AWS Backup을 사용하여 Amazon EC2 인스턴스를 복원하려고 할 때 인코딩된 권한 부여 실패 메시지가 표시되는 문제를 해결하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 3월 27일

AWS Backup을 사용하여 스냅샷에서 Amazon EC2(Amazon Elastic Compute Cloud)인스턴스를 복원하고 있습니다. 그러나 "You are not authorized to perform this operation. Please consult the permissions associated with your AWS Backup role(s), and refer to the AWS Backup documentation for more details."라는 엔코딩된 오류 메시지가 표시됩니다. 이 문제를 해결하려면 어떻게 해야 합니까?

​해결 방법

AWS STS(AWS Security Token Service)를 사용하여 실패 메시지를 디코딩합니다. 그런 다음 복원 작업을 실행한 AWS Identity and Access Management(IAM) 역할에 충분한 권한이 있는지 확인합니다.

참고: 이 오류는 일반적으로 AWS Backup에서 기본 IAM 역할을 사용하여 복원 작업을 실행하고 원본 EC2 인스턴스에 인스턴스 프로파일이 연결되어 있는 경우 발생합니다.

1.    AWS CLI(AWS 명령줄 인터페이스)를 사용하여 decode-authorization-message 명령을 실행합니다.

참고: Linux 기반 운영 체제를 사용하는 경우 이 명령을 jq 도구와 결합하여 최종 사용자에게 친화적인 출력을 얻을 수 있습니다.

# aws sts decode-authorization-message --encoded-message (encoded error message) --query DecodedMessage --output text | jq '.'

2.    이 명령은 다음과 비슷한 출력을 반환합니다.

{
  "allowed": false,

…..

  "context": {
    "principal": {
      "id": "AROAAAAAAAAAA:AWSBackup-AWSBackupDefaultServiceRole",
      "arn": "arn:aws:sts::111122223333:assumed-role/AWSBackupDefaultServiceRole/AWSBackup-AWSBackupDefaultServiceRole"
    },
    "action": "iam:PassRole",
    "resource": "arn:aws:iam::111122223333:role/AmazonSSMRoleForInstancesQuickSetup",
    "conditions": {
      "items": [

…..      

}

예제 출력은 AWSBackupDefaultServiceRole이라는 기본 IAM 역할이 복원 작업을 실행하는 데 사용되었음을 보여 줍니다. 이 역할은 인스턴스를 복원하는 데 필요한 AmazonSSMRoleForInstancesQuickSetup과 상호 작용할 수 있도록 iam:PassRole에 대한 권한이 있어야 합니다.

3.    복원 작업을 수행하는 데 사용하는 IAM 역할에 다음 정책을 추가합니다.

참고: 111122223333을 AWS 계정 ID로 바꿉니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/*",
            "Effect": "Allow"
        }
    ]
}

IAM 역할을 업데이트한 후 복원 작업을 다시 실행합니다.


액세스 제어(AWS Backup 개발자 안내서)

이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?