的托管策略 Amazon Backup - Amazon Backup
客户托管策略策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的托管策略 Amazon Backup

托管策略是基于身份的独立策略,您可以将其附加到中的多个用户、群组和角色。 Amazon Web Services 账户将策略附加到主体实体时,便向实体授予了策略中定义的权限。

Amazon 托管策略由创建和管理 Amazon。您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。

客户托管策略为您提供了精细的控制来设置对备份的访问权限。 Amazon Backup例如,您可以使用它们向数据库备份管理员授予对 Amazon RDS 备份,而不是 Amazon EFS 备份的访问权限。

有关更多信息,请参阅 IAM 用户指南中的托管策略

客户托管策略

以下各节描述了为支持的应用程序和第三方应用程序推荐的备份 Amazon Web Services 和还原权限 Amazon Backup。在创建自己的策略文档时,您可以使用现有的 Amazon 托管策略作为模型,然后对其进行自定义以进一步限制对 Amazon 资源的访问。

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

还原

从中的RDSPermissions语句开始AWSBackupServiceRolePolicyForRestores

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • DynamoDBPermissions

  • DynamoDBBackupResourcePermissions

  • DynamodbBackupPermissions

  • KMSDynamoDBPermissions

还原

从以下语句开始 AWSBackupServiceRolePolicyForRestores

  • DynamoDBPermissions

  • DynamoDBBackupResourcePermissions

  • DynamoDBRestorePermissions

  • KMSPermissions

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • EBSResourcePermissions

  • EBSTagAndDeletePermissions

  • EBSCopyPermissions

  • EBSSnapshotTierPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

还原

从中的EBSPermissions语句开始AWSBackupServiceRolePolicyForRestores

添加以下语句。

{
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
},
备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • EBSCopyPermissions

  • EC2CopyPermissions

  • EC2Permissions

  • EC2TagPermissions

  • EC2ModifyPermissions

  • EBSResourcePermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

还原

从以下语句开始 AWSBackupServiceRolePolicyForRestores

  • EBSPermissions

  • EC2DescribePermissions

  • EC2RunInstancesPermissions

  • EC2TerminateInstancesPermissions

  • EC2CreateTagsPermissions

添加以下语句。

{
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::account-id:role/role-name"
},
备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • EFSPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

还原

从中的EFSPermissions语句开始AWSBackupServiceRolePolicyForRestores

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • FsxBackupPermissions

  • FsxCreateBackupPermissions

  • FsxPermissions

  • FsxVolumePermissions

  • FsxListTagsPermissions

  • FsxDeletePermissions

  • FsxResourcePermissions

  • KMSPermissions

还原

从以下语句开始 AWSBackupServiceRolePolicyForRestores

  • FsxPermissions

  • FsxTagPermissions

  • FsxBackupPermissions

  • FsxDeletePermissions

  • FsxDescribePermissions

  • FsxVolumeTagPermissions

  • FsxBackupTagPermissions

  • FsxVolumePermissions

  • DSPermissions

  • KMSDescribePermissions

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

还原

从中的RDSPermissions语句开始AWSBackupServiceRolePolicyForRestores

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

还原

从中的RDSPermissions语句开始AWSBackupServiceRolePolicyForRestores
备份

首先是AWSBackupServiceRolePolicyForS3Backup

如果您需要将备份复制到其他帐户,请添加BackupVaultPermissionsBackupVaultCopyPermissions语句。

还原

首先是AWSBackupServiceRolePolicyForS3Restore

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • StorageGatewayPermissions

  • EBSTagAndDeletePermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

添加以下语句。

{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
},
还原

从以下语句开始 AWSBackupServiceRolePolicyForRestores

  • StorageGatewayVolumePermissions

  • StorageGatewayGatewayPermissions

  • StorageGatewayListPermissions
备份

从中的BackupGatewayBackupPermissions语句开始AWSBackupServiceRolePolicyForBackup

还原

从中的GatewayRestorePermissions语句开始AWSBackupServiceRolePolicyForRestores

加密备份

要还原加密的备份,请执行以下操作之一:

  • 将您的角色添加到 Amazon KMS 密钥策略的许可名单

  • 将以下语句AWSBackupServiceRolePolicyForRestores添加到您的 IAM 角色中进行恢复:

    • KMSDescribePermissions

    • KMSPermissions

    • KMSCreateGrantPermissions

的政策更新 Amazon Backup

查看 Amazon Backup 自该服务开始跟踪这些更改以来 Amazon 托管策略更新的详细信息。

更改 描述 日期
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

Amazon Backup 为此策略添加了权限backup:TagResource

在创建恢复点期间,该权限是获得标记权限所必需的。

 2024 年 5 月 17 日
AWSBackupServiceRolePolicyForS3Backup – 更新了现有策略

Amazon Backup 为此策略添加了权限backup:TagResource

在创建恢复点期间,该权限是获得标记权限所必需的。

 2024 年 5 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup – 更新了现有策略

Amazon Backup 为此策略添加了权限backup:TagResource

在创建恢复点期间,该权限是获得标记权限所必需的。

 2024 年 5 月 17 日
AWSBackupServiceRolePolicyForBackup – 更新了现有策略

添加了权限rds:DeleteDBInstanceAutomatedBackups

此权限是支持持续备份和 Amazon RDS 实例 point-in-time-restore 所必需的。 Amazon Backup

2024 年 5 月 1 日
AWSBackupFullAccess – 更新了现有策略

Amazon Backup 将亚马逊资源名称 (ARN) 的权限storagegateway:ListVolumes从更新为,arn:aws:storagegateway:*:*:gateway/**适应 Storage Gateway API 模型的变化。

 2024 年 5 月 1 日
AWSBackupOperatorAccess – 更新了现有策略

Amazon Backup 将亚马逊资源名称 (ARN) 的权限storagegateway:ListVolumes从更新为,arn:aws:storagegateway:*:*:gateway/**适应 Storage Gateway API 模型的变化。

 2024 年 5 月 1 日
AWSServiceRolePolicyForBackupRestoreTesting – 更新了现有策略

添加了以下权限,用于描述和列出恢复点和受保护的资源,以便执行恢复测试计划:backup:DescribeRecoveryPointbackup:DescribeProtectedResourcebackup:ListProtectedResources、和backup:ListRecoveryPointsByResource

添加了支持 Amazon EBS 存档层存储的权限ec2:DescribeSnapshotTierStatus

增加了支持 Amazon Aurora 连续备份的权限rds:DescribeDBClusterAutomatedBackups

添加了以下权限以支持 Amazon Redshift 备份的还原测试:redshift:DescribeClusters和。redshift:DeleteCluster

增加了支持timestream:DeleteTable对亚马逊 Timestream 备份进行还原测试的权限。

 2024年2月14日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加了权限ec2:DescribeSnapshotTierStatusec2:RestoreSnapshotTier

用户必须拥有这些权限,才能选择 Amazon Backup 从存档存储中恢复存储的 Amazon EBS 资源。

对于 EC2 实例还原,还必须在以下策略语句中包括所示权限才能启动 EC2 实例:

 2023 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 更新了现有策略

添加了权限ec2:DescribeSnapshotTierStatus并支持ec2:ModifySnapshotTier将备份的 Amazon EBS 资源过渡到存档存储层的额外存储选项。

用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 Amazon Backup 到存档存储。

 2023 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup – 更新了现有策略

添加了权限ec2:DescribeSnapshotTierStatus并支持ec2:ModifySnapshotTier将备份的 Amazon EBS 资源过渡到存档存储层的额外存储选项。

用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 Amazon Backup 到存档存储。

添加了rds:DescribeDBClusterSnapshotsrds:RestoreDBClusterToPointInTime,这是 Aurora 集群的 PITR(point-in-time 恢复)所必需的。
AWSServiceRolePolicyForBackupRestoreTesting:新策略

提供进行恢复测试所需的权限。权限包括适用于要在还原测试中包括的以下服务的操作 list, read, and write:Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、FSx for Lustre、FSx for Windows File Server、FSx for ONTAP、FSx for OpenZFS、Amazon Neptune、Amazon RDS 和 Amazon S3。

2023 年 11 月 27 日
AWSBackupFullAccess – 更新了现有策略

已将 restore-testing.backup.amazonaws.com 添加到 IamPassRolePermissionsIamCreateServiceLinkedRolePermissions。为了代表客户 Amazon Backup 进行恢复测试,必须添加此项。

 2023 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加了rds:DescribeDBClusterSnapshotsrds:RestoreDBClusterToPointInTime,这是 Aurora 集群的 PITR(point-in-time 恢复)所必需的。

 2023 年 9 月 6 日
AWSBackupFullAccess – 更新了现有策略

添加了持续备份和 point-in-time 恢复 Aurora 集群所必需的权限rds:DescribeDBClusterAutomatedBackups

 2023 年 9 月 6 日
AWSBackupOperatorAccess – 更新了现有策略

添加了持续备份和 point-in-time 恢复 Aurora 集群所必需的权限rds:DescribeDBClusterAutomatedBackups

 2023 年 9 月 6 日
AWSBackupServiceRolePolicyForBackup – 更新了现有策略

添加了权限rds:DescribeDBClusterAutomatedBackups。此权限是 Amazon Backup 支持 Aurora 集群的持续备份和 point-in-time 恢复所必需的。

添加了rds:DeleteDBClusterAutomatedBackups允许 Amazon Backup 生命周期在保留期结束时删除和解除关联 Amazon Aurora 持续恢复点的权限。需要此权限才能让 Aurora 恢复点避免转换为 EXIPIRED 状态。

添加rds:ModifyDBCluster了允许与 Aurora 集群 Amazon Backup 进行交互的权限。此新增权限使用户能够根据所需的配置启用或禁用连续备份。

 2023 年 9 月 6 日
AWSBackupFullAccess – 更新了现有策略

添加了授ram:GetResourceShareAssociations予用户获取新文件库类型资源共享关联的权限的操作。

 2023 年 8 月 8 日
AWSBackupOperatorAccess – 更新了现有策略

添加了授ram:GetResourceShareAssociations予用户获取新文件库类型资源共享关联的权限的操作。

 2023 年 8 月 8 日
AWSBackupServiceRolePolicyForS3Backup – 更新了现有策略

添加了使用存储桶清单s3:PutInventoryConfiguration来提高备份性能速度的权限。

 2023 年 8 月 1 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加了以下操作以授予用户添加标签以还原资源的权限:storagegateway:AddTagsToResourceelasticfilesystem:TagResourceec2:CreateAction,仅ec2:CreateTags适用于包括RunInstancesCreateVolumefsx:TagResource、和cloudformation:TagResource

 2023 年 5 月 22 日
AWSBackupAuditAccess – 更新了现有策略

将 API config:DescribeComplianceByConfigRule 中的资源选择替换为通配符资源,以便用户更轻松地选择资源。

 2023 年 4 月 11 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加了以下使用客户托管密钥恢复 Amazon EFS 的权限:kms:GenerateDataKeyWithoutPlaintext。这有助于确保用户拥有恢复 Amazon EFS 资源所需的权限。

 2023 年 3 月 27 日
AWSServiceRolePolicyForBackupReports – 更新了现有策略

更新了config:DescribeConfigRulesconfig:DescribeConfigRuleEvaluationStatus操作以允许 Audi Amazon Backup t Manager 访问 Amazon Backup 审计管理器管理 Amazon Config 的规则。

 2023 年 3 月 9 日
AWSBackupServiceRolePolicyForS3Restore – 更新了现有策略

在策略中添加了以下权限:kms:Decrypts3:PutBucketOwnershipControls、和s3:GetBucketOwnershipControlsAWSBackupServiceRolePolicyForS3Restore。这些权限是支持在原始备份中使用 KMS 加密时还原对象,以及在原始存储桶而不是 ACL 上配置对象所有权时还原对象所必需的权限。

 2023 年 2 月 13 日
AWSBackupFullAccess – 更新了现有策略

添加了以下权限,以使用虚拟机的 VMware 标签计划备份并支持基于时间表的带宽限制:backup-gateway:GetHypervisorPropertyMappings、、、、、backup-gateway:GetVirtualMachinebackup-gateway:PutHypervisorPropertyMappingsbackup-gateway:GetHypervisor和。backup-gateway:StartVirtualMachinesMetadataSync backup-gateway:GetBandwidthRateLimitSchedule backup-gateway:PutBandwidthRateLimitSchedule

 2022 年 12 月 15 日
AWSBackupOperatorAccess – 更新了现有策略

添加了以下权限,以使用虚拟机的 VMware 标签计划备份并支持基于时间表的带宽限制:backup-gateway:GetHypervisorPropertyMappings、、和。backup-gateway:GetVirtualMachine backup-gateway:GetHypervisor backup-gateway:GetBandwidthRateLimitSchedule

 2022 年 12 月 15 日
AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync:新策略

允许 Amazon Backup Gateway 将本地网络中虚拟机的元数据与 Backup Gateway 同步。

 2022 年 12 月 15 日
AWSBackupFullAccess – 更新了现有策略

添加了以下权限来支持 Amazon Redshift 资源:redshift:DescribeClustersredshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptions、、redshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroupsredshift:DescribeClusterTracksredshift:DescribeSnapshotSchedules、和。ec2:DescribeAddresses

 2022 年 11 月 27 日
AWSBackupOperatorAccess – 更新了现有策略

添加了以下权限来支持 Amazon Redshift 资源:redshift:DescribeClusters、、redshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroups,redshift:DescribeClusterTracks redshift:DescribeSnapshotSchedules,以及ec2:DescribeAddresses

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加了以下权限来支持 Amazon Redshift 恢复任务:redshift:RestoreFromCluster Snapshotredshift:RestoreTableFromClusterSnapshotredshift:DescribeClusters、和。redshift:DescribeTableRestoreStatus

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 更新了现有策略

添加了以下权限来支持 Amazon Redshift 备份任务:redshift:CreateClusterSnapshotredshift:DescribeClusterSnapshotsredshift:DescribeTagsredshift:DeleteClusterSnapshotredshift:DescribeClusters、和。redshift:CreateTags

 2022 年 11 月 27 日
AWSBackupFullAccess – 更新了现有策略

添加了以下权限来支持 CloudFormation 资源:cloudformation:ListStacks.

 2022 年 11 月 27 日
AWSBackupOperatorAccess – 更新了现有策略

添加了以下权限来支持 CloudFormation 资源:cloudformation:ListStacks.

 2022 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup – 更新了现有策略

为支持 CloudFormation 资源添加了以下权限:redshift:DescribeClusterSnapshotsredshift:DescribeTagsredshift:DeleteClusterSnapshot、和redshift:DescribeClusters

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 更新了现有策略

添加了以下权限以支持 Amazon CloudFormation 应用程序堆栈备份作业:cloudformation:GetTemplatecloudformation:DescribeStacks、和cloudformation:ListStackResources

 2022 年 11 月 16 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加了以下权限以支持 Amazon CloudFormation 应用程序堆栈备份作业:cloudformation:CreateChangeSetcloudformation:DescribeChangeSet

 2022 年 11 月 16 日
AWSBackupOrganizationAdminAccess – 更新了现有策略

为此策略添加了以下权限,以允许组织管理员使用委派管理员功能:organizations:ListDelegatedAdministratororganizations:RegisterDelegatedAdministrator、和 organizations:DeregisterDelegatedAdministrator

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForS3Backup – 更新了现有策略

添加了支持 Amazon S3 Amazon Backup 的备份操作的权限s3:GetBucketAcl

 2022 年 8 月 24 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加了以下操作以授予创建数据库实例的访问权限,以支持多可用区(多可用区)功能:。rds:CreateDBInstance

 2022 年 7 月 20 日
AWSBackupServiceLinkedRolePolicyForBackup – 更新了现有策略

添加了s3:GetBucketTagging使用资源通配符授予用户选择要备份的存储桶的权限。如果没有此权限,使用资源通配符选择要备份的存储桶的用户将无法成功。

 2022 年 5 月 6 日
AWSBackupServiceRolePolicyForBackup – 更新了现有策略

在现有fsx:CreateBackupfsx:ListTagsForResource操作范围内添加了卷资源,并添加了新操作fsx:DescribeVolumes以支持 FSx 进行 ONTAP 卷级别备份。

 2022 年 4 月 27 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加了以下操作以授予用户恢复 ONTAP 卷的 FSx 的权限fsx:DescribeVolumesfsx:CreateVolumeFromBackupfsx:DeleteVolume和。fsx:UntagResource

 2022 年 4 月 27 日
AWSBackupServiceRolePolicyForS3Backup – 更新了现有策略

添加了以下操作,以授予用户在备份操作期间接收其 Amazon S3 存储桶变更通知的权限:s3:GetBucketNotifications3:PutBucketNotification

 2022 年 2 月 25 日
AWSBackupServiceRolePolicyForS3Backup:新策略

添加了以下操作以授予用户备份其 Amazon S3 存储桶的权限:s3:GetInventoryConfiguration、、s3:PutInventoryConfigurations3:ListBucketVersionss3:ListBuckets3:GetBucketTagging、、s3:GetBucketVersionings3:GetBucketNotifications3:GetBucketLocation、和 s3:ListAllMyBuckets

添加了以下操作以授予用户备份其 Amazon S3 对象的权限:s3:GetObjects3GetObjectAcls3:GetObjectVersionTaggings3:GetObjectVersionAcls3:GetObjectTagging、和s3:GetObjectVersion

添加了以下操作以授予用户备份其加密的 Amazon S3 数据的权限:kms:Decryptkms:DescribeKey

添加了以下操作以授予用户使用 Amazon EventBridge 规则对其 Amazon S3 数据进行增量备份的权限:events:DescribeRuleevents:EnableRuleevents:PutRule、、events:DeleteRuleevents:PutTargetsevents:RemoveTargets、、events:ListTargetsByRuleevents:DisableRulecloudwatch:GetMetricData、、和events:ListRules

 2022 年 2 月 17 日
AWSBackupServiceRolePolicyForS3Restore:新策略

添加了以下操作以授予用户恢复其 Amazon S3 存储桶的权限:s3:CreateBuckets3:ListBucketVersionss3:ListBucket、、s3:GetBucketVersionings3:GetBucketLocation、和s3:PutBucketVersioning

添加了以下操作以授予用户恢复其 Amazon S3 存储桶的权限:s3:GetObjects3:GetObjectVersions3:DeleteObjects3:PutObjectVersionAcl、、s3:GetObjectVersionAcls3:GetObjectTaggings3:PutObjectTaggings3:GetObjectAcls3:PutObjectAcls3:PutObject、和s3:ListMultipartUploadParts

添加了以下操作以授予用户加密其恢复的 Amazon S3 数据的权限:kms:Decryptkms:DescribeKey、和kms:GenerateDataKey

 2022 年 2 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup – 更新了现有策略

s3:ListAllMyBuckets添加了授予用户查看其存储桶列表和选择要分配给备份计划的存储桶的权限。

 2022 年 2 月 14 日
AWSBackupServiceLinkedRolePolicyForBackup – 更新了现有策略

backup-gateway:ListVirtualMachines添加了授予用户查看其虚拟机列表和选择要分配给备份计划的虚拟机的权限。

backup-gateway:ListTagsForResource添加了授予用户列出其虚拟机标签的权限。

 2021 年 11 月 30 日
AWSBackupServiceRolePolicyForBackup – 更新了现有策略

添加了backup-gateway:Backup向用户授予恢复其虚拟机备份的权限。 Amazon Backup 还添加了backup-gateway:ListTagsForResource此项以授予用户列出分配给其虚拟机备份的标签的权限。

 2021 年 11 月 30 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加了backup-gateway:Restore向用户授予恢复其虚拟机备份的权限。

 2021 年 11 月 30 日
AWSBackupFullAccess – 更新了现有策略

添加了以下操作以授予用户使用 Amazon Backup Gateway 备份、还原和管理其虚拟机的权限:、、、、、backup-gateway:AssociateGatewayToServer、、、、、、backup-gateway:CreateGatewaybackup-gateway:DeleteGateway、、backup-gateway:DeleteHypervisorbackup-gateway:DisassociateGatewayFromServer、、backup-gateway:ImportHypervisorConfigurationbackup-gateway:ListGateways、、backup-gateway:ListHypervisorsbackup-gateway:ListTagsForResource、、backup-gateway:ListVirtualMachinesbackup-gateway:PutMaintenanceStartTimebackup-gateway:TagResource、、backup-gateway:TestHypervisorConfigurationbackup-gateway:UntagResource、、backup-gateway:UpdateGatewayInformation、、和backup-gateway:UpdateHypervisor

 2021 年 11 月 30 日
AWSBackupOperatorAccess – 更新了现有策略

添加了以下操作以授予用户备份其虚拟机的权限:backup-gateway:ListGatewaysbackup-gateway:ListHypervisorsbackup-gateway:ListTagsForResource、和backup-gateway:ListVirtualMachines

 2021 年 11 月 30 日
AWSBackupServiceLinkedRolePolicyForBackup – 更新了现有策略

添加的dynamodb:ListTagsOfResource目的是授予用户列出其 DynamoDB 表标签的权限,以便使用其高级 DynamoDB 备份 Amazon Backup功能进行备份。

 2021 年 11 月 23 日
AWSBackupServiceRolePolicyForBackup – 更新了现有策略

添加dynamodb:StartAwsBackupJob的目的是向用户授予使用高级备份功能备份其 DynamoDB 表的权限。

添加的dynamodb:ListTagsOfResource目的是向用户授予将标签从其源 DynamoDB 表复制到备份的权限。

 2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加dynamodb:RestoreTableFromAwsBackup此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 Amazon Backup的 DynamoDB 表的权限。

 2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加dynamodb:RestoreTableFromAwsBackup此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 Amazon Backup的 DynamoDB 表的权限。

 2021 年 11 月 23 日
AWSBackupOperatorAccess – 更新了现有策略

删除了这些操作backup:GetRecoveryPointRestoreMetadatards:DescribeDBSnapshots因为它们是多余的。

Amazon Backup 不需要两者backup:GetRecoveryPointRestoreMetadatabackup:Get*而有之AWSBackupOperatorAccess。而且, Amazon Backup 不需要两者rds:DescribeDBSnapshotsrds:describeDBSnapshots而有之AWSBackupOperatorAccess

 2021 年 11 月 23 日
AWSBackupServiceLinkedRolePolicyForBackup – 更新了现有策略

添加了新的操作elasticfilesystem:DescribeFileSystemsdynamodb:ListTablesstoragegateway:ListVolumesec2:DescribeVolumesec2:DescribeInstancesrds:DescribeDBInstancesrds:DescribeDBClusters、、和fsx:DescribeFileSystems,允许客户在选择要分配给备份计划的资源时从其 Amazon Backup支持的资源列表中进行查看和选择。

 2021 年 11 月 10 日
AWSBackupAuditAccess:新策略

添加了授AWSBackupAuditAccess予用户使用 Audit Manag Amazon Backup er 的权限。权限包括配置合规框架和生成报告的能力。

 2021 年 8 月 24 日
AWSServiceRolePolicyForBackupReports:新策略

添加了AWSServiceRolePolicyForBackupReports向服务相关角色授予权限,以自动监控备份设置、作业和资源,以符合用户配置的框架。

 2021 年 8 月 24 日
AWSBackupFullAccess – 更新了现有策略

iam:CreateServiceLinkedRole添加了创建服务相关角色(尽力而为),以自动为您删除过期的恢复点。如果没有此服务相关角色, Amazon Backup 则无法在客户删除用于创建恢复点的原始 IAM 角色后删除过期的恢复点。

 2021 年 7 月 5 日
AWSBackupServiceLinkedRolePolicyForBackup – 更新了现有策略

添加了新操作dynamodb:DeleteBackupDeleteRecoveryPoint允许根据您的备份计划生命周期设置自动删除过期的 DynamoDB 恢复点。

 2021 年 7 月 5 日
AWSBackupOperatorAccess – 更新了现有策略

删除了这些操作backup:GetRecoveryPointRestoreMetadatards:DescribeDBSnapshots因为它们是多余的。

Amazon Backup 不需要两者backup:GetRecoveryPointRestoreMetadata兼而有之,backup:Get*作为 AWSBackupOperatorAccess Also 的一部分, Amazon Backup 不需要两者rds:DescribeDBSnapshots兼而rds:describeDBSnapshots有之 AWSBackupOperatorAccess

 2021 年 5 月 25 日
AWSBackupOperatorAccess – 更新了现有策略

删除了这些操作backup:GetRecoveryPointRestoreMetadatards:DescribeDBSnapshots因为它们是多余的。

Amazon Backup 不需要两者backup:GetRecoveryPointRestoreMetadatabackup:Get*而有之AWSBackupOperatorAccess。而且, Amazon Backup 不需要两者rds:DescribeDBSnapshotsrds:describeDBSnapshots而有之AWSBackupOperatorAccess

 2021 年 5 月 25 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加了授fsx:TagResourceStartRestoreJob权限的新操作,允许您在还原过程中向 Amazon FSx 文件系统应用标签。

 2021 年 5 月 24 日
AWSBackupServiceRolePolicyForRestores – 更新了现有策略

添加了新的操作ec2:DescribeImages和授予StartRestoreJob权限ec2:DescribeInstances以允许您从恢复点恢复 Amazon EC2 实例。

 2021 年 5 月 24 日
AWSBackupServiceRolePolicyForBackup – 更新了现有策略

添加了授予StartCopyJob权限的新操作fsx:CopyBackup,允许您跨地区和账户复制 Amazon FSx 恢复点。

 2021 年 4 月 12 日
AWSBackupServiceLinkedRolePolicyForBackup – 更新了现有策略

添加了授予StartCopyJob权限的新操作fsx:CopyBackup,允许您跨地区和账户复制 Amazon FSx 恢复点。

 2021 年 4 月 12 日
AWSBackupServiceRolePolicyForBackup – 更新了现有策略

已更新以符合以下要求:

Amazon Backup 要创建加密的 DynamoDB 表的备份,您必须向用于备份的 IAM 角色添加kms:Decrypt权限kms:GenerateDataKey和。

 2021 年 3 月 10 日
AWSBackupFullAccess – 更新了现有策略

已更新以符合以下要求:

Amazon Backup 要使用为您的 Amazon RDS 数据库配置连续备份,请验证您的备份计划配置定义的 IAM 角色中是否rds:ModifyDBInstance存在 API 权限。

要还原 Amazon RDS 连续备份,您必须向为还原作业提交的 IAM 角色添加权限 rds:RestoreDBInstanceToPointInTime

在 Amazon Backup 控制台中,要描述可用于 point-in-time 恢复的时间范围,您必须在 IAM 管理的rds:DescribeDBInstanceAutomatedBackups策略中包含 API 权限。

 2021 年 3 月 10 日

Amazon Backup 已开始跟踪更改

Amazon Backup 开始跟踪其 Amazon托管策略的更改。

 2021 年 3 月 10 日