在备份文件库和恢复点上设置访问策略 - AWS Backup
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在备份文件库和恢复点上设置访问策略

借助 AWS Backup,您可以将策略分配给角色、用户或组,以限制对备份文件库及其包含的资源的访问。通过分配策略,您可以执行诸多操作,例如,授予用户创建备份计划和按需备份的访问权限,但限制用户在创建恢复点后删除这些恢复点的能力。

有关使用 策略授予或限制对 资源的访问的信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_identity-vs-resource.html 中的基于身份的策略和基于资源的策略IAM 用户指南。您还可以使用标签控制访问。

您可以使用以下示例策略作为指南,在使用 AWS Backup 文件库时限制对资源的访问。

重要

与其他基于 IAM 的策略不同,AWS Backup 访问策略不支持在 Action 键中使用通配符。

有关可用于标识不同资源类型的恢复点的 Amazon 资源名称 (ARN) 列表,请参阅AWS Backup 资源 ARNs了解资源特定的恢复点ARNs。

注意

无论 AWS Backup 文件库的访问策略如何,AWS Backup 都将拒绝来自与被引用的资源账户不同的账户的任何请求。

拒绝对备份文件库中的资源类型的访问

此策略拒绝针对备份文件库中的所有 Amazon EBS 快照访问指定的 API 操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob", "backup:DescribeRecoveryPoint" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }
注意

此访问策略仅控制用户对 AWS Backup APIs 的访问。 一些备份类型(如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照)也可以通过这些服务的 APIs 进行访问。您可以在 IAM 中创建单独的访问策略,以控制对这些 APIs 的访问,从而完全控制对备份的访问。

拒绝对备份文件库的访问

此策略拒绝访问针对备份文件库的指定 API 操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }

拒绝删除备份文件库中的恢复点

根据您授予用户的访问权限来确定这些用户是否可以访问文件库以及是否能够删除存储在其中的恢复点。

请按照以下步骤在备份文件库上创建基于资源的访问策略,阻止删除备份文件库中的任意备份。

在备份文件库上创建基于资源的访问策略

  1. 通过以下网址登录 AWS 管理控制台并打开 AWS Backup 控制台:https://console.amazonaws.cn/backup

  2. 在左侧的导航窗格中,选择 Backup vaults (备份文件库)

  3. 在列表中选择备份文件库。

  4. Access policy (访问策略) 部分中,粘贴以下 JSON 示例。此策略可防止不是委托人的任何用户删除目标备份文件库中的恢复点。Replace statement IDaws:userIdrole/MyRole) 替换为您的环境的值。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotLike": { "aws:userId": [ "arn:aws:iam::[ "AROAJCG2BTS7KMVVRB2ZC:", "AIDAIECMYGLTVGIBTT5SY", "343734213077" ] ] } } } ] }

    要允许使用 ARN 列出 IAM 身份,请在以下示例中使用 aws:PrincipalArn 全局条件键。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "statement ID", "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::343734213077:role/mys3role", "arn:aws:iam::343734213077:user/shaheer", "343734213077" ] } } } ] }

    有关获取 IAM 实体的唯一 ID 的信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_identifiers.html#identifiers-get-unique-id 中的获取唯一标识符IAM 用户指南。

    如果要将此项限制到特定资源类型,而不是 "Resource": "*",您可以明确包含要拒绝的恢复点类型。例如,对于 Amazon EBS 快照,请将资源类型更改为以下内容。

    "Resource": ["arn:aws:ec2:Region::snapshot/*"]
  5. 选择 Attach policy