在备份保管库和恢复点上设置访问策略 - AWS Backup
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

在备份保管库和恢复点上设置访问策略

借助 AWS Backup,您可以将策略分配给角色、用户或组,以限制对备份保管库及其包含的资源的访问。通过分配策略,您可以执行诸多操作,例如,授予用户创建备份计划和按需备份的访问权限,但限制用户在创建恢复点后删除这些恢复点的能力。

有关使用策略授予或限制对资源的访问权限的信息,请参阅 IAM 用户指南中的基于身份的策略和基于资源的策略。您可以使用以下示例策略作为指南,在使用 AWS Backup 保管库时限制对资源的访问。

有关可用于标识不同资源类型的恢复点的 Amazon 资源名称 (ARN) 列表,请参阅 AWS Backup 资源 ARN 以获限特定于资源的恢复点 ARN。

拒绝对备份保管库中的资源类型的访问

此策略拒绝针对备份保管库中的所有 Amazon EBS 快照访问指定的 API 操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob", "backup:DescribeRecoveryPoint" ], "Resource": ["arn:aws:ec2:Region:::snapshot/*"] } ] }
注意

此访问策略仅控制用户对 AWS Backup API 的访问。一些备份类型(如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照)也可以通过这些服务的 API 进行访问。您可以在 IAM 中创建单独的访问策略控制这些 API 的访问,从而完全控制对备份的访问。

拒绝对备份保管库的访问

此策略拒绝访问针对备份保管库的指定 API 操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region::Account ID::backup-vault:backup vault name" } ] }

拒绝删除备份保管库中的恢复点

根据您授予用户的访问权限来确定这些用户是否可以访问保管库以及是否能够删除存储在其中的恢复点。

请按照以下步骤在备份保管库上创建基于资源的访问策略,阻止删除备份保管库中的任意备份。

在备份保管库上创建基于资源的访问策略

  1. 通过以下网址登录 AWS 管理控制台并打开 AWS Backup 控制台:https://console.amazonaws.cn/backup

  2. 在左侧的导航窗格中,选择备份保管库

  3. 在列表中选择备份保管库。

  4. Access policy (访问策略) 部分中,粘贴以下 JSON 示例。此策略可防止不是委托人的任何用户删除目标备份保管库中的恢复点。将 语句 ID账户 ID 和委托人类型 (role/MyRole) 替换为您环境的值。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotLike": { "aws:userId": [ "arn:aws:iam::Account ID:role/MyRole"" ] } } } ] }

    有关获取 IAM 实体的唯一 ID 的信息,请参阅获取唯一 ID

    如果要将此限制为特定资源类型,而不是 "Resource": "*",您可以明确包含要拒绝的恢复点类型,例如,对于 Amazon EBS 快照,请将资源类型更改为:

    "Resource": ["arn:aws:ec2:Region:::snapshot/*"]
  5. 选择 Attach policy