IAM 服务角色 - AWS Backup
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 服务角色

AWS Identity and Access Management (IAM) 角色类似于用户,因为它是一个 AWS 身份,它具有确定该身份在 AWS 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。服务角色是 AWS 服务代入以代表您执行操作的角色。作为代表您执行备份操作的服务,AWS Backup 要求您在该服务代表您执行备份操作时将其传递给要代入的角色。有关 IAM 角色的更多信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html 中的 IAM 用户指南IAM 角色

您传递到 AWS Backup 的角色必须拥有一个 IAM 策略,该策略具有的权限可让 AWS Backup 执行备份操作关联的操作(如创建备份、还原备份或使备份过期)。AWS Backup 支持的每个 AWS 服务都需要不同的权限。该角色还必须将 AWS Backup 列为可信实体,这使得 AWS Backup 能够代入该角色。

在还原或创建备份时,您将角色传递给 AWS Backup。您还可以在将 AWS 资源分配给备份计划时指定角色。当 AWS Backup 根据您为其分配资源的备份计划代表您创建备份和使备份过期时,它代入此角色。

使用 AWS 角色控制对备份的访问

您可以使用角色来控制对备份的访问,方法是定义范围狭窄的角色,并指定谁可以将该角色传递给 AWS Backup。例如,您可以创建一个角色,该角色仅授予备份 Amazon Relational Database Service (Amazon RDS) 数据库的权限,并且仅授予 Amazon RDS 数据库所有者将该角色传递给 AWS Backup 的权限。AWS Backup 为每个支持的服务提供了几个预定义的托管策略。您可以将这些托管策略附加到您创建的角色。这样可以更轻松地创建具有 AWS Backup 所需的正确权限的服务特定角色。

有关 AWS Backup 的 AWS 托管策略的更多信息,请参阅托管策略

的默认服务角色AWS Backup

首次使用 AWS Backup 时,您可以选择让 AWS Backup 为您创建默认服务角色。此角色具有 AWS Backup 所需的权限,使用这些权限可以为该角色支持的所有 AWS 服务执行备份操作。如果您可以对要备份的所有资源类型使用同一个角色,则应使用默认角色。如果出于安全原因,您更喜欢为不同的资源类型使用单独的角色,您还可以创建自己的角色以传递到 AWS Backup,而不是使用默认角色。

注意

如果您是 AWS Backup 的新用户,则必须创建角色、列出角色并传递角色权限。创建角色后,只需要列出角色和传递角色权限。

您必须使用 AWS 管理控制台创建默认角色。您无法使用 AWS 命令行界面 (AWS CLI) 创建默认角色。

由 AWS Backup 创建的默认服务角色管理备份的创建和还原。

用于备份的 AWS Backup 默认服务角色

此角色包括 IAM 策略,该策略授予 AWS Backup 权限以描述正在备份的资源,创建、删除或描述备份的能力,以及向备份添加标记的能力。此 IAM 策略包括 AWS Backup 支持的所有资源类型的必要权限。

用于还原的 AWS Backup 默认服务角色

此角色包含一个 IAM 策略,该策略授予相应的 AWS Backup 权限,用于创建、删除或描述从备份创建的新资源。它还包括权限来标记新创建的资源。此 IAM 策略包括 AWS Backup 支持的所有资源类型的必要权限。