同じアカウントのインスタンスまたはデバイスを別の地域にリストアする場合:
•暗号化されていないボリュームをリストアする場合、AWS に移動して Cloud Backup for IaaS + PaaS バックアップ ロール "AWSBackupAdminRole" に "ec2:DescribeSnapshotAttribute" 権限を追加する必要があります。
•KMS で暗号化されているボリュームをリストアする場合、AWS に移動して Cloud Backup for IaaS + PaaS バックアップ ロール "AWSBackupAdminRole" に以下の権限を追加する必要があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshotAttribute",
"kms:PutKeyPolicy",
"kms:GetKeyPolicy",
"kms:DescribeKey",
"kms:CreateKey",
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
KMS キーがマルチリージョンキーであり、かつリストア先地域に存在しない場合、リストア中にキーはリストア先地域に複製されることに注意してください。また、複製されたキーは新しいボリュームの暗号化に使用されます。リストア ジョブが正常に機能できるようにするため、"AWSBackupAdminRole" がキー ユーザーとして追加され、"kms:ReplicateKey" 権限を持っている必要があります。
インスタンスまたはデバイスを別のアカウントにリストアする場合:
•暗号化されているボリュームをリストアする場合、AWS に移動してリストア元アカウントの Cloud Backup for IaaS + PaaS バックアップ ロール "AWSBackupAdminRole" に "ec2:DescribeSnapshotAttribute" 権限を追加する必要があります。
•KMS で暗号化されているボリュームをリストアする場合、AWS に移動してリストア元アカウントの Cloud Backup for IaaS + PaaS バックアップ ロール "AWSBackupAdminRole" に以下の権限を追加する必要があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshotAttribute",
"kms:PutKeyPolicy",
"kms:GetKeyPolicy",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
また、リストア先アカウントの Cloud Backup for IaaS + PaaS バックアップ ロール "AWSBackupAdminRole" に以下の権限を追加する必要もあります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:CreateKey",
"kms:CreateGrant"
],
"Resource": "*"
}
]
}
KMS キーがカスタマー マネージド キーである場合、リストア ジョブが機能できるようにするため、"AWSBackupAdminRole" がリストア元アカウントのキー ユーザーとして追加され、"kms:ReplicateKey" 権限を持っている必要があることに注意してください。
