在备份电子仓库和恢复点上设置访问策略 - Amazon Backup
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在备份电子仓库和恢复点上设置访问策略

与Amazon Backup,您可以将策略分配给备份文件库及其包含的资源。通过分配策略,您可以执行诸多操作,例如,授予用户创建备份计划和按需备份的访问权限,但限制用户在创建恢复点后删除这些恢复点的能力。

有关使用策略授予或限制对资源的访问的信息,请参阅。基于身份的策略和基于资源的策略中的IAM 用户指南。您还可以使用标签控制访问。

您可以使用以下示例策略作为指南,在使用 Amazon Backup 文件库时限制对资源的访问。

重要

与其他基于 IAM 的政策不同,Amazon Backup访问策略不支持Action密钥。

有关可用于标识不同资源类型的恢复点的 Amazon 资源名称 (ARN) 列表,请参阅 Amazon Backup资源 ARN 以获限特定于资源的恢复点 ARN。

注意

无论Amazon Backup文件库的访问策略Amazon Backup将拒绝来自与正在引用的资源帐户不同的帐户的任何请求。

拒绝访问备份保管库中的资源类型

此策略拒绝针对备份文件库中的所有 Amazon EBS 快照访问指定的 API 操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": { "Amazon": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob", "backup:DescribeRecoveryPoint" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }
注意

此访问策略仅控制用户对 Amazon Backup API 的访问。一些备份类型(例如 Amazon EElastic Block Store (Amazon EBS) 和 Amazon RDS) 快照)也可以通过这些服务的 API 进行访问。您可以在 IAM 中创建单独的访问策略控制对这些 API 的访问,从而完全控制对备份的访问。

拒绝访问备份文件库

此策略拒绝访问针对备份文件库的指定 API 操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": { "Amazon": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }

拒绝对备份保管库中删除恢复点的访问

根据您授予用户的访问权限来确定这些用户是否可以访问文件库以及是否能够删除存储在其中的恢复点。

请按照以下步骤在备份文件库上创建基于资源的访问策略,阻止删除备份文件库中的任意备份。

在备份文件库上创建基于资源的访问策略

  1. 登录到Amazon Web Services Management Console,然后打开Amazon Backup控制台位于https://console.aws.amazon.com/backup

  2. 在左侧的导航窗格中,选择 Backup vaults (备份文件库)

  3. 在列表中选择备份文件库。

  4. Access policy (访问策略) 部分中,粘贴以下 JSON 示例。此策略可防止不是委托人的任何用户删除目标备份文件库中的恢复点。Replace语句编号, 和aws:userId(角色/my的角色),其中包含您的环境的值。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotLike": { "aws:userId": [ "arn:aws:iam::[ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] ] } } } ] }

    要允许使用 ARN 列出 IAM 身份,请使用aws:PrincipalArn全局条件键。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }

    有关获取 IAM 实体的唯一 ID 的信息,请参阅。获取唯一标识符中的IAM 用户指南

    如果您想将其限制为特定的资源类型,而不是"Resource": "*",您可以显式包含要拒绝的恢复点类型。例如,对于 Amazon EBS 快照,将资源类型更改为以下内容。

    "Resource": ["arn:aws:ec2:Region::snapshot/*"]
  5. 选择附加策略