アクセスコントロール - AWS Backup
リソースおよびオペレーションリソース所有権ポリシー要素 (アクション、効果、プリンシパル) の指定ポリシーでの条件の指定API の権限リファレンスタグ権限のコピーアクセスポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセスコントロール

リクエストを認証するために有効な認証情報を持つことができますが、適切なアクセス許可がない限り、バックアップボールトなどの AWS Backup リソースにアクセスすることはできません。Amazon Elastic Block Store (Amazon EBS) ボリュームなどの AWS リソースをバックアップすることもできません。

すべての AWS リソースは によって所有され AWS アカウント、リソースを作成またはアクセスするためのアクセス許可はアクセス許可ポリシーによって管理されます。アカウント管理者は、 AWS Identity and Access Management (IAM) ID (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチできます。また、一部のサービスでは、アクセス権限ポリシーをリソースにアタッチすることができます。

アカウント管理者 (または管理者ユーザー) は、管理者アクセス許可を持つユーザーです。詳細については、「IAM ユーザーガイド 」の「IAM のベストプラクティス」を参照してください。

アクセス許可を付与する場合、アクセス許可を取得するユーザー、取得するアクセス許可の対象となるリソース、およびそれらのリソースに対して許可される特定のアクションを決定します。

以下のセクションでは、アクセスポリシーのしくみと、それらのポリシーを使用してバックアップを保護する方法について説明します。

リソースおよびオペレーション

リソースは、サービス内に存在するオブジェクトです。 AWS Backup リソースには、バックアッププラン、バックアップボールト、バックアップが含まれます。バックアップは、 に存在するさまざまなタイプのバックアップリソースを指す一般的な用語です AWS。たとえば、Amazon EBS スナップショット、Amazon Relational Database Service (Amazon RDS) スナップショット、および Amazon DynamoDB バックアップはすべて、バックアップリソースのタイプです。

では AWS Backup、バックアップは復旧ポイントとも呼ばれます。を使用する場合は AWS Backup、Amazon EBS ボリュームや DynamoDB テーブルなど、保護しようとしている他の AWS サービスのリソースも操作します。これらのリソースには、一意の Amazon リソースネーム (ARN) が関連付けられています。ARNs AWS リソースを一意に識別します。IAM ポリシーや API コールなど、すべての AWSでリソースを明確に指定する必要がある場合は、ARN が必要です。

以下の表では、リソース、サブリソース、ARN 形式、および一意の ID の例を示しています。

AWS Backup リソース ARNs
リソースタイプ ARN 形式 一意の ID の例
バックアッププラン arn:aws:backup:region:account-id:backup-plan:*
バックアップボールト arn:aws:backup:region:account-id:backup-vault:*
Amazon EBS の復旧ポイント arn:aws:ec2:region::snapshot/* snapshot/snap-05f426fd8kdjb4224
Amazon EC2 の復旧ポイントのイメージ arn:aws:ec2:region::image/ami-* image/ami-1a2b3e4f5e6f7g890
Amazon RDS の復旧ポイント arn:aws:rds:region:account-id:snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Aurora の復旧ポイント arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Storage Gateway の復旧ポイント arn:aws:ec2:region::snapshot/* snapshot/snap-0d40e49137e31d9e0
アドバンスト DynamoDB バックアップ なしの DynamoDB の復旧ポイント arn:aws:dynamodb:region:account-id:table/*/backup/* table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3
アドバンスト DynamoDB バックアップ が有効な DynamoDB の復旧ポイント arn:aws:backup:region:account-id:recovery-point:* 12a34a56-7bb8-901c-cd23-4567d8e9ef01
Amazon EFS の復旧ポイント arn:aws:backup:region:account-id:recovery-point:* d99699e7-e183-477e-bfcd-ccb1c6e5455e
Amazon FSx の復旧ポイント arn:aws:fsx:region:account-id:backup/backup-* backup/backup-1a20e49137e31d9e0
仮想マシンの復旧ポイント arn:aws:backup:region:account-id:recovery-point:* 1801234a-5b6b-7dc8-8032-836f7ffc623b
Amazon S3 継続的バックアップの復旧ポイント arn:aws:backup:region:account-id:recovery-point:* amzn-s3-demo-bucket-5ec207d0
S3 定期バックアップのリカバリポイント arn:aws:backup:region:account-id:recovery-point:* amzn-s3-demo-bucket-20211231900000-5ec207d0
Amazon DocumentDB の復旧ポイント arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Neptune の復旧ポイント arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Amazon Redshift の復旧ポイント arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Amazon Timestream の復旧ポイント arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta
AWS CloudFormation テンプレートの復旧ポイント arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012
Amazon EC2 インスタンス上の SAP HANA データベースの復旧ポイント arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012

フル AWS Backup 管理をサポートするリソースにはすべて、 形式の復旧ポイントがありますarn:aws:backup:region:account-id::recovery-point:*。 を使用すると、これらの復旧ポイントを保護するためのアクセス許可ポリシーを簡単に適用できます。フル AWS Backup 管理をサポートするリソースを確認するには、リソース別の機能の可用性表の「」セクションを参照してください。

AWS Backup には、 AWS Backup リソースを操作するための一連のオペレーションが用意されています。使用可能なオペレーションのリストについては、「 AWS Backup アクション」を参照してください。

リソース所有権

は、リソースを作成したユーザーに関係なく、アカウントで作成されたリソース AWS アカウント を所有します。具体的には、リソース所有者は、リソース作成リクエスト AWS アカウント を認証するプリンシパルエンティティ ( AWS アカウント ルートユーザー、IAM ユーザー、または IAM ロール) の です。次の例は、この仕組みを示しています。

  • の AWS アカウント ルートユーザー認証情報を使用してバックアップボールト AWS アカウント を作成する場合、 AWS アカウント はボールトの所有者です。

  • で IAM ユーザーを作成し AWS アカウント 、そのユーザーにバックアップボールトを作成するアクセス許可を付与すると、そのユーザーはバックアップボールトを作成できます。ただし、バックアップ保管庫リソースを所有しているのは、このユーザーが属する AWS です。

  • バックアップボールトを作成するアクセス許可 AWS アカウント を持つ に IAM ロールを作成する場合、ロールを引き受けることのできるいずれのユーザーもボールトを作成できます。ロールが属 AWS アカウントする は、バックアップボールトリソースを所有しています。

ポリシー要素 (アクション、効果、プリンシパル) の指定

サービスは AWS Backup 、リソースごとに API オペレーションのセットを定義します (「」を参照リソースおよびオペレーションアクション。これらの API オペレーションのアクセス許可を付与するために、 はポリシーで指定できる一連のアクション AWS Backup を定義します。1 つの API オペレーションの実行で、複数のアクションのアクセス権限が必要になる場合があります。

最も基本的なポリシーの要素を次に示します。

  • リソース– ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。詳細については、「リソースおよびオペレーション」を参照してください。

  • アクション – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。

  • 効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。

  • プリンシパル - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス許可 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。

IAM ポリシーの構文と記述の詳細については、IAM ユーザーガイドの「IAM JSON ポリシーのリファレンス」を参照してください。

すべての AWS Backup API アクションを示す表については、「」を参照してくださいAPI のアクセス許可: アクション、リソース、条件リファレンス

ポリシーでの条件の指定

許可を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「IAM ユーザーガイド」の「条件」を参照してください。

AWS は、グローバル条件キーとサービス固有の条件キーをサポートしています。すべてのグローバル条件キーを確認するには、「IAM ユーザーガイド」の「AWS グローバル条件コンテキストキー」を参照してください。

AWS Backup は、独自の条件キーのセットを定義します。 AWS Backup 条件キーのリストを確認するには、「サービス認可リファレンス」の「 の条件キー AWS Backup」を参照してください。

API のアクセス許可: アクション、リソース、条件リファレンス

アクセスコントロール をセットアップし、IAM アイデンティティにアタッチできるアクセス権限ポリシー (アイデンティティベースのポリシー) を作成するときは、以下のテーブルをリファレンスとして使用できます。テーブルリスト、各 AWS Backup API オペレーション、アクションを実行するためのアクセス許可を付与できる対応するアクション、およびアクセス許可を付与できる AWS リソースが含まれます。ポリシーの Action フィールドでアクションを指定し、ポリシーの Resource フィールドでリソースの値を指定します。Resource フィールドが空白の場合は、ワイルドカード (*) を使用してすべてのリソースを含めることができます。

AWS Backup ポリシーで AWS全体の条件キーを使用して、条件を表現できます。 AWS全体のキーの完全なリストについては、IAM ユーザーガイド「使用可能なキー」を参照してください。

スクロールバーを使用して、テーブルの残りの部分を確認します。

1 既存のボールトのアクセスポリシーを使用します。

2 リソース固有の復旧ポイント ARN については、「AWS Backup リソース ARNs」を参照してください。

3 StartRestoreJob では、リソースのメタデータにキーと値のペアも必要です。リソースのメタデータを取得するには、GetRecoveryPointRestoreMetadata API を呼び出します。

4 特定のリソースタイプでは、バックアップに元のリソースタグを含めるか、バックアップにさらにタグを追加する予定がある場合は、バックアップを実行するロールに特定のタグ付けアクセス許可 backup:TagResource が必要になります。arn:aws:backup:region:account-id:recovery-point: で始まる ARN を持つバックアップ、または継続的バックアップには、このアクセス許可が必要です。backup:TagResource アクセス許可は "resourcetype": "arn:aws:backup:region:account-id:recovery-point:*" に適用する必要があります。

詳細については、「サービス承認リファレンス」の「AWS Backupのアクション、リソース、および条件キー」を参照してください。

タグ権限のコピー

がバックアップジョブまたはコピージョブ AWS Backup を実行すると、ソースリソース (コピーの場合は復旧ポイント) から復旧ポイントにタグをコピーしようとします。

注記

AWS Backup は復元ジョブ中にタグをネイティブにコピーしません。復元ジョブ中にタグをコピーするイベント駆動型アーキテクチャについては、AWS Backup 「復元ジョブでリソースタグを保持する方法」を参照してください。

バックアップまたはコピージョブ中、 はバックアッププラン (またはコピープラン、またはオンデマンドバックアップ) で指定したタグをソースリソースのタグで AWS Backup 集約します。ただし、 では、リソースごとに 50 個のタグの制限 AWS が適用されます。これは を超える AWS Backup ことはできません。バックアップまたはコピージョブがプランとソースリソースからタグを集約すると、合計 50 を超えるタグが検出され、ジョブを完了できず、ジョブが失敗する可能性があります。これは、 AWS全体のタグ付けのベストプラクティスと一致しています。

  • バックアップジョブタグをソースリソースタグに集約した後、リソースには 50 個を超えるタグがあります。 は、リソースごとに最大 50 個のタグ AWS をサポートします。

  • に提供する IAM ロールには、ソースタグを読み取るアクセス許可または送信先タグを設定するアクセス許可 AWS Backup がありません。IAM ロールポリシーの詳細とサンプルについては、「管理ポリシー」を参照してください。

バックアッププランを使用して、ソースリソースタグと矛盾するタグを作成できます。2 つの競合が発生すると、バックアッププランのタグが優先されます。ソースリソースからタグ値をコピーしたくない場合は、この方法を使用します。同じタグキーを指定しますが、バックアッププランを使用して、異なる値または空の値を指定します。

バックアップにタグを割り当てるために必要な権限
リソースタイプ 必要なアクセス権限
Amazon EFS ファイルシステム

elasticfilesystem:DescribeTags
Amazon FSx ファイルシステム

fsx:ListTagsForResource
Amazon RDS データベースおよび Amazon Aurora クラスター

rds:AddTagsToResource

rds:ListTagsForResource
Storage Gateway ボリューム

storagegateway:ListTagsForResource
Amazon EC2 インスタンスと Amazon EBS ボリューム

EC2:CreateTags

EC2:DescribeTags

DynamoDB は、最初に アドバンスト DynamoDB バックアップ を有効にしない限り、バックアップへのタグの割り当てをサポートしません。

Amazon EC2 バックアップが Image Recovery Point とスナップショットのセットを作成すると、 AWS Backup はタグを結果の AMI にコピーします。 AWS Backup また、 は Amazon EC2 インスタンスに関連付けられたボリュームから結果のスナップショットにタグをコピーします。

アクセスポリシー

アクセスポリシーは、誰が何に対するアクセス権を持っているのかを説明します。IAM アイデンティティにアタッチされているポリシーは、[アイデンティティベース] のポリシー (IAM ポリシー) と呼ばれます。リソースにアタッチされたポリシーは、リソースベースのポリシーと呼ばれます。 は、アイデンティティベースのポリシーとリソースベースのポリシーの両方 AWS Backup をサポートします。

注記

このセクションでは、 のコンテキストでの IAM の使用について説明します AWS Backup。ここでは、IAM サービスに関する詳細情報を提供しません。完全な IAM ドキュメンテーションについては、[IAM ユーザーガイド] の [IAM とは] を参照してください。IAM ポリシー構文の詳細と説明については、IAM ユーザーガイドの「IAM JSON ポリシーのリファレンス」を参照してください。

ID ベースのポリシー (IAM ポリシー)

アイデンティティベースのポリシーは、IAM アイデンティティ (ユーザーやロールなど) にアタッチできるポリシーです。例えば、ユーザーが AWS リソースを表示およびバックアップできるようにしながら、バックアップを復元できないようにするポリシーを定義できます。

ユーザー、グループ、ロール、許可の詳細については、「IAM ユーザーガイド」の「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。

IAM ポリシーを使用してバックアップへのアクセスを制御する方法については、「の管理ポリシー AWS Backup」を参照してください。

リソースベースのポリシー

AWS Backup は、バックアップボールトのリソースベースのアクセスポリシーをサポートしています。これにより、バックアップ保管庫内の整理された任意のバックアップにどのユーザーがどのようなアクセス許可を持つかを制御できるアクセスポリシーを定義できます。バックアップ保管庫のリソースベースのアクセスポリシーを使用すると、バックアップへのアクセスを簡単に制御できます。

バックアップボールトアクセスポリシーは、 AWS Backup APIs を使用するときのユーザーアクセスを制御します。Amazon Elastic Block Store (Amazon EBS) および Amazon Relational Database Service (Amazon RDS) スナップショットなどの一部のバックアップタイプには、それらのサービスの API を使用してもアクセスできます。バックアップへのアクセスを完全に制御するために、これらの API へのアクセスを制御する個別のアクセスポリシーを IAM で作成できます。

バックアップ保管庫のアクセスポリシーを作成する方法については、「ボールトアクセスポリシー」を参照してください。