文件库访问策略 - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

文件库访问策略

使用 Amazon Backup,您可以为备份存储库及其包含的资源分配策略。通过分配策略,您可以执行诸多操作,例如,授予用户创建备份计划和按需备份的访问权限,但限制用户在创建恢复点后删除这些恢复点的能力。

有关使用策略授予或限制资源访问权限的信息,请参阅《用户指南》中的基于身份的策略和基于资源的策略。IAM您还可以使用标签来控制访问。

使用 Amazon Backup 文件库时,您可以使用以下示例策略来限制对资源的访问权限。与其他IAM基于策略的不同, Amazon Backup 访问策略不支持Action密钥中的通配符。

有关可用于识别不同资源类型的恢复点的 Amazon 资源名称 (ARNs) 的列表,Amazon Backup 资源 ARNs请参阅资源特定的恢复点。ARNs

文件库访问策略仅控制用户对的访问权限 Amazon Backup APIs。某些备份类型,例如亚马逊弹性区块存储 (AmazonEBS) 和亚马逊关系数据库服务 (AmazonRDS) 快照,也可以使用这些服务进行访问。APIs您可以在控制对这些备份类型的访问权限IAM中创建单独的访问策略APIs,从而完全控制对这些备份类型的访问权限。

无论 Amazon Backup 文件库的访问策略如何,除此之外的任何操作的跨账户访问都backup:CopyIntoBackupVault将被拒绝;也就是说, Amazon Backup 将拒绝来自与所引用资源账户不同的账户的任何其他请求。

拒绝对备份保管库中资源类型的访问

此策略拒绝访问备份库中所有 Amazon EBS 快照的指定API操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }

拒绝对备份保管库的访问

此策略拒绝访问针对备份库的指定API操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "Amazon": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }

拒绝删除备份保管库中的恢复点

根据您授予用户的访问权限来确定这些用户是否可以访问保管库以及是否能够删除存储在其中的恢复点。

请按照以下步骤在备份保管库上创建基于资源的访问策略,阻止删除备份保管库中的任意备份。

在备份保管库上创建基于资源的访问策略
  1. 登录 Amazon Web Services Management Console,然后在 https://console.aws.amazon.com/backup 上打开 Amazon Backup 控制台。

  2. 在左侧的导航窗格中,选择 Backup vaults (备份保管库)

  3. 在列表中选择备份保管库。

  4. 访问策略部分,粘贴以下JSON示例。此策略可防止不是委托人的任何用户删除目标备份保管库中的恢复点。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }

    要允许使用其列出IAM身份ARN,请在以下示例中使用aws:PrincipalArn全局条件键。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }

    有关获取IAM实体的唯一 ID 的信息,请参阅IAM用户指南》中的获取唯一标识符

    如果要将此限制为特定资源类型,而不是 "Resource": "*",您可以明确包含要拒绝的恢复点类型。例如,对于 Amazon EBS 快照,请将资源类型更改为以下内容。

    "Resource": ["arn:aws:ec2::Region::snapshot/*"]
  5. 选择附加策略