IAM 服务角色 - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 服务角色

Amazon Identity and Access Management (IAM) 角色类似于用户,因为它是一个 Amazon 身份,具有确定其在 Amazon 中可执行和不可执行操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。服务角色是 Amazon 服务代入以代表您执行操作的角色。作为代表您执行备份操作的服务,Amazon Backup 要求您在该服务代表您执行备份操作时将其传递给要代入的角色。有关 IAM 角色的更多信息,请参阅《IAM 用户指南》中的 IAM 角色

您传递到 Amazon Backup 的角色必须拥有一个 IAM 策略,该策略具有的权限可让 Amazon Backup 执行与备份操作关联的操作(如创建备份、还原备份或使备份过期)。Amazon Backup 支持的每个 Amazon 服务都需要不同的权限。该角色还必须将 Amazon Backup 列为可信实体,这使得 Amazon Backup 能够代入该角色。

在向备份计划分配资源或执行按需备份、复制或还原时,必须传递一个有权对指定资源执行底层操作的服务角色。Amazon Backup 使用此角色创建、标记和删除您账户中的资源。

使用 Amazon 角色控制对备份的访问

您可以使用角色来控制对备份的访问,方法是定义范围狭窄的角色,并指定谁可以将该角色传递给 Amazon Backup。例如,您可以创建一个角色,该角色仅授予备份 Amazon Relational Database Service (Amazon RDS) 数据库的权限,并且仅授予 Amazon RDS 数据库所有者将该角色传递给 Amazon Backup 的权限。Amazon Backup 为每个支持的服务提供了几个预定义的托管策略。您可以将这些托管策略附加到您创建的角色。这样可以更轻松地创建具有 Amazon Backup 所需的正确权限的服务特定角色。

有关 Amazon Backup 的 Amazon 托管策略的更多信息,请参阅Amazon Backup 的托管策略

Amazon Backup 的默认服务角色

首次使用 Amazon Backup 控制台时,您可以选择让 Amazon Backup 为您创建默认服务角色。此角色具有 Amazon 为该角色支持的所有 Amazon Backup 服务执行备份操作所需的权限。要选择默认服务角色,请遵循入门中的任意选项。

注意

默认角色是在您使用 Amazon Web Services Management Console时自动创建的。您可以使用 Amazon Command Line Interface (Amazon CLI) 创建默认角色,但必须手动完成。

如果您更喜欢使用自定义角色,例如为不同的资源类型使用不同的角色,也可以这样做并将您的自定义角色传递给 Amazon Backup。要查看为单个资源类型启用备份和还原的角色示例,请参阅客户托管策略表。

Amazon Backup 创建的默认服务角色无需使用自定义角色即可管理备份的创建和还原。默认服务角色称为 AWSBackupDefaultServiceRole

AWSBackupDefaultServiceRole 包含两个托管策略,即 AWSBackupServiceRolePolicyForBackupAWSBackupServiceRolePolicyForRestores

AWSBackupServiceRolePolicyForBackup 包括一个 IAM 策略,该策略授予 Amazon Backup 的权限可描述正在备份的资源,创建、删除、描述备份或向备份添加标签的能力,而不管用于加密它的 Amazon KMS 密钥如何。此 IAM 策略包括 Amazon Backup 支持的所有资源类型的必要权限。

AWSBackupServiceRolePolicyForRestores 包括一个 IAM 策略,该策略授予 Amazon Backup 的权限可创建、删除或描述从备份创建的新资源,而不管用于加密它的 Amazon KMS 密钥如何。它还包括权限来标记新创建的资源。此 IAM 策略包括 Amazon Backup 支持的所有资源类型的必要权限。

要还原 Amazon EC2 实例,您必须启动一个新实例。

在控制台中创建默认服务角色

您在 Amazon Backup 控制台中执行的特定操作将创建 Amazon Backup 默认服务角色。

要在 Amazon 账户中创建 Amazon Backup 默认服务角色 AWSBackupDefaultServiceRole,请执行以下操作:
  1. 打开 Amazon Backup 控制台,网址为:https://console.aws.amazon.com/backup

  2. 要为您的账户创建角色,请为备份计划分配资源或创建按需备份。

    1. 创建备份计划并为备份分配资源。请参阅创建计划备份

    2. 或者,创建按需备份。请参阅创建按需备份

  3. 按照以下步骤验证您是否已在账户中创建 AWSBackupDefaultServiceRole

    1. 等待几分钟。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的我所做的更改并不总是立即可见

    2. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

    3. 在左导航菜单中,选择角色

    4. 在搜索栏中,键入 AWSBackupDefaultServiceRole。如果存在此选项,则表示您已经创建 Amazon Backup 默认角色并完成此过程。

    5. 如果 AWSBackupDefaultServiceRole 仍未出现,请向用于访问控制台的 IAM 用户或 IAM 角色添加以下权限。

      { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iam:CreateRole", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole" }, { "Effect":"Allow", "Action":[ "iam:ListRoles" ], "Resource":"*" } ] }

      对于中国区域,请将 aws 替换为 aws-cn。对于Amazon GovCloud (US)区域,将 a w s 替换为aws-us-gov

    6. 如果您无法向 IAM 用户或 IAM 角色添加权限,请让您的管理员手动创建一个名称不为 AWSBackupDefaultServiceRole 的角色,并将该角色附加到以下托管策略:

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores