的托管策略 Amazon Backup

托管策略是基于身份的独立策略，您可以将其附加到中的多个用户、群组和角色。 Amazon Web Services 账户将策略附加到主体实体时，便向实体授予了策略中定义的权限。

Amazon 托管策略由创建和管理 Amazon。

客户托管策略为您提供了精细的控制来设置对备份的访问权限。 Amazon Backup例如，您可以使用它们向数据库备份管理员授予对 Amazon RDS 备份，而不是 Amazon EFS 备份的访问权限。

客户托管策略

创建客户托管策略的一种方式是：首先复制一个现有 Amazon 托管策略。这样从一开始您就可以确信策略是正确的，只需根据您的环境进行自定义即可。

以下策略为单个 Amazon Backup支持的 Amazon 服务和第三方应用程序指定备份和还原权限。可以对其进行自定义，并将其附加到您创建的角色上，以进一步限制对 Amazon 资源的访问权限。

以下策略为单个 Amazon Backup支持的 Amazon 服务和第三方应用程序指定备份权限。可以对其进行自定义，并将其附加到您创建的角色上，以进一步限制对 Amazon 资源的访问权限。

Amazon S3


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"S3BucketBackupPermissions",
      "Action":[
        "s3:GetInventoryConfiguration",
        "s3:PutInventoryConfiguration",
        "s3:ListBucketVersions",
        "s3:ListBucket",
        "s3:GetBucketVersioning",
        "s3:GetBucketNotification",
        "s3:PutBucketNotification",
        "s3:GetBucketLocation",
        "s3:GetBucketTagging",
        "s3:GetBucketAcl"
      ],
      "Effect":"Allow",
      "Resource":[
        "arn:aws:s3:::*"
      ]
    },
    {
      "Sid":"S3ObjectBackupPermissions",
      "Action":[
        "s3:GetObjectAcl",
        "s3:GetObject",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersion"
      ],
      "Effect":"Allow",
      "Resource":[
        "arn:aws:s3:::*/*"
      ]
    },
    {
      "Sid":"S3GlobalPermissions",
      "Action":[
        "s3:ListAllMyBuckets"
      ],
      "Effect":"Allow",
      "Resource":[
        "*"
      ]
    },
    {
      "Sid":"KMSBackupPermissions",
      "Action":[
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Effect":"Allow",
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "kms:ViaService":"s3.*.amazonaws.com"
        }
      }
    },
    {
      "Sid":"EventsPermissions",
      "Action":[
        "events:DescribeRule",
        "events:EnableRule",
        "events:PutRule",
        "events:DeleteRule",
        "events:PutTargets",
        "events:RemoveTargets",
        "events:ListTargetsByRule",
        "events:DisableRule"
      ],
      "Effect":"Allow",
      "Resource":"arn:aws:events:*:*:rule/AwsBackupManagedRule*"
    },
    {
      "Sid":"EventsMetricsGlobalPermissions",
      "Action":[
        "cloudwatch:GetMetricData",
        "events:ListRules"
      ],
      "Effect":"Allow",
      "Resource":"*"
    }
  ]
}

VM


{
      "Sid": "BackupGatewayBackupPermissions"
      "Effect": "Allow",
      "Action": [
        "backup-gateway:Backup",
        "backup-gateway:ListTagsForResource"
      ],
      "Resource": "arn:aws:backup-gateway:*:*:vm/*"
    }

Amazon EBS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":"ec2:CreateTags",
      "Resource":"arn:aws:ec2:*::snapshot/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateSnapshot",
        "ec2:DeleteSnapshot"
      ],
      "Resource":[
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:*:volume/*"
      ]
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeVolumes",
        "ec2:DescribeSnapshots",
        "ec2:CopySnapshot",
        "ec2:DescribeTags"
      ],
      "Resource":"*"
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    }
  ]
}

Amazon EFS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Action":[
        "elasticfilesystem:Backup",
        "elasticfilesystem:DescribeTags"
      ],
      "Resource":"arn:aws:elasticfilesystem:*:*:file-system/*",
      "Effect":"Allow"
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    }
  ]
}

Amazon RDS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "rds:AddTagsToResource",
        "rds:ListTagsForResource",
        "rds:DescribeDBSnapshots",
        "rds:CreateDBSnapshot",
        "rds:CopyDBSnapshot",
        "rds:DescribeDBInstances",
        "rds:CreateDBClusterSnapshot",
				"rds:DescribeDBClusters",
				"rds:DescribeDBClusterSnapshots",
				"rds:CopyDBClusterSnapshot"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "rds:DeleteDBSnapshot",
        "rds:ModifyDBSnapshotAttribute"
      ],
      "Resource":[
        "arn:aws:rds:*:*:snapshot:awsbackup:*"
      ]
    },
    {
      "Effect": "Allow",
			"Action": [
				"rds:DeleteDBClusterSnapshot",
				"rds:ModifyDBClusterSnapshotAttribute"
			],
			"Resource": [
				"arn:aws:rds:*:*:cluster-snapshot:awsbackup:*"
			]
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    },
    {
      "Action":"kms:DescribeKey",
      "Effect":"Allow",
      "Resource":"*"
    }
  ]
}

Amazon Aurora


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "rds:CreateDBClusterSnapshot",
        "rds:DescribeDBClusters",
        "rds:DescribeDBClusterSnapshots",
        "rds:AddTagsToResource",
        "rds:ListTagsForResource",
        "rds:CopyDBClusterSnapshot"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "rds:DeleteDBClusterSnapshot"
      ],
      "Resource":[
        "arn:aws:rds:*:*:cluster-snapshot:awsbackup:*"
      ]
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    },
    {
      "Action":"kms:DescribeKey",
      "Effect":"Allow",
      "Resource":"*"
    }
  ]
}

Storage Gateway


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "storagegateway:CreateSnapshot",
        "storagegateway:ListTagsForResource"
      ],
      "Resource":"arn:aws:storagegateway:*:*:gateway/*/volume/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateTags",
        "ec2:DeleteSnapshot"
      ],
      "Resource":"arn:aws:ec2:*::snapshot/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    }
  ]
}

Amazon FSx


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Action": "fsx:DescribeBackups",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:backup/*"
    },
    {
      "Action": "fsx:CreateBackup",
      "Effect": "Allow",
      "Resource": [
        "arn:aws:fsx:*:*:file-system/*",
        "arn:aws:fsx:*:*:backup/*"
      ]
    },
    {
      "Action": "fsx:DescribeFileSystems",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:file-system/*"
    },
    {
      "Action": "fsx:ListTagsForResource",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:file-system/*"
    },
    {
      "Action": "fsx:DeleteBackup",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:backup/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "fsx:ListTagsForResource",
        "fsx:ManageBackupPrincipalAssociations",
        "fsx:CopyBackup",
        "fsx:TagResource"
      ],
      "Resource": "arn:aws:fsx:*:*:backup/*"
    }
  ]
}

Amazon EC2


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateTags",
        "ec2:DeleteSnapshot"
      ],
      "Resource":"arn:aws:ec2:*::snapshot/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateImage",
        "ec2:DeregisterImage"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CopyImage",
        "ec2:CopySnapshot"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateTags"
      ],
      "Resource":"arn:aws:ec2:*:*:image/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeImages",
        "ec2:DescribeInstances",
        "ec2:DescribeInstanceAttribute",
        "ec2:DescribeInstanceCreditSpecifications",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeElasticGpus",
        "ec2:DescribeSpotInstanceRequests"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateSnapshot",
        "ec2:DeleteSnapshot",
        "ec2:DescribeVolumes",
        "ec2:DescribeSnapshots"
      ],
      "Resource":[
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:*:volume/*"
      ]
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    }
  ]
}

Windows VSS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateTags",
        "ec2:DeleteSnapshot"
      ],
      "Resource":"arn:aws:ec2:*::snapshot/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateImage",
        "ec2:DeregisterImage"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CopyImage",
        "ec2:CopySnapshot"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateTags"
      ],
      "Resource":"arn:aws:ec2:*:*:image/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeImages",
        "ec2:DescribeInstances",
        "ec2:DescribeInstanceAttribute",
        "ec2:DescribeInstanceCreditSpecifications",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeElasticGpus",
        "ec2:DescribeSpotInstanceRequests"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateSnapshot",
        "ec2:DeleteSnapshot",
        "ec2:DescribeVolumes",
        "ec2:DescribeSnapshots"
      ],
      "Resource":[
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:*:volume/*"
      ]
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ssm:CancelCommand",
        "ssm:GetCommandInvocation"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":"ssm:SendCommand",
      "Resource":[
        "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot",
        "arn:aws:ec2:*:*:instance/*"
      ]
    }
  ]
}

以下策略指定了单个 Amazon Backup支持的 Amazon 服务和第三方应用程序的还原权限。可以对其进行自定义，并将其附加到您创建的角色上，以进一步限制对 Amazon 资源的访问权限。

Amazon S3


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"S3BucketRestorePermissions",
      "Action":[
        "s3:CreateBucket",
        "s3:ListBucketVersions",
        "s3:ListBucket",
        "s3:GetBucketVersioning",
        "s3:GetBucketLocation",
        "s3:PutBucketVersioning"
      ],
      "Effect":"Allow",
      "Resource":[
        "arn:aws:s3:::*"
      ]
    },
    {
      "Sid":"S3ObjectRestorePermissions",
      "Action":[
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:DeleteObject",
        "s3:PutObjectVersionAcl",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectTagging",
        "s3:PutObjectTagging",
        "s3:GetObjectAcl",
        "s3:PutObjectAcl",
        "s3:PutObject",
        "s3:ListMultipartUploadParts"
      ],
      "Effect":"Allow",
      "Resource":[
        "arn:aws:s3:::*/*"
      ]
    },
    {
      "Sid":"S3KMSPermissions",
      "Action":[
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:GenerateDataKey"
      ],
      "Effect":"Allow",
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "kms:ViaService":"s3.*.amazonaws.com"
        }
      }
    }
  ]
}

VM


{
      "Sid": "GatewayRestorePermissions",         
      "Effect": "Allow",
      "Action": [
        "backup-gateway:Restore"
      ],
      "Resource": "arn:aws:backup-gateway:*:*:hypervisor/*"
    }

Amazon EBS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateVolume",
        "ec2:DeleteVolume"
      ],
      "Resource":[
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:*:volume/*"
      ]
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
    }
  ]
}

Amazon EFS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "elasticfilesystem:Restore",
        "elasticfilesystem:CreateFilesystem",
        "elasticfilesystem:DescribeFilesystems",
        "elasticfilesystem:DeleteFilesystem"
      ],
      "Resource":"arn:aws:elasticfilesystem:*:*:file-system/*"
    }
  ]
}

Amazon RDS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "rds:DescribeDBInstances",
        "rds:DescribeDBSnapshots",
        "rds:ListTagsForResource",
        "rds:RestoreDBInstanceFromDBSnapshot",
        "rds:DeleteDBInstance",
        "rds:AddTagsToResource"
      ],
      "Resource":"*"
    }
  ]
}

Amazon Aurora


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "rds:DeleteDBCluster",
        "rds:DescribeDBClusters",
        "rds:RestoreDBClusterFromSnapshot",
        "rds:ListTagsForResource",
        "rds:AddTagsToResource"
      ],
      "Resource":"*"
    }
  ]
}

Storage Gateway


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "storagegateway:DeleteVolume",
        "storagegateway:DescribeCachediSCSIVolumes",
        "storagegateway:DescribeStorediSCSIVolumes"
      ],
      "Resource":"arn:aws:storagegateway:*:*:gateway/*/volume/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "storagegateway:DescribeGatewayInformation",
        "storagegateway:CreateStorediSCSIVolume",
        "storagegateway:CreateCachediSCSIVolume"
      ],
      "Resource":"arn:aws:storagegateway:*:*:gateway/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "storagegateway:ListVolumes"
      ],
      "Resource":"arn:aws:storagegateway:*:*:*"
    }
  ]
}

Amazon FSx


{
  "Version": "2012-10-17",
  "Statement": 
  [    
    {
      "Action": 
      [
        "fsx:CreateFileSystemFromBackup"
      ],
      "Effect": "Allow",
      "Resource": 
      [
        "arn:aws:fsx:*:*:file-system/*",
        "arn:aws:fsx:*:*:backup/*"
      ]
    },    
    {
      "Action": "fsx:DescribeFileSystems",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:file-system/*"
    },    
    {
      "Action": "fsx:DescribeBackups",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:backup/*"
    },    
    {
      "Action": 
      [
        "fsx:DeleteFileSystem",
        "fsx:UntagResource"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:file-system/*",
      "Condition": 
      {
        "Null": 
        {
          "aws:ResourceTag/aws:backup:source-resource": "false"
        }
      }
    },    
    {
      "Action": "ds:DescribeDirectories",
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Amazon EC2


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateVolume",
        "ec2:DeleteVolume"
      ],
      "Resource":[
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:*:volume/*"
      ]
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeImages",
        "ec2:DescribeInstances"
      ],
      "Resource":"*"
    },
    {
      "Action":[
        "ec2:RunInstances"
      ],
      "Effect":"Allow",
      "Resource":"*"
    },
    {
      "Action":[
        "ec2:TerminateInstances"
      ],
      "Effect":"Allow",
      "Resource":"arn:aws:ec2:*:*:instance/*"
    },
    {
      "Action":"iam:PassRole",
      "Resource":"arn:aws:iam::<account-id>:role/<role-name>",
      "Effect":"Allow"
    }
  ]
}

要还原加密的备份，请执行以下操作之一：

将您的角色添加到 Amazon Key Management Service (Amazon KMS) 密钥策略的许可名单

将此策略附加到您的 IAM 角色以进行还原：


{
  "Action": [
     "kms:DescribeKey",
     "kms:Decrypt",
     "kms:Encrypt",
     "kms:GenerateDataKey",
     "kms:ReEncrypt*"
  ],
  "Effect": "Allow",
  "Resource": "*"
}

的政策更新 Amazon Backup

Amazon 服务维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份（用户、组和角色）。当推出新功能或有新操作可用时，服务最有可能更新 Amazon 托管策略。服务不会从 Amazon 托管策略中移除权限，因此策略更新不会破坏您的现有权限。

此外，还 Amazon 支持跨多个服务的工作职能的托管策略。例如，ReadOnlyAccess Amazon 托管策略提供对所有 Amazon 服务和资源的只读访问权限。当服务启动一项新功能时， Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明，请参阅《IAM 用户指南》中的适用于工作职能的Amazon 托管式策略。

查看 Amazon Backup 自该服务开始跟踪这些更改以来 Amazon 托管策略更新的详细信息。要获得有关此页面变更的自动提醒，请订阅 “ Amazon Backup 文档历史记录” 页面上的 RSS feed。

更改	描述	日期
AWSBackupServiceRolePolicyForRestores— 增加了支持 Amazon Backup 过渡到 Amazon Elastic Block Store 存档存储层的权限	Amazon Backup 添加了权限`ec2:DescribeSnapshotTierStatus`和`ec2:RestoreSnapshotTier`。用户必须拥有这些权限，才能选择 Amazon Backup 从存档存储中恢复存储的 Amazon EBS 资源。对于 EC2 实例还原，还必须在以下策略语句中包括所示权限才能启动 EC2 实例：	2023 年 11 月 27 日
AWSBackupServiceRolePolicyForBackups— 增加了支持 Amazon Backup 过渡到 Amazon Elastic Block Store 存档存储层的权限	Amazon Backup 添加了权限`ec2:DescribeSnapshotTierStatus`并支持`ec2:ModifySnapshotTier`将备份的 Amazon EBS 资源过渡到存档存储层的额外存储选项。用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 Amazon Backup 到存档存储。	2023 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了支持 Amazon Backup 过渡到 Amazon Elastic Block Store 存档存储层的权限 — 还增加了支持 Amazon Aurora 持续备份和 PITR（point-in-time 恢复）的权限。	Amazon Backup 添加了权限`ec2:DescribeSnapshotTierStatus`并支持`ec2:ModifySnapshotTier`将备份的 Amazon EBS 资源过渡到存档存储层的额外存储选项。用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 Amazon Backup 到存档存储。 Amazon Backup 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`，这是 Aurora 集群的 PITR（point-in-time 恢复）所必需的。
AWSServiceRoleForBackupRestoreTesting— 添加了新的服务相关角色。	Amazon Backup 添加了名为的新服务相关角色 `AWSServiceRoleForBackupRestoreTesting`，该角色为执行还原测试提供了备份权限。这个新的服务相关角色提供了 Amazon Backup 进行恢复测试所需的权限。权限包括适用于要在还原测试中包括的以下服务的操作 `list, read, and write`：Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、FSx for Lustre、FSx for Windows File Server、FSx for ONTAP、FSx for OpenZFS、Amazon Neptune、Amazon RDS 和 Amazon S3。针对此策略的变更跟踪已开始。	2023 年 11 月 27 日
AWSBackupFullAccess— 添加了通过角色权限以支持恢复测试。	Amazon Backup 已`restore-testing.backup.amazonaws.com`添加到`IamPassRolePermissions`和`IamCreateServiceLinkedRolePermissions`。为了代表客户 Amazon Backup 进行恢复测试，必须添加此项。	2023 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores— 增加了支持 Amazon Aurora 持续备份和 PITR（point-in-time 恢复）的权限。	Amazon Backup 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`，这是 Aurora 集群的 PITR（point-in-time 恢复）所必需的。	2023 年 9 月 6 日
AWSBackupFullAccess— 增加了支持持续备份和 Amazon Aurora 的 PITR（point-in-time 恢复）的新权限。	Amazon Backup 添加了持续备份和 point-in-time 恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。	2023 年 9 月 6 日
AWSBackupOperatorAccess— 增加了支持持续备份和 Amazon Aurora 的 PITR（point-in-time 恢复）的新权限。	Amazon Backup 添加了持续备份和 point-in-time 恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。	2023 年 9 月 6 日
AWSBackupServiceRolePolicyForBackup— 增加了支持 Amazon Aurora 持续备份和 PITR（point-in-time 恢复）的权限。	Amazon Backup 添加了权限`rds:DescribeDBClusterAutomatedBackups`。此权限是 Amazon Backup 支持 Aurora 集群的持续备份和 point-in-time 恢复所必需的。 Amazon Backup 添加了`rds:DeleteDBClusterAutomatedBackups`允许 Amazon Backup 生命周期在保留期结束时删除和解除关联 Amazon Aurora 持续恢复点的权限。需要此权限才能让 Aurora 恢复点避免转换为 `EXIPIRED` 状态。 Amazon Backup 添加`rds:ModifyDBCluster`了允许与 Aurora 集群 Amazon Backup 进行交互的权限。此新增权限使用户能够根据所需的配置启用或禁用连续备份。	2023 年 9 月 6 日
AWSBackupFullAccess— 添加了获取新文件库类型的资源共享关联的权限。	Amazon Backup 添加了授`ram:GetResourceShareAssociations`予用户获取新文件库类型资源共享关联的权限的操作。 Amazon Backup 需要此额外权限才能与之交互 Amazon RAM。	2023 年 8 月 8 日
AWSBackupOperatorAccess— 添加了获取新文件库类型的资源共享关联的权限。	Amazon Backup 添加了授`ram:GetResourceShareAssociations`予用户获取新文件库类型资源共享关联的权限的操作。 Amazon Backup 需要此额外权限才能与之交互 Amazon RAM。	2023 年 8 月 8 日
AWSBackupServiceRolePolicyForS3Backup— 增加了支持 Amazon S3 备份的新权限	Amazon Backup 添加了权限`s3:PutInventoryConfiguration`。 Amazon Backup 需要此权限才能使用存储桶清单来提高备份性能。	2023 年 8 月 1 日
AWSBackupServiceRolePolicyForRestores— 增加了在还原作业期间向资源添加标签的权限。	Amazon Backup 添加了以下操作以授予用户添加标签以还原资源的权限：`storagegateway:AddTagsToResourceelasticfilesystem:TagResource`、`ec2:CreateAction`，仅`ec2:CreateTags`适用于包括`RunInstances`或`CreateVolumefsx:TagResource`、和`cloudformation:TagResource`。这些添加的权限对于 Amazon Backup 在还原过程中向资源添加标签是必需的。	2023 年 5 月 22 日
AWSBackupAuditAccess— 替换了资源选择	Amazon Backup 将 API `config:DescribeComplianceByConfigRule` 中的资源选择替换为通配符资源。这种扩展的资源选择使用户能够更轻松地选择错误更少的资源。	2023 年 4 月 11 日
AWSBackupServiceRolePolicyForRestores— 增加了支持加密的 Amazon Elastic File System 恢复的权限。	Amazon Backup 添加了以下使用客户托管密钥恢复 Amazon EFS 的权限：`kms:GenerateDataKeyWithoutPlaintext`。此更新对于帮助确保用户拥有还原 Amazon EFS 资源所需的权限是必要的。	2023 年 3 月 27 日
AWSServiceRolePolicyForBackupReports— 更新了动作	Amazon Backup 更新了`config:DescribeConfigRules`和`config:DescribeConfigRuleEvaluationStatus`操作以允许 Audi Amazon Backup t Manager 访问 Amazon Backup 审计管理器管理 Amazon Config 的规则。 Amazon Backup 需要此更新才能与之交互 Amazon Config。	2023 年 3 月 9 日
AWSBackupServiceRolePolicyForS3Restore— 为涉及 Amazon KMS 加密的恢复添加新的权限	Amazon Backup 在策略中添加了以下权限：`kms:Decrypts3:PutBucketOwnershipControls`、和`s3:GetBucketOwnershipControlsAWSBackupServiceRolePolicyForS3Restore`。这些权限是支持在原始备份中使用 KMS 加密时还原对象，以及在原始存储桶而不是 ACL 上配置对象所有权时还原对象所必需的权限。	2023 年 2 月 13 日
AWSBackupFullAccess— 增加了支持 VMware 备份操作的新权限	Amazon Backup 添加了以下权限：`backup-gateway:GetHypervisorPropertyMappingsbackup-gateway:GetVirtualMachine`、`backup-gateway:PutHypervisorPropertyMappings`、`backup-gateway:GetHypervisor`、`backup-gateway:StartVirtualMachinesMetadataSync`、`backup-gateway:GetBandwidthRateLimitSchedule`、和`backup-gateway:PutBandwidthRateLimitSchedule`。这些权限是使用虚拟机的 Amazon Backup VMware 标签安排备份和支持基于时间表的带宽限制所必需的。	2022 年 12 月 15 日
AWSBackupOperatorAccess— 添加了支持备份操作的新权限	Amazon Backup 添加了以下权限：`backup-gateway:GetHypervisorPropertyMappingsbackup-gateway:GetVirtualMachine`、`backup-gateway:GetHypervisor`、和`backup-gateway:GetBandwidthRateLimitSchedule`。这些权限是使用虚拟机的 Amazon Backup VMware 标签安排备份和支持基于时间表的带宽限制所必需的。	2022 年 12 月 15 日
Amazon Backup GatewayServiceRolePolicyForVirtualMachineMetadataSync— 添加了支持与虚拟机进行 Amazon Backup 网关同步的权限的新策略。	Amazon Backup 引入了此政策，其中包含以下权限：`backup-gateway:ListTagsForResourcebackup-gateway:TagResource`、和`backup-gateway:UntagResource`。这些权限是 Amazon Backup Gateway 将本地网络中虚拟机的元数据与 Backup Gateway 同步所必需的。	2022 年 12 月 15 日
AWSBackupFullAccess— 增加了允许 Amazon Backup 支持亚马逊 Redshift 资源的权限。	Amazon Backup 添加了以下权限：`redshift:DescribeClustersredshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules`、和`ec2:DescribeAddresses`。这些权限是使用亚马逊 Redshift 资源所必需的。 Amazon Backup	2022 年 11 月 27 日
AWSBackupOperatorAccess— 增加了支持亚马逊 Redshift 资源的权限。 Amazon Backup	Amazon Backup 添加了以下权限：`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups,`、`redshift:DescribeClusterTracks`。 `redshift:DescribeSnapshotSchedules`，以及`ec2:DescribeAddresses`。这些权限是使用亚马逊 Redshift 资源所必需的。 Amazon Backup	2022 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores— 增加了允许 Amazon Backup 访问亚马逊 Redshift 资源的权限。	Amazon Backup 添加了以下权限：`redshift:RestoreFromClusterSnapshotredshift:RestoreTableFromClusterSnapshot`、`redshift:DescribeClusters`、和`redshift:DescribeTableRestoreStatus`。 Amazon Backup 需要这些权限才能支持 Amazon Redshift 恢复任务。	2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup— 增加了允许 Amazon Backup 访问亚马逊 Redshift 资源的权限。	Amazon Backup 添加了以下权限：`redshift:CreateClusterSnapshotredshift:DescribeClusterSnapshots`、`redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、`redshift:DescribeClusters`、和`redshift:CreateTags`。 Amazon Backup 需要这些权限才能支持 Amazon Redshift 备份任务。	2022 年 11 月 27 日
AWSBackupFullAccess— 添加了 Amazon Backup 允许支持 Amazon CloudFormation 资源的权限。	Amazon Backup 添加了以下权限：`cloudformation:ListStacks`。此权限是 Backup 支持 CloudFormation 资源所必需的。	2022 年 11 月 27 日
AWSBackupOperatorAccess— 添加了 Amazon Backup 允许支持 Amazon CloudFormation 资源的权限。	Amazon Backup 添加了以下权限：`cloudformation:ListStacks`。此权限是 Backup 支持 CloudFormation 资源所必需的。	2022 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup— 添加了 Amazon Backup 允许支持 Amazon CloudFormation 资源的权限。	Amazon Backup 添加了以下权限：`redshift:DescribeClusterSnapshotsredshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、和`redshift:DescribeClusters`。这些权限是 Backup 支持 CloudFormation资源所必需的。	2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup— 增加了允许 Amazon Backup 访问 Amazon CloudFormation 资源的权限。	Amazon Backup 添加了以下权限：`cloudformation:GetTemplatecloudformation:DescribeStacks`、和`cloudformation:ListStackResources`。这些权限是支持 Amazon CloudFormation 应用程序堆栈备份作业所必需的。 Amazon Backup	2022 年 11 月 16 日
AWSBackupServiceRolePolicyForRestores— 增加了允许 Amazon Backup 访问 Amazon CloudFormation 资源的权限。	Amazon Backup 添加了以下权限：`cloudformation:CreateChangeSet`和 `cloudformation:DescribeChangeSet` 这些权限是支持 Amazon CloudFormation 应用程序堆栈还原任务所必需的。 Amazon Backup	2022 年 11 月 16 日
AWSBackupOrganizationAdminAccess— 为该策略 Amazon Backup 添加了授权管理员功能的权限。	Amazon Backup 为此策略添加了以下权限：`organizations:ListDelegatedAdministratororganizations:RegisterDelegatedAdministrator`、和 `organizations:DeregisterDelegatedAdministrator` 这些权限是允许组织管理员使用“委派管理员”功能所必需的权限。	2022 年 11 月 27 日
AWSBackupServiceRolePolicyForS3Backup— 增加了支持 Amazon S3 备份的新权限	Amazon Backup 添加了权限`s3:GetBucketAcl`。 Amazon Backup 需要此权限才能执行 S3 Amazon Backup 的备份操作。	2022 年 8 月 24 日
AWSBackupServiceRolePolicyForRestores— 增加了对 Amazon RDS 恢复任务的访问权限。	Amazon Backup 添加了以下操作以授予创建数据库实例的访问权限：`rds:CreateDBInstance`。 Amazon Backup 需要此权限才能支持 Amazon RDS 多可用区（多可用区）功能。	2022 年 7 月 20 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了支持 Amazon S3 备份的权限	Amazon Backup 添加了`s3:GetBucketTagging`使用资源通配符向用户授予选择要备份的存储桶的权限。如果没有此权限，使用资源通配符选择要备份的存储桶的用户将无法成功。 Amazon Backup 需要该权限才能支持 Amazon S3 数据。	2022 年 5 月 6 日
AWSBackupServiceRolePolicyForBackup— 添加了新权限以支持 FSx 进行 ONTAP 卷级备份。	Amazon Backup 在现有`fsx:CreateBackup`和`fsx:ListTagsForResource`操作范围内添加了卷资源，并添加了新操作`fsx:DescribeVolumes`以支持 FSx 进行 ONTAP 卷级别备份。 Amazon Backup 需要此权限才能支持 FSx for ONTAP。	2022 年 4 月 27 日
AWSBackupServiceRolePolicyForRestores— 增加了支持恢复 ONTAP 卷的 FSx 的权限。	Amazon Backup 添加了以下操作以授予用户恢复 ONTAP 卷的 FSx 的权限`fsx:DescribeVolumes`、`fsx:CreateVolumeFromBackup`、`fsx:DeleteVolume`和。`fsx:UntagResource` Amazon Backup 需要此权限才能支持 FSx for ONTAP。	2022 年 4 月 27 日
AWSBackupServiceRolePolicyForS3Backup— 增加了支持 Amazon S3 备份的新权限	Amazon Backup 添加了以下操作以授予用户在备份操作期间接收其 Amazon S3 存储桶变更通知的权限：`s3:GetBucketNotification`和`s3:PutBucketNotification`。 Amazon Backup 需要这些权限才能支持 Amazon S3 数据。	2022 年 2 月 25 日
AWSBackupServiceRolePolicyForS3Backup— 添加了新的 Amazon 托管策略以支持 Amazon S3 备份	在新的`AWSBackupServiceRolePolicyForS3Backup` Amazon 托管策略中， Amazon Backup 添加了以下操作以向用户授予备份其 Amazon S3 存储桶的权限：`s3:GetInventoryConfiguration`、、、`s3:PutInventoryConfiguration`、`s3:ListBucketVersions`、、`s3:ListBucket`、`s3:GetBucketTagging`、`s3:GetBucketVersioning`、、`s3:GetBucketNotifications3:GetBucketLocation`、和 `s3:ListAllMyBuckets` Amazon Backup 添加了以下操作以授予用户备份其 Amazon S3 对象的权限：`s3:GetObjects3GetObjectAcl`、`s3:GetObjectVersionTagging`、、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、和`s3:GetObjectVersion`。 Amazon Backup 添加了以下操作以授予用户备份其加密的 Amazon S3 数据的权限：`kms:Decrypt`和`kms:DescribeKey`。 Amazon Backup 添加了以下操作以授予用户使用 Amazon EventBridge 规则对其 Amazon S3 数据进行增量备份的权限：`events:DescribeRule`、`events:EnableRule`、`events:PutRule`、、`events:DeleteRule`、`events:PutTargets`、`events:RemoveTargets`、、`events:ListTargetsByRule`、`events:DisableRule`、`cloudwatch:GetMetricData`、、和`events:ListRules`。 Amazon Backup 需要这些权限才能支持 Amazon S3 数据。	2022 年 2 月 17 日
AWSBackupServiceRolePolicyForS3Restore— 添加了新的 Amazon 托管策略以支持 Amazon S3 还原	在新的`AWSBackupServiceRolePolicyForS3Restore` Amazon 托管策略中， Amazon Backup 添加了以下操作来授予用户恢复其 Amazon S3 存储桶的权限：`s3:CreateBucket`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketVersioning`、`s3:GetBucketLocation`、和`s3:PutBucketVersioning`。 Amazon Backup 添加了以下操作以授予用户恢复其 Amazon S3 存储桶的权限：`s3:GetObject`、、`s3:GetObjectVersion`、`s3:DeleteObject`、`s3:PutObjectVersionAcl`、`s3:GetObjectVersionAcl`、、`s3:GetObjectTagging`、`s3:PutObjectTagging`、`s3:GetObjectAcl`、`s3:PutObjectAcl`、`s3:PutObject`、和`s3:ListMultipartUploadParts`。 Amazon Backup 添加了以下操作以授予用户加密其恢复的 Amazon S3 数据的权限：`kms:Decryptkms:DescribeKey`、和`kms:GenerateDataKey`。 Amazon Backup 需要这些权限才能支持 Amazon S3 数据。	2022 年 2 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了支持 Amazon S3 备份的权限	Amazon Backup 添加了`s3:ListAllMyBuckets`以授予用户查看其存储桶列表和选择将哪些存储桶分配给备份计划的权限。 Amazon Backup 需要该权限才能支持 Amazon S3 数据。	2022 年 2 月 14 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了列出 Amazon Backup 网关资源的权限	Amazon Backup 添加了`backup-gateway:ListVirtualMachines`以授予用户查看其虚拟机列表和选择要分配给备份计划的虚拟机的权限。 Amazon Backup 还`backup-gateway:ListTagsForResource`添加了授予用户列出其虚拟机标签的权限。 Amazon Backup 需要这些权限才能支持虚拟机，该虚拟机于 2021 年 11 月 30 日上线。	2021 年 11 月 30 日
AWSBackupServiceRolePolicyForBackup— 增加了备份虚拟机的权限	Amazon Backup 已添加`backup-gateway:Backup`以授予用户恢复其虚拟机备份的权限。 Amazon Backup 还添加了`backup-gateway:ListTagsForResource`此项以授予用户列出分配给其虚拟机备份的标签的权限。 Amazon Backup 需要此权限才能支持虚拟机，该虚拟机已于 2021 年 11 月 30 日上线。	2021 年 11 月 30 日
AWSBackupServiceRolePolicyForRestores— 增加了恢复虚拟机的权限	Amazon Backup 已添加`backup-gateway:Restore`以授予用户恢复其虚拟机备份的权限。 Amazon Backup 需要此权限才能支持虚拟机，该虚拟机已于 2021 年 11 月 30 日上线。	2021 年 11 月 30 日
AWSBackupFullAccess— 增加了使用虚拟机的权限	Amazon Backup 添加了以下操作以授予用户使用 Amazon Backup Gateway 备份、还原和管理其虚拟机的权限：、、、、、`backup-gateway:AssociateGatewayToServer`、、、、、、`backup-gateway:CreateGateway`、、`backup-gateway:DeleteGateway`、`backup-gateway:DeleteHypervisor`、、`backup-gateway:DisassociateGatewayFromServer`、`backup-gateway:ImportHypervisorConfiguration`、、`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、、`backup-gateway:ListTagsForResource`、`backup-gateway:ListVirtualMachines`、、`backup-gateway:PutMaintenanceStartTime`、`backup-gateway:TagResource`、、`backup-gateway:TestHypervisorConfiguration`、`backup-gateway:UntagResource`、、`backup-gateway:UpdateGatewayInformation`、、和`backup-gateway:UpdateHypervisor`。 Amazon Backup 需要此权限才能支持 2021 年 11 月 30 日推出的 Amazon Backup Gateway。	2021 年 11 月 30 日
AWSBackupOperatorAccess— 增加了列出 Amazon Backup 网关资源的权限	Amazon Backup 添加了以下操作来授予用户备份其虚拟机的权限：`backup-gateway:ListGatewaysbackup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource`、和`backup-gateway:ListVirtualMachines`。 Amazon Backup 需要此权限才能支持虚拟机，该虚拟机已于 2021 年 11 月 30 日上线。	2021 年 11 月 30 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了备份亚马逊 DynamoDB 表格的权限	Amazon Backup 添加的`dynamodb:ListTagsOfResource`目的是向用户授予使用其高级 DynamoDB 备份功能列出要备份 Amazon Backup的 DynamoDB 表标签的权限。 Amazon Backup 2021 年 11 月 23 日推出的高级 DynamoDB 备份功能需要此权限。	2021 年 11 月 23 日
AWSBackupServiceRolePolicyForBackup— 增加了备份亚马逊 DynamoDB 表的权限	Amazon Backup 添加`dynamodb:StartAwsBackupJob`的目的是向用户授予使用高级备份功能备份其 DynamoDB 表的权限。 Amazon Backup 还添加了`dynamodb:ListTagsOfResource`此项以授予用户将标签从其源 DynamoDB 表复制到备份的权限。 Amazon Backup 2021 年 11 月 23 日推出的高级 DynamoDB 备份功能需要这些权限。	2021 年 11 月 23 日
AWSBackupServiceLinkedRolePolicyForRestores— 增加了恢复亚马逊 DynamoDB 表格的权限	Amazon Backup 添加的`dynamodb:RestoreTableFromAwsBackup`目的是向用户授予恢复使用高级 DynamoDB 高级备份功能备份 Amazon Backup的 DynamoDB 表的权限。 Amazon Backup 需要此权限才能恢复使用 Amazon Backup 2021 年 11 月 23 日推出的高级 DynamoDB 功能创建的备份。	2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores— 增加了恢复亚马逊 DynamoDB 表格的权限	Amazon Backup 添加的`dynamodb:RestoreTableFromAwsBackup`目的是向用户授予恢复使用高级 DynamoDB 高级备份功能备份 Amazon Backup的 DynamoDB 表的权限。 Amazon Backup 需要此权限才能恢复使用 Amazon Backup 2021 年 11 月 23 日推出的高级 DynamoDB 功能创建的备份。	2021 年 11 月 23 日
AWSBackupOperatorAccess— 删除了多余的操作	Amazon Backup 删除了现有操作`backup:GetRecoveryPointRestoreMetadata`，`rds:DescribeDBSnapshots`因为它们是多余的。 Amazon Backup 不需要两者兼`backup:GetRecoveryPointRestoreMetadata`而有之，而是`backup:Get*`作为`AWSBackupOperatorAccess` Amazon 托管策略的一部分。而且， Amazon Backup 不需要两者`rds:DescribeDBSnapshots`兼而有之，而是`rds:describeDBSnapshots`作为`AWSBackupOperatorAccess` Amazon 托管策略的一部分。	2021 年 11 月 23 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了权限以支持对备份计划进行细粒度资源分配	Amazon Backup 添加了新的操作`elasticfilesystem:DescribeFileSystems`、`dynamodb:ListTables`、`storagegateway:ListVolumes`、`ec2:DescribeVolumes`、`ec2:DescribeInstances`、`rds:DescribeDBInstances`、`rds:DescribeDBClusters`、和，`fsx:DescribeFileSystems`以允许客户在选择要分配给备份计划的资源时从其 Amazon Backup支持的资源列表中进行查看和选择。 Amazon Backup 需要这些权限来为客户提供更多、灵活的方式来为其备份计划分配资源。	2021 年 11 月 10 日
AWSBackupAuditAccess— 添加了新政策	Amazon Backup 添加`AWSBackupAuditAccess`以授予用户使用 Audit Manag Amazon Backup er 的权限。权限包括配置合规框架和生成报告的能力。 Amazon Backup 2021 年 8 月 24 日 Amazon Backup 上线的 Audit Manager 需要此权限。	2021 年 8 月 24 日
AWSServiceRolePolicyForBackupReports— 添加了新政策	Amazon Backup 添加了授`AWSServiceRolePolicyForBackupReports`予服务相关角色的权限，以自动监控备份设置、作业和资源，以符合用户配置的框架。 Amazon Backup 2021 年 8 月 24 日 Amazon Backup 上线的 Audit Manager 需要此权限。	2021 年 8 月 24 日
AWSBackupFullAccess— 增加了创建服务相关角色的权限	Amazon Backup 已添加`iam:CreateServiceLinkedRole`以创建与服务相关的角色（尽力而为），以自动为您删除过期的恢复点。如果没有此服务相关角色， Amazon Backup 则无法在客户删除用于创建恢复点的原始 IAM 角色后删除过期的恢复点。 Amazon Backup 需要此权限作为 `DeleteRecoveryPoint` API 操作的一部分。	2021 年 7 月 5 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了支持删除 DynamoDB 恢复点的权限	Amazon Backup 添加了新操作`dynamodb:DeleteBackup`，`DeleteRecoveryPoint`允许根据您的备份计划生命周期设置自动删除过期的 DynamoDB 恢复点。 Amazon Backup 作为 API 操作的一部分，需要此权限才能删除 DynamoDB 表。`DeleteRecoveryPoint`	2021 年 7 月 5 日
AWSBackupOperatorAccess— 删除了多余的操作	Amazon Backup 删除了现有操作`backup:GetRecoveryPointRestoreMetadata`，`rds:DescribeDBSnapshots`因为它们是多余的。 Amazon Backup 不需要两者兼`backup:GetRecoveryPointRestoreMetadata`而有之，而是`backup:Get*`作为`AWSBackupOperatorAccess` Amazon 托管策略的一部分。而且， Amazon Backup 不需要两者`rds:DescribeDBSnapshots`兼而有之，而是`rds:describeDBSnapshots`作为`AWSBackupOperatorAccess` Amazon 托管策略的一部分。	2021 年 5 月 25 日
AWSBackupOperatorPolicy— 删除了多余的操作	Amazon Backup 删除了现有操作`backup:GetRecoveryPointRestoreMetadata`，`rds:DescribeDBSnapshots`因为它们是多余的。 Amazon Backup 不需要两者兼`backup:GetRecoveryPointRestoreMetadata`而有之，而是`backup:Get*`作为`AWSBackupOperatorPolicy` Amazon 托管策略的一部分。而且， Amazon Backup 不需要两者`rds:DescribeDBSnapshots`兼而有之，而是`rds:describeDBSnapshots`作为`AWSBackupOperatorPolicy` Amazon 托管策略的一部分。	2021 年 5 月 25 日
AWSBackupServiceRolePolicyForRestores— 增加了将标签应用于 Amazon FSx 恢复的权限	Amazon Backup 添加了授`fsx:TagResource`予`StartRestoreJob`权限的新操作，允许您在还原过程中向 Amazon FSx 文件系统应用标签。 Amazon Backup 作为 `StartRestoreJob` API 操作的一部分，需要此权限才能将标签应用于 Amazon FSx 文件系统。	2021 年 5 月 24 日
AWSBackupServiceRolePolicyForRestores— 增加了执行 Amazon EC2 恢复的权限	Amazon Backup 添加了新操作`ec2:DescribeImages`并授予`ec2:DescribeInstancesStartRestoreJob`允许您从恢复点恢复 Amazon EC2 实例的权限。 Amazon Backup 作为 `StartRestoreJob` API 操作的一部分，需要此权限才能从恢复点恢复 Amazon EC2 实例。	2021 年 5 月 24 日
AWSBackupServiceRolePolicyForBackup— 增加了执行 Amazon FSx 跨区域和跨账户复制的权限	Amazon Backup 添加了新操作`fsx:CopyBackup`以授予`StartCopyJob`允许您跨地区和账户复制 Amazon FSx 恢复点的权限。 Amazon Backup 作为 `StartCopyJob` API 操作的一部分，需要此权限才能跨区域和账户复制 Amazon FSx 恢复点。	2021 年 4 月 12 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了执行 Amazon FSx 跨区域和跨账户副本的权限	Amazon Backup 添加了新操作`fsx:CopyBackup`以授予`StartCopyJob`允许您跨地区和账户复制 Amazon FSx 恢复点的权限。 Amazon Backup 作为 `StartCopyJob` API 操作的一部分，需要此权限才能跨区域和账户复制 Amazon FSx 恢复点。	2021 年 4 月 12 日
AWSBackupServiceRolePolicyForBackup— 增加了支持加密的 DynamoDB 表备份的权限	Amazon Backup 更新了其 Amazon 托管策略以符合以下要求： Amazon Backup 要创建加密的 DynamoDB 表的备份，您必须向用于备份的 IAM 角色添加`kms:Decrypt`权限`kms:GenerateDataKey`和。	2021 年 3 月 10 日
AWSBackupFullAccess— 增加了支持 Amazon RDS 连续备份和 point-in-time 恢复的权限	Amazon Backup 更新了其 Amazon 托管策略以符合以下要求： Amazon Backup 要使用为您的 Amazon RDS 数据库配置连续备份，请验证您的备份计划配置所定义的 IAM 角色中是否`rds:ModifyDBInstance`存在 API 权限。要还原 Amazon RDS 连续备份，您必须向为还原作业提交的 IAM 角色添加权限 `rds:RestoreDBInstanceToPointInTime`。在 Amazon Backup 控制台中，要描述可用于 point-in-time 恢复的时间范围，您必须在 IAM 管理的`rds:DescribeDBInstanceAutomatedBackups`策略中包含 API 权限。	2021 年 3 月 10 日
Amazon Backup 开始跟踪更改	Amazon Backup 开始跟踪其 Amazon托管策略的更改。	2021 年 3 月 10 日

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

IAM 服务角色

使用服务相关角色