翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# での ID とアクセスの管理 AWS Backup
にアクセスするには、 認証情報 AWS Backup が必要です。これらの認証情報には、Amazon DynamoDB インスタンスや Amazon EFS ファイルシステムなどの AWS リソースに対するアクセス許可が含まれている必要があります。さらに、一部の AWS Backupサポートされているサービス AWS Backup に対して によって作成された復旧ポイントは、ソースサービス (Amazon EFS など) を使用して削除できません。これらの復旧ポイントは、 を使用して削除できます AWS Backup。
以下のセクションでは、 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) と AWS Backup を使用して リソースへの安全なアクセスを支援する方法について詳しく説明します。
**警告**
AWS Backup は、リカバリポイントのライフサイクルを管理するためにリソースを割り当てるときに選択したのと同じ IAM ロールを使用します。そのロールを削除または変更した場合、 AWS Backup は復旧ポイントのライフサイクルを管理できません。この場合、サービスにリンクされたロールを使用して、ライフサイクルを管理しようとします。ごく一部のケースでは、これがうまくいかず、ストレージ上に `EXPIRED` リカバリポイントを残し、不要なコストが発生する可能性があります。`EXPIRED` リカバリポイントを削除するには、[バックアップの削除](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html)の手順を使用して手動で削除してください。
**Topics**
+ [認証](authentication.md)
+ [アクセスコントロール](access-control.md)
+ [IAM サービスロール](iam-service-roles.md)
+ [の管理ポリシー AWS Backup](security-iam-awsmanpol.md)
+ [のサービスにリンクされたロールの使用 AWS Backup](using-service-linked-roles.md)
+ [サービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md)
# 認証
AWS Backup またはバックアップする AWS サービスにアクセスするには、 がリクエストの認証 AWS に使用できる認証情報が必要です。には、次のいずれかのタイプの ID AWS としてアクセスできます。
+ **AWS アカウント ルートユーザー** – にサインアップするときに AWS、アカウント AWS に関連付けられた E メールアドレスとパスワードを指定します。これは *AWS アカウント のルートユーザー*です。その認証情報は、すべての AWS リソースへの完全なアクセスを提供します。
**重要**
セキュリティ上の理由から、*管理者*を作成する場合にのみルートユーザーを使用することをお勧めします。管理者は、 AWS アカウントに対する完全なアクセス許可を持つ *IAM ユーザー*です。この管理者ユーザーを使用して、制限された許可を持つ他の IAM ユーザーとロールを作成できます。詳細については、*IAM ユーザーガイド*の「[IAM のベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)」および「[最初の IAM 管理者のユーザーおよびグループの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)」を参照してください。
+ **IAM ユーザー** – [IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)は、 AWS アカウント 内で特定のカスタムアクセス許可 (バックアップ保存用のバックアップ保管庫を作成するためのアクセス許可など) を持つアイデンティティです。IAM ユーザー名とパスワードを使用して、、 [AWS ディスカッションフォーラム](https://forums.aws.amazon.com/)[AWS マネジメントコンソール](https://console.aws.amazon.com/)、 [AWS サポート センター](https://console.aws.amazon.com/support/home#/)などの安全な AWS ウェブページにサインインできます。
ユーザー名とパスワードに加えて、各ユーザーの[アクセスキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)を作成することもできます。これらのキーは、[複数の SDKs のいずれか](https://aws.amazon.com/developer/tools/)を介して、または [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) を使用して、プログラムで AWS サービスにアクセスするときに使用できます。SDK と AWS CLI ツールでは、アクセスキーを使用してリクエストが暗号で署名されます。 AWS ツールを使用しない場合は、リクエストを自分で署名する必要があります。リクエストの認証の詳細については、『[』の「](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)署名バージョン 4 の署名プロセス*AWS 全般のリファレンス*」を参照してください。
+ **IAM ロール** - [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)は、アカウントで作成して特定のアクセス許可を付与できるもうひとつの IAM アイデンティティです。これは IAM ユーザーに似ていますが、特定のユーザーに関連付けられていません。IAM ロールを使用すると、 AWS サービスとリソースへのアクセスに使用できる一時的なアクセスキーを取得できます。IAM ロールと一時的な認証情報は、次の状況で役立ちます:
+ フェデレーティッドユーザーアクセス – IAM ユーザーを作成する代わりに、 Directory Service、エンタープライズユーザーディレクトリ、またはウェブ ID プロバイダーから既存のユーザー ID を使用できます。このようなユーザーはフェデレーションユーザーと呼ばれます。 AWS では、[ID プロバイダー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)を通じてアクセスがリクエストされたとき、フェデレーションユーザーにロールを割り当てます。フェデレーティッドユーザーの詳細については、「*IAM ユーザーガイド*」の「[フェデレーティッドユーザーとロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)」を参照してください。
+ クロスアカウント管理 – アカウントの IAM ロールを使用して、アカウントのリソースを管理するための別の AWS アカウント アクセス許可を付与できます。例については、IAM *ユーザーガイド*の[「チュートリアル: IAM ロール AWS アカウント を使用した 間のアクセスの委任](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)」を参照してください。
+ AWS サービスアクセス – アカウントの IAM ロールを使用して、アカウントのリソースにアクセスするための AWS サービスアクセス許可を付与できます。詳細については、*IAM ユーザーガイド*の[「 AWS サービスにアクセス許可を委任するロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」を参照してください。
+ Amazon Elastic Compute Cloud (Amazon EC2) で実行されているアプリケーション – IAM ロールを使用して、Amazon EC2 インスタンスで実行され、 AWS API リクエストを行うアプリケーションの一時的な認証情報を管理できます。これは、EC2 インスタンス内でのアクセスキーの保存に推奨されます。EC2 インスタンスに AWS ロールを割り当て、そのすべてのアプリケーションで使用できるようにするには、インスタンスにアタッチされたインスタンスプロファイルを作成します。インスタンスプロファイルにはロールが含まれ、EC2 インスタンスで実行されるプログラムは一時認証情報を取得することができます。詳細については、*IAM ユーザーガイド*の「[Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用して権限を付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)」を参照してください。
# アクセスコントロール
リクエストを認証するための有効な認証情報を持つことができますが、適切なアクセス許可がない限り、バックアップボールトなどの AWS Backup リソースにアクセスすることはできません。Amazon Elastic Block Store (Amazon EBS) ボリュームなどの AWS リソースをバックアップすることもできません。
すべての AWS リソースは によって所有され AWS アカウント、リソースを作成またはアクセスするアクセス許可はアクセス許可ポリシーによって管理されます。アカウント管理者は、 AWS Identity and Access Management (IAM) ID (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチできます。また、一部のサービスでは、アクセス権限ポリシーをリソースにアタッチすることができます。
アカウント管理者 (または管理者ユーザー) は、管理者アクセス許可を持つユーザーです。詳細については、「IAM ユーザーガイド 」の「[IAM のベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
アクセス許可を付与する場合、アクセス許可を取得するユーザー、取得するアクセス許可の対象となるリソース、およびそれらのリソースに対して許可される特定のアクションを決定します。
以下のセクションでは、アクセスポリシーのしくみと、それらのポリシーを使用してバックアップを保護する方法について説明します。
**Topics**
+ [リソースおよびオペレーション](#access-control-resources)
+ [リソース所有権](#access-control-owner)
+ [ポリシー要素 (アクション、効果、プリンシパル) の指定](#access-control-specify-backup-actions)
+ [ポリシーでの条件の指定](#specifying-conditions)
+ [API のアクセス許可: アクション、リソース、条件リファレンス](#backup-api-permissions-ref)
+ [タグ権限のコピー](#copy-tags)
+ [アクセスポリシー](#access-policies)
## リソースおよびオペレーション
リソースは、サービス内に存在するオブジェクトです。 AWS Backup リソースには、バックアッププラン、バックアップボールト、バックアップが含まれます。*Backup* は、 に存在するさまざまなタイプのバックアップリソースを指す一般的な用語です AWS。たとえば、Amazon EBS スナップショット、Amazon Relational Database Service (Amazon RDS) スナップショット、および Amazon DynamoDB バックアップはすべて、バックアップリソースのタイプです。
では AWS Backup、バックアップは*復旧ポイント*とも呼ばれます。を使用する場合は AWS Backup、Amazon EBS ボリュームや DynamoDB テーブルなど、保護しようとしている他の AWS サービスのリソースも操作します。これらのリソースには、一意の Amazon リソースネーム (ARN) が関連付けられています。ARNs AWS リソースを一意に識別します。IAM ポリシーや API コールなど、すべての AWSでリソースを明確に指定する必要がある場合は、ARN が必要です。
以下の表では、リソース、サブリソース、ARN 形式、および一意の ID の例を示しています。
**AWS Backup リソース ARNs**
| リソースタイプ | ARN 形式 | 一意の ID の例 |
| --- | --- | --- |
| バックアッププラン | arn:aws:backup:region:account-id:backup-plan:\$1 | |
| バックアップボールト | arn:aws:backup:region:account-id:backup-vault:\$1 | |
| Amazon EBS の復旧ポイント | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 |
| Amazon EC2 の復旧ポイントのイメージ | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 |
| Amazon RDS の復旧ポイント | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora の復旧ポイント | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora DSQL の復旧ポイント | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a |
| Storage Gateway の復旧ポイント | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 |
| [アドバンスト DynamoDB バックアップ](advanced-ddb-backup.md) なしの DynamoDB の復旧ポイント | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| [アドバンスト DynamoDB バックアップ](advanced-ddb-backup.md) が有効な DynamoDB の復旧ポイント | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Amazon EFS の復旧ポイント | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Amazon FSx の復旧ポイント | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 |
| 仮想マシンの復旧ポイント | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Amazon S3 継続的バックアップの復旧ポイント | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 |
| S3 定期バックアップのリカバリポイント | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 |
| Amazon DocumentDB の復旧ポイント | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Neptune の復旧ポイント | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift の復旧ポイント | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift Serverless の復旧ポイント | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Timestream の復旧ポイント | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta |
| AWS CloudFormation テンプレートの復旧ポイント | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Amazon EC2 インスタンス上の SAP HANA データベースの復旧ポイント | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
フル AWS Backup 管理をサポートするリソースには、すべて 形式の復旧ポイントがあります`arn:aws:backup:region:account-id::recovery-point:*`。 を使用すると、これらの復旧ポイントを保護するためのアクセス許可ポリシーを簡単に適用できます。フル AWS Backup 管理をサポートするリソースを確認するには、[リソース別の機能の可用性](backup-feature-availability.md#features-by-resource)表の セクションを参照してください。
AWS Backup には、 AWS Backup リソースを操作するための一連のオペレーションが用意されています。使用可能なオペレーションのリストについては、「 AWS Backup [アクション](API_Operations.md)」を参照してください。
## リソース所有権
は、リソースを作成したユーザーに関係なく、アカウントで作成されたリソース AWS アカウント を所有します。具体的には、リソース所有者は、リソース作成リクエスト AWS アカウント を認証する[プリンシパルエンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) ( AWS アカウント ルートユーザー、IAM ユーザー、または IAM ロール) の です。次の例は、この仕組みを示しています。
+ の AWS アカウント ルートユーザー認証情報を使用してバックアップボールト AWS アカウント を作成する場合、 AWS アカウント はボールトの所有者です。
+ で IAM ユーザーを作成し AWS アカウント 、そのユーザーにバックアップボールトを作成するアクセス許可を付与すると、そのユーザーはバックアップボールトを作成できます。ただし、バックアップ保管庫リソースを所有しているのは、このユーザーが属する AWS です。
+ バックアップボールトを作成するアクセス許可 AWS アカウント を持つ で IAM ロールを作成する場合、ロールを引き受けることのできるすべてのユーザーがボールトを作成できます。ロールが属 AWS アカウントする は、バックアップボールトリソースを所有します。
## ポリシー要素 (アクション、効果、プリンシパル) の指定
サービスは AWS Backup 、リソースごとに API オペレーションのセットを定義します (「」を参照[リソースおよびオペレーション](#access-control-resources))[アクション](API_Operations.md)。これらの API オペレーションのアクセス許可を付与するために、 はポリシーで指定できる一連のアクション AWS Backup を定義します。1 つの API オペレーションの実行で、複数のアクションのアクセス権限が必要になる場合があります。
最も基本的なポリシーの要素を次に示します。
+ リソース– ポリシーで Amazon リソースネーム (ARN) を使用して、ポリシーを適用するリソースを識別します。詳細については、「[リソースおよびオペレーション](#access-control-resources)」を参照してください。
+ アクション – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。
+ 効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。また、明示的にリソースへのアクセスを拒否すると、別のポリシーによってアクセスが許可されている場合でも、ユーザーはそのリソースにアクセスできなくなります。
+ プリンシパル - ID ベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが黙示的なプリンシパルとなります。リソースベースのポリシーでは、アクセス許可 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。
IAM ポリシーの構文と記述の詳細については、IAM ユーザーガイドの「[IAM JSON ポリシーのリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
すべての AWS Backup API アクションを示す表については、「」を参照してください[API のアクセス許可: アクション、リソース、条件リファレンス](#backup-api-permissions-ref)。
## ポリシーでの条件の指定
許可を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「*IAM ユーザーガイド*」の「[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)」を参照してください。
AWS は、グローバル条件キーとサービス固有の条件キーをサポートしています。すべてのグローバル条件キーを確認するには、「*IAM ユーザーガイド*」の「[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
AWS Backup は、独自の条件キーのセットを定義します。 AWS Backup 条件キーのリストを確認するには、*「サービス認可リファレンス*」の「 [の条件キー AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys)」を参照してください。
## API のアクセス許可: アクション、リソース、条件リファレンス
[アクセスコントロール](#access-control) をセットアップし、IAM アイデンティティにアタッチできるアクセス権限ポリシー (アイデンティティベースのポリシー) を作成するときは、以下のテーブルをリファレンスとして使用できます。テーブルリスト、各 AWS Backup API オペレーション、アクションを実行するためのアクセス許可を付与できる対応するアクション、およびアクセス許可を付与できる AWS リソースが含まれます。ポリシーの `Action` フィールドでアクションを指定し、ポリシーの `Resource` フィールドでリソースの値を指定します。`Resource` フィールドが空白の場合は、ワイルドカード (`*`) を使用してすべてのリソースを含めることができます。
AWS Backup ポリシーで AWS全体の条件キーを使用して、条件を表現できます。 AWS全体のキーの完全なリストについては、*IAM ユーザーガイド*の[「使用可能なキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)」を参照してください。
スクロールバーを使用して、テーブルの残りの部分を確認します。
**AWS Backup API とアクションに必要なアクセス許可**
| AWS Backup API オペレーション | 必要な許可 (API アクション) | リソース |
| --- | --- | --- |
| [CreateBackupPlan](API_CreateBackupPlan.md) | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupSelection](API_CreateBackupSelection.md) | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupVault](API_CreateBackupVault.md) | `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey` | arn:aws:backup:region:account-id:backup-vault:\$1 `backup-storage` の場合: \$1 `kms` の場合: `arn:aws:kms:region:account-id:key/keystring` |
| [DeleteBackupPlan](API_DeleteBackupPlan.md) | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupSelection](API_DeleteBackupSelection.md) | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupVault](API_DeleteBackupVault.md) | backup:DeleteBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md) | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md) | backup:DeleteBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md) | backup:DeleteRecoveryPoint 1 | 2 |
| [DescribeBackupJob](API_DescribeBackupJob.md) | backup:DescribeBackupJob | |
| [DescribeBackupVault](API_DescribeBackupVault.md) | backup:DescribeBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DescribeProtectedResource](API_DescribeProtectedResource.md) | backup:DescribeProtectedResource | |
| [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md) | backup:DescribeRecoveryPoint 1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [DescribeRestoreJob](API_DescribeRestoreJob.md) | backup:DescribeRestoreJob | |
| [DescribeRegionSettings](API_DescribeRegionSettings.md) | backup:DescribeRegionSettings | |
| [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md) | backup:ExportBackupPlanTemplate | |
| [GetBackupPlan](API_GetBackupPlan.md) | backup:GetBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md) | backup:GetBackupPlanFromJSON | |
| [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md) | backup:GetBackupPlanFromTemplate | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupSelection](API_GetBackupSelection.md) | backup:GetBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md) | backup:GetBackupVaultAccessPolicy 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md) | backup:GetBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md) | backup:GetRecoveryPointRestoreMetadata 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md) | backup:GetSupportedResourceTypes | |
| [ListBackupJobs](API_ListBackupJobs.md) | backup:ListBackupJobs | |
| [ListBackupPlans](API_ListBackupPlans.md) | backup:ListBackupPlans | |
| [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md) | backup:ListBackupPlanTemplates | |
| [ListBackupPlanVersions](API_ListBackupPlanVersions.md) | backup:ListBackupPlanVersions | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupSelections](API_ListBackupSelections.md) | backup:ListBackupSelections | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupVaults](API_ListBackupVaults.md) | backup:ListBackupVaults | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListProtectedResources](API_ListProtectedResources.md) | backup:ListProtectedResources | |
| [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md) | backup:ListRecoveryPointsByBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md) | backup:ListRecoveryPointsByResource | |
| [ListRestoreJobs](API_ListRestoreJobs.md) | backup:ListRestoreJobs | |
| [ListTags](API_ListTags.md) | backup:ListTags | |
| [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md) | backup:PutBackupVaultAccessPolicy 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md) | backup:PutBackupVaultLockConfiguration 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md) | backup:PutBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartBackupJob](API_StartBackupJob.md) | backup:StartBackupJob | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartRestoreJob](API_StartRestoreJob.md) | backup:StartRestoreJob | `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3 |
| [StopBackupJob](API_StopBackupJob.md) | backup:StopBackupJob | |
| [TagResource](API_TagResource.md) | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 |
| [UntagResource](API_UntagResource.md) | backup:UntagResource | |
| [UpdateBackupPlan](API_UpdateBackupPlan.md) | backup:UpdateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md) | backup:UpdateRecoveryPointLifecycle 1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [UpdateRegionSettings](API_UpdateRegionSettings.md) | `backup:UpdateRegionSettings` `backup:DescribeRegionSettings` | |
1 既存のボールトのアクセスポリシーを使用します。
2 リソース固有の復旧ポイント ARN については、「[AWS Backup リソース ARNs](#resource-arns-table)」を参照してください。
3 `StartRestoreJob` では、リソースのメタデータにキーと値のペアも必要です。リソースのメタデータを取得するには、`GetRecoveryPointRestoreMetadata` API を呼び出します。
詳細については、「*サービス認可リファレンス*」の「[AWS Backupのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)」を参照してください。
## タグ権限のコピー
がバックアップジョブまたはコピージョブ AWS Backup を実行すると、ソースリソース (コピーの場合は復旧ポイント) から復旧ポイントにタグをコピーしようとします。
**注記**
AWS Backup は復元ジョブ中にタグをネイティブにコピー**しません**。復元ジョブ中にタグをコピーするイベント駆動型アーキテクチャについては、[AWS Backup 「復元ジョブでリソースタグを保持する方法](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/)」を参照してください。
バックアップまたはコピージョブ中、 は、バックアッププラン (またはコピープラン、またはオンデマンドバックアップ) で指定したタグを、ソースリソースのタグで AWS Backup 集約します。ただし、 はリソースあたり 50 個のタグの制限 AWS を適用します。これは を超える AWS Backup ことはできません。バックアップまたはコピージョブがプランとソースリソースからタグを集約すると、合計 50 を超えるタグが検出され、ジョブを完了できず、ジョブが失敗する可能性があります。これは、 AWS全体的なタグ付けのベストプラクティスと一致しています。
+ バックアップジョブタグをソースリソースタグに集約した後、リソースには 50 個を超えるタグがあります。 は、リソースごとに最大 50 個のタグ AWS をサポートします。
+ に提供する IAM ロールには、ソースタグを読み取るか、送信先タグを設定するアクセス許可 AWS Backup がありません。IAM ロールポリシーの詳細とサンプルについては、「[管理ポリシー](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies)」を参照してください。
バックアッププラン (復旧プランに追加されたタグ) を使用して、ソースリソースタグと矛盾するタグを作成できます。2 つの競合が発生すると、バックアッププランのタグが優先されます。ソースリソースからタグ値をコピーしたくない場合は、この方法を使用します。同じタグキーを指定しますが、バックアッププランを使用して、異なる値または空の値を指定します。
**バックアップにタグを割り当てるために必要な権限**
| リソースタイプ | 必要なアクセス権限 |
| --- | --- |
| Amazon EFS ファイルシステム | `elasticfilesystem:DescribeTags` |
| Amazon FSx ファイルシステム | `fsx:ListTagsForResource` |
| Amazon RDS データベースおよび Amazon Aurora クラスター | `rds:AddTagsToResource` `rds:ListTagsForResource` |
| Storage Gateway ボリューム | `storagegateway:ListTagsForResource` |
| Amazon EC2 インスタンスと Amazon EBS ボリューム | `EC2:CreateTags` `EC2:DescribeTags` |
DynamoDB は、最初に [アドバンスト DynamoDB バックアップ](advanced-ddb-backup.md) を有効にしない限り、バックアップへのタグの割り当てをサポートしません。
Amazon EC2 バックアップが Image Recovery Point とスナップショットのセットを作成すると、 AWS Backup はタグを結果の AMI にコピーします。 AWS Backup また、 は Amazon EC2 インスタンスに関連付けられたボリュームから結果のスナップショットにタグをコピーします。
## アクセスポリシー
アクセスポリシー**は、誰が何に対するアクセス権を持っているのかを説明します。IAM アイデンティティにアタッチされているポリシーは、[アイデンティティベース]** のポリシー (IAM ポリシー) と呼ばれます。リソースにアタッチされたポリシーは、*リソースベースの*ポリシーと呼ばれます。 は、アイデンティティベースのポリシーとリソースベースのポリシーの両方 AWS Backup をサポートします。
**注記**
このセクションでは、 のコンテキストでの IAM の使用について説明します AWS Backup。ここでは、IAM サービスに関する詳細情報を提供しません。完全な IAM ドキュメンテーションについては、[[IAM ユーザーガイド]](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) の [IAM とは] を参照してください。IAM ポリシー構文の詳細と説明については、IAM ユーザーガイドの「[IAM JSON ポリシーのリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
### ID ベースのポリシー (IAM ポリシー)
アイデンティティベースのポリシーは、IAM アイデンティティ (ユーザーやロールなど) にアタッチできるポリシーです。たとえば、ユーザーが AWS リソースを表示およびバックアップすることを許可するポリシーを定義できますが、バックアップの復元は禁止できます。
ユーザー、グループ、ロール、許可の詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」の「アイデンティティ (ユーザー、グループ、ロール)」を参照してください。
IAM ポリシーを使用してバックアップへのアクセスを制御する方法については、「[の管理ポリシー AWS Backup](security-iam-awsmanpol.md)」を参照してください。
### リソースベースのポリシー
AWS Backup は、バックアップボールトのリソースベースのアクセスポリシーをサポートしています。これにより、バックアップ保管庫内の整理された任意のバックアップにどのユーザーがどのようなアクセス許可を持つかを制御できるアクセスポリシーを定義できます。バックアップ保管庫のリソースベースのアクセスポリシーを使用すると、バックアップへのアクセスを簡単に制御できます。
バックアップボールトアクセスポリシーは、 AWS Backup APIs を使用するときのユーザーアクセスを制御します。Amazon Elastic Block Store (Amazon EBS) および Amazon Relational Database Service (Amazon RDS) スナップショットなどの一部のバックアップタイプには、それらのサービスの API を使用してもアクセスできます。バックアップへのアクセスを完全に制御するために、これらの API へのアクセスを制御する個別のアクセスポリシーを IAM で作成できます。
バックアップ保管庫のアクセスポリシーを作成する方法については、「[ボールトアクセスポリシー](create-a-vault-access-policy.md)」を参照してください。
# IAM サービスロール
AWS Identity and Access Management (IAM) ロールは、 AWS アイデンティティができることとできないことを決定するアクセス許可ポリシーを持つアイデンティティであるという点で、ユーザーと似ています AWS。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。サービスロールは、ユーザーに代わってアクションを実行するために AWS サービスが引き受けるロールです。お客様に代わってバックアップオペレーションを実行するサービスとして、 AWS Backup には、お客様に代わってバックアップオペレーションを実行するときに、ロールを渡す必要があります。IAM ロールの詳細については、「IAM ユーザーガイド」の「[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)」を参照してください。**
に渡すロールには、バックアップの作成、復元、期限切れなどのバックアップオペレーションに関連するアクションを実行 AWS Backup するためのアクセス許可を持つ IAM ポリシー AWS Backup が必要です。が AWS Backup サポートするサービスごとに AWS 異なるアクセス許可が必要です。ロールは、 がロールを AWS Backup 引き受けることができる信頼されたエンティティとして AWS Backup リストされている必要があります。
バックアッププランにリソースを割り当てる場合、またはオンデマンドバックアップ、コピー、または復元を実行する場合は、指定されたリソースで基盤となるオペレーションを実行するためのアクセス権を持つサービスロールを渡す必要があります。 は、このロール AWS Backup を使用してアカウント内のリソースを作成、タグ付け、削除します。
## AWS ロールを使用してバックアップへのアクセスを制御する
ロールを使用してバックアップへのアクセスを制御するには、適用範囲を絞り込んだロールを定義し、そのロールを AWS Backupに渡すことのできるユーザーを指定します。たとえば、Amazon Relational Database Service (Amazon RDS) データベースをバックアップするアクセス許可のみを付与し、そのロールを渡すアクセス許可のみを Amazon RDS データベース所有者に付与するロールを作成できます AWS Backup。 は、サポートされているサービスごとにいくつかの事前定義された管理ポリシー AWS Backup を提供します。これらの管理ポリシーは、作成したロールにアタッチできます。これにより、 AWS Backup に必要な適切なアクセス許可を持つサービス固有のロールを簡単に作成できます。
の AWS 管理ポリシーの詳細については AWS Backup、「」を参照してください[の管理ポリシー AWS Backup](security-iam-awsmanpol.md)。
## のデフォルトのサービスロール AWS Backup
AWS Backup コンソールを初めて使用する場合は、 でデフォルトのサービスロール AWS Backup を作成するように選択できます。このロールには、ユーザーに代わってバックアップを作成および復元 AWS Backup するために必要なアクセス許可があります。
**注記**
デフォルトロールは、 AWS マネジメントコンソールを使用すると自動的に作成されます。 AWS Command Line Interface (AWS CLI) を使用してデフォルトのロールを作成できますが、手動で行う必要があります。
リソースタイプごとに異なるロールなど、カスタムロールを使用したい場合は、それを実行し、 AWS Backupにカスタムロールを渡すこともできます。個々のリソースタイプのバックアップと復元を有効にするロールの例を表示するには、[カスタマー管理ポリシー](security-iam-awsmanpol.md#customer-managed-policies) 表を参照してください。
デフォルトのサービスロール名は `AWSBackupDefaultServiceRole` です。このサービスロールには、[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) と [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) の 2 つのマネージドポリシーが含まれています。
`AWSBackupServiceRolePolicyForBackup` には、バックアップされるリソースを記述する AWS Backup アクセス許可、暗号化されている AWS KMS キーに関係なくバックアップにタグを作成、削除、記述、または追加する機能を付与する IAM ポリシーが含まれています。
`AWSBackupServiceRolePolicyForRestores` には、暗号化されている AWS KMS キーに関係なく、バックアップから作成される新しいリソースを作成、削除、または記述する AWS Backup アクセス許可を付与する IAM ポリシーが含まれています。また、新しく作成されたリソースにタグを付けるためのアクセス許可も含まれています。
Amazon EC2 インスタンスをリストアするには、新しいインスタンスを開始する必要があります。
## コンソール内でデフォールトのサービスロールを作成する
AWS Backup コンソールで実行する特定のアクションによって、 AWS Backup デフォルトのサービスロールが作成されます。
**AWS アカウントに AWS Backup デフォルトのサービスロールを作成するには**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. アカウントのロールを作成するには、バックアッププランにリソースを割り当てるか、オンデマンドバックアップを作成します。
1. バックアッププランを作成し、バックアップにリソースを割り当てます。「[バックアッププランの作成](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)」を参照してください。
1. または、オンデマンドバックアップを作成します。「[オンデマンドバックアップを作成する](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html)」を参照してください。
1. 次の手順に従って、アカウントに `AWSBackupDefaultServiceRole` を作成したことを確認します。
1. 数分待ちます。詳細については、「**AWS Identity and Access Management ユーザーガイド」の「[行った変更がすぐに表示されないことがある](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency)」を参照してください。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. 左のナビゲーションメニューから **[ロール]** を選択します。
1. 検索バーに「`AWSBackupDefaultServiceRole`」と入力します この選択が存在する場合は、 AWS Backup デフォルトのロールを作成し、この手順を完了します。
1. それでも `AWSBackupDefaultServiceRole` が表示されない場合は、コンソールへのアクセスに使用する IAM ユーザーまたは IAM ロールに次のアクセス許可を追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
},
{
"Effect":"Allow",
"Action":[
"iam:ListRoles"
],
"Resource":"*"
}
]
}
```
------
中国リージョンの場合は、*aws* を *aws-cn* に置き換えてください。 AWS GovCloud (US) リージョンの場合は、*aws* を *aws-us-gov* に置き換えます。
1. IAM ユーザーまたは IAM ロールにアクセス許可を追加できない場合は、管理者に依頼して、`AWSBackupDefaultServiceRole` *以外*の名前のロールを手動で作成し、そのロールを以下の管理ポリシーにアタッチするよう依頼します。
+ `AWSBackupServiceRolePolicyForBackup`
+ `AWSBackupServiceRolePolicyForRestores`
# の管理ポリシー AWS Backup
管理ポリシーは、 内の複数のユーザー、グループ、ロールにアタッチできるスタンドアロンのアイデンティティベースのポリシーです AWS アカウント。ポリシーをプリンシパルエンティティにアタッチすると、ポリシーで定義されたアクセス権限がエンティティに付与されます。
*AWS 管理ポリシー*は、 によって作成および管理されます AWS。 AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、その更新はポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。
*カスタマー管理ポリシー*を使用すると、 でバックアップへのアクセスをきめ細かく制御できます AWS Backup。たとえば、それらを使用して、データベースバックアップ管理者に Amazon RDS バックアップへのアクセス権を付与できますが、Amazon EFS バックアップにはアクセスできません。
詳細については、「*IAM ユーザーガイド*」の「[マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)」を参照してください。
## AWS マネージドポリシー
AWS Backup では、一般的なユースケース向けに以下の AWS マネージドポリシーを提供しています。これらのポリシーではより簡単に、適切なアクセス許可を定義し、バックアップへのアクセスを制御できます。管理ポリシーには 2 種類あります。1 つのタイプは、 AWS Backupへのアクセスを制御するためにユーザーに割り当てられるように設計されています。もう 1 つのタイプは、 AWS Backupに渡すロールにアタッチされるように設計されています。以下の表では、 AWS Backup が提供するすべての管理ポリシーを示し、それらのポリシーがどのように定義されているかを説明しています。これらの管理ポリシーは、IAM コンソールの**ポリシー**セクションでも確認できます。
**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)
### AWSBackupAuditAccess
このポリシーは、 AWS Backup リソースとアクティビティに対する期待を定義するコントロールとフレームワークを作成し、定義されたコントロールとフレームワークに対して AWS Backup リソースとアクティビティを監査するアクセス許可をユーザーに付与します。このポリシーは、監査を実行するユーザーの期待を説明するアクセス許可を AWS Config および同様のサービスに付与します。
このポリシーは、Amazon S3 および同様のサービスに監査レポートを配信するアクセス権限も付与し、ユーザーは監査レポートを見つけて開くことができます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html)」を参照してください。
### AWSBackupDataTransferAccess
このポリシーは、 AWS Backup ストレージプレーンのデータ転送 APIsのアクセス許可を提供し、 AWS Backint エージェントが AWS Backup ストレージプレーンでバックアップデータ転送を完了できるようにします。Backint エージェントを使用して SAP HANA を実行している Amazon EC2 インスタンスが引き受けるロールに、このポリシーをアタッチできます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html)」を参照してください。
### AWSBackupFullAccess
バックアップ管理者は、バックアッププランの作成または編集、バックアッププランへの AWS リソースの割り当て、バックアップの復元などの AWS Backup オペレーションにフルアクセスできます。バックアップ管理者は、バックアップのコンプライアンスの決定と実施を担当し、組織のビジネスおよび規制関連の要件を満たすバックアッププランを定義します。また、バックアップ管理者は、組織の AWS リソースが適切な計画に割り当てられていることを確認します。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)」を参照してください。
### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
このポリシーは、ユーザーに代わって仮想マシンのメタデータを同期するアクセス許可を Backup ゲートウェイに付与します。
このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンス*」の[AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html)」を参照してください。
### AWSBackupGuardDutyRolePolicyForScans
このポリシーは、バックアップを読み取ってスキャンするアクセス許可を Amazon GuardDuty に付与する新しいスキャンロールに追加する必要があります。このスキャンロールは、マルウェア保護またはスキャン設定内でバックアッププランにアタッチする必要があります。 AWS Backup がスキャンを開始すると、このスキャンロールを Amazon GuardDuty に渡します。
このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンス*」の[AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)」を参照してください。
### AWSBackupOperatorAccess
バックアップオペレーターは、担当するリソースが適切にバックアップされていることを確認する責任のあるユーザーです。バックアップオペレーターには、バックアップ管理者が作成するバックアッププランに AWS リソースを割り当てるアクセス許可があります。また、 AWS リソースのオンデマンドバックアップを作成し、オンデマンドバックアップの保持期間を設定するアクセス許可も付与されます。バックアップオペレーターは、バックアッププランを作成または編集したり、スケジュールされたバックアップを作成後に削除したりするためのアクセス許可は持っていません。バックアップオペレーターはバックアップをリストアできます。バックアップオペレーター がバックアッププランに割り当てることができるリソースタイプや、バックアップからリストアできるリソースタイプを制限できます。これを行うには、特定のリソースタイプのアクセス許可 AWS Backup を持つ特定のサービスロールのみを に渡します。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html)」を参照してください。
### AWSBackupOrganizationAdminAccess
組織管理者は、バックアップポリシーの作成、編集、削除、アカウントと組織単位へのバックアップポリシーの割り当て、組織内のバックアップアクティビティのモニタリングなど、 AWS Organizations オペレーションにフルアクセスできます。組織管理者は、組織のビジネス要件および規制要件を満たすバックアップポリシーを定義して割り当てることによって、組織内のアカウントを保護する責任があります。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html)」を参照してください。
### AWSBackupRestoreAccessForSAPHANA
このポリシーは、Amazon EC2 で SAP HANA のバックアップを復元する AWS Backup アクセス許可を提供します。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html)」を参照してください。
### AWSBackupSearchOperatorAccess
検索オペレーターロールには、バックアップインデックスを作成し、インデックス付きバックアップメタデータの検索を作成するためのアクセス権があります。
このポリシーには、これらの関数に必要なアクセス許可が含まれています。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html)」を参照してください。
### AWSBackupServiceLinkedRolePolicyForBackup
このポリシーは、 という名前のサービスにリンクされたロールにアタッチAWSServiceRoleforBackupされ、 AWS Backup がユーザーに代わって AWS サービスを呼び出してバックアップを管理できるようにします。詳細については、「[ロールを使用したバックアップとコピー](using-service-linked-roles-AWSServiceRoleForBackup.md)」を参照してください。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)」を参照してください。
### AWSBackupServiceLinkedRolePolicyForBackupTest
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html)」を参照してください。
### AWSBackupServiceRolePolicyForBackup
ユーザーに代わって、サポートされているすべてのリソースタイプのバックアップを作成する AWS Backup アクセス許可を提供します。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)」を参照してください。
### AWSBackupServiceRolePolicyForItemRestores
**説明**
このポリシーは、スナップショット (定期的バックアップの復旧ポイント) 内の個々のファイルと項目を、新規または既存の Amazon S3 バケットまたは新しい Amazon EBS ボリュームに復元するアクセス許可をユーザーに付与します。これらのアクセス許可には、 AWS Backup によって管理されるスナップショットの Amazon EBS に対する読み取りアクセス許可、Amazon S3 バケットに対する読み取り/書き込みアクセス許可、および AWS KMS キーの生成と記述のアクセス許可が含まれます。
**このポリシーの使用**
ユーザー、グループおよびロールに `AWSBackupServiceRolePolicyForItemRestores` をアタッチできます。
**ポリシーの詳細**
+ **タイプ:** AWS 管理ポリシー
+ **作成日時**: 2024 年 11 月 21 日 22:45 UTC
+ **編集日時:** 最初のインスタンス
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`
**ポリシーのバージョン:** v1 (デフォルト)
このポリシーのバージョンは、ポリシーのアクセス許可を定義します。ポリシーを持つユーザーまたはロールが AWS リソースへのアクセスをリクエストすると、 はポリシーのデフォルトバージョン AWS をチェックして、リクエストを許可するかどうかを決定します。
**JSON ポリシードキュメント:**
#### AWSBackupServiceRolePolicyForItemRestores JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "S3ReadonlyPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "S3PermissionsForFileLevelRestore",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::*/*"
},
{
"Sid": "KMSDataKeyForS3AndEC2Permissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com",
"s3.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForIndexing
**説明**
このポリシーは、定期的な復旧ポイントとも呼ばれるスナップショットのインデックスを作成するアクセス許可をユーザーに付与します。これらのアクセス許可には、Amazon S3 バケットへの読み取り/書き込みアクセス許可によって管理されるスナップショットの Amazon EBS への AWS Backup 読み取りアクセス許可、および AWS KMS キーのアクセス許可の生成と記述が含まれます。
**このポリシーの使用**
ユーザー、グループおよびロールに `AWSBackupServiceRolePolicyForIndexing` をアタッチできます。
**ポリシーの詳細**
+ **タイプ:** AWS 管理ポリシー
+ **編集日時:** 最初のインスタンス
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`
**ポリシーのバージョン:** v1 (デフォルト)
このポリシーのバージョンは、ポリシーのアクセス許可を定義します。ポリシーを持つユーザーまたはロールが AWS リソースへのアクセスをリクエストすると、 はポリシーのデフォルトバージョン AWS をチェックして、リクエストを許可するかどうかを決定します。
**JSON ポリシードキュメント:**
#### AWSBackupServiceRolePolicyForIndexing JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSDataKeyForEC2Permissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForRestores
ユーザーに代わって、サポートされているすべてのリソースタイプのバックアップを復元する AWS Backup アクセス許可を提供します。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)」を参照してください。
EC2 インスタンスのリストアでは、EC2 インスタンスを起動するために次の権限も含める必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPassRole",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/role-name",
"Effect": "Allow"
}
]
}
```
------
### AWSBackupServiceRolePolicyForS3Backup
このポリシーには、 が S3 バケットをバックアップ AWS Backup するために必要なアクセス許可が含まれています。これには、バケット内のすべてのオブジェクトおよび関連する AWS KMS キーへのアクセスが含まれます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)」を参照してください。
### AWSBackupServiceRolePolicyForS3Restore
このポリシーには、 が S3 バックアップをバケットに復元 AWS Backup するために必要なアクセス許可が含まれています。これには、バケットへの読み取りおよび書き込みアクセス許可と、S3 オペレーションに関する AWS KMS キーの使用が含まれます。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)」を参照してください。
### AWSBackupServiceRolePolicyForScans
ポリシーは、バックアッププランのリソース選択で使用する IAM ロールにアタッチする必要があります。このロールは、Amazon GuardDuty でスキャンを開始する AWS Backup アクセス許可を付与します。
このポリシーのアクセス許可を確認するには、「 *AWS マネージドポリシーリファレンス*」の[AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)」を参照してください。
### AWSServiceRolePolicyForBackupReports
AWS Backup は、[AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html) サービスにリンクされたロールにこのポリシーを使用します。このサービスにリンクされたロールは、バックアップ設定、ジョブ、リソースのフレームワークへの準拠をモニタリングおよびレポートする AWS Backup アクセス許可を付与します。
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)」を参照してください。
### AWSServiceRolePolicyForBackupRestoreTesting
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)」を参照してください。
## カスタマー管理ポリシー
以下のセクションでは、 でサポートされている AWS サービスおよびサードパーティーアプリケーションに推奨されるバックアップおよび復元のアクセス許可について説明します AWS Backup。既存の AWS 管理ポリシーをモデルとして使用して独自のポリシードキュメントを作成し、 AWS リソースへのアクセスをさらに制限するようにカスタマイズできます。
**重要**
でカスタム IAM ロールを使用する場合は AWS Backup、アクセス許可に加えてリソース固有の AWS Backup アクセス許可を含める必要があります。例えば、Amazon RDS リソースで `backup:ListTags` を呼び出す場合、カスタム IAM ロールには `rds:ListTagsForResource` アクセス許可も含める必要があります。これらのアクセス許可はデフォルトの AWS Backup サービスロールに含まれていますが、カスタマー管理ポリシーに明示的に追加する必要があります。必要な基盤となるリソースのアクセス許可は、実行される特定の AWS サービスとオペレーションによって異なります。
### Amazon Aurora
**バックアップ**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) からの次のステートメントで始めます。
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの `RDSPermissions` ステートメントで始めます。
### Amazon Aurora DSQL
**バックアップ**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) からの次のステートメントで始めます。
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの `DSQLRestorePermissions` ステートメントで始めます。
### Amazon DynamoDB
**バックアップ**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) からの次のステートメントで始めます。
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`
**Restore**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの次のステートメントで始めます。
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`
### Amazon EBS
**バックアップ**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) からの次のステートメントで始めます。
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの `EBSPermissions` ステートメントで始めます。
次のステートメントを追加します。
```
{
"Effect":"Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource":"*"
},
```
### Amazon EC2
**バックアップ**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) からの次のステートメントで始めます。
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの次のステートメントで始めます。
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`
次のステートメントを追加します。
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/role-name"
},
```
*role-name* を、復元された EC2 インスタンスにアタッチされる EC2 インスタンスプロファイルロールの名前に置き換えます。これは AWS Backup サービスロールではなく、EC2 インスタンスで実行されているアプリケーションにアクセス許可を付与する IAM ロールです。
### Amazon EFS
**バックアップ**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) からの次のステートメントで始めます。
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの `EFSPermissions` ステートメントで始めます。
### Amazon FSx
**バックアップ**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) からの次のステートメントで始めます。
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`
**Restore**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの次のステートメントで始めます。
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`
### Amazon Neptune
**バックアップ**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) からの次のステートメントで始めます。
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの `RDSPermissions` ステートメントで始めます。
### Amazon RDS
**バックアップ**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) からの次のステートメントで始めます。
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの `RDSPermissions` ステートメントで始めます。
### Amazon S3
**バックアップ**
[AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) で始めます。
バックアップを別のアカウントにコピーする必要がある場合は、`BackupVaultPermissions` および `BackupVaultCopyPermissions` ステートメントを追加します。
**Restore**
[AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) で始めます。
### AWS Storage Gateway
**バックアップ**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) からの次のステートメントで始めます。
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
次のステートメントを追加します。
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource":"*"
},
```
**Restore**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの次のステートメントで始めます。
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`
### 仮想マシン
**バックアップ**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) からの `BackupGatewayBackupPermissions` ステートメントで始めます。
**Restore**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの `GatewayRestorePermissions` ステートメントで始めます。
### 暗号化されたバックアップ
**暗号化されたバックアップを復元するには、次のいずれかの操作を行います。**
+ AWS KMS キーポリシーの許可リストにロールを追加する
+ 復元のために、[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) からの次のステートメントを IAM ロールに追加します。
+ `KMSDescribePermissions`
+ `KMSPermissions`
+ `KMSCreateGrantPermissions`
## のポリシーの更新 AWS Backup
このサービスがこれらの変更の追跡を開始 AWS Backup してからの の AWS 管理ポリシーの更新に関する詳細を表示します。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により、 AWS Backup 復元テストは復元テストの完了後に RDS テナントデータベースを削除できます。 | 2026 年 3 月 18 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により、 AWS Backup は復旧ポイントでマルウェアスキャンを開始できます。 | 2026 年 2 月 23 日 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – 新しいポリシー | AWS Backup は、Amazon GuardDuty にお客様のバックアップを読み取ってスキャンするアクセス許可を付与する新しい AWS マネージドポリシーを追加しました。 AWS Backup は、オペレーション を開始するときに、このポリシーを持つロールを GuardDuty に渡します`StartMalwareScan`。 これは、Amazon EC2、Amazon EBS、Amazon S3 リソースの復旧ポイントでのマルウェアスキャンに必要なすべてのアクセス許可を提供するために必要です。 詳細については、[AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) マネージドポリシーを参照してください。 | 2025 年 11 月 19 日 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – 新しいポリシー | AWS Backup は、復旧ポイントでマルウェアスキャンを開始する AWS Backup アクセス許可を提供する新しい AWS マネージドポリシーを追加しました。 これは、Amazon EC2、Amazon EBS、Amazon S3 リソースの復旧ポイントでのマルウェアスキャンに必要なすべてのアクセス許可を提供するために必要です。 詳細については、[AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) 管理ポリシーを参照してください。 | 2025 年 11 月 19 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | マルウェアスキャンジョブを開始するために必要な `IamPassRolePermissions``malware-protection.guardduty.amazonaws.com`を に追加しました。 | 2025 年 11 月 19 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可は、マルウェアスキャンジョブを開始するために必要です。 | 2025 年 11 月 19 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により、 AWS Backup は Amazon EKS クラスターをバックアップおよび復元できます。 | 2025 年 11 月 10 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により、 AWS Backup は Amazon EKS クラスターをバックアップおよび復元できます。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により AWS Backup 、 は顧客に代わって Amazon EKS クラスターとその関連リソースのバックアップを作成できます。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により AWS Backup 、 は顧客に代わって Amazon EKS クラスターとその関連リソースのバックアップを作成できます。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により AWS Backup 、 は Amazon EKS クラスターおよび関連するリソースの復元オペレーションをお客様に代わって実行できます。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) このアクセス許可により AWS Backup 、 は委任された管理者情報を Organizations と同期して、クロスアカウント管理機能を使用できます。 | 2025 年 9 月 9 日 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – 新しいポリシー | AWS Backup は、Amazon GuardDuty にお客様のバックアップを読み取ってスキャンするアクセス許可を付与する新しい AWS マネージドポリシーを追加しました。 AWS Backup は、オペレーション を開始するときに、このポリシーを持つロールを GuardDuty に渡します`StartMalwareScan`。 これは、Amazon EC2、Amazon EBS、Amazon S3 リソースの復旧ポイントでのマルウェアスキャンに必要なすべてのアクセス許可を提供するために必要です。 詳細については、[AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) マネージドポリシーを参照してください。 | 2025 年 11 月 24 日 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – 新しいポリシー | AWS Backup は、復旧ポイントでマルウェアスキャンを開始する AWS Backup アクセス許可を提供する新しい AWS マネージドポリシーを追加しました。 これは、Amazon EC2、Amazon EBS、Amazon S3 リソースの復旧ポイントでのマルウェアスキャンに必要なすべてのアクセス許可を提供するために必要です。 詳細については、[AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) 管理ポリシーを参照してください。 | 2025 年 11 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可は、 がお客様に代わって DSQL リソースのオーケストレーションされたマルチリージョン復元オペレーションを実行する AWS Backup ために必要です。 | 2025 年 7 月 17 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可は と AWS Backup AWS アカウント管理 の統合に必要です。 AWS Organizations そのため、お客様は論理エアギャップボールトの一部としてマルチパーティー承認 (MPA) を選択できます。 | 2025 年 6 月 17 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新: | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可は、お客様が AWS Backupを通じて Amazon FSx for OpenZFS マルチアベイラビリティーゾーン (マルチ AZ) スナップショットを復元するために必要です。 | 2025 年 5 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により、 AWS Backup は Amazon Aurora DSQL リソースをバックアップおよび復元できます。 | 2025 年 5 月 21 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により、 AWS Backup は Amazon Aurora DSQL リソースをバックアップおよび復元できます。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により、 AWS Backup はお客様に代わって Amazon Aurora DSQL スナップショットを作成、削除、取得、管理できます。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により、 AWS Backup はお客様に代わって Amazon Aurora DSQL スナップショットを作成、削除、取得、暗号化、復号、管理できます。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可により AWS Backup 、 はお客様が指定した間隔で Aurora DSQL バックアップを管理できます。 | 2025 年 5 月 21 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可は、指定されたお客様が、必要な読み取りアクセス許可や Amazon Redshift Serverless 復旧ポイント (スナップショットバックアップ) を削除する機能を含め、Amazon Redshift Serverless バックアップにフルアクセスするために必要です。 | 2025 年 3 月 31 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可は、指定されたお客様が、必要な読み取りアクセス許可を含め、Amazon Redshift Serverless に対する必要なすべてのバックアップアクセス許可を持つために必要です。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可は、お客様が指定した間隔で Amazon Redshift Serverless スナップショットを管理する AWS Backup ために必要です。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可は、 AWS Backup がお客様に代わって Amazon Redshift Serverless スナップショットを作成、削除、取得、管理するために必要です。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | AWS Backup は、このポリシーに次のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/security-iam-awsmanpol.html) これらのアクセス許可は、 AWS Backup がお客様に代わって Amazon Redshift および Amazon Redshift Serverless スナップショットを復元するために必要です。 | 2025 年 3 月 31 日 |
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess) – 新しい AWS 管理ポリシーを追加 | AWS Backup に AWSBackupSearchOperatorAccess AWS マネージドポリシーが追加されました。 | 2025 年 2 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | AWS Backup に、Amazon RDS マルチテナントスナップショットのバックアップのクロスアカウントコピー`rds:AddTagsToResource`をサポートするアクセス許可が追加されました。 このアクセス許可は、お客様がマルチテナント RDS スナップショットのクロスアカウントコピーを作成することを選択した場合に、オペレーションを完了するために必要です。 | 2025 年 1 月 8 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | AWS Backup は、Amazon RDS リソースの復元プロセスをサポートするために、アクセス許可 `rds:CreateTenantDatabase`と を`rds:DeleteTenantDatabase`このポリシーに追加しました。 これらのアクセス許可は、マルチテナントスナップショットを復元するカスタマーオペレーションを完了するために必要です。 | 2025 年 1 月 8 日 |
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores) – 新しい AWS 管理ポリシーを追加 | AWS Backup に AWSBackupServiceRolePolicyForItemRestores AWS マネージドポリシーが追加されました。 | 2024 年 11 月 26 日 |
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing) – 新しい AWS 管理ポリシーを追加 | AWS Backup に AWSBackupServiceRolePolicyForIndexing AWS マネージドポリシーが追加されました。 | 2024 年 11 月 26 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | AWS Backup がこのポリシー`backup:TagResource`にアクセス許可を追加しました。 このアクセス許可は、復旧ポイントの作成中にタグ付けアクセス許可を取得するために必要です。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 既存のポリシーの更新 | AWS Backup がこのポリシー`backup:TagResource`にアクセス許可を追加しました。 このアクセス許可は、復旧ポイントの作成中にタグ付けアクセス許可を取得するために必要です。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | AWS Backup がこのポリシー`backup:TagResource`にアクセス許可を追加しました。 このアクセス許可は、復旧ポイントの作成中にタグ付けアクセス許可を取得するために必要です。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | アクセス許可 `rds:DeleteDBInstanceAutomatedBackups` を追加しました。 このアクセス許可は、 AWS Backup が Amazon RDS インスタンスの継続的なバックアップとpoint-in-time-restoreをサポートするために必要です。 | 2024 年 5 月 1 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | AWS Backup Storage Gateway API モデルの変更に対応するため、 はアクセス許可の Amazon リソースネーム (ARN) を `arn:aws:storagegateway:*:*:gateway/*` `storagegateway:ListVolumes`から `*` に更新しました。 | 2024 年 5 月 1 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | AWS Backup Storage Gateway API モデルの変更に対応するため、 はアクセス許可の Amazon リソースネーム (ARN) を `arn:aws:storagegateway:*:*:gateway/*` `storagegateway:ListVolumes`から `*` に更新しました。 | 2024 年 5 月 1 日 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – 既存のポリシーの更新 | 復元テストプランを実行するために、復旧ポイントと保護されたリソースを記述および一覧表示する次のアクセス許可を追加しました: `backup:DescribeRecoveryPoint`、`backup:DescribeProtectedResource`、`backup:ListProtectedResources`、および `backup:ListRecoveryPointsByResource`。 Amazon EBS アーカイブ階層ストレージをサポートするために、アクセス許可 `ec2:DescribeSnapshotTierStatus` を追加しました。 Amazon Aurora の継続的バックアップをサポートするために、アクセス許可 `rds:DescribeDBClusterAutomatedBackups` を追加しました。 Amazon Redshift バックアップの復元テストをサポートするために、以下のアクセス許可を追加しました: `redshift:DescribeClusters` および `redshift:DeleteCluster`。 Amazon Timestream バックアップの復元テストをサポートするために、アクセス許可 `timestream:DeleteTable` を追加しました。 | 2024 年 2 月 14 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | アクセス許可 `ec2:DescribeSnapshotTierStatus` および `ec2:RestoreSnapshotTier` を追加しました。 これらのアクセス許可は、 に保存された Amazon EBS リソースをアーカイブストレージ AWS Backup から復元するオプションをユーザーが持つために必要です。 EC2 インスタンスの復元では、EC2 インスタンスを起動するために次のポリシーステートメントに示されているアクセス許可も含める必要があります。 | 2023 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | バックアップされた Amazon EBS リソースをアーカイブストレージ階層に移行するための追加のストレージオプションをサポートするために、アクセス許可 `ec2:DescribeSnapshotTierStatus` および `ec2:ModifySnapshotTier` を追加しました。 これらのアクセス許可は、 に保存されている Amazon EBS リソースをアーカイブストレージに移行するオプション AWS Backup をユーザーが持つために必要です。 | 2023 年 11 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | バックアップされた Amazon EBS リソースをアーカイブストレージ階層に移行するための追加のストレージオプションをサポートするために、アクセス許可 `ec2:DescribeSnapshotTierStatus` および `ec2:ModifySnapshotTier` を追加しました。 これらのアクセス許可は、 に保存されている Amazon EBS リソースをアーカイブストレージに移行するオプション AWS Backup をユーザーが持つために必要です。 Aurora クラスターの PITR (ポイントインタイムリストア) に必要なアクセス許可 `rds:DescribeDBClusterSnapshots` および `rds:RestoreDBClusterToPointInTime` を追加しました。 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – 新しいポリシー | 復元テストを実行するために必要なアクセス許可を提供します。アクセス許可には、Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、FSx for Lustre、FSx for Windows File Server、FSx for ONTAP、FSx for OpenZFS、Amazon Neptune、Amazon RDS、Amazon S3 といったサービスを復元テストに含めるための、`list, read, and write` アクションが含まれます。 | 2023 年 11 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | `restore-testing.backup.amazonaws.com`が`IamPassRolePermissions`と`IamCreateServiceLinkedRolePermissions`に追加されました。この追加は、 がお客様に代わって復元テストを実行する AWS Backup ために必要です。 | 2023 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | Aurora クラスターの PITR (ポイントインタイムリストア) に必要なアクセス許可 `rds:DescribeDBClusterSnapshots` および `rds:RestoreDBClusterToPointInTime` を追加しました。 | 2023 年 9 月 6 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | Aurora クラスターの継続的バックアップとポイントインタイムリストアに必要なアクセス許可 `rds:DescribeDBClusterAutomatedBackups` を追加しました。 | 2023 年 9 月 6 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | Aurora クラスターの継続的バックアップとポイントインタイムリストアに必要なアクセス許可 `rds:DescribeDBClusterAutomatedBackups` を追加しました。 | 2023 年 9 月 6 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | アクセス許可 `rds:DescribeDBClusterAutomatedBackups` を追加しました。このアクセス許可は、Aurora クラスターの継続的なバックアップとpoint-in-time復元 AWS Backup をサポートするために必要です。 保持期間が終了したときに AWS Backup 、ライフサイクルが Amazon Aurora 継続的復旧ポイントを削除および関連付け解除`rds:DeleteDBClusterAutomatedBackups`できるようにするアクセス許可を追加しました。このアクセス許可は、Aurora 復旧ポイントが `EXIPIRED` の状態への移行を回避するために必要です。 Aurora クラスターとのやり取りを AWS Backup に許可するアクセス許可 `rds:ModifyDBCluster` を追加しました。この追加により、ユーザーは必要な設定に基づいて継続的バックアップを有効または無効にすることができます。 | 2023 年 9 月 6 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | 新しいボールトタイプのリソース共有の関連付けを取得するアクセス許可をユーザーに付与するために、アクション `ram:GetResourceShareAssociations` を追加しました。 | 2023 年 8 月 8 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | 新しいボールトタイプのリソース共有の関連付けを取得するアクセス許可をユーザーに付与するために、アクション `ram:GetResourceShareAssociations` を追加しました。 | 2023 年 8 月 8 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 既存のポリシーの更新 | バケットインベントリを使用してバックアップのパフォーマンス速度を向上させるために、アクセス許可 `s3:PutInventoryConfiguration` を追加しました。 | 2023 年 8 月 1 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | リソースを復元するためのタグを追加するアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `storagegateway:AddTagsToResource`、`elasticfilesystem:TagResource`、(`RunInstances` または `CreateVolume` のいずれかを含む `ec2:CreateAction` の場合のみ `ec2:CreateTags`)、`fsx:TagResource`、および `cloudformation:TagResource`。 | 2023 年 5 月 22 日 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – 既存のポリシーの更新 | API `config:DescribeComplianceByConfigRule` 内のリソース選択をワイルドカードリソースに置き換え、ユーザーがリソースを簡単に選択できるようにしました。 | 2023 年 4 月 11 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | カスタマー管理キーを使用して Amazon EFS を復元するために、以下のアクセス許可を追加しました: `kms:GenerateDataKeyWithoutPlaintext`。これは、ユーザーが Amazon EFS リソースを復元するために必要なアクセス許可を持っていることを確認するために役立ちます。 | 2023 年 3 月 27 日 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – 既存のポリシーの更新 | Audit Manager が Audit Manager マネージド AWS Config ルールにアクセスできるように AWS Backup 、 `config:DescribeConfigRules` および AWS Backup `config:DescribeConfigRuleEvaluationStatus`アクションを更新しました。 | 2023 年 3 月 9 日 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) – 既存のポリシーの更新 | `kms:Decrypt`、`s3:PutBucketOwnershipControls`、および `s3:GetBucketOwnershipControls` のアクセス許可をポリシー `AWSBackupServiceRolePolicyForS3Restore` に追加しました。これらのアクセス許可は、元のバックアップで KMS 暗号化が使用されている場合はオブジェクトの復元をサポートし、オブジェクトの所有権が ACL ではなく元のバケットに設定されている場合にオブジェクトを復元するために必要です。 | 2023 年 2 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | 仮想マシンの VMware タグを使用してバックアップをスケジュールしたり、スケジュールベースの帯域幅スロットリングをサポートしたりするために、以下のアクセス許可を追加しました: `backup-gateway:GetHypervisorPropertyMappings`、`backup-gateway:GetVirtualMachine`、`backup-gateway:PutHypervisorPropertyMappings`、`backup-gateway:GetHypervisor`、`backup-gateway:StartVirtualMachinesMetadataSync`、`backup-gateway:GetBandwidthRateLimitSchedule`、および `backup-gateway:PutBandwidthRateLimitSchedule`。 | 2022 年 12 月 15 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | 仮想マシンの VMware タグを使用してバックアップをスケジュールしたり、スケジュールベースの帯域幅スロットリングをサポートしたりするために、以下のアクセス許可を追加しました: `backup-gateway:GetHypervisorPropertyMappings`、`backup-gateway:GetVirtualMachine`、`backup-gateway:GetHypervisor`、および `backup-gateway:GetBandwidthRateLimitSchedule`。 | 2022 年 12 月 15 日 |
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync) – 新しいポリシー | オンプレミスネットワーク内の仮想マシンのメタデータを Backup AWS Backup Gateway と同期するためのアクセス許可を Gateway に提供します。 | 2022 年 12 月 15 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | Timestream バックアップジョブをサポートするために、以下のアクセス許可を追加しました: `timestream:StartAwsBackupJob`、`timestream:GetAwsBackupStatus`、`timestream:ListTables`、`timestream:ListDatabases`、`timestream:ListTagsForResource`、`timestream:DescribeTable`、`timestream:DescribeDatabase`、および `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | Timestream 復元ジョブをサポートするために、以下のアクセス許可を追加しました: `timestream:StartAwsRestoreJob`、`timestream:GetAwsRestoreStatus`、`timestream:ListTables`、`timestream:ListTagsForResource`、`timestream:ListDatabases`、`timestream:DescribeTable`、`timestream:DescribeDatabase`、`s3:GetBucketAcl`、および `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | Timestream リソースをサポートするために、以下のアクセス許可を追加しました: `timestream:ListTables`、`timestream:ListDatabases`、`s3:ListAllMyBuckets`、および `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | Timestream リソースをサポートするために、以下のアクセス許可を追加しました: `timestream:ListDatabases`、`timestream:ListTables`、`s3:ListAllMyBuckets`、および `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | Timestream リソースをサポートするために、以下のアクセス許可を追加しました: `timestream:ListDatabases`、`timestream:ListTables`、`timestream:ListTagsForResource`、`timestream:DescribeDatabase`、`timestream:DescribeTable`、`timestream:GetAwsBackupStatus`、`timestream:GetAwsRestoreStatus`、および `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | Amazon Redshift リソースをサポートするために、以下のアクセス許可を追加しました: `redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules`、および `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | Amazon Redshift リソースをサポートするために、以下のアクセス許可を追加しました: `redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups,`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules`、および `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | Amazon Redshift 復元ジョブをサポートするために、以下のアクセス許可を追加しました: `redshift:RestoreFromCluster Snapshot`、`redshift:RestoreTableFromClusterSnapshot`、`redshift:DescribeClusters`、および `redshift:DescribeTableRestoreStatus`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | Amazon Redshift バックアップジョブをサポートするために、以下のアクセス許可を追加しました: `redshift:CreateClusterSnapshot`、`redshift:DescribeClusterSnapshots`、`redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、`redshift:DescribeClusters`、および `redshift:CreateTags`。 | 2022 年 11 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | CloudFormation リソースをサポートするために、以下のアクセス許可を追加しました: `cloudformation:ListStacks`。 | 2022 年 11 月 27 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | CloudFormation リソースをサポートするために、以下のアクセス許可を追加しました: `cloudformation:ListStacks`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | CloudFormation リソースをサポートするために、以下のアクセス許可を追加しました: `redshift:DescribeClusterSnapshots`、`redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、および `redshift:DescribeClusters`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | CloudFormation アプリケーションスタックのバックアップジョブをサポートするために`cloudformation:GetTemplate`、、`cloudformation:DescribeStacks`、および のアクセス許可を追加しました`cloudformation:ListStackResources`。 | 2022 年 11 月 16 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | CloudFormation アプリケーションスタックのバックアップジョブをサポートするために、次のアクセス許可を追加`cloudformation:CreateChangeSet`しました。 `cloudformation:DescribeChangeSet` | 2022 年 11 月 16 日 |
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess) – 既存のポリシーの更新 | このポリシーに以下のアクセス許可を追加し、組織管理者が委任管理者機能を使用できるようにしました: `organizations:ListDelegatedAdministrator`、`organizations:RegisterDelegatedAdministrator`、および `organizations:DeregisterDelegatedAdministrator` | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | Amazon EC2 インスタンスでの SAP HANA をサポートするために、以下のアクセス許可を追加しました: `ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:UpdateHanaBackupSettings`、`ssm-sap:GetDatabase`、および `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | Amazon EC2 インスタンスで SAP HANA をサポートするために、以下のアクセス許可を追加しました: `ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:GetDatabase`、および `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | Amazon EC2 インスタンスで SAP HANA をサポートするために、以下のアクセス許可を追加しました: `ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:GetDatabase`、および `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | Amazon EC2 インスタンスで SAP HANA をサポートするために、以下のアクセス許可を追加しました: `ssm-sap:GetOperation`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | EC2 インスタンスへの Backup ゲートウェイ復元ジョブをサポートするために、以下のアクセス許可を追加しました: `ec2:CreateTags`。 | 2022 年 11 月 20 日 |
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess) – 既存のポリシーの更新 | SAP HANA On Amazon EC2 リソースの安全なストレージデータ転送をサポートするために、以下のアクセス許可を追加しました: `backup-storage:StartObject`、`backup-storage:PutChunk`、`backup-storage:GetChunk`、`backup-storage:ListChunks`、`backup-storage:ListObjects`、`backup-storage:GetObjectMetadata`、および `backup-storage:NotifyObjectComplete`。 | 2022 年 11 月 20 日 |
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) – 既存のポリシーの更新 | リソース所有者が SAP HANA On Amazon EC2 リソースの復元を実行するために、以下のアクセス許可を追加しました: `backup:Get*`、`backup:List*`、`backup:Describe*`、`backup:StartBackupJob`、`backup:StartRestoreJob`、`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:RestoreDatabase`、`ssm-sap:UpdateHanaBackupSettings`、`ssm-sap:GetDatabase`、および `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 既存のポリシーの更新 | for Amazon S3 のバックアップオペレーション`s3:GetBucketAcl`をサポートするアクセス許可を追加 AWS Backup しました。 | 2022 年 8 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | マルチアベイラビリティーゾーン (マルチ AZ) 機能をサポートするデータベースインスタンスを作成するアクセス許可を付与するために、以下のアクションを追加しました: `rds:CreateDBInstance`。 | 2022 年 7 月 20 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | リソースワイルドカードを使用して、バックアップするバケットを選択するアクセス許可をユーザーに付与するために、`s3:GetBucketTagging` アクセス許可を追加しました。このアクセス許可がないと、リソースワイルドカードを使用してバックアップするバケットをユーザーが選択しても失敗します。 | 2022 年 5 月 6 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | 既存の `fsx:CreateBackup` および `fsx:ListTagsForResource` アクションの範囲にボリュームリソースを追加するとともに、FSx for ONTAP ボリュームレベルのバックアップをサポートする新しいアクション `fsx:DescribeVolumes` を追加しました。 | 2022 年 4 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | FSx for ONTAP ボリュームを復元するアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `fsx:DescribeVolumes`、`fsx:CreateVolumeFromBackup`、`fsx:DeleteVolume`、および `fsx:UntagResource`。 | 2022 年 4 月 27 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 既存のポリシーの更新 | バックアップ操作中に Amazon S3 バケットへの変更の通知を受信するアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `s3:GetBucketNotification` および `s3:PutBucketNotification`。 | 2022 年 2 月 25 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 新しいポリシー | Amazon S3 バケットをバックアップするアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `s3:GetInventoryConfiguration`、`s3:PutInventoryConfiguration`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketTagging`、`s3:GetBucketVersioning`、`s3:GetBucketNotification`、`s3:GetBucketLocation`、および `s3:ListAllMyBuckets`。 Amazon S3 バケットオブジェクトをバックアップするアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `s3:GetObject`、`s3GetObjectAcl`、`s3:GetObjectVersionTagging`、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、および `s3:GetObjectVersion`。 暗号化された Amazon S3 データをバックアップするアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `kms:Decrypt` および `kms:DescribeKey`。 Amazon EventBridge ルールを使用して Amazon S3 データの増分バックアップを作成するアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `events:DescribeRule`、`events:EnableRule`、`events:PutRule`、`events:DeleteRule`、`events:PutTargets`、`events:RemoveTargets`、`events:ListTargetsByRule`、`events:DisableRule`、`cloudwatch:GetMetricData`、および `events:ListRules`。 | 2022 年 2 月 17 日 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) – 新しいポリシー | Amazon S3 バケットを復元するアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `s3:CreateBucket`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketVersioning`、`s3:GetBucketLocation`、および `s3:PutBucketVersioning`。 Amazon S3 バケットを復元するアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `s3:GetObject`、`s3:GetObjectVersion`、`s3:DeleteObject`、`s3:PutObjectVersionAcl`、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、`s3:PutObjectTagging`、`s3:GetObjectAcl`、`s3:PutObjectAcl`、`s3:PutObject`、および `s3:ListMultipartUploadParts`。 復元された Amazon S3 データを暗号化するアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `kms:Decrypt`、`kms:DescribeKey`、および `kms:GenerateDataKey`。 | 2022 年 2 月 17 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | バケットのリストを表示し、バックアッププランに割り当てるバケットを選択するアクセス許可をユーザーに付与するために、`s3:ListAllMyBuckets` を追加しました。 | 2022 年 2 月 14 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | 仮想マシンのリストを表示し、バックアッププランに割り当てる仮想マシンを選択するアクセス許可をユーザーに付与するために、`backup-gateway:ListVirtualMachines` を追加しました。 仮想マシンのタグを一覧表示するアクセス許可をユーザーに付与するために、`backup-gateway:ListTagsForResource` を追加しました。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | 仮想マシンのバックアップを復元するアクセス許可をユーザーに付与`backup-gateway:Backup`するために を追加しました。 AWS Backup また、仮想マシンのバックアップに割り当てられたタグを一覧表示するアクセス許可をユーザーに`backup-gateway:ListTagsForResource`付与するために を追加しました。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | 仮想マシンのバックアップを復元するアクセス許可をユーザーに付与するために、`backup-gateway:Restore` を追加しました。 | 2021 年 11 月 30 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | 仮想マシンをバックアップ、復元、および管理するために AWS Backup ゲートウェイを使用するアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `backup-gateway:AssociateGatewayToServer`、`backup-gateway:CreateGateway`、`backup-gateway:DeleteGateway`、`backup-gateway:DeleteHypervisor`、`backup-gateway:DisassociateGatewayFromServer`、`backup-gateway:ImportHypervisorConfiguration`、`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource`、`backup-gateway:ListVirtualMachines`、`backup-gateway:PutMaintenanceStartTime`、`backup-gateway:TagResource`、`backup-gateway:TestHypervisorConfiguration`、`backup-gateway:UntagResource`、`backup-gateway:UpdateGatewayInformation`、および `backup-gateway:UpdateHypervisor`。 | 2021 年 11 月 30 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | 仮想マシンをバックアップするアクセス許可をユーザーに付与するために、以下のアクションを追加しました: `backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource`、および `backup-gateway:ListVirtualMachines`。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | `dynamodb:ListTagsOfResource` の高度な DynamoDB バックアップ機能を使用してバックアップする DynamoDB テーブルのタグを一覧表示するアクセス許可をユーザーに付与するために を追加 AWS Backupしました。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | 高度なバックアップ機能を使用して DynamoDB テーブルをバックアップするアクセス許可をユーザーに付与するために、`dynamodb:StartAwsBackupJob` を追加しました。 ソースの DynamoDB テーブルからバックアップにタグをコピーするアクセス許可をユーザーに付与するために、`dynamodb:ListTagsOfResource` を追加しました。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | 高度な DynamoDB バックアップ機能を使用してバックアップされた DynamoDB テーブル AWS Backupを復元するアクセス許可をユーザーに付与`dynamodb:RestoreTableFromAwsBackup`するために を追加しました。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | 高度な DynamoDB バックアップ機能を使用してバックアップされた DynamoDB テーブル AWS Backupを復元するアクセス許可をユーザーに付与`dynamodb:RestoreTableFromAwsBackup`するために を追加しました。 | 2021 年 11 月 23 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | アクション `backup:GetRecoveryPointRestoreMetadata` および `rds:DescribeDBSnapshots` は冗長であったため、削除しました。 AWS Backup は、 `backup:Get*` の一部として `backup:GetRecoveryPointRestoreMetadata`と の両方を必要としませんでした`AWSBackupOperatorAccess`。また、 `rds:describeDBSnapshots`の一部として `rds:DescribeDBSnapshots`と の両方は必要ありません AWS Backup でした`AWSBackupOperatorAccess`。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | 新しいアクション `elasticfilesystem:DescribeFileSystems`、`dynamodb:ListTables`、、`storagegateway:ListVolumes`、`ec2:DescribeVolumes`、`ec2:DescribeInstances``rds:DescribeDBInstances`、、 が追加され`fsx:DescribeFileSystems`ました。これにより`rds:DescribeDBClusters`、バックアッププランに割り当てる AWS Backupリソースを選択する際に、サポートされているリソースのリストを表示して選択できます。 | 2021 年 11 月 10 日 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – 新しいポリシー | AWS Backup Audit Manager を使用するためのアクセス許可をユーザーに付与するために を追加`AWSBackupAuditAccess`しました。権限には、コンプライアンスフレームワークを設定し、レポートを生成する機能が含まれます。 | 2021 年 8 月 24 日 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – 新しいポリシー | ユーザーが設定したフレームワークに準拠するためのバックアップ設定、ジョブ、およびリソースのモニタリングを自動化する目的で、サービスにリンクされたロールに対するアクセス許可を付与するため、`AWSServiceRolePolicyForBackupReports` を追加しました。 | 2021 年 8 月 24 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | サービスにリンクされたロールを作成し (ベストエフォートベース)、期限切れの復旧ポイントの削除を自動化するために、`iam:CreateServiceLinkedRole` を追加しました。このサービスにリンクされたロールがない場合、お客様が復旧ポイントの作成に使用した元の IAM ロールを削除した後は、期限切れの復旧ポイントを削除 AWS Backup することはできません。 | 2021 年 7 月 5 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | バックアッププランのライフサイクル設定に基づき、期限切れの DynamoDB 復旧ポイントの削除を自動化する `DeleteRecoveryPoint` アクセス許可を付与するために、新しいアクション `dynamodb:DeleteBackup` を追加しました。 | 2021 年 7 月 5 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | アクション `backup:GetRecoveryPointRestoreMetadata` および `rds:DescribeDBSnapshots` は冗長であったため、削除しました。 AWS Backup は、 `backup:Get*`の一部として `backup:GetRecoveryPointRestoreMetadata`と の両方を必要としませんでした`AWSBackupOperatorAccess`。また、 `rds:describeDBSnapshots`の一部として `rds:DescribeDBSnapshots`と AWS Backup の両方を必要としませんでした。 `AWSBackupOperatorAccess` | 2021 年 5 月 25 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 既存のポリシーの更新 | アクション `backup:GetRecoveryPointRestoreMetadata` および `rds:DescribeDBSnapshots` は冗長であったため、削除しました。 AWS Backup は、 `backup:Get*` の一部として `backup:GetRecoveryPointRestoreMetadata`と の両方を必要としませんでした`AWSBackupOperatorAccess`。また、 `rds:describeDBSnapshots`の一部として `rds:DescribeDBSnapshots`と の両方は必要ありません AWS Backup でした`AWSBackupOperatorAccess`。 | 2021 年 5 月 25 日 |
| [AWSBackupServiceRolePolicyForRestores]() – 既存のポリシーの更新 | 復元プロセス中に Amazon FSx ファイルシステムにタグを適用できる `StartRestoreJob` アクセス許可を付与するために、新しいアクション `fsx:TagResource` を追加しました。 | 2021 年 5 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 既存のポリシーの更新 | 復旧ポイントから Amazon EC2 インスタンスを復元できる `StartRestoreJob` アクセス許可を付与するために、新しいアクション `ec2:DescribeImages` および `ec2:DescribeInstances` を追加しました。 | 2021 年 5 月 24 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | リージョンとアカウント全体で Amazon FSx 復旧ポイントをコピーできるようにする `StartCopyJob` アクセス許可を付与するために、新しいアクション `fsx:CopyBackup` を追加しました。 | 2021 年 4 月 12 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 既存のポリシーの更新 | リージョンとアカウント全体で Amazon FSx 復旧ポイントをコピーできるようにする `StartCopyJob` アクセス許可を付与するために、新しいアクション `fsx:CopyBackup` を追加しました。 | 2021 年 4 月 12 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 既存のポリシーの更新 | 更新により、次の要件に準拠しました。 AWS Backup で暗号化された DynamoDB テーブルのバックアップを作成するには、バックアップに使用される IAM ロール`kms:GenerateDataKey`にアクセス許可`kms:Decrypt`と を追加する必要があります。 | 2021 年 3 月 10 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 既存のポリシーの更新 | 更新により、次の要件に準拠しました。 AWS Backup を使用して Amazon RDS データベースの継続的バックアップを設定するには、バックアッププラン設定で定義された IAM ロールに API アクセス許可`rds:ModifyDBInstance`が存在することを確認します。 Amazon RDS 連続バックアップをリストアするには、リストアジョブ用に送信した IAM ロールに `rds:RestoreDBInstanceToPointInTime` 権限を追加する必要があります。 AWS Backup コンソールで、point-in-timeリカバリに使用できる時間の範囲を記述するには、IAM 管理ポリシーに `rds:DescribeDBInstanceAutomatedBackups` API アクセス許可を含める必要があります。 | 2021 年 3 月 10 日 |
| AWS Backup が変更の追跡を開始しました | AWS Backup は AWS、管理ポリシーの変更の追跡を開始しました。 | 2021 年 3 月 10 日 |
# のサービスにリンクされたロールの使用 AWS Backup
AWS Backup は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS Backup。サービスにリンクされたロールは によって事前定義 AWS Backup されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
**Topics**
+ [ロールを使用したバックアップとコピー](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [AWS Backup Audit Manager のロールの使用](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [復元テストでロールを使用する](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)
# ロールを使用したバックアップとコピー
AWS Backup は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS Backup。サービスにリンクされたロールは によって事前定義 AWS Backup されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Backup が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Backup を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Backup ることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、 AWS Backup リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。
## のサービスにリンクされたロールのアクセス許可 AWS Backup
AWS Backup は、**AWSServiceRoleForBackup** という名前のサービスにリンクされたロールを使用して、ユーザーに代わって AWS リソースのバックアップを作成および削除します。
サービスにリンクされた AWSServiceRoleForBackup ロールは、以下のサービスを信頼してロールを引き受けます。
+ `backup.amazonaws.com`
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)」を参照してください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)」を参照してください。
## のサービスにリンクされたロールの作成 AWS Backup
サービスリンクロールを手動で作成する必要はありません。、、または AWS API でバックアップ、クロスアカウントバックアップの設定 AWS マネジメントコンソール AWS CLI、またはバックアップを実行するリソースを一覧表示すると、 AWS Backup によってサービスにリンクされたロールが作成されます。
**重要**
このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。バックアップするリソースを一覧表示したり、クロスアカウントバックアップを設定したり、バックアップを実行したりすると、 はサービスにリンクされたロールを再度 AWS Backup 作成します。
## のサービスにリンクされたロールの編集 AWS Backup
AWS Backup では、AWSServiceRoleForBackup サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)」を参照してください。
## のサービスにリンクされたロールの削除 AWS Backup
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンク役割をクリーンアップする必要があります。
### サービスリンク役割のクリーンアップ
IAM を使用してサービスにリンクされた役割を削除するには最初に、その役割で使用されているリソースをすべて削除する必要があります。まず、すべてのリカバリポイントを削除する必要があります。次に、すべてのバックアップ保管庫を削除する必要があります。
**注記**
リソースを削除しようとしたときに AWS Backup サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから再度オペレーションを実行してください。
**AWSServiceRoleForBackup で使用される AWS Backup リソースを削除するには (コンソール)**
1. すべての復旧ポイントとバックアップボールト (デフォルトボールトを除く) を削除するには、「[ボールトを削除する](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault)」の手順に従ってください。
1. デフォルトの保管庫を削除するには、 AWS CLIの次のコマンドを使用します。
```
aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
```
**AWSServiceRoleForBackup で使用される AWS Backup リソースを削除するには (AWS CLI)**
1. すべての復旧ポイントを削除するには、[delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html) を使用します。
1. すべてのバックアップボールトを削除するには、[delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html) を使用します。
**AWSServiceRoleForBackup (API) で使用される AWS Backup リソースを削除するには**
1. すべてのリカバリポイントを削除するには、`[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)` を使用します。
1. バックアップ保管庫をすべて削除するには、`[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)` を使用します。
### サービスリンクロールの手動による削除
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForBackup サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)」を参照してください
## AWS Backup サービスにリンクされたロールでサポートされているリージョン
AWS Backup は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、[サポートされているAWS Backup 機能とリージョン](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)を参照してください。
# AWS Backup Audit Manager のロールの使用
AWS Backup は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS Backup。サービスにリンクされたロールは によって事前定義 AWS Backup されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Backup が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Backup を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Backup ることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、 AWS Backup リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。
## のサービスにリンクされたロールのアクセス許可 AWS Backup
AWS Backup は、**AWSServiceRoleForBackupReports** という名前のサービスにリンクされたロールを使用します – コントロール、フレームワーク、レポートを作成するアクセス許可 AWS Backup を付与します。
AWSServiceRoleForBackupReports サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `reports.backup.amazonaws.com`
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)」を参照してください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)」を参照してください。
## のサービスにリンクされたロールの作成 AWS Backup
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、または AWS API でフレームワーク AWS CLIまたはレポートプランを作成すると、 AWS Backup によってサービスにリンクされたロールが作成されます。
**重要**
このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。フレームワークまたはレポートプランを作成すると、 はサービスにリンクされたロールを再度 AWS Backup 作成します。
## のサービスにリンクされたロールの編集 AWS Backup
AWS Backup では、AWSServiceRoleForBackupReports サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)」を参照してください。
## のサービスにリンクされたロールの削除 AWS Backup
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンク役割をクリーンアップする必要があります。
### サービスリンク役割のクリーンアップ
IAM を使用してサービスにリンクされた役割を削除するには最初に、その役割で使用されているリソースをすべて削除する必要があります。すべてのフレームワークとレポートプランを削除する必要があります。
**注記**
リソースを削除しようとしたときに AWS Backup サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから再度オペレーションを実行してください。
**AWSServiceRoleForBackupReports で使用される AWS Backup リソースを削除するには (コンソール)**
1. すべてのフレームワークを削除するには、「[フレームワークの削除](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html)」を参照してください。
1. すべてのレポートプランを削除するには、「[レポートプランの削除](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html)」を参照してください。
**AWSServiceRoleForBackupReports で使用される AWS Backup リソースを削除するには (AWS CLI)**
1. すべてのフレームワークを削除するには、[delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html) を使用してください。
1. すべてのレポートプランを削除するには、[delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html) を使用してください。
**AWSServiceRoleForBackupReports (API) で使用される AWS Backup リソースを削除するには**
1. すべてのフレームワークを削除するには、[DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html) を使用してください。
1. すべてのレポートプランを削除するには、[DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html) を使用してください。
### サービスリンク役割の手動による削除
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForBackupReports サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)」を参照してください
## AWS Backup サービスにリンクされたロールでサポートされているリージョン
AWS Backup は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、[サポートされているAWS Backup 機能とリージョン](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)を参照してください。
# 復元テストでロールを使用する
AWS Backup は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS Backup。サービスにリンクされたロールは によって事前定義 AWS Backup されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Backup が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Backup を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Backup ることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、 AWS Backup リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。
## のサービスにリンクされたロールのアクセス許可 AWS Backup
AWS Backup は、**AWSServiceRoleForBackupRestoreTesting** という名前のサービスにリンクされたロールを使用します。復元テストを実行するためのバックアップアクセス許可を提供します。
サービスにリンクされたロール **AWSServiceRoleForBackupRestoreTesting** は、以下のサービスを信頼してロールを引き受けます。
+ `restore-testing.backup.amazonaws.com`
このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)」を参照してください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)」を参照してください。
## のサービスにリンクされたロールの作成 AWS Backup
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で復元テストを実行すると、 AWS Backup によってサービスにリンクされたロールが作成されます。
**重要**
このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。復元テストを実行すると、 はサービスにリンクされたロールを再度 AWS Backup 作成します。
## のサービスにリンクされたロールの編集 AWS Backup
AWS Backup では、AWSServiceRoleForBackupRestoreTesting サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)」を参照してください。
## のサービスにリンクされたロールの削除 AWS Backup
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンク役割をクリーンアップする必要があります。
### サービスリンク役割のクリーンアップ
IAM を使用してサービスにリンクされた役割を削除するには最初に、その役割で使用されているリソースをすべて削除する必要があります。すべての復元テストプランを削除する必要があります。
**注記**
リソースを削除しようとしたときに AWS Backup サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから再度オペレーションを実行してください。
**AWSServiceRoleForBackupRestoreTesting で使用される AWS Backup リソースを削除するには (コンソール)**
+ すべての復元テストプランを削除するには、「[復元テスト](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html)」を参照してください。
**AWSServiceRoleForBackupRestoreTesting で使用される AWS Backup リソースを削除するには (AWS CLI)**
+ 復元テストプランを削除するには、`delete-restore-testing-plan` を使用します。
**AWSServiceRoleForBackupRestoreTesting (API) で使用される AWS Backup リソースを削除するには**
+ 復元テストプランを削除するには、`DeleteRestoreTestingPlan` を使用します。
### サービスリンク役割の手動による削除
IAM コンソール、 AWS CLI、または AWS API を使用して、**AWSServiceRoleForBackupRestoreTesting** サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)」を参照してください
## AWS Backup サービスにリンクされたロールでサポートされているリージョン
AWS Backup は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、[サポートされているAWS Backup 機能とリージョン](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)を参照してください。
# サービス間の混乱した代理の防止
混乱した代理問題は、アクションを実行するためのアクセス許可を持たないエンティティが、より特権のあるエンティティにアクションの実行を強制できてしまう場合に生じる、セキュリティ上の問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出し対象サービス*) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐために、 は、アカウント内のリソースへのアクセス権が付与されたサービスプリンシパルを持つすべてのサービスのデータを保護するのに役立つツール AWS を提供します。
リソースポリシーで [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを使用して、 がリソースに別のサービス AWS Backup に付与するアクセス許可を制限することをお勧めします。両方のグローバル条件コンテキストキーを同じポリシーステートメントで使用する場合は、`aws:SourceAccount` 値と、`aws:SourceArn` 値に含まれるアカウントが、同じアカウント ID を示している必要があります。
を使用してユーザーに代わって Amazon AWS Backup SNS トピック AWS Backup を発行する場合、 の値はボールト`aws:SourceArn`である必要があります。 Amazon SNS
混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して `aws:SourceArn` グローバル条件コンテキストキーを使用することです。リソースの完全な ARN が不明な場合や、複数のリソースを指定する場合は、`aws:SourceArn` グローバルコンテキスト条件キーを使用して、ARN の未知部分をワイルドカード (`*`) で表します。例えば、`arn:aws::servicename::123456789012:*` です。
次のポリシー例は、 で `aws:SourceArn`および `aws:SourceAccount` グローバル条件コンテキストキーを使用して、混乱した代理問題 AWS Backup を防ぐ方法を示しています。このポリシーは、サービスプリンシパルがバックアップボールトで AWS アカウント 123456789012 に代わって動作している場合にのみ、サービスプリンシパル backup-storage.amazonaws.com に KMS アクションを実行する機能を付与します。