IAM 服务角色 - Amazon Backup
使用 Amazon 角色控制对备份的访问权限的默认服务角色 Amazon Backup在控制台中创建默认服务角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 服务角色

Amazon Identity and Access Management (IAM) 角色与用户类似,因为它是一个具有权限策略的 Amazon 身份,该策略决定了该身份可以做什么和不能做什么 Amazon。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。服务角色是 Amazon 服务代替您执行操作的角色。作为代表您执行备份操作的服务, Amazon Backup 要求您在该服务代表您执行备份操作时将其传递给要代入的角色。有关 IAM 角色的更多信息,请参阅《IAM 用户指南》中的 IAM 角色

您传递给的角色 Amazon Backup 必须具有 IAM 策略,该策略具有执行与备份操作相关的操作的权限,例如创建、还原或过期备份。 Amazon Backup Amazon Backup 支持的每项 Amazon 服务都需要不同的权限。该角色还必须 Amazon Backup 列为可信实体,这样 Amazon Backup 才能担任该角色。

在为备份计划分配资源或执行按需备份、复制或还原时,必须传递一个有权对指定资源执行底层操作的服务角色。 Amazon Backup 使用此角色创建、标记和删除您账户中的资源。

使用 Amazon 角色控制对备份的访问权限

您可以使用角色来控制对备份的访问,方法是定义范围狭窄的角色,并指定谁可以将该角色传递给 Amazon Backup。例如,您可以创建一个角色,该角色仅授予备份亚马逊关系数据库服务 (Amazon RDS) 数据库的权限,而仅授予 Amazon RDS 数据库所有者将该角色传递给的权限 Amazon Backup。 Amazon Backup 为每种支持的服务提供了多个预定义的托管策略。您可以将这些托管策略附加到您创建的角色。这样可以更轻松地创建具有 Amazon Backup 所需正确权限的服务特定角色。

有关 Amazon 托管策略的更多信息 Amazon Backup,请参阅的托管策略 Amazon Backup

的默认服务角色 Amazon Backup

首次使用 Amazon Backup 控制台时,您可以选择为您 Amazon Backup 创建默认服务角色。此角色具有为其支持的所有 Amazon 服务执行备份操作 Amazon Backup 所需的权限。要选择默认服务角色,请遵循入门中的任意选项。

注意

默认角色是在您使用 Amazon Web Services Management Console时自动创建的。您可以使用 Amazon Command Line Interface (Amazon CLI) 创建默认角色,但必须手动完成。

如果您更喜欢使用自定义角色,例如为不同的资源类型使用不同的角色,也可以这样做并将您的自定义角色传递给 Amazon Backup。要查看为单个资源类型启用备份和还原的角色示例,请参阅客户托管策略表。

创建的默认服务角色无需使用自定义角色即可 Amazon Backup 管理备份的创建和恢复。默认服务角色被调用AWSBackupDefaultServiceRole

AWSBackupDefaultServiceRole包含两个托管策略,AWSBackupServiceRolePolicyForBackupAWSBackupServiceRolePolicyForRestores

AWSBackupServiceRolePolicyForBackup包括一个 IAM 策略,该策略授予描述正在备份的资源的 Amazon Backup 权限,以及创建、删除、描述备份或向备份添加标签的能力,无论使用何种 Amazon KMS 密钥对其进行加密。此 IAM 策略包括 Amazon Backup 支持的所有资源类型的必要权限。

AWSBackupServiceRolePolicyForRestores包括一个 IAM 策略,该策略授予创建、删除或描述从备份中创建的新资源的 Amazon Backup 权限,无论使用何种 Amazon KMS 密钥对其进行加密。它还包括权限来标记新创建的资源。此 IAM 策略包括 Amazon Backup 支持的所有资源类型的必要权限。

要还原 Amazon EC2 实例,您必须启动一个新实例。

在控制台中创建默认服务角色

您在 Amazon Backup 控制台中执行的特定操作将创建 Amazon Backup 默认服务角色。

要在您的 Amazon 账户AWSBackupDefaultServiceRole中创建 Amazon Backup 默认服务角色,请执行以下操作:

  1. 打开 Amazon Backup 控制台,网址为 https://console.aws.amazon.com/backup

  2. 要为您的账户创建角色,请为备份计划分配资源或创建按需备份。

    1. 创建备份计划并为备份分配资源。请参阅创建计划备份

    2. 或者,创建按需备份。请参阅创建按需备份

  3. 按照以下步骤验证您是否已在账户中创建 AWSBackupDefaultServiceRole

    1. 等待几分钟。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的我所做的更改并不总是立即可见

    2. 登录 Amazon Web Services Management Console 并打开 IAM 控制台,网址为 https://console.aws.amazon.com/iam/

    3. 在左导航菜单中,选择角色

    4. 在搜索栏中,键入 AWSBackupDefaultServiceRole。如果存在此选择,则表示您已经创建了 Amazon Backup 默认角色并完成了此过程。

    5. 如果 AWSBackupDefaultServiceRole 仍未出现,请向用于访问控制台的 IAM 用户或 IAM 角色添加以下权限。

      {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "iam:CreateRole",
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
    },
    {
      "Effect":"Allow",
      "Action":[
        "iam:ListRoles"
      ],
      "Resource":"*"
    }
  ]
}

      对于中国区域,请将 aws 替换为 aws-cn。对于 Amazon GovCloud (US) 区域,将 a w s 替换为aws-us-gov

    6. 如果您无法向 IAM 用户或 IAM 角色添加权限,请让您的管理员手动创建一个名称不为 AWSBackupDefaultServiceRole 的角色,并将该角色附加到以下托管策略:

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores