NetBackup™ Snapshot Manager インストールおよびアップグレードガイド

VM ベース

KMS (暗号化および復号)

さまざまな操作中に KMS キーを一覧表示します。

kms:ListKeys

NetBackup Snapshot Manager によって提供される KMS 機能。

kms:Encrypt

kms:Decrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

kms:CreateGrant

暗号化されたスナップショットのレプリケーションに AWS で内部的に必要です。

kms:ReEncryptTo

kms:ReEncryptFrom

特定の KMS キーの情報を取得します。

kms:DescribeKey

さまざまな操作中に KMS キーエイリアスを一覧表示します。

kms:ListAliases

RDS リソースの保護

RDS データベーススナップショットを一覧表示します (検出)。

rds:DescribeDBSnapshots

RDS データベースクラスタを一覧表示します (検出)。

rds:DescribeDBClusters

RDS データベースクラスタスナップショットを一覧表示します (検出)。

rds:DescribeDBClusterSnapshots

RDS データベーススナップショットを削除します (スナップショットの失効)。

rds:DeleteDBSnapshot

RDS データベーススナップショットを作成します。

rds:CreateDBSnapshot

RDS データベースクラスタスナップショットを作成します。

rds:CreateDBClusterSnapshot

クロスアカウントレプリケーションのために、RDS データベーススナップショットを別のアカウントと共有または共有解除します。

rds:ModifyDBSnapshotAttribute

RDS データベースサブネットグループを一覧表示します (検出)。

rds:DescribeDBSubnetGroups

RDS データベースインスタンスを一覧表示します (検出)。

rds:DescribeDBInstances

レプリケーションに使用するために、リージョン間で RDS データベーススナップショットをコピーします。

rds:CopyDBSnapshot

レプリケーションに使用するために、リージョン間で RDS データベースクラスタスナップショットをコピーします。

rds:CopyDBClusterSnapshot

属性を読み取るために、クロスアカウントスナップショットのリストアまたはレプリケート操作中に暗黙的に必要です。

rds:DescribeDBSnapshotAttributes

RDS データベースクラスタスナップショットを削除します (スナップショットの失効)。

rds:DeleteDBClusterSnapshot

RDS リソースのタグを一覧表示します。

rds:ListTagsForResource

スナップショット、レプリケーション、リストア中に、RDS リソースのタグを追加します。

rds:AddTagsToResource

RDS リソースのリカバリ

RDS データベースインスタンスの設定を変更します。

リストア中にセキュリティグループを変更します。

rds:ModifyDBInstance

クロスアカウントレプリケーションのために、RDS データベースクラスタスナップショットを別のアカウントと共有または共有解除します。

rds:ModifyDBClusterSnapshotAttribute

スナップショットから RDS データベースインスタンスを作成します (スナップショットのリストア)。

rds:RestoreDBInstanceFromDBSnapshot

RDS データベースクラスタの設定を変更します。

rds:ModifyDBCluster

スナップショットから RDS データベースクラスタを作成します (スナップショットのリストア)。

rds:RestoreDBClusterFromSnapshot

RDS クラスタのリストア中に RDS データベースインスタンスを作成します。

rds:CreateDBInstance

RDS データベースクラスタをリストアするために AWS で内部的に必要です。

rds:RestoreDBClusterToPointInTime

RDS データベースセキュリティグループを作成するには、デフォルトのセキュリティグループを使用して RDS をリストアします。

rds:CreateDBSecurityGroup

RDS データベースクラスタを作成します。

rds:CreateDBCluster

RDS データベースインスタンスをリストアするために AWS で内部的に必要です。

rds:RestoreDBInstanceToPointInTime

RDS クラスタスナップショットのリストア時にパラメータグループに関する情報を取得します。

rds:DescribeDBClusterParameterGroups

EC2 リソースのバックアップ

API 要求の作成に使用されているユーザーまたは役割に関する情報を取得します (これを使用して CSP を構成します)。

sts:GetCallerIdentity

これは、クロスアカウントプロバイダの構成を、クロスアカウントの役割に必要なその他の前提条件と共に構成するために、ソースアカウントの役割で必要です。

sts:AssumeRole

EBS ボリュームスナップショットを作成します。

ec2:CreateSnapshot

EC2 インスタンススナップショットを作成します (接続されているすべてのディスクのスナップショット)。

ec2:CreateSnapshots

EC2 インスタンスを一覧表示します (検出)。

ec2:DescribeInstances

指定した EC2 インスタンスの状態を取得します。

ec2:DescribeInstanceStatus

クロスアカウントレプリケーションのために、EBS スナップショットを別のアカウントと共有または共有解除します。

ec2:ModifySnapshotAttribute

1 つのリージョンから別のリージョンに EBS スナップショットをレプリケートします。

EC2 インスタンスのスナップショットをディスク別にレプリケートします。

ec2:CopySnapshot

EBS スナップショットを一覧表示します (検出)。

ec2:DescribeSnapshots

指定した EBS ボリュームの状態を取得します。

ec2:DescribeVolumeStatus

EBS ボリュームを一覧表示します (検出)。

ec2:DescribeVolumes

EC2 インスタンススナップショットのリストア時に使用され、AMI が中間で登録され、EC2 インスタンスが起動されます。

ec2:RegisterImage

さまざまな操作中に指定した EBS ボリュームの特定の属性を取得します。

ec2:DescribeVolumeAttribute

サブネットを一覧表示します (検出)。

ec2:DescribeSubnets

VPC を一覧表示します (検出)。

ec2:DescribeVpcs

EC2 インスタンスのリストア時に登録した中間 AMI を登録解除します

ec2:DeregisterImage

EBS スナップショットを削除します (スナップショットの失効/スナップショットの作成エラー時のクリーンアップ)。

ec2:DeleteSnapshot

指定した EC2 インスタンスの特定の属性を取得します。

ec2:DescribeInstanceAttribute

リージョンを一覧表示します。

ec2:DescribeRegions

可用性ゾーンを一覧表示します (検出)。

ec2:DescribeAvailabilityZones

クロスアカウントレプリケーション中に変更された、指定したスナップショットの権限設定をリセットします。

クロスアカウントレプリケーション中に変更された、指定したスナップショットの権限設定をリセットします。

ec2:ResetSnapshotAttribute

専用ホストを一覧表示します (検出)。

ec2:DescribeHosts

AMI (NetBackup Snapshot Manager によって作成された EC2 インスタンススナップショット) を一覧表示します (検出)

ec2:DescribeImages

セキュリティグループを一覧表示します (検出)。

ec2:DescribeSecurityGroups

EC2 インスタンスのネットワークインターフェースを一覧表示します。EC2 インスタンスの検出に必要です。

ec2:DescribeNetworkInterfaces

EC2 リソースのリカバリ

EC2 インスタンスを作成します (ホストスナップショットのリストア)。

ec2:RunInstances

特定のインスタンスに指定されたネットワークインターフェースを接続するために AWS によって内部的に使用されます。ホストスナップショットのリストアに必要です。

ec2:AttachNetworkInterface

ロールバックリストア時に EC2 インスタンスから EBS ボリュームを切断します。また、GRT ワークフロー中に、最初に接続された中間ボリュームは後で切断されます。

ec2:DetachVolume

ロールバックリストアの場合に、新しい EBS ボリュームを EC2 インスタンスに接続します。また、EC2 インスタンスへのボリュームスナップショットのリストア時に、新たに作成されたディスクは、指定されたインスタンスに接続されます。

ec2:AttachVolume

EC2 リソースのタグを削除します。NetBackup Snapshot Manager の一部の内部タグは、後で削除する必要があるさまざまな操作中に作成されます。

ec2:DeleteTags

EC2 リソースのタグを作成します。作成またはリストアされたリソースに、NetBackup Snapshot Manager メタデータタグとソースリソースタグを使用してタグ付けするために必要です。

ec2:CreateTags

指定されたインスタンスの電源をオンにします。リストア後にインスタンスを開始または停止するオプションが指定されているリストアフロー中に必要です。

ec2:StartInstances

指定されたインスタンスの電源をオフにします。リストア後にインスタンスを開始または停止するオプションが指定されているリストアフロー中に必要です。

ec2:StopInstances

リストア操作が失敗した場合に EC2 インスタンスを削除します。また、バックアップコピーからのリストア中に作成された中間 EC2 インスタンスを削除する場合にも必要です。

ec2:TerminateInstances

EBS ボリュームをスナップショットから作成します。ボリュームスナップショットのリストアおよびインスタンススナップショットロールバックのリストア時に使用されます。

ec2:CreateVolume

リストア操作が失敗した場合に EBS ボリュームを削除します。ロールバックリストアが正常に行われる場合は、切断されたボリュームを削除します。GRT 操作中に作成された中間ボリュームを削除します。バックアップコピーからのリストア中に作成された中間 EC2 インスタンスと一緒にボリュームを削除します。

ec2:DeleteVolume

リストアされたインスタンスに関連付けられている IAM ロールの IAM インスタンスプロファイルの関連付けの状態を取得します。

ec2:DescribeIamInstanceProfileAssociations

IAM ロールをリストアされた EC2 インスタンスに接続します。

ec2:AssociateIamInstanceProfile

リストア時に EC2 インスタンスまたはネットワークインターフェースにエラスティック IP を関連付けます。

ec2:AssociateAddress

リストアされた EC2 インスタンスと関連付けるためにユーザーが指定したキーペアを検証するための SSH キーペアを一覧表示します。

ec2:DescribeKeyPairs

EC2 インスタンスのリストアのために選択したサブネットに関連付けられている可用性ゾーンが、インスタンスタイプをサポートしているかどうかを確認します。

ec2:DescribeInstanceTypeOfferings

現在のリージョンのアカウントに対して EBS 暗号化がデフォルトで有効になっているかどうかを確認するために、AWS によって内部的に使用されます。

ec2:GetEbsEncryptionByDefault

スナップショットからのバックアップ

バックアップ対象のスナップショットのブロックを一覧表示します。

ebs:ListSnapshotBlocks

特定のスナップショットブロックのデータを取得するには、スナップショットブロックを読み込みます。

ebs:GetSnapshotBlock

同じ EBS ボリュームの 2 つのスナップショット間で変更されたブロックを一覧表示します。

ebs:ListChangedBlocks

バックアップコピーからのリストア

すべてのブロックを書き込んだ後にスナップショットを完了としてマークするには、リストア後にスナップショットを閉じます。

ebs:CompleteSnapshot

バックアップからのリストア時に、新しく作成されたスナップショットにブロックを書き込みます。

ebs:PutSnapshotBlock

バックアップコピーからのリストア用のブロック書き込みに使用する空のスナップショットを作成します。

ebs:StartSnapshot

ID の管理と認証

CSP で構成されている AWS アカウントのエイリアスを取得します。これは、インテリジェントグループを含むさまざまなコンテキストで利用可能な AWS アカウントの表示名に使用されます。

iam:ListAccountAliases

一連の操作に対して IAM ポリシーと権限をシミュレートします。CSP 構成で使用されているユーザーまたは役割に必要な権限があるかどうかを確認するために使用します。

iam:SimulatePrincipalPolicy

PaaS 作業負荷の保護 (DynamoDB)

検出中に使用される DynamoDB テーブルを一覧表示します。

dynamodb:ListTables

バックアップ中に特定の DynamoDB テーブルの情報を取得します。

dynamodb:DescribeTable

リストア時にテーブルを作成します。

dynamodb:CreateTable

dynamodb テーブルのリストア中にバッチ書き込みを実行します。

dynamodb:BatchWriteItem

バックアップ中に、dynamodb テーブルの連続バックアップを一覧表示します。

dynamodb:DescribeContinuousBackups

バックアップ中に s3 へのバックアップを続行する dyanmodb テーブルの指定した時点へのリストアを実行します。

dynamodb:ExportTableToPointInTime

dynamodb テーブルの s3 への連続バックアップのエクスポートの状態を確認します。

dynamodb:DescribeExport

リストア中にエラーが発生した場合にテーブルを削除します。

dynamodb:DeleteTable

dynamodb テーブルのメタデータを更新します。

dynamodb:UpdateTable

まだ設定されていない場合は、テーブルの連続バックアップを設定します。

dynamodb:UpdateContinuousBackups

PaaS 作業負荷の保護 (Redshift)

Redshift クラスタのデータベースを一覧表示します。データベース名とそのメタデータに関する情報を取得します。この権限はクラスタレベルの権限です。

redshift:ListDatabases

IAM を使用して Redshift クラスタデータベースに接続します。

redshift:GetClusterCredentialsWithIAM

Redshift クラスタデータベースで問い合わせを実行します。

redshift-data:ExecuteStatement

redshift API エンドポイントとは別のエンドポイントである redshift-data API を介して Redshift クラスタのデータベースを一覧表示します。この権限は、サーバーなしで Redshift を実行する場合に必要です。

redshift-data:ListDatabases

Redshift クラスタデータベースで実行された SQL ステートメントの一時的にキャッシュされた結果をフェッチします。

redshift-data:GetStatementResult

Redshift クラスタのプロパティを取得します。

redshift:DescribeClusters

NetBackup ジョブのキャンセル中に使用した Redshift クラスタデータベースで実行された問い合わせを取り消します。

redshift-data:CancelStatement

Redshift クラスタデータベースに接続します。

redshift:GetClusterCredentials

Amazon Redshift Data API で問い合わせが実行される場合に、特定のインスタンスに関する詳細を取得するために必要です。

redshift-data:DescribeStatement

PaaS 作業負荷の保護 (S3)

DynamoDB および Redshift のバックアップまたはリストア時に必要な s3 バケットを作成します。

s3:CreateBucket

DynamoDB および Redshift のバックアップまたはリストア時に使用されたバケットがすでに存在するかどうかを確認します。

s3:ListBucket

DynamoDB および Redshift のバックアップ中にバケットに格納された s3 オブジェクト (ファイル) の ACL を取得します。

s3:GetObjectAcl

DynamoDB および Redshift のバックアップ中にバケットに格納された s3 オブジェクト (ファイル) のコンテンツを取得します。

s3:GetObject

DynamoDB および Redshift のバックアップまたはリストア時に必要な s3 バケットからオブジェクトを削除します。

s3:DeleteObject

DynamoDB および Redshift のリストア時に必要な s3 バケットにデータをアップロードします。

s3:PutObject

オブジェクトロック S3 のリストア

s3:PutObjectRetention

プロバイダ管理の整合性スナップショット

SSM で構成されたインスタンスにコマンドを送信するために、SSM ドキュメントを実行してスナップショットを取得します。

ssm:SendCommand

SSM ドキュメントの詳細を取得し、アプリケーションの整合性スナップショットを作成するために NetBackup Snapshot Manager によって作成されたドキュメントの存在を確認します。

ssm:DescribeDocument

SSM で構成されたオンラインのインスタンスのリストを取得します。この情報は、インスタンスのプラットフォームのフェッチにも使用されます。

ssm:DescribeInstanceInformation

NetBackup Snapshot Manager によって作成された SSM ドキュメントのデフォルトバージョンを更新します。

ssm:UpdateDocumentDefaultVersion

アップグレードの場合に、SSM ドキュメントの内容を最新のものに更新します。

ssm:UpdateDocument

アプリケーションの整合性スナップショットを作成するために使用する SSM ドキュメントを作成します。

ssm:CreateDocument

コマンドの状態と出力 (つまりドキュメントの実行) と、スナップショットの応答を取得します。

ssm:GetCommandInvocation

プロバイダ管理の整合性スナップショット

役割/ポリシー: AmazonSSMManagedInstanceCore

作業負荷 VM の権限

SSM ドキュメントが実行されている作業負荷 VM の整合性スナップショットを作成します。

ec2:CreateSnapshots

SSM ドキュメントで作成したスナップショットのタグを作成します。

ec2:CreateTags

ディスク別に VM ディスクのスナップショットを作成します。

ec2:CreateSnapshot

Kubernetes クラスタベース

役割/ポリシー: AmazonEKSClusterPolicy、AmazonEKSWorkerNodePolicy、AmazonEC2ContainerRegistryReadOnly、AmazonEKS_CNI_Policy、AmazonEKSServicePolicy

EKS

スケーリング構成に関する Kubernetes クラスタのノードグループの詳細を取得します。

eks:DescribeNodegroup

クラスタで行われたスケーリングの状態を取得します。

eks:DescribeUpdate

Kubernetes クラスタをスケーリングするには、ノードグループのサイズを更新します。

eks:UpdateNodegroupConfig

Kubernetes クラスタを一覧表示するには、クラスタを検出します。

eks:ListClusters

指定した Kubernetes クラスタの情報を取得するには、クラスタ属性を検出します。

eks:DescribeCluster

マーケットプレイス配備

高可用性

EKS およびマーケットプレイスの配備に必要です。

autoscaling:UpdateAutoScalingGroup

autoscaling:AttachInstances

マーケットプレイスを通じて DR を実行します。

autoscaling:DescribeScalingActivities

autoscaling:TerminateInstanceInAutoScalingGroup

DR 中に通知を送信します。

sns:Publish

sns:GetTopicAttributes

配備

指定したアウトバウンド (エグレス) ルールを、リストア時にセキュリティグループに追加します。

ec2:AuthorizeSecurityGroupEgress

指定したインバウンド (イングレス) ルールを、リストア時にセキュリティグループに追加します。

ec2:AuthorizeSecurityGroupIngress