Amazon Backup 的托管策略 - Amazon Backup
客户托管策略策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Backup 的托管策略

托管策略是基于身份的独立策略,可以将其附加到 Amazon Web Services 账户中的多个用户、组和角色。将策略附加到主体实体时,便向实体授予了策略中定义的权限。

Amazon 托管策略由 Amazon 创建和管理。您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略附加到的所有主体身份(用户、组和角色)。

客户托管策略为您提供在 Amazon Backup 中设置备份访问权限的精细控制。例如,您可以使用它们向数据库备份管理员授予对 Amazon RDS 备份,而不是 Amazon EFS 备份的访问权限。

有关更多信息,请参阅《IAM 用户指南》中的托管式策略

客户托管策略

以下几节介绍了为 Amazon Backup 支持的 Amazon 服务和第三方应用程序推荐的备份和还原权限。创建自己的策略文档时,您可以使用现有的 Amazon 托管式策略作为模型,然后对其进行自定义以进一步限制对 Amazon 资源的访问。

重要

在针对 Amazon Backup 使用自定义 IAM 角色时,除了 Amazon Backup 权限外,您还必须包含特定于资源的权限。例如,在 Amazon RDS 资源上调用 backup:ListTags 时,自定义 IAM 角色还必须包含 rds:ListTagsForResource 权限。虽然这些权限包含在默认 Amazon Backup 服务角色中,但必须将其显式添加到客户管理型策略中。所需的底层资源权限取决于特定 Amazon 服务和所执行的操作。

备份

AWSBackupServiceRolePolicyForBackup 中的以下语句开始:

  • DynamoDBBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

还原

AWSBackupServiceRolePolicyForRestores 中的 RDSPermissions 语句开始。

备份

AWSBackupServiceRolePolicyForBackup 中的以下语句开始:

  • DSQLBackupPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

还原

AWSBackupServiceRolePolicyForRestores 中的 DSQLRestorePermissions 语句开始。

备份

AWSBackupServiceRolePolicyForBackup 中的以下语句开始:

  • DynamoDBPermissions

  • DynamoDBBackupResourcePermissions

  • DynamodbBackupPermissions

  • KMSDynamoDBPermissions

还原

AWSBackupServiceRolePolicyForRestores 中的以下语句开始:

  • DynamoDBPermissions

  • DynamoDBBackupResourcePermissions

  • DynamoDBRestorePermissions

  • KMSPermissions

备份

AWSBackupServiceRolePolicyForBackup 中的以下语句开始:

  • EBSResourcePermissions

  • EBSTagAndDeletePermissions

  • EBSCopyPermissions

  • EBSSnapshotTierPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

还原

AWSBackupServiceRolePolicyForRestores 中的 EBSPermissions 语句开始。

添加以下语句。

{
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
},
备份

AWSBackupServiceRolePolicyForBackup 中的以下语句开始:

  • EBSCopyPermissions

  • EC2CopyPermissions

  • EC2Permissions

  • EC2TagPermissions

  • EC2ModifyPermissions

  • EBSResourcePermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

还原

AWSBackupServiceRolePolicyForRestores 中的以下语句开始:

  • EBSPermissions

  • EC2DescribePermissions

  • EC2RunInstancesPermissions

  • EC2TerminateInstancesPermissions

  • EC2CreateTagsPermissions

添加以下语句。

{
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::account-id:role/role-name"
},

role-name 替换为将附加到还原的 EC2 实例的 EC2 实例配置文件角色的名称。这不是 Amazon Backup 服务角色,而是 IAM 角色,用于为 EC2 实例上运行的应用程序提供权限。

备份

AWSBackupServiceRolePolicyForBackup 中的以下语句开始:

  • EFSPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

还原

AWSBackupServiceRolePolicyForRestores 中的 EFSPermissions 语句开始。

备份

AWSBackupServiceRolePolicyForBackup 中的以下语句开始:

  • FsxBackupPermissions

  • FsxCreateBackupPermissions

  • FsxPermissions

  • FsxVolumePermissions

  • FsxListTagsPermissions

  • FsxDeletePermissions

  • FsxResourcePermissions

  • KMSPermissions

还原

AWSBackupServiceRolePolicyForRestores 中的以下语句开始:

  • FsxPermissions

  • FsxTagPermissions

  • FsxBackupPermissions

  • FsxDeletePermissions

  • FsxDescribePermissions

  • FsxVolumeTagPermissions

  • FsxBackupTagPermissions

  • FsxVolumePermissions

  • DSPermissions

  • KMSDescribePermissions

备份

AWSBackupServiceRolePolicyForBackup 中的以下语句开始:

  • DynamoDBBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

还原

AWSBackupServiceRolePolicyForRestores 中的 RDSPermissions 语句开始。

备份

AWSBackupServiceRolePolicyForBackup 中的以下语句开始:

  • DynamoDBBackupPermissions

  • RDSBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

还原

AWSBackupServiceRolePolicyForRestores 中的 RDSPermissions 语句开始。
备份

AWSBackupServiceRolePolicyForS3Backup 开始。

如果您需要将备份复制到其他账户,请添加 BackupVaultPermissionsBackupVaultCopyPermissions 语句。

还原

AWSBackupServiceRolePolicyForS3Restore 开始。

备份

AWSBackupServiceRolePolicyForBackup 中的以下语句开始:

  • StorageGatewayPermissions

  • EBSTagAndDeletePermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

添加以下语句。

{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
},
还原

AWSBackupServiceRolePolicyForRestores 中的以下语句开始:

  • StorageGatewayVolumePermissions

  • StorageGatewayGatewayPermissions

  • StorageGatewayListPermissions
备份

AWSBackupServiceRolePolicyForBackup 中的 BackupGatewayBackupPermissions 语句开始。

还原

AWSBackupServiceRolePolicyForRestores 中的 GatewayRestorePermissions 语句开始。

加密备份

要还原加密的备份,请执行以下操作之一:

  • 将您的角色添加到 Amazon KMS 密钥策略的允许列表

  • AWSBackupServiceRolePolicyForRestores 中的以下语句添加到您的 IAM 角色以进行还原:

    • KMSDescribePermissions

    • KMSPermissions

    • KMSCreateGrantPermissions

Amazon Backup 的策略更新

查看有关 Amazon Backup 的 Amazon 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。

更改 描述 日期
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • organizations:ListDelegatedAdministrators

此权限允许 Amazon Backup 将委托管理员信息与 Organizations 同步,以实现跨账户管理功能。

 2025 年 9 月 9 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • dsql:UpdateCluster

  • dsql:AddPeerCluster

  • dsql:RemovePeerCluster

  • dsql:GetCluster

这些权限是 Amazon Backup 代表客户对 DSQL 资源执行编排多区域还原操作所需的权限。

 2025 年 7 月 17 日
AWSBackupFullAccess:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • mpa:GetApprovalTeam

  • mpa:ListApprovalTeams

  • mpa:StartSession

  • mpa:CancelSession

  • mpa:GetSession

  • mpa:ListSessions

这些权限是 Amazon Backup 与 Amazon Account Management 和 Amazon Organizations 集成所需的权限,以便客户可以选择将多方审批(MPA)作为其逻辑上受物理隔离的保管库的一部分。

 2025 年 6 月 17 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新:

Amazon Backup 向该策略添加了以下权限:

  • ec2:DescribeRouteTables

  • ec2:CreateTags

这些权限是允许客户通过 Amazon Backup 还原适用于 OpenZFS 的 Amazon FSx 多可用区快照所需的权限。

 2025 年 5 月 27 日
AWSBackupFullAccess:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • dsql:GetCluster

  • dsql:ListClusters

  • dsql:ListTagsForResource

这些权限允许 Amazon Backup 备份和还原 Amazon Aurora DSQL 资源。

 2025 年 5 月 21 日
AWSBackupOperatorAccess:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • dsql:GetCluster

  • dsql:ListClusters

  • dsql:ListTagsForResource

这些权限允许 Amazon Backup 备份和还原 Amazon Aurora DSQL 资源。

 2025 年 5 月 21 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • kms:Decrypt

  • kms:ReEncryptTo

  • kms:ReEncryptFrom

  • dsql:StartBackupJob

  • dsql:GetBackupJob

  • dsql:StopBackupJob

  • dsql:GetCluster

  • dsql:ListClusters

  • dsql:ListTagsForResource

这些权限允许 Amazon Backup 代表客户创建、删除、检索和管理 Amazon Aurora DSQL 快照。

 2025 年 5 月 21 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • ec2:DescribeRouteTables

  • ec2:CreateTags

  • dsql:StartRestoreJob

  • dsql:GetRestoreJob

  • dsql:StopRestoreJob

  • dsql:TagResource

  • dsql:CreateCluster

  • dsql:PutMultiRegionProperties

  • dsql:PutWitnessRegion

  • kms:DescribeKey

这些权限允许 Amazon Backup 代表客户创建、删除、检索、加密、解密和管理 Amazon Aurora DSQL 快照。

 2025 年 5 月 21 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • dsql:ListClusters

  • dsql:ListTagsForResource

这些权限允许 Amazon Backup 按客户指定的时间间隔管理 Aurora DSQL 备份。

 2025 年 5 月 21 日
AWSBackupFullAccess:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • aws:CalledVia

  • redshift-serverless:DeleteSnapshot

  • redshift-serverless:GetNamespace

  • redshift-serverless:GetSnapshot

  • redshift-serverless:GetWorkgroup

  • redshift-serverless:ListNamespaces

  • redshift-serverless:ListSnapshots

  • redshift-serverless:ListWorkgroups

这些权限是指定客户拥有对 Amazon Redshift Serverless 备份的完全访问权限所需的权限,包括所需的读取权限以及删除 Amazon Redshift Serverless 恢复点(快照备份)的权限。

 2025 年 3 月 31 日
AWSBackupOperatorAccess:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • redshift-serverless:GetNamespace

  • redshift-serverless:GetSnapshot

  • redshift-serverless:GetWorkgroup

  • redshift-serverless:ListNamespaces

  • redshift-serverless:ListSnapshots

  • redshift-serverless:ListWorkgroups

这些权限是指定客户拥有对 Amazon Redshift Serverless 的所有必要备份权限(包括所需的读取权限)所需的权限。

 2025 年 3 月 31 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • redshift-serverless:DeleteSnapshot

  • redshift-serverless:GetNamespace

  • redshift-serverless:GetSnapshot

  • redshift-serverless:GetWorkgroup

  • redshift-serverless:ListNamespaces

  • redshift-serverless:ListSnapshots

  • redshift-serverless:ListTagsForResource

  • redshift-serverless:ListWorkgroups

这些权限是 Amazon Backup 按客户指定的时间间隔管理 Amazon Redshift Serverless 快照所需的权限。

 2025 年 3 月 31 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • redshift-serverless:CreateSnapshot

  • redshift-serverless:DeleteSnapshot,其中包含仅允许删除带有 "aws:backup:source-resource" 标签的快照的条件

  • redshift-serverless:GetNamespace

  • redshift-serverless:GetSnapshot

  • redshift-serverless:ListNamespaces

  • redshift-serverless:ListSnapshots

  • redshift-serverless:ListTagsForResource

  • redshift-serverless:TagResource

这些权限是允许 Amazon Backup 代表客户创建、删除、检索和管理 Amazon Redshift Serverless 快照所需的权限。

 2025 年 3 月 31 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

Amazon Backup 向该策略添加了以下权限:

  • redshift-serverless:GetNamespace

  • redshift-serverless:GetTableRestoreStatus

  • redshift-serverless:RestoreTableFromSnapshot

这些权限是允许 Amazon Backup 代表客户还原 Amazon Redshift 和 Amazon Redshift Serverless 快照所需的权限。

 2025 年 3 月 31 日
AWSBackupSearchOperatorAccess – 添加了新的 Amazon 托管式策略 Amazon Backup 添加了 AWSBackupSearchOperatorAccess Amazon 托管式策略。 2025 年 2 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

Amazon Backup 添加了权限 rds:AddTagsToResource,以支持 Amazon RDS 多租户快照跨账户复制备份。

当客户选择创建多租户 RDS 快照的跨账户副本时,此权限是完成操作所需的权限。

 2025 年 1 月 8 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

Amazon Backup 在该策略中添加了权限 rds:CreateTenantDatabaserds:DeleteTenantDatabase,以支持 Amazon RDS 资源的还原过程。

这些权限是完成客户还原多租户快照的操作所需的权限。

 2025 年 1 月 8 日
AWSBackupServiceRolePolicyForItemRestores – 添加了新的 Amazon 托管式策略 Amazon Backup 添加了 AWSBackupServiceRolePolicyForItemRestores Amazon 托管式策略。 2024 年 11 月 26 日
AWSBackupServiceRolePolicyForIndexing – 添加了新的 Amazon 托管式策略 Amazon Backup 添加了 AWSBackupServiceRolePolicyForIndexing Amazon 托管式策略。 2024 年 11 月 26 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

Amazon Backup 为此策略添加了权限 backup:TagResource

创建恢复点期间,需要该权限才能获得标记权限。

 2024 年 5 月 17 日
AWSBackupServiceRolePolicyForS3Backup:对现有策略的更新

Amazon Backup 为此策略添加了权限 backup:TagResource

创建恢复点期间,需要该权限才能获得标记权限。

 2024 年 5 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

Amazon Backup 为此策略添加了权限 backup:TagResource

创建恢复点期间,需要该权限才能获得标记权限。

 2024 年 5 月 17 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

添加了权限 rds:DeleteDBInstanceAutomatedBackups

此权限是 Amazon Backup 支持对 Amazon RDS 实例进行连续备份和时间点还原所必需的权限。

 2024 年 5 月 1 日
AWSBackupFullAccess:对现有策略的更新

Amazon Backup 将权限 storagegateway:ListVolumes 中的 Amazon 资源名称(ARN)从 arn:aws:storagegateway:*:*:gateway/* 更新为 *,以适应 Storage Gateway API 模型的变化。

 2024 年 5 月 1 日
AWSBackupOperatorAccess:对现有策略的更新

Amazon Backup 将权限 storagegateway:ListVolumes 中的 Amazon 资源名称(ARN)从 arn:aws:storagegateway:*:*:gateway/* 更新为 *,以适应 Storage Gateway API 模型的变化。

 2024 年 5 月 1 日
AWSServiceRolePolicyForBackupRestoreTesting:对现有策略的更新

添加了以下权限,用于描述和列出恢复点和受保护的资源,以便执行还原测试计划:backup:DescribeRecoveryPointbackup:DescribeProtectedResourcebackup:ListProtectedResourcesbackup:ListRecoveryPointsByResource

添加了权限 ec2:DescribeSnapshotTierStatus 以支持 Amazon EBS 归档层存储。

添加了权限 rds:DescribeDBClusterAutomatedBackups 以支持 Amazon Aurora 连续备份。

添加了以下权限以支持对 Amazon Redshift 备份进行还原测试:redshift:DescribeClustersredshift:DeleteCluster

添加了权限 timestream:DeleteTable 以支持对 Amazon Timestream 备份进行还原测试。

 2024 年 2 月 14 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了权限 ec2:DescribeSnapshotTierStatusec2:RestoreSnapshotTier

用户必须拥有这些权限,才能选择使用 Amazon Backup 从归档存储中还原存储的 Amazon EBS 资源。

对于 EC2 实例还原,还必须在以下策略语句中包括所示权限才能启动 EC2 实例:

 2023 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

添加了权限 ec2:DescribeSnapshotTierStatusec2:ModifySnapshotTier 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。

用户必须拥有这些权限,才能选择将与 Amazon Backup 存储在一起的 Amazon EBS 资源转移到归档存储。

 2023 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

添加了权限 ec2:DescribeSnapshotTierStatusec2:ModifySnapshotTier 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。

用户必须拥有这些权限,才能选择将与 Amazon Backup 存储在一起的 Amazon EBS 资源转移到归档存储。

添加了权限 rds:DescribeDBClusterSnapshotsrds:RestoreDBClusterToPointInTime,它们是 Aurora 集群进行 PITR(时间点还原)所必需的权限。
AWSServiceRolePolicyForBackupRestoreTesting:新策略

提供进行还原测试所需的权限。权限包括适用于要在还原测试中包括的以下服务的操作 list, read, and write:Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、FSx for Lustre、FSx for Windows File Server、FSx for ONTAP、FSx for OpenZFS、Amazon Neptune、Amazon RDS 和 Amazon S3。

2023 年 11 月 27 日
AWSBackupFullAccess:对现有策略的更新

已将 restore-testing.backup.amazonaws.com 添加到 IamPassRolePermissionsIamCreateServiceLinkedRolePermissions。为使 Amazon Backup 能够代表客户进行还原测试,则需要添加此项。

 2023 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了权限 rds:DescribeDBClusterSnapshotsrds:RestoreDBClusterToPointInTime,它们是 Aurora 集群进行 PITR(时间点还原)所必需的权限。

 2023 年 9 月 6 日
AWSBackupFullAccess:对现有策略的更新

添加了权限 rds:DescribeDBClusterAutomatedBackups,它是 Aurora 集群进行连续备份和时间点还原所必需的权限。

 2023 年 9 月 6 日
AWSBackupOperatorAccess:对现有策略的更新

添加了权限 rds:DescribeDBClusterAutomatedBackups,它是 Aurora 集群进行连续备份和时间点还原所必需的权限。

 2023 年 9 月 6 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

添加了权限 rds:DescribeDBClusterAutomatedBackups。此权限是 Amazon Backup 支持对 Aurora 集群进行连续备份和时间点还原所必需的权限。

添加了权限 rds:DeleteDBClusterAutomatedBackups,以允许 Amazon Backup 生命周期在保留期结束时删除并解除关联 Amazon Aurora 连续恢复点。需要此权限才能让 Aurora 恢复点避免转换为 EXIPIRED 状态。

添加了权限 rds:ModifyDBCluster,它允许 Amazon Backup 与 Aurora 集群进行交互。此新增权限使用户能够根据所需的配置启用或禁用连续备份。

 2023 年 9 月 6 日
AWSBackupFullAccess:对现有策略的更新

添加了操作 ram:GetResourceShareAssociations,以授予用户为新保管库类型获取资源共享关联的权限。

 2023 年 8 月 8 日
AWSBackupOperatorAccess:对现有策略的更新

添加了操作 ram:GetResourceShareAssociations,以授予用户为新保管库类型获取资源共享关联的权限。

 2023 年 8 月 8 日
AWSBackupServiceRolePolicyForS3Backup:对现有策略的更新

添加了权限 s3:PutInventoryConfiguration,以通过使用存储桶清单提高备份性能。

 2023 年 8 月 1 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了以下操作以授予用户向还原资源添加标签的权限:storagegateway:AddTagsToResourceelasticfilesystem:TagResourceec2:CreateTags,仅适用于包括 RunInstancesCreateVolumefsx:TagResourcecloudformation:TagResourceec2:CreateAction

 2023 年 5 月 22 日
AWSBackupAuditAccess:对现有策略的更新

将 API config:DescribeComplianceByConfigRule 中的资源选择替换为通配符资源,以便用户更轻松地选择资源。

 2023 年 4 月 11 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了以下权限以使用客户托管密钥还原 Amazon EFS:kms:GenerateDataKeyWithoutPlaintext。这有助于确保用户拥有还原 Amazon EFS 资源所需的权限。

 2023 年 3 月 27 日
AWSServiceRolePolicyForBackupReports:对现有策略的更新

更新了 config:DescribeConfigRulesconfig:DescribeConfigRuleEvaluationStatus 操作,以允许 Amazon Backup Audit Manager 访问 Amazon Backup Audit Manager 托管的 Amazon Config 规则。

 2023 年 3 月 9 日
AWSBackupServiceRolePolicyForS3Restore:对现有策略的更新

已向策略 AWSBackupServiceRolePolicyForS3Restore 添加以下权限:kms:Decrypts3:PutBucketOwnershipControlss3:GetBucketOwnershipControls。这些权限是支持在原始备份中使用 KMS 加密时还原对象,以及在原始存储桶而不是 ACL 上配置对象所有权时还原对象所必需的权限。

 2023 年 2 月 13 日
AWSBackupFullAccess:对现有策略的更新

添加了以下权限,以使用虚拟机的 VMware 标签计划备份以及支持基于计划的带宽限制:backup-gateway:GetHypervisorPropertyMappingsbackup-gateway:GetVirtualMachinebackup-gateway:PutHypervisorPropertyMappingsbackup-gateway:GetHypervisorbackup-gateway:StartVirtualMachinesMetadataSyncbackup-gateway:GetBandwidthRateLimitSchedulebackup-gateway:PutBandwidthRateLimitSchedule

 2022 年 12 月 15 日
AWSBackupOperatorAccess:对现有策略的更新

添加了以下权限,以使用虚拟机的 VMware 标签计划备份以及支持基于计划的带宽限制:backup-gateway:GetHypervisorPropertyMappingsbackup-gateway:GetVirtualMachinebackup-gateway:GetHypervisorbackup-gateway:GetBandwidthRateLimitSchedule

 2022 年 12 月 15 日
AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync:新策略

提供权限,以便 Amazon Backup 网关将本地网络中虚拟机的元数据与 Backup Gateway 保持同步。

 2022 年 12 月 15 日
AWSBackupFullAccess:对现有策略的更新

添加了以下权限以支持 Amazon Redshift 资源:redshift:DescribeClustersredshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroupsredshift:DescribeClusterTracksredshift:DescribeSnapshotSchedulesec2:DescribeAddresses

 2022 年 11 月 27 日
AWSBackupOperatorAccess:对现有策略的更新

添加了以下权限以支持 Amazon Redshift 资源:redshift:DescribeClustersredshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroups,redshift:DescribeClusterTracksredshift:DescribeSnapshotSchedulesec2:DescribeAddresses

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了以下权限以支持 Amazon Redshift 还原作业:redshift:RestoreFromCluster Snapshotredshift:RestoreTableFromClusterSnapshotredshift:DescribeClustersredshift:DescribeTableRestoreStatus

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

添加了以下权限以支持 Amazon Redshift 备份作业:redshift:CreateClusterSnapshotredshift:DescribeClusterSnapshotsredshift:DescribeTagsredshift:DeleteClusterSnapshotredshift:DescribeClustersredshift:CreateTags

 2022 年 11 月 27 日
AWSBackupFullAccess:对现有策略的更新

添加了以下权限以支持 CloudFormation 资源:cloudformation:ListStacks

 2022 年 11 月 27 日
AWSBackupOperatorAccess:对现有策略的更新

添加了以下权限以支持 CloudFormation 资源:cloudformation:ListStacks

 2022 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

添加了以下权限以支持 CloudFormation 资源:redshift:DescribeClusterSnapshotsredshift:DescribeTagsredshift:DeleteClusterSnapshotredshift:DescribeClusters

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

添加了以下权限以支持 Amazon CloudFormation 应用程序堆栈备份作业:cloudformation:GetTemplatecloudformation:DescribeStackscloudformation:ListStackResources

 2022 年 11 月 16 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了以下权限以支持 Amazon CloudFormation 应用程序堆栈备份作业:cloudformation:CreateChangeSetcloudformation:DescribeChangeSet

 2022 年 11 月 16 日
AWSBackupOrganizationAdminAccess:对现有策略的更新

为此策略添加了以下权限,以允许组织管理员使用“委派管理员”特征:organizations:ListDelegatedAdministratororganizations:RegisterDelegatedAdministratororganizations:DeregisterDelegatedAdministrator

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForS3Backup:对现有策略的更新

添加了权限 s3:GetBucketAcl 以支持 Amazon Backup 对 Amazon S3 的备份操作。

 2022 年 8 月 24 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了以下操作以授予创建支持多可用区功能的数据库实例的权限:rds:CreateDBInstance

 2022 年 7 月 20 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

添加了向用户授予使用资源通配符选择要备份的存储桶的 s3:GetBucketTagging 权限。如果没有此权限,使用资源通配符选择要备份的存储桶的用户将无法成功。

 2022 年 5 月 6 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

在现有 fsx:CreateBackupfsx:ListTagsForResource 操作范围内添加了卷资源,并添加了新操作 fsx:DescribeVolumes 以支持 FSx for ONTAP 卷级备份。

 2022 年 4 月 27 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了以下操作以授予用户还原 FSx for ONTAP 卷的权限:fsx:DescribeVolumesfsx:CreateVolumeFromBackupfsx:DeleteVolumefsx:UntagResource

 2022 年 4 月 27 日
AWSBackupServiceRolePolicyForS3Backup:对现有策略的更新

添加了以下操作以授予用户在备份操作期间接收其 Amazon S3 存储桶更改通知的权限:s3:GetBucketNotifications3:PutBucketNotification

 2022 年 2 月 25 日
AWSBackupServiceRolePolicyForS3Backup:新策略

添加了以下操作以授予用户备份其 Amazon S3 存储桶的权限:s3:GetInventoryConfigurations3:PutInventoryConfigurations3:ListBucketVersionss3:ListBuckets3:GetBucketTaggings3:GetBucketVersionings3:GetBucketNotifications3:GetBucketLocations3:ListAllMyBuckets

添加了以下操作以授予用户备份其 Amazon S3 对象的权限:s3:GetObjects3GetObjectAcls3:GetObjectVersionTaggings3:GetObjectVersionAcls3:GetObjectTaggings3:GetObjectVersion

添加了以下操作以授予用户备份其加密 Amazon S3 数据的权限:kms:Decryptkms:DescribeKey

添加了以下操作,以授予用户使用 Amazon EventBridge 规则对其 Amazon S3 数据进行增量备份的权限:events:DescribeRuleevents:EnableRuleevents:PutRuleevents:DeleteRuleevents:PutTargetsevents:RemoveTargetsevents:ListTargetsByRuleevents:DisableRulecloudwatch:GetMetricDataevents:ListRules

 2022 年 2 月 17 日
AWSBackupServiceRolePolicyForS3Restore:新策略

添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限:s3:CreateBuckets3:ListBucketVersionss3:ListBuckets3:GetBucketVersionings3:GetBucketLocations3:PutBucketVersioning

添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限:s3:GetObjects3:GetObjectVersions3:DeleteObjects3:PutObjectVersionAcls3:GetObjectVersionAcls3:GetObjectTaggings3:PutObjectTaggings3:GetObjectAcls3:PutObjectAcls3:PutObjects3:ListMultipartUploadParts

添加了以下操作以授予用户加密其还原的 Amazon S3 数据的权限:kms:Decryptkms:DescribeKeykms:GenerateDataKey

 2022 年 2 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

添加了 s3:ListAllMyBuckets 以授予用户查看其存储桶列表和选择将哪些存储桶分配给备份计划的权限。

 2022 年 2 月 14 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

添加了 backup-gateway:ListVirtualMachines 以授予用户查看其虚拟机列表和选择将哪些虚拟机分配给备份计划的权限。

添加了 backup-gateway:ListTagsForResource 以授予用户列出其虚拟机标签的权限。

 2021 年 11 月 30 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

添加了 backup-gateway:Backup 以授予用户还原其虚拟机备份的权限。Amazon Backup 还添加了 backup-gateway:ListTagsForResource 以授予用户列出分配给其虚拟机备份的标签的权限。

 2021 年 11 月 30 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了 backup-gateway:Restore 以授予用户还原其虚拟机备份的权限。

 2021 年 11 月 30 日
AWSBackupFullAccess:对现有策略的更新

添加了以下操作以授予用户使用 Amazon Backup 网关备份、还原和管理其虚拟机的权限:backup-gateway:AssociateGatewayToServerbackup-gateway:CreateGatewaybackup-gateway:DeleteGatewaybackup-gateway:DeleteHypervisorbackup-gateway:DisassociateGatewayFromServerbackup-gateway:ImportHypervisorConfigurationbackup-gateway:ListGatewaysbackup-gateway:ListHypervisorsbackup-gateway:ListTagsForResourcebackup-gateway:ListVirtualMachinesbackup-gateway:PutMaintenanceStartTimebackup-gateway:TagResourcebackup-gateway:TestHypervisorConfigurationbackup-gateway:UntagResourcebackup-gateway:UpdateGatewayInformationbackup-gateway:UpdateHypervisor

 2021 年 11 月 30 日
AWSBackupOperatorAccess:对现有策略的更新

添加了以下操作以授予用户备份其虚拟机的权限:backup-gateway:ListGatewaysbackup-gateway:ListHypervisorsbackup-gateway:ListTagsForResourcebackup-gateway:ListVirtualMachines

 2021 年 11 月 30 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

添加了 dynamodb:ListTagsOfResource 以授予用户使用 Amazon Backup 的高级 DynamoDB 备份特征列出要备份的 DynamoDB 表标签的权限。

 2021 年 11 月 23 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

添加了 dynamodb:StartAwsBackupJob 以授予用户使用高级备份特征备份其 DynamoDB 表的权限。

添加了 dynamodb:ListTagsOfResource 以授予用户将标签从其源 DynamoDB 表复制到备份的权限。

 2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了 dynamodb:RestoreTableFromAwsBackup 以授予用户还原使用 Amazon Backup 的高级 DynamoDB 备份特征备份的 DynamoDB 表的权限。

 2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了 dynamodb:RestoreTableFromAwsBackup 以授予用户还原使用 Amazon Backup 的高级 DynamoDB 备份特征备份的 DynamoDB 表的权限。

 2021 年 11 月 23 日
AWSBackupOperatorAccess:对现有策略的更新

删除了操作 backup:GetRecoveryPointRestoreMetadatards:DescribeDBSnapshots,因为它们是冗余操作。

Amazon Backup 不需要将 backup:GetRecoveryPointRestoreMetadatabackup:Get* 作为 AWSBackupOperatorAccess 的一部分。另外,Amazon Backup 不需要将 rds:DescribeDBSnapshotsrds:describeDBSnapshots 作为 AWSBackupOperatorAccess 的一部分。

 2021 年 11 月 23 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

添加了新操作 elasticfilesystem:DescribeFileSystemsdynamodb:ListTablesstoragegateway:ListVolumesec2:DescribeVolumesec2:DescribeInstancesrds:DescribeDBInstancesrds:DescribeDBClustersfsx:DescribeFileSystems,以允许客户在选择要分配给备份计划的资源时从其 Amazon Backup 支持的资源列表中进行查看和选择。

 2021 年 11 月 10 日
AWSBackupAuditAccess:新策略

添加了 AWSBackupAuditAccess 以授予用户使用 Amazon Backup Audit Manager 的权限。权限包括配置合规框架和生成报告的能力。

 2021 年 8 月 24 日
AWSServiceRolePolicyForBackupReports:新策略

添加了 AWSServiceRolePolicyForBackupReports 以授予服务相关角色自动监控备份设置、作业和资源是否符合用户配置的框架的权限。

 2021 年 8 月 24 日
AWSBackupFullAccess:对现有策略的更新

添加了 iam:CreateServiceLinkedRole 以创建服务相关角色(尽力而为)自动为您删除过期的恢复点。如果没有此服务相关角色,Amazon Backup 将无法在客户删除用于创建恢复点的原始 IAM 角色后删除过期的恢复点。

 2021 年 7 月 5 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

添加了新操作 dynamodb:DeleteBackup,以授予根据您的备份计划生命周期设置自动删除过期的 DynamoDB 恢复点的 DeleteRecoveryPoint 权限。

 2021 年 7 月 5 日
AWSBackupOperatorAccess:对现有策略的更新

删除了操作 backup:GetRecoveryPointRestoreMetadatards:DescribeDBSnapshots,因为它们是冗余操作。

Amazon Backup 不需要将 backup:GetRecoveryPointRestoreMetadatabackup:Get* 作为 AWSBackupOperatorAccess 的一部分。另外,Amazon Backup 不需要将 rds:DescribeDBSnapshotsrds:describeDBSnapshots 作为 AWSBackupOperatorAccess 的一部分

 2021 年 5 月 25 日
AWSBackupOperatorAccess:对现有策略的更新

删除了操作 backup:GetRecoveryPointRestoreMetadatards:DescribeDBSnapshots,因为它们是冗余操作。

Amazon Backup 不需要将 backup:GetRecoveryPointRestoreMetadatabackup:Get* 作为 AWSBackupOperatorAccess 的一部分。另外,Amazon Backup 不需要将 rds:DescribeDBSnapshotsrds:describeDBSnapshots 作为 AWSBackupOperatorAccess 的一部分。

 2021 年 5 月 25 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了新操作 fsx:TagResource 以授予允许您在还原过程中向 Amazon FSx 文件系统应用标签的 StartRestoreJob 权限。

 2021 年 5 月 24 日
AWSBackupServiceRolePolicyForRestores:对现有策略的更新

添加了新操作 ec2:DescribeImagesec2:DescribeInstances 以授予允许您从恢复点还原 Amazon EC2 实例的 StartRestoreJob 权限。

 2021 年 5 月 24 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

添加了新操作 fsx:CopyBackup 以授予允许您跨区域和账户复制 Amazon FSx 恢复点的 StartCopyJob 权限。

 2021 年 4 月 12 日
AWSBackupServiceLinkedRolePolicyForBackup:对现有策略的更新

添加了新操作 fsx:CopyBackup 以授予允许您跨区域和账户复制 Amazon FSx 恢复点的 StartCopyJob 权限。

 2021 年 4 月 12 日
AWSBackupServiceRolePolicyForBackup:对现有策略的更新

进行了更新以符合以下要求:

为了让 Amazon Backup 创建加密的 DynamoDB 表的备份,您必须向用于备份的 IAM 角色添加 kms:Decryptkms:GenerateDataKey 权限。

 2021 年 3 月 10 日
AWSBackupFullAccess:对现有策略的更新

进行了更新以符合以下要求:

要使用 Amazon Backup 为 Amazon RDS 数据库配置连续备份,请验证在您的备份计划配置所定义的 IAM 角色中是否存在 API 权限 rds:ModifyDBInstance

要还原 Amazon RDS 连续备份,您必须向为还原作业提交的 IAM 角色添加权限 rds:RestoreDBInstanceToPointInTime

在 Amazon Backup 控制台中,要描述可用于时间点故障恢复的时间范围,您必须在 IAM 管理的策略中包含 rds:DescribeDBInstanceAutomatedBackups API 权限。

 2021 年 3 月 10 日

Amazon Backup 开启了跟踪更改

Amazon Backup 为其 Amazon 托管策略开启了跟踪更改。

 2021 年 3 月 10 日