IAM 服务角色 - Amazon Backup
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 服务角色

一个Amazon Identity and Access Management(IAM) 角色类似于用户,因为它是Amazon身份,该策略确定身份在中可执行和不可执行的操作Amazon。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。服务角色是一个角色,Amazon服务假定代表您执行操作。作为代表您执行备份操作的服务,Amazon Backup 要求您在该服务代表您执行备份操作时将其传递给要代入的角色。有关 IAM 角色的更多信息,请参阅IAM 角色中的IAM 用户指南

您传递到的角色Amazon Backup必须具有一个 IAM 策略,该策略具有启用Amazon Backup执行备份操作关联的操作,例如创建备份、还原备份或使备份过期。每个Amazon服务Amazon Backup支持。该角色还必须将 Amazon Backup 列为可信实体,这使得 Amazon Backup 能够代入该角色。

向备份计划分配资源时,或者执行按需备份、复制或还原时,必须传递具有对指定资源执行基础操作的访问权限的服务角色。Amazon Backup使用此角色创建、标签和删除您的账户中的资源。

使用Amazon用于控制备份访问权限的角色

您可以使用角色来控制对备份的访问,方法是定义范围狭窄的角色,并指定谁可以将该角色传递给 Amazon Backup。例如,您可以创建一个角色,该角色仅授予备份 Amazon Relational Database Service (Amazon RDS) 数据库的权限,并且仅授予 Amazon RDS 数据库所有者将该角色传递给Amazon Backup。Amazon Backup为每个受支持的服务提供了几个预定义的托管策略。您可以将这些托管策略附加到您创建的角色。这样可以更轻松地创建具有 Amazon Backup 所需的正确权限的服务特定角色。

有关 的更多信息Amazon适用于 的 托管策略Amazon Backup,请参阅托管策略

的默认服务角色Amazon Backup

使用Amazon Backup控制台中,您可以选择让Amazon Backup为您创建默认服务角色。此角色具有Amazon Backup需要对所有Amazon服务。要选择默认服务角色,请按照开始使用

注意

您必须使用Amazon管理控制台。您不能使用Amazon命令行界面 (AmazonCLI)。

如果您更喜欢使用自定义角色(如针对不同资源类型的单独角色),您还可以这样做并将自定义角色传递给Amazon Backup。要查看为单个资源类型启用备份和还原的角色示例,请参阅管理的策略

创建的默认服务角色Amazon Backup管理备份的创建和还原。它具有两个托管策略AWSBackupServiceRolePolicyForBackupAWSBackupServiceRolePolicyForRestores。它还允许"Action":"iam:PassRole"以启动 EC2 实例作为恢复的一部分。

Amazon Backup备份的默认服务角色

该角色包括一个 IAM 策略,该策略将授予Amazon Backup权限以描述正在备份的资源、创建备份、删除备份或描述备份的能力以及向备份添加标记的能力。此 IAM 策略包括所有资源类型的必要权限:Amazon Backup支持。

Amazon Backup恢复的默认服务角色

该角色包括一个 IAM 策略,该策略将授予Amazon Backup权限,用于创建、删除或描述从备份创建的新资源。它还包括权限来标记新创建的资源。此 IAM 策略包括所有资源类型的必要权限:Amazon Backup支持。