对备份保管库设置访问策略 - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对备份保管库设置访问策略

使用 Amazon Backup,您可以为备份保管库及其包含的资源分配策略。通过分配策略,您可以执行诸多操作,例如,授予用户创建备份计划和按需备份的访问权限,但限制用户在创建恢复点后删除这些恢复点的能力。

有关使用策略授予或限制资源访问权限的信息,请参阅《IAM 用户指南》中的基于身份的策略和基于资源的策略。您还可以使用标签来控制访问。

您可以使用以下示例策略作为指南,在使用 Amazon Backup 保管库时限制对资源的访问。

注意

与其他基于 IAM 的策略不同,Amazon Backup 访问策略不支持 Action 密钥中的通配符。

有关可用于标识不同资源类型的恢复点的 Amazon 资源名称 (ARN) 列表,请参阅 Amazon Backup 资源 ARN 以获限特定于资源的恢复点 ARN。

注意

保管库访问策略仅控制用户对 Amazon Backup API 的访问。某些备份类型(例如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照)也可使用这些服务的 API 进行访问。您可以在 IAM 中创建单独的访问策略控制对这些 API 的访问,从而完全控制对这些类型备份的访问。

无论 Amazon Backup 保管库的访问策略如何,Amazon Backup 都将拒绝来自与所引用资源账户不同的账户的任何请求。

拒绝对备份保管库中资源类型的访问

此策略拒绝针对备份保管库中的所有 Amazon EBS 快照访问指定的 API 操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region:snapshot/*"] } ] }

拒绝对备份保管库的访问

此策略拒绝访问针对备份保管库的指定 API 操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": { "Amazon": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account IDbackup-vault:backup vault name" } ] }

拒绝删除备份保管库中的恢复点

根据您授予用户的访问权限来确定这些用户是否可以访问保管库以及是否能够删除存储在其中的恢复点。

请按照以下步骤在备份保管库上创建基于资源的访问策略,阻止删除备份保管库中的任意备份。

在备份保管库上创建基于资源的访问策略
  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Backup 控制台:https://console.aws.amazon.com/backup

  2. 在左侧的导航窗格中,选择 Backup vaults (备份保管库)

  3. 在列表中选择备份保管库。

  4. Access policy (访问策略) 部分中,粘贴以下 JSON 示例。此策略可防止不是委托人的任何用户删除目标备份保管库中的恢复点。将语句 IDaws:userId (role/ MyRole) 替换为您的环境值。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }

    要允许使用其 ARN 列出 IAM 身份,请在以下示例中使用 aws:PrincipalArn 全局条件密钥。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }

    有关获取 IAM 实体唯一 ID 的信息,请参阅《IAM 用户指南》中的获取唯一标识符

    如果要将此限制为特定资源类型,而不是 "Resource": "*",您可以明确包含要拒绝的恢复点类型。例如,对于 Amazon EBS 快照,请将资源类型更改为以下内容。

    "Resource": ["arn:aws:ec2:Region::snapshot/*"]
  5. 选择附加策略