的托管策略 Amazon Backup - Amazon Backup
客户托管策略策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的托管策略 Amazon Backup

托管策略是基于身份的独立策略,您可以将其附加到中的多个用户、群组和角色。 Amazon Web Services 账户将策略附加到主体实体时,便向实体授予了策略中定义的权限。

Amazon 托管策略由创建和管理 Amazon。您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。

客户托管策略为您提供了精细的控制来设置对备份的访问权限。 Amazon Backup例如,您可以使用它们向数据库备份管理员授予对 Amazon RDS 备份,而不是 Amazon EFS 备份的访问权限。

有关更多信息,请参阅《IAM 用户指南》中的托管式策略

客户托管策略

以下各节描述了为支持的应用程序和第三方应用程序推荐的备份 Amazon Web Services 服务 和还原权限 Amazon Backup。在创建自己的策略文档时,您可以使用现有的 Amazon 托管策略作为模型,然后对其进行自定义以进一步限制对 Amazon 资源的访问。

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

还原

从中的RDSPermissions语句开始AWSBackupServiceRolePolicyForRestores

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • DynamoDBPermissions

  • DynamoDBBackupResourcePermissions

  • DynamodbBackupPermissions

  • KMSDynamoDBPermissions

还原

从以下语句开始 AWSBackupServiceRolePolicyForRestores

  • DynamoDBPermissions

  • DynamoDBBackupResourcePermissions

  • DynamoDBRestorePermissions

  • KMSPermissions

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • EBSResourcePermissions

  • EBSTagAndDeletePermissions

  • EBSCopyPermissions

  • EBSSnapshotTierPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

还原

从中的EBSPermissions语句开始AWSBackupServiceRolePolicyForRestores

添加以下语句。

{
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
},
备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • EBSCopyPermissions

  • EC2CopyPermissions

  • EC2Permissions

  • EC2TagPermissions

  • EC2ModifyPermissions

  • EBSResourcePermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

还原

从以下语句开始 AWSBackupServiceRolePolicyForRestores

  • EBSPermissions

  • EC2DescribePermissions

  • EC2RunInstancesPermissions

  • EC2TerminateInstancesPermissions

  • EC2CreateTagsPermissions

添加以下语句。

{
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::account-id:role/role-name"
},
备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • EFSPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

还原

从中的EFSPermissions语句开始AWSBackupServiceRolePolicyForRestores

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • FsxBackupPermissions

  • FsxCreateBackupPermissions

  • FsxPermissions

  • FsxVolumePermissions

  • FsxListTagsPermissions

  • FsxDeletePermissions

  • FsxResourcePermissions

  • KMSPermissions

还原

从以下语句开始 AWSBackupServiceRolePolicyForRestores

  • FsxPermissions

  • FsxTagPermissions

  • FsxBackupPermissions

  • FsxDeletePermissions

  • FsxDescribePermissions

  • FsxVolumeTagPermissions

  • FsxBackupTagPermissions

  • FsxVolumePermissions

  • DSPermissions

  • KMSDescribePermissions

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

还原

从中的RDSPermissions语句开始AWSBackupServiceRolePolicyForRestores

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • DynamoDBBackupPermissions

  • RDSBackupPermissions

  • RDSClusterModifyPermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

  • KMSPermissions

还原

从中的RDSPermissions语句开始AWSBackupServiceRolePolicyForRestores
备份

AWSBackupServiceRolePolicyForS3 Backup 开始。

如果您需要将备份复制到其他账户,请添加 BackupVaultPermissionsBackupVaultCopyPermissions 语句。

还原

AWSBackupServiceRolePolicyForS3Restore 开始。

备份

从以下语句开始 AWSBackupServiceRolePolicyForBackup

  • StorageGatewayPermissions

  • EBSTagAndDeletePermissions

  • GetResourcesPermissions

  • BackupVaultPermissions

添加以下语句。

{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
},
还原

从以下语句开始 AWSBackupServiceRolePolicyForRestores

  • StorageGatewayVolumePermissions

  • StorageGatewayGatewayPermissions

  • StorageGatewayListPermissions
备份

从中的BackupGatewayBackupPermissions语句开始AWSBackupServiceRolePolicyForBackup

还原

从中的GatewayRestorePermissions语句开始AWSBackupServiceRolePolicyForRestores

加密备份

要还原加密的备份,请执行以下操作之一:

  • 将您的角色添加到 Amazon KMS 密钥策略的许可名单

  • 将以下语句AWSBackupServiceRolePolicyForRestores添加到您的 IAM 角色中进行恢复:

    • KMSDescribePermissions

    • KMSPermissions

    • KMSCreateGrantPermissions

的政策更新 Amazon Backup

查看 Amazon Backup 自该服务开始跟踪这些更改以来 Amazon 托管策略更新的详细信息。

更改 描述 日期
AWSBackupSearchOperatorAccess— 添加了新的 Amazon 托管策略 Amazon Backup 添加了AWSBackupSearchOperatorAccess Amazon 托管策略。 2025 年 2 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup – 对现有策略的更新

Amazon Backup 添加了支持 Amazon RDS 多租户快照跨账户备份副本的权限rds:AddTagsToResource

当客户选择创建多租户 RDS 快照的跨账户副本时,此权限是完成操作所必需的。

 2025 年 1 月 8 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

Amazon Backup 在此策略中添加了权限rds:CreateTenantDatabaserds:DeleteTenantDatabase,以支持 Amazon RDS 资源的还原过程。

这些权限是完成客户恢复多租户快照的操作所必需的。

 2025 年 1 月 8 日
AWSBackupServiceRolePolicyForItemRestores— 添加了新的 Amazon 托管策略 Amazon Backup 添加了AWSBackupServiceRolePolicyForItemRestores Amazon 托管策略。 2024 年 11 月 26 日
AWSBackupServiceRolePolicyForIndexing— 添加了新的 Amazon 托管策略 Amazon Backup 添加了AWSBackupServiceRolePolicyForIndexing Amazon 托管策略。 2024 年 11 月 26 日
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

Amazon Backup 为此策略添加了权限backup:TagResource

创建恢复点期间,需要该权限才能获得标记权限。

 2024 年 5 月 17 日
AWSBackupServiceRolePolicyForS3Backup — 更新现有策略

Amazon Backup 为此策略添加了权限backup:TagResource

创建恢复点期间,需要该权限才能获得标记权限。

 2024 年 5 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup – 对现有策略的更新

Amazon Backup 为此策略添加了权限backup:TagResource

创建恢复点期间,需要该权限才能获得标记权限。

 2024 年 5 月 17 日
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

添加了权限 rds:DeleteDBInstanceAutomatedBackups

此权限是支持持续备份和 Amazon RDS 实例 point-in-time-restore所必需的。 Amazon Backup

2024 年 5 月 1 日
AWSBackupFullAccess – 对现有策略的更新

Amazon Backup 将亚马逊资源名称 (ARN) 的权限storagegateway:ListVolumes从更新为,arn:aws:storagegateway:*:*:gateway/**适应 Storage Gateway API 模型的变化。

 2024 年 5 月 1 日
AWSBackupOperatorAccess – 对现有策略的更新

Amazon Backup 将亚马逊资源名称 (ARN) 的权限storagegateway:ListVolumes从更新为,arn:aws:storagegateway:*:*:gateway/**适应 Storage Gateway API 模型的变化。

 2024 年 5 月 1 日
AWSServiceRolePolicyForBackupRestoreTesting – 对现有策略的更新

添加了以下权限,用于描述和列出恢复点和受保护的资源,以便执行还原测试计划:backup:DescribeRecoveryPointbackup:DescribeProtectedResourcebackup:ListProtectedResourcesbackup:ListRecoveryPointsByResource

添加了权限 ec2:DescribeSnapshotTierStatus 以支持 Amazon EBS 归档层存储。

添加了权限 rds:DescribeDBClusterAutomatedBackups 以支持 Amazon Aurora 连续备份。

添加了以下权限以支持对 Amazon Redshift 备份进行还原测试:redshift:DescribeClustersredshift:DeleteCluster

添加了权限 timestream:DeleteTable 以支持对 Amazon Timestream 备份进行还原测试。

 2024 年 2 月 14 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加了权限 ec2:DescribeSnapshotTierStatusec2:RestoreSnapshotTier

用户必须拥有这些权限,才能选择 Amazon Backup 从存档存储中恢复存储的 Amazon EBS 资源。

例如恢复,您还必须包括启动 EC2 实例的以下策略声明中所示的 EC2 权限:

 2023 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

添加了权限 ec2:DescribeSnapshotTierStatusec2:ModifySnapshotTier 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。

用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 Amazon Backup 到存档存储。

 2023 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup – 对现有策略的更新

添加了权限 ec2:DescribeSnapshotTierStatusec2:ModifySnapshotTier 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。

用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 Amazon Backup 到存档存储。

添加了rds:DescribeDBClusterSnapshotsrds:RestoreDBClusterToPointInTime,这是 Aurora 集群的 PITR(point-in-time 恢复)所必需的。
AWSServiceRolePolicyForBackupRestoreTesting:新策略

提供进行还原测试所需的权限。这些权限包括恢复测试中包含的以下服务的操作list, read, and write:Aurora、DocumentDB、DynamoDB、Amazon EBS、亚马逊、亚马逊 EFS、Lustre、 EC2 Windows 文件服务器、ONTAP FSx 、 FSx OpenZFS FSx 、Amazon Neptune FSx 、Amazon RDS 和亚马逊 S3。

2023 年 11 月 27 日
AWSBackupFullAccess – 对现有策略的更新

已将 restore-testing.backup.amazonaws.com 添加到 IamPassRolePermissionsIamCreateServiceLinkedRolePermissions。为了代表客户 Amazon Backup 进行恢复测试,必须添加此项。

 2023 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加了rds:DescribeDBClusterSnapshotsrds:RestoreDBClusterToPointInTime,这是 Aurora 集群的 PITR(point-in-time 恢复)所必需的。

 2023 年 9 月 6 日
AWSBackupFullAccess – 对现有策略的更新

添加了持续备份和 point-in-time恢复 Aurora 集群所必需的权限rds:DescribeDBClusterAutomatedBackups

 2023 年 9 月 6 日
AWSBackupOperatorAccess – 对现有策略的更新

添加了持续备份和 point-in-time恢复 Aurora 集群所必需的权限rds:DescribeDBClusterAutomatedBackups

 2023 年 9 月 6 日
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

添加了权限 rds:DescribeDBClusterAutomatedBackups。此权限是 Amazon Backup 支持 Aurora 集群的持续备份和 point-in-time恢复所必需的。

添加了rds:DeleteDBClusterAutomatedBackups允许 Amazon Backup 生命周期在保留期结束时删除和解除关联 Amazon Aurora 持续恢复点的权限。需要此权限才能让 Aurora 恢复点避免转换为 EXIPIRED 状态。

添加了权限 rds:ModifyDBCluster,它允许 Amazon Backup 与 Aurora 集群进行交互。此新增权限使用户能够根据所需的配置启用或禁用连续备份。

 2023 年 9 月 6 日
AWSBackupFullAccess – 对现有策略的更新

添加了操作 ram:GetResourceShareAssociations,以授予用户为新保管库类型获取资源共享关联的权限。

 2023 年 8 月 8 日
AWSBackupOperatorAccess – 对现有策略的更新

添加了操作 ram:GetResourceShareAssociations,以授予用户为新保管库类型获取资源共享关联的权限。

 2023 年 8 月 8 日
AWSBackupServiceRolePolicyForS3Backup — 更新现有策略

添加了权限 s3:PutInventoryConfiguration,以通过使用存储桶清单提高备份性能。

 2023 年 8 月 1 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加了以下操作以授予用户向还原资源添加标签的权限:storagegateway:AddTagsToResourceelasticfilesystem:TagResourceec2:CreateTags,仅适用于包括 RunInstancesCreateVolumefsx:TagResourcecloudformation:TagResourceec2:CreateAction

 2023 年 5 月 22 日
AWSBackupAuditAccess – 对现有策略的更新

将 API config:DescribeComplianceByConfigRule 中的资源选择替换为通配符资源,以便用户更轻松地选择资源。

 2023 年 4 月 11 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加了以下权限以使用客户托管密钥还原 Amazon EFS:kms:GenerateDataKeyWithoutPlaintext。这有助于确保用户拥有还原 Amazon EFS 资源所需的权限。

 2023 年 3 月 27 日
AWSServiceRolePolicyForBackupReports – 对现有策略的更新

更新了config:DescribeConfigRulesconfig:DescribeConfigRuleEvaluationStatus操作以允许 Audi Amazon Backup t Manager 访问 Amazon Backup 审计管理器管理 Amazon Config 的规则。

 2023 年 3 月 9 日
AWSBackupServiceRolePolicyForS3Restor e — 更新现有政策

已向策略 AWSBackupServiceRolePolicyForS3Restore 添加以下权限:kms:Decrypts3:PutBucketOwnershipControlss3:GetBucketOwnershipControls。这些权限是支持在原始备份中使用 KMS 加密时还原对象,以及在原始存储桶而不是 ACL 上配置对象所有权时还原对象所必需的权限。

 2023 年 2 月 13 日
AWSBackupFullAccess – 对现有策略的更新

添加了以下权限,以使用虚拟机的 VMware标签计划备份并支持基于计划的带宽限制:backup-gateway:GetHypervisorPropertyMappings、、、、、backup-gateway:GetVirtualMachinebackup-gateway:PutHypervisorPropertyMappingsbackup-gateway:GetHypervisor和。backup-gateway:StartVirtualMachinesMetadataSync backup-gateway:GetBandwidthRateLimitSchedule backup-gateway:PutBandwidthRateLimitSchedule

 2022 年 12 月 15 日
AWSBackupOperatorAccess – 对现有策略的更新

添加了以下权限,以使用虚拟机的 VMware标签计划备份并支持基于计划的带宽限制:backup-gateway:GetHypervisorPropertyMappings、、和。backup-gateway:GetVirtualMachine backup-gateway:GetHypervisor backup-gateway:GetBandwidthRateLimitSchedule

 2022 年 12 月 15 日
AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync:新策略

允许 Amazon Backup Gateway 将本地网络中虚拟机的元数据与 Backup Gateway 同步。

 2022 年 12 月 15 日
AWSBackupFullAccess – 对现有策略的更新

添加了以下权限以支持 Amazon Redshift 资源:redshift:DescribeClustersredshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroupsredshift:DescribeClusterTracksredshift:DescribeSnapshotSchedulesec2:DescribeAddresses

 2022 年 11 月 27 日
AWSBackupOperatorAccess – 对现有策略的更新

添加了以下权限以支持 Amazon Redshift 资源:redshift:DescribeClustersredshift:DescribeClusterSubnetGroupsredshift:DescribeNodeConfigurationOptionsredshift:DescribeOrderableClusterOptionsredshift:DescribeClusterParameterGroups,redshift:DescribeClusterTracksredshift:DescribeSnapshotSchedulesec2:DescribeAddresses

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加了以下权限以支持 Amazon Redshift 还原作业:redshift:RestoreFromCluster Snapshotredshift:RestoreTableFromClusterSnapshotredshift:DescribeClustersredshift:DescribeTableRestoreStatus

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

添加了以下权限以支持 Amazon Redshift 备份作业:redshift:CreateClusterSnapshotredshift:DescribeClusterSnapshotsredshift:DescribeTagsredshift:DeleteClusterSnapshotredshift:DescribeClustersredshift:CreateTags

 2022 年 11 月 27 日
AWSBackupFullAccess – 对现有策略的更新

添加了以下权限来支持 CloudFormation 资源:cloudformation:ListStacks.

 2022 年 11 月 27 日
AWSBackupOperatorAccess – 对现有策略的更新

添加了以下权限来支持 CloudFormation 资源:cloudformation:ListStacks.

 2022 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup – 对现有策略的更新

为支持 CloudFormation 资源添加了以下权限:redshift:DescribeClusterSnapshotsredshift:DescribeTagsredshift:DeleteClusterSnapshot、和redshift:DescribeClusters

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

添加了以下权限以支持 Amazon CloudFormation 应用程序堆栈备份作业:cloudformation:GetTemplatecloudformation:DescribeStacks、和cloudformation:ListStackResources

 2022 年 11 月 16 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加了以下权限以支持 Amazon CloudFormation 应用程序堆栈备份作业:cloudformation:CreateChangeSetcloudformation:DescribeChangeSet

 2022 年 11 月 16 日
AWSBackupOrganizationAdminAccess – 对现有策略的更新

为此策略添加了以下权限,以允许组织管理员使用“委派管理员”特征:organizations:ListDelegatedAdministratororganizations:RegisterDelegatedAdministratororganizations:DeregisterDelegatedAdministrator

 2022 年 11 月 27 日
AWSBackupServiceRolePolicyForS3Backup — 更新现有策略

添加了支持 Amazon S3 Amazon Backup 的备份操作的权限s3:GetBucketAcl

 2022 年 8 月 24 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加了以下操作以授予创建支持多可用区功能的数据库实例的权限:rds:CreateDBInstance

 2022 年 7 月 20 日
AWSBackupServiceLinkedRolePolicyForBackup – 对现有策略的更新

添加了向用户授予使用资源通配符选择要备份的存储桶的 s3:GetBucketTagging 权限。如果没有此权限,使用资源通配符选择要备份的存储桶的用户将无法成功。

 2022 年 5 月 6 日
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

在现有fsx:CreateBackupfsx:ListTagsForResource操作范围内添加了卷资源,并添加了支持 FSx ONTAP 卷级别备份的新操作fsx:DescribeVolumes

 2022 年 4 月 27 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加了以下操作以授予用户恢复 FSx ONTAP 卷fsx:DescribeVolumesfsx:CreateVolumeFromBackupfsx:DeleteVolume、和fsx:UntagResource的权限。

 2022 年 4 月 27 日
AWSBackupServiceRolePolicyForS3Backup — 更新现有策略

添加了以下操作以授予用户在备份操作期间接收其 Amazon S3 存储桶更改通知的权限:s3:GetBucketNotifications3:PutBucketNotification

 2022 年 2 月 25 日
AWSBackupServiceRolePolicyForS3Backup — 新政策

添加了以下操作以授予用户备份其 Amazon S3 存储桶的权限:s3:GetInventoryConfigurations3:PutInventoryConfigurations3:ListBucketVersionss3:ListBuckets3:GetBucketTaggings3:GetBucketVersionings3:GetBucketNotifications3:GetBucketLocations3:ListAllMyBuckets

添加了以下操作以授予用户备份其 Amazon S3 对象的权限:s3:GetObjects3GetObjectAcls3:GetObjectVersionTaggings3:GetObjectVersionAcls3:GetObjectTaggings3:GetObjectVersion

添加了以下操作以授予用户备份其加密 Amazon S3 数据的权限:kms:Decryptkms:DescribeKey

添加了以下操作以授予用户使用 Amazon EventBridge 规则对其 Amazon S3 数据进行增量备份的权限:events:DescribeRuleevents:EnableRuleevents:PutRule、、events:DeleteRuleevents:PutTargetsevents:RemoveTargets、、events:ListTargetsByRuleevents:DisableRulecloudwatch:GetMetricData、、和events:ListRules

 2022 年 2 月 17 日
AWSBackupServiceRolePolicyForS3Restor e — 新政策

添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限:s3:CreateBuckets3:ListBucketVersionss3:ListBuckets3:GetBucketVersionings3:GetBucketLocations3:PutBucketVersioning

添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限:s3:GetObjects3:GetObjectVersions3:DeleteObjects3:PutObjectVersionAcls3:GetObjectVersionAcls3:GetObjectTaggings3:PutObjectTaggings3:GetObjectAcls3:PutObjectAcls3:PutObjects3:ListMultipartUploadParts

添加了以下操作以授予用户加密其还原的 Amazon S3 数据的权限:kms:Decryptkms:DescribeKeykms:GenerateDataKey

 2022 年 2 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup – 对现有策略的更新

添加了 s3:ListAllMyBuckets 以授予用户查看其存储桶列表和选择将哪些存储桶分配给备份计划的权限。

 2022 年 2 月 14 日
AWSBackupServiceLinkedRolePolicyForBackup – 对现有策略的更新

添加了 backup-gateway:ListVirtualMachines 以授予用户查看其虚拟机列表和选择将哪些虚拟机分配给备份计划的权限。

添加了 backup-gateway:ListTagsForResource 以授予用户列出其虚拟机标签的权限。

 2021 年 11 月 30 日
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

添加了backup-gateway:Backup向用户授予恢复其虚拟机备份的权限。 Amazon Backup 还添加了backup-gateway:ListTagsForResource此项以授予用户列出分配给其虚拟机备份的标签的权限。

 2021 年 11 月 30 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加了 backup-gateway:Restore 以授予用户还原其虚拟机备份的权限。

 2021 年 11 月 30 日
AWSBackupFullAccess – 对现有策略的更新

添加了以下操作以授予用户使用 Amazon Backup 网关备份、还原和管理其虚拟机的权限:backup-gateway:AssociateGatewayToServerbackup-gateway:CreateGatewaybackup-gateway:DeleteGatewaybackup-gateway:DeleteHypervisorbackup-gateway:DisassociateGatewayFromServerbackup-gateway:ImportHypervisorConfigurationbackup-gateway:ListGatewaysbackup-gateway:ListHypervisorsbackup-gateway:ListTagsForResourcebackup-gateway:ListVirtualMachinesbackup-gateway:PutMaintenanceStartTimebackup-gateway:TagResourcebackup-gateway:TestHypervisorConfigurationbackup-gateway:UntagResourcebackup-gateway:UpdateGatewayInformationbackup-gateway:UpdateHypervisor

 2021 年 11 月 30 日
AWSBackupOperatorAccess – 对现有策略的更新

添加了以下操作以授予用户备份其虚拟机的权限:backup-gateway:ListGatewaysbackup-gateway:ListHypervisorsbackup-gateway:ListTagsForResourcebackup-gateway:ListVirtualMachines

 2021 年 11 月 30 日
AWSBackupServiceLinkedRolePolicyForBackup – 对现有策略的更新

添加的dynamodb:ListTagsOfResource目的是授予用户列出其 DynamoDB 表标签的权限,以便使用其高级 DynamoDB 备份 Amazon Backup功能进行备份。

 2021 年 11 月 23 日
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

添加了 dynamodb:StartAwsBackupJob 以授予用户使用高级备份特征备份其 DynamoDB 表的权限。

添加了 dynamodb:ListTagsOfResource 以授予用户将标签从其源 DynamoDB 表复制到备份的权限。

 2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加dynamodb:RestoreTableFromAwsBackup此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 Amazon Backup的 DynamoDB 表的权限。

 2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加dynamodb:RestoreTableFromAwsBackup此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 Amazon Backup的 DynamoDB 表的权限。

 2021 年 11 月 23 日
AWSBackupOperatorAccess – 对现有策略的更新

删除了操作 backup:GetRecoveryPointRestoreMetadatards:DescribeDBSnapshots,因为它们是冗余操作。

Amazon Backup 不需要两者backup:GetRecoveryPointRestoreMetadatabackup:Get*而有之AWSBackupOperatorAccess。而且, Amazon Backup 不需要两者rds:DescribeDBSnapshotsrds:describeDBSnapshots而有之AWSBackupOperatorAccess

 2021 年 11 月 23 日
AWSBackupServiceLinkedRolePolicyForBackup – 对现有策略的更新

添加了新的操作elasticfilesystem:DescribeFileSystemsdynamodb:ListTablesstoragegateway:ListVolumesec2:DescribeVolumesec2:DescribeInstancesrds:DescribeDBInstancesrds:DescribeDBClusters、、和fsx:DescribeFileSystems,允许客户在选择要分配给备份计划的资源时从其 Amazon Backup支持的资源列表中进行查看和选择。

 2021 年 11 月 10 日
AWSBackupAuditAccess:新策略

添加了授AWSBackupAuditAccess予用户使用 Audit Manag Amazon Backup er 的权限。权限包括配置合规框架和生成报告的能力。

 2021 年 8 月 24 日
AWSServiceRolePolicyForBackupReports:新策略

添加了 AWSServiceRolePolicyForBackupReports 以授予服务相关角色自动监控备份设置、作业和资源是否符合用户配置的框架的权限。

 2021 年 8 月 24 日
AWSBackupFullAccess – 对现有策略的更新

添加了 iam:CreateServiceLinkedRole 以创建服务相关角色(尽力而为)自动为您删除过期的恢复点。如果没有此服务相关角色, Amazon Backup 则无法在客户删除用于创建恢复点的原始 IAM 角色后删除过期的恢复点。

 2021 年 7 月 5 日
AWSBackupServiceLinkedRolePolicyForBackup – 对现有策略的更新

添加了新操作 dynamodb:DeleteBackup,以授予根据您的备份计划生命周期设置自动删除过期的 DynamoDB 恢复点的 DeleteRecoveryPoint 权限。

 2021 年 7 月 5 日
AWSBackupOperatorAccess – 对现有策略的更新

删除了操作 backup:GetRecoveryPointRestoreMetadatards:DescribeDBSnapshots,因为它们是冗余操作。

Amazon Backup 不需要两者backup:GetRecoveryPointRestoreMetadata兼而有之,backup:Get*作为 AWSBackupOperatorAccess Also 的一部分, Amazon Backup 不需要两者rds:DescribeDBSnapshots兼而rds:describeDBSnapshots有之 AWSBackupOperatorAccess

 2021 年 5 月 25 日
AWSBackupOperatorAccess – 对现有策略的更新

删除了操作 backup:GetRecoveryPointRestoreMetadatards:DescribeDBSnapshots,因为它们是冗余操作。

Amazon Backup 不需要两者backup:GetRecoveryPointRestoreMetadatabackup:Get*而有之AWSBackupOperatorAccess。而且, Amazon Backup 不需要两者rds:DescribeDBSnapshotsrds:describeDBSnapshots而有之AWSBackupOperatorAccess

 2021 年 5 月 25 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加了授fsx:TagResourceStartRestoreJob权限的新操作,允许您在还原过程中向 Amazon FSx 文件系统应用标签。

 2021 年 5 月 24 日
AWSBackupServiceRolePolicyForRestores – 对现有策略的更新

添加了新的操作ec2:DescribeImages和授予StartRestoreJob权限ec2:DescribeInstances以允许您从恢复点恢复 Amazon EC2 实例。

 2021 年 5 月 24 日
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

添加了授fsx:CopyBackupStartCopyJob权限的新操作,允许您跨地区和账户复制 Amazon FSx 恢复点。

 2021 年 4 月 12 日
AWSBackupServiceLinkedRolePolicyForBackup – 对现有策略的更新

添加了授fsx:CopyBackupStartCopyJob权限的新操作,允许您跨地区和账户复制 Amazon FSx 恢复点。

 2021 年 4 月 12 日
AWSBackupServiceRolePolicyForBackup – 对现有策略的更新

进行了更新以符合以下要求:

Amazon Backup 要创建加密的 DynamoDB 表的备份,您必须向用于备份的 IAM 角色添加kms:Decrypt权限kms:GenerateDataKey和。

 2021 年 3 月 10 日
AWSBackupFullAccess – 对现有策略的更新

进行了更新以符合以下要求:

Amazon Backup 要使用为您的 Amazon RDS 数据库配置连续备份,请验证您的备份计划配置所定义的 IAM 角色中是否rds:ModifyDBInstance存在 API 权限。

要还原 Amazon RDS 连续备份,您必须向为还原作业提交的 IAM 角色添加权限 rds:RestoreDBInstanceToPointInTime

在 Amazon Backup 控制台中,要描述可用于 point-in-time恢复的时间范围,您必须在 IAM 管理的rds:DescribeDBInstanceAutomatedBackups策略中包含 API 权限。

 2021 年 3 月 10 日

Amazon Backup 已开始跟踪更改

Amazon Backup 开始跟踪其 Amazon托管策略的更改。

 2021 年 3 月 10 日