なオペレーションのリストについては、「 AWS Backup アクション」を参照してください。

リソース所有権

は、リソースを作成したユーザーに関係なく、アカウントで作成されたリソース AWS アカウント を所有します。具体的には、リソース所有者は、リソース作成リクエストを認証するプリンシパルエンティティ ( AWS アカウント ルートユーザー、IAMユーザー、またはIAMロール) AWS アカウント の です。次の例は、この仕組みを示しています。

  • の AWS アカウント ルートユーザー認証情報を使用してバックアップボールト AWS アカウント を作成する場合、 AWS アカウント はボールトの所有者です。

  • でIAMユーザーを作成し AWS アカウント 、そのユーザーにバックアップボールトを作成するアクセス許可を付与すると、ユーザーはバックアップボールトを作成できます。ただし、バックアップ保管庫リソースを所有しているのは、このユーザーが属する AWS です。

  • バックアップボールトを作成するアクセス許可 AWS アカウント を持つIAMロールを で作成する場合、ロールを引き受けることができるすべてのユーザーがボールトを作成できます。ロールが属 AWS アカウントする は、バックアップボールトリソースを所有します。

ポリシー要素 (アクション、効果、プリンシパル) の指定

各 AWS Backup リソース (「」を参照リソースおよびオペレーション) について、サービスは一連のAPIオペレーションを定義します (「」を参照アクション)。これらのAPIオペレーションのアクセス許可を付与するには、ポリシーで指定できる一連のアクション AWS Backup を定義します。API オペレーションを実行するには、複数のアクションに対するアクセス許可が必要になる場合があります。

最も基本的なポリシーの要素を次に示します。

  • リソース – ポリシーでは、Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。詳細については、「リソースおよびオペレーション」を参照してください。

  • アクション – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。

  • 効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • プリンシパル – ID ベースのポリシー (IAM ポリシー) では、ポリシーがアタッチされているユーザーが暗黙的なプリンシパルです。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用)を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。

IAM ポリシーの構文と説明の詳細については、「 ユーザーガイド」のIAMJSON「ポリシーリファレンス」を参照してください。 IAM

すべてのアクションを示す表については、 AWS Backup API「」を参照してくださいAPI アクセス許可: アクション、リソース、および条件リファレンス

ポリシーでの条件の指定

アクセス許可を付与する場合、IAMポリシー言語を使用して、ポリシーを有効にする条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語で条件を指定する方法の詳細については、IAM「 ユーザーガイド」の「 条件」を参照してください。

AWS は、グローバル条件キーとサービス固有の条件キーをサポートします。すべてのグローバル条件キーを確認するには、 ユーザーガイドのAWS 「グローバル条件コンテキストキー」を参照してください。 IAM

AWS Backup は、独自の条件キーのセットを定義します。 AWS Backup 条件キーのリストを確認するには、「サービス認証リファレンス」の「 の条件キー AWS Backup」を参照してください。

API アクセス許可: アクション、リソース、および条件リファレンス

IAM ID にアタッチできるアクセス許可ポリシー (アイデンティティベースのポリシー) を設定アクセスコントロールおよび記述する場合、次のテーブルを参照として使用できます。テーブルリスト、各 AWS Backup APIオペレーション、アクションを実行するためのアクセス許可を付与できる対応するアクション、およびアクセス許可を付与できる AWS リソースが含まれます。ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソースの値を指定します。Resource フィールドが空白の場合は、ワイルドカード (*) を使用してすべてのリソースを含めることができます。

AWS Backup ポリシーで AWS全体の条件キーを使用して条件を表現できます。 AWS全体のキーの完全なリストについては、 IAM ユーザーガイド「使用可能なキー」を参照してください。

スクロールバーを使用して、テーブルの残りの部分を確認します。

1 既存のボールトアクセスポリシーを使用します。

2 リソース固有の復旧ポイントAWS Backup リソース ARNsについては、「」を参照してくださいARNs。

3 StartRestoreJob には、リソースのメタデータにキーと値のペアが必要です。リソースのメタデータを取得するには、 GetRecoveryPointRestoreMetadata を呼び出しますAPI。

4 特定のリソースタイプでは、バックアップに元のリソースタグを含めるか、バックアップに追加タグを追加するbackup:TagResource予定がある場合は、バックアップを実行するロールに特定のタグ付けアクセス許可が必要です。でARN始まる arn:aws:backup:region:account-id:recovery-point:または連続するバックアップを持つバックアップには、このアクセス許可が必要です。 アクセスbackup:TagResource許可は に適用する必要があります。 "resourcetype": "arn:aws:backup:region:account-id:recovery-point:*"

詳細については、「サービス承認リファレンス」の「AWS Backupのアクション、リソース、および条件キー」を参照してください。

タグ権限のコピー

がバックアップジョブまたはコピージョブ AWS Backup を実行すると、ソースリソース (コピーの場合はリカバリポイント) からリカバリポイントにタグをコピーしようとします。

注記

AWS Backup は復元ジョブ中にタグをネイティブにコピーしません。復元ジョブ中にタグをコピーするイベント駆動型アーキテクチャについては、AWS Backup 「復元ジョブでリソースタグを保持する方法」を参照してください。

バックアップジョブまたはコピージョブ中、 は、バックアッププラン (またはコピープラン、またはオンデマンドバックアップ) で指定したタグを、ソースリソースからのタグで AWS Backup 集約します。ただし、 はリソースあたり 50 個のタグの制限 AWS を適用します。これは を超える AWS Backup ことはできません。バックアップまたはコピージョブがプランとソースリソースからタグを集約すると、合計 50 を超えるタグが検出され、ジョブを完了できず、ジョブが失敗する可能性があります。これは、 AWS全体のタグ付けのベストプラクティスと一致しています。詳細については、AWS 全般のリファレンスガイドの「タグの制限」を参照してください。

  • バックアップジョブタグをソースリソースタグと集約した後、リソースには 50 個を超えるタグがあります。 は、リソースごとに最大 50 個のタグ AWS をサポートします。詳細については、「タグの制限」を参照してください。

  • に提供するIAMロールには、ソースタグを読み取るか、送信先タグを設定するアクセス許可 AWS Backup がありません。ロールIAMポリシーの詳細とサンプルについては、「 マネージドポリシー」を参照してください。

バックアッププランを使用して、ソースリソースタグと矛盾するタグを作成できます。2 つの競合が発生すると、バックアッププランのタグが優先されます。ソースリソースからタグ値をコピーしたくない場合は、この方法を使用します。同じタグキーを指定しますが、バックアッププランを使用して、異なる値または空の値を指定します。

バックアップにタグを割り当てるために必要な権限
リソースタイプ 必要なアクセス権限
Amazon EFS ファイルシステム

elasticfilesystem:DescribeTags
Amazon FSx ファイルシステム

fsx:ListTagsForResource
Amazon RDS データベースと Amazon Aurora クラスター

rds:AddTagsToResource

rds:ListTagsForResource
Storage Gateway ボリューム

storagegateway:ListTagsForResource
Amazon EC2インスタンスと Amazon EBSボリューム

EC2:CreateTags

EC2:DescribeTags

DynamoDB は、最初に アドバンスト DynamoDB バックアップ を有効にしない限り、バックアップへのタグの割り当てをサポートしません。

Amazon EC2バックアップが Image Recovery Point とスナップショットのセットを作成すると、 AWS Backup はタグを結果の にコピーしますAMI。 AWS Backup また、Amazon EC2インスタンスに関連付けられたボリュームから結果のスナップショットにタグもコピーします。

アクセスポリシー

アクセスポリシーは、誰が何に対するアクセス権を持っているのかを説明します。IAM ID にアタッチされたポリシーは、ID ベースのポリシー (IAM ポリシー) と呼ばれます。リソースにアタッチされたポリシーは、リソースベースのポリシーと呼ばれます。 は、アイデンティティベースのポリシーとリソースベースのポリシーの両方 AWS Backup をサポートします。

注記

このセクションでは、 のコンテキストIAMでの の使用について説明します AWS Backup。IAM サービスに関する詳細情報は提供されません。詳細なIAMドキュメントについては、IAM「 ユーザーガイド」の「 とはIAM」を参照してください。IAM ポリシーの構文と説明については、「 ユーザーガイド」のIAMJSON「ポリシーリファレンス」を参照してください。 IAM

ID ベースのポリシー (IAM ポリシー)

ID ベースのポリシーは、ユーザーやロールなどの ID IAM にアタッチできるポリシーです。例えば、ユーザーが AWS リソースを表示およびバックアップできるようにするポリシーを定義できますが、バックアップの復元は禁止します。

ユーザー、グループ、ロール、アクセス許可の詳細については、 IAM ユーザーガイド「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。

IAM ポリシーを使用してバックアップへのアクセスを制御する方法については、「」を参照してくださいの マネージドポリシー AWS Backup

リソースベースのポリシー

AWS Backup は、バックアップボールトのリソースベースのアクセスポリシーをサポートします。これにより、バックアップ保管庫内の整理された任意のバックアップにどのユーザーがどのようなアクセス許可を持つかを制御できるアクセスポリシーを定義できます。バックアップ保管庫のリソースベースのアクセスポリシーを使用すると、バックアップへのアクセスを簡単に制御できます。

バックアップボールトアクセスポリシーは、 を使用する際のユーザーアクセスを制御します AWS Backup APIs。Amazon Elastic Block Store (Amazon EBS) や Amazon Relational Database Service (Amazon RDS) スナップショットなどの一部のバックアップタイプには、これらのサービスの を使用してアクセスすることもできますAPIs。バックアップへのアクセスを完全に制御APIsするために、アクセスポリシーへのアクセスIAMを制御する個別のアクセスポリシーを に作成できます。

バックアップ保管庫のアクセスポリシーを作成する方法については、「ボールトアクセスポリシー」を参照してください。