IAM服务角色 - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM服务角色

Amazon Identity and Access Management (IAM) 角色与用户类似,因为它是一个 Amazon 身份,其权限策略决定了该身份可以做什么和不能做什么 Amazon。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。服务角色是 Amazon 服务代替您执行操作的角色。作为代表您执行备份操作的服务, Amazon Backup 要求您在该服务代表您执行备份操作时将其传递给要代入的角色。有关IAM角色的更多信息,请参阅《IAM用户指南》中的IAM角色

您传递给的角色 Amazon Backup 必须具有允许执行与备份操作 Amazon Backup 相关的操作(例如创建、还原或过期备份)的权限的IAM策略。 Amazon Backup 支持的每项 Amazon 服务都需要不同的权限。该角色还必须 Amazon Backup 列为可信实体,这样 Amazon Backup 才能担任该角色。

在为备份计划分配资源或执行按需备份、复制或还原时,必须传递一个有权对指定资源执行底层操作的服务角色。 Amazon Backup 使用此角色在您的账户中创建、标记和删除资源。

使用 Amazon 角色控制对备份的访问权限

您可以使用角色来控制对备份的访问,方法是定义范围狭窄的角色,并指定谁可以将该角色传递给 Amazon Backup。例如,您可以创建一个角色,该角色仅授予备份亚马逊关系数据库服务 (AmazonRDS) 数据库的权限,而仅授予亚马逊RDS数据库所有者将该角色传递给的权限 Amazon Backup。 Amazon Backup 为每种支持的服务提供了多个预定义的托管策略。您可以将这些托管策略附加到您创建的角色。这样可以更轻松地创建具有 Amazon Backup 所需正确权限的服务特定角色。

有关 Amazon 托管策略的更多信息 Amazon Backup,请参阅的托管策略 Amazon Backup

的默认服务角色 Amazon Backup

首次使用 Amazon Backup 控制台时,您可以选择为您 Amazon Backup 创建默认服务角色。此角色具有代表您创建和恢复备份 Amazon Backup 所需的权限。

注意

默认角色是在您使用 Amazon Web Services Management Console时自动创建的。您可以使用 Amazon Command Line Interface (Amazon CLI) 创建默认角色,但必须手动完成。

如果您更喜欢使用自定义角色,例如为不同的资源类型使用不同的角色,也可以这样做并将您的自定义角色传递给 Amazon Backup。要查看为单个资源类型启用备份和还原的角色示例,请参阅客户托管策略表。

默认服务角色名为AWSBackupDefaultServiceRole。此服务角色包含两个托管策略,AWSBackupServiceRolePolicyForBackupAWSBackupServiceRolePolicyForRestores

AWSBackupServiceRolePolicyForBackup包括一项IAM策略,该策略授予描述正在备份的资源的 Amazon Backup 权限,以及创建、删除、描述备份或向备份添加标签的能力,无论使用何种 Amazon KMS 密钥对其进行加密。

AWSBackupServiceRolePolicyForRestores包括一项IAM策略,该策略授予创建、删除或描述正在从备份中创建的新资源的 Amazon Backup 权限,无论使用何种 Amazon KMS 密钥对其进行加密。它还包括权限来标记新创建的资源。

要恢复 Amazon EC2 实例,您必须启动一个新实例。

在控制台中创建默认服务角色

您在 Amazon Backup 控制台中执行的特定操作将创建 Amazon Backup 默认服务角色。

在您的 Amazon 账户中创建 Amazon Backup 默认服务角色
  1. https://console.aws.amazon.com/backup 上打开 Amazon Backup 控制台。

  2. 要为您的账户创建角色,请为备份计划分配资源或创建按需备份。

    1. 创建备份计划并为备份分配资源。请参见创建备份计划

    2. 或者,创建按需备份。请参阅创建按需备份

  3. 按照以下步骤验证您是否已在账户中创建 AWSBackupDefaultServiceRole

    1. 等待几分钟。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的我所做的更改并不总是立即可见

    2. 登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/

    3. 在左导航菜单中,选择角色

    4. 在搜索栏中,键入 AWSBackupDefaultServiceRole。如果存在此选择,则表示您已经创建了 Amazon Backup 默认角色并完成了此过程。

    5. 如果AWSBackupDefaultServiceRole仍未出现,请向用于访问控制台的IAM用户或IAM角色添加以下权限。

      { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iam:CreateRole", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole" }, { "Effect":"Allow", "Action":[ "iam:ListRoles" ], "Resource":"*" } ] }

      对于中国区域,请替换 aws 替换为 aws-cn。 对于 Amazon GovCloud (US) 区域,请替换 aws 替换为 aws-us-gov.

    6. 如果您无法为IAM用户或IAM角色添加权限,请要求您的管理员手动创建名称为以下托管策略的角色AWSBackupDefaultServiceRole并将该角色附加到以下托管策略:

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores