本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 的托管策略 Amazon Backup
托管策略是基于身份的独立策略,您可以将其附加到中的多个用户、群组和角色。 Amazon Web Services 账户将策略附加到主体实体时,便向实体授予了策略中定义的权限。
*Amazon 托管策略*由创建和管理 Amazon。您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。
*客户托管策略*为您提供了精细的控制来设置对备份的访问权限。 Amazon Backup例如,您可以使用它们向数据库备份管理员授予对 Amazon RDS 备份,而不是 Amazon EFS 备份的访问权限。
有关更多信息,请参阅《IAM 用户指南》**中的[托管式策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
## 客户托管策略
以下各节描述了所支持的 Amazon 服务和第三方应用程序的推荐备份和还原权限 Amazon Backup。在创建自己的策略文档时,您可以使用现有的 Amazon 托管策略作为模型,然后对其进行自定义以进一步限制对 Amazon 资源的访问。
**重要**
在使用自定义 IAM 角色时 Amazon Backup,除了权限外,您还必须包括特定于资源的权限。 Amazon Backup 例如,在 Amazon RDS 资源上调用 `backup:ListTags` 时,自定义 IAM 角色还必须包含 `rds:ListTagsForResource` 权限。虽然这些权限包含在默认 Amazon Backup 服务角色中,但必须将其明确添加到客户管理的策略中。所需的底层资源权限取决于所执行的特定 Amazon 服务和操作。
### Amazon Aurora
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon Aurora DSQL
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`DSQLRestorePermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon DynamoDB
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`
### Amazon EBS
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
从中的`EBSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
添加以下语句。
```
{
"Effect":"Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource":"*"
},
```
### Amazon EC2
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`
添加以下语句。
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/role-name"
},
```
*role-name*替换为将附加到已恢复的 EC2 实例的 EC2 实例配置文件角色的名称。这不是 Amazon Backup 服务角色,而是为 EC2 实例上运行的应用程序提供权限的 IAM 角色。
### Amazon EFS
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
从中的`EFSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon FSx
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`
### Amazon Neptune
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon RDS
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon S3
**备份**
从 [AWSBackupServiceRolePolicyForS3](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) Backup 开始。
如果您需要将备份复制到其他账户,请添加 `BackupVaultPermissions` 和 `BackupVaultCopyPermissions` 语句。
**Restore**
从 [AWSBackupServiceRolePolicyForS3Restore](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) 开始。
### Amazon Storage Gateway
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
添加以下语句。
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource":"*"
},
```
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`
### 虚拟机
**备份**
从中的`BackupGatewayBackupPermissions`语句开始[AWSBackupServiceRolePolicyForBackup](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)。
**Restore**
从中的`GatewayRestorePermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### 加密备份
**要还原加密的备份,请执行以下操作之一:**
+ 将您的角色添加到 Amazon KMS 密钥策略的许可名单
+ 将以下语句[AWSBackupServiceRolePolicyForRestores](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)添加到您的 IAM 角色中进行恢复:
+ `KMSDescribePermissions`
+ `KMSPermissions`
+ `KMSCreateGrantPermissions`
## 的政策更新 Amazon Backup
查看 Amazon Backup 自该服务开始跟踪这些更改以来 Amazon 托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限允许 Amazon Backup 还原测试在还原测试完成后删除 RDS 租户数据库。 | 2026 年 3 月 18 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 Amazon Backup 允许在恢复点上启动恶意软件扫描。 | 2026年2月23日 |
| :新策略 | Amazon Backup 添加了新的 Amazon 托管策略, GuardDuty 允许亚马逊读取和扫描客户备份。 Amazon Backup 在启动操作 GuardDuty 时将具有此策略的角色传递给`StartMalwareScan`。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略。 | 2025 年 11 月 19 日 |
| :新策略 | Amazon Backup 添加了一个新的 Amazon 托管策略, Amazon Backup 允许在恢复点上启动恶意软件扫描。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略。 | 2025 年 11 月 19 日 |
| :对现有策略的更新 | 已添加`malware-protection.guardduty.amazonaws.com`到`IamPassRolePermissions`,这是启动恶意软件扫描任务所必需的。 | 2025 年 11 月 19 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是启动恶意软件扫描任务所必需的。 | 2025 年 11 月 19 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 Amazon Backup 允许备份和恢复 Amazon EKS 集群。 | 2025 年 11 月 10 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 Amazon Backup 允许备份和恢复 Amazon EKS 集群。 | 2025 年 11 月 10 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 Amazon Backup 允许代表客户创建 Amazon EKS 集群及其相关资源的备份。 | 2025 年 11 月 10 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 Amazon Backup 允许代表客户创建 Amazon EKS 集群及其相关资源的备份。 | 2025 年 11 月 10 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 Amazon Backup 允许代表客户对 Amazon EKS 集群及其关联资源执行恢复操作。 | 2025 年 11 月 10 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 此权限 Amazon Backup 允许将委派的管理员信息与 Organizations 同步,以实现跨账户管理功能。 | 2025 年 9 月 9 日 |
| :新策略 | Amazon Backup 添加了新的 Amazon 托管策略, GuardDuty 允许亚马逊读取和扫描客户备份。 Amazon Backup 在启动操作 GuardDuty 时将具有此策略的角色传递给`StartMalwareScan`。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略。 | 2025 年 11 月 24 日 |
| :新策略 | Amazon Backup 添加了一个新的 Amazon 托管策略, Amazon Backup 允许在恢复点上启动恶意软件扫描。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略。 | 2025 年 11 月 24 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是代表客户对 DSQL 资源执行精心编排的多区域还原操作所必需的。 Amazon Backup | 2025 年 7 月 17 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是 Amazon 账户管理 与 Amazon Backup 集成所必需的, Amazon Organizations 因此客户可以选择将多方批准 (MPA) 作为其逻辑气隙保管库的一部分。 | 2025 年 6 月 17 日 |
| — 更新现有政策: | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许客户通过还原 Amazon FSx for OpenZFS 多可用区(多可用区)快照所必需的。 Amazon Backup | 2025 年 5 月 27 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 Amazon Backup 允许备份和恢复 Amazon Aurora DSQL 资源。 | 2025 年 5 月 21 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 Amazon Backup 允许备份和恢复 Amazon Aurora DSQL 资源。 | 2025 年 5 月 21 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 Amazon Backup 允许代表客户创建、删除、检索和管理 Amazon Aurora DSQL 快照。 | 2025 年 5 月 21 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 Amazon Backup 允许代表客户创建、删除、检索、加密、解密和管理 Amazon Aurora DSQL 快照。 | 2025 年 5 月 21 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 Amazon Backup 允许按客户指定的时间间隔管理 Aurora DSQL 备份。 | 2025 年 5 月 21 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是指定客户拥有对 Amazon Redshift Serverless 备份的完全访问权限所需的权限,包括所需的读取权限以及删除 Amazon Redshift Serverless 恢复点(快照备份)的权限。 | 2025 年 3 月 31 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是指定客户拥有对 Amazon Redshift Serverless 的所有必要备份权限(包括所需的读取权限)所需的权限。 | 2025 年 3 月 31 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是按客户指定的时间间隔 Amazon Backup 管理 Amazon Redshift 无服务器快照所必需的。 | 2025 年 3 月 31 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许 Amazon Backup 代表客户创建、删除、检索和管理 Amazon Redshift Serverless 快照所必需的。 | 2025 年 3 月 31 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许 Amazon Backup 代表客户恢复亚马逊 Redshift 和 Amazon Redshift Serverless 快照所必需的。 | 2025 年 3 月 31 日 |
| — 添加了新的 Amazon 托管策略 | Amazon Backup 添加了AWSBackupSearchOperatorAccess Amazon 托管策略。 | 2025 年 2 月 27 日 |
| :对现有策略的更新 | Amazon Backup 添加了支持 Amazon RDS 多租户快照跨账户备份副本的权限`rds:AddTagsToResource`。 当客户选择创建多租户 RDS 快照的跨账户副本时,此权限是完成操作所需的权限。 | 2025 年 1 月 8 日 |
| :对现有策略的更新 | Amazon Backup 在此策略中添加了权限`rds:CreateTenantDatabase`和`rds:DeleteTenantDatabase`,以支持 Amazon RDS 资源的还原过程。 这些权限是完成客户还原多租户快照的操作所需的权限。 | 2025 年 1 月 8 日 |
| — 添加了新的 Amazon 托管策略 | Amazon Backup 添加了AWSBackupServiceRolePolicyForItemRestores Amazon 托管策略。 | 2024 年 11 月 26 日 |
| — 添加了新的 Amazon 托管策略 | Amazon Backup 添加了AWSBackupServiceRolePolicyForIndexing Amazon 托管策略。 | 2024 年 11 月 26 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间,需要该权限才能获得标记权限。 | 2024 年 5 月 17 日 |
| — 更新现有策略 | Amazon Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间,需要该权限才能获得标记权限。 | 2024 年 5 月 17 日 |
| :对现有策略的更新 | Amazon Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间,需要该权限才能获得标记权限。 | 2024 年 5 月 17 日 |
| :对现有策略的更新 | 添加了权限 `rds:DeleteDBInstanceAutomatedBackups`。 此权限是支持持续备份和 Amazon RDS 实例 point-in-time-restore所必需的。 Amazon Backup | 2024 年 5 月 1 日 |
| :对现有策略的更新 | Amazon Backup 将亚马逊资源名称 (ARN) 的权限`storagegateway:ListVolumes`从更新为,`arn:aws:storagegateway:*:*:gateway/*`以`*`适应 Storage Gateway API 模型的变化。 | 2024 年 5 月 1 日 |
| :对现有策略的更新 | Amazon Backup 将亚马逊资源名称 (ARN) 的权限`storagegateway:ListVolumes`从更新为,`arn:aws:storagegateway:*:*:gateway/*`以`*`适应 Storage Gateway API 模型的变化。 | 2024 年 5 月 1 日 |
| :对现有策略的更新 | 添加了以下权限,用于描述和列出恢复点和受保护的资源,以便执行还原测试计划:`backup:DescribeRecoveryPoint`、`backup:DescribeProtectedResource`、`backup:ListProtectedResources` 和 `backup:ListRecoveryPointsByResource`。 添加了权限 `ec2:DescribeSnapshotTierStatus` 以支持 Amazon EBS 归档层存储。 添加了权限 `rds:DescribeDBClusterAutomatedBackups` 以支持 Amazon Aurora 连续备份。 添加了以下权限以支持对 Amazon Redshift 备份进行还原测试:`redshift:DescribeClusters` 和 `redshift:DeleteCluster`。 添加了权限 `timestream:DeleteTable` 以支持对 Amazon Timestream 备份进行还原测试。 | 2024 年 2 月 14 日 |
| :对现有策略的更新 | 添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:RestoreSnapshotTier`。 用户必须拥有这些权限,才能选择 Amazon Backup 从存档存储中恢复存储的 Amazon EBS 资源。 对于 EC2 实例还原,还必须在以下策略语句中包括所示权限才能启动 EC2 实例: | 2023 年 11 月 27 日 |
| :对现有策略的更新 | 添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:ModifySnapshotTier` 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。 用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 Amazon Backup 到存档存储。 | 2023 年 11 月 27 日 |
| :对现有策略的更新 | 添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:ModifySnapshotTier` 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。 用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 Amazon Backup 到存档存储。 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`,这是 Aurora 集群的 PITR(point-in-time 恢复)所必需的。 |
| :新策略 | 提供进行还原测试所需的权限。这些权限包括恢复测试中包含的以下服务的操作`list, read, and write`:Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、Lustre、Windows 文件服务器、 FSx ONTAP、 FSx OpenZFS、 FSx Amazon Neptune、Amazon RDS FSx 和亚马逊 S3。 | 2023 年 11 月 27 日 |
| :对现有策略的更新 | 已将 `restore-testing.backup.amazonaws.com` 添加到 `IamPassRolePermissions` 和 `IamCreateServiceLinkedRolePermissions`。为了代表客户 Amazon Backup 进行恢复测试,必须添加此项。 | 2023 年 11 月 27 日 |
| :对现有策略的更新 | 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`,这是 Aurora 集群的 PITR(point-in-time 恢复)所必需的。 | 2023 年 9 月 6 日 |
| :对现有策略的更新 | 添加了持续备份和 point-in-time恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。 | 2023 年 9 月 6 日 |
| :对现有策略的更新 | 添加了持续备份和 point-in-time恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。 | 2023 年 9 月 6 日 |
| :对现有策略的更新 | 添加了权限 `rds:DescribeDBClusterAutomatedBackups`。此权限是 Amazon Backup 支持 Aurora 集群的持续备份和 point-in-time恢复所必需的。 添加了`rds:DeleteDBClusterAutomatedBackups`允许 Amazon Backup 生命周期在保留期结束时删除和解除关联 Amazon Aurora 持续恢复点的权限。需要此权限才能让 Aurora 恢复点避免转换为 `EXIPIRED` 状态。 添加了权限 `rds:ModifyDBCluster`,它允许 Amazon Backup 与 Aurora 集群进行交互。此新增权限使用户能够根据所需的配置启用或禁用连续备份。 | 2023 年 9 月 6 日 |
| :对现有策略的更新 | 添加了操作 `ram:GetResourceShareAssociations`,以授予用户为新保管库类型获取资源共享关联的权限。 | 2023 年 8 月 8 日 |
| :对现有策略的更新 | 添加了操作 `ram:GetResourceShareAssociations`,以授予用户为新保管库类型获取资源共享关联的权限。 | 2023 年 8 月 8 日 |
| — 更新现有策略 | 添加了权限 `s3:PutInventoryConfiguration`,以通过使用存储桶清单提高备份性能。 | 2023 年 8 月 1 日 |
| :对现有策略的更新 | 添加了以下操作以授予用户向还原资源添加标签的权限:`storagegateway:AddTagsToResource`、`elasticfilesystem:TagResource` 和 `ec2:CreateTags`,仅适用于包括 `RunInstances` 或 `CreateVolume`、`fsx:TagResource` 和 `cloudformation:TagResource` 的 `ec2:CreateAction`。 | 2023 年 5 月 22 日 |
| :对现有策略的更新 | 将 API `config:DescribeComplianceByConfigRule` 中的资源选择替换为通配符资源,以便用户更轻松地选择资源。 | 2023 年 4 月 11 日 |
| :对现有策略的更新 | 添加了以下权限以使用客户托管密钥还原 Amazon EFS:`kms:GenerateDataKeyWithoutPlaintext`。这有助于确保用户拥有还原 Amazon EFS 资源所需的权限。 | 2023 年 3 月 27 日 |
| :对现有策略的更新 | 更新了`config:DescribeConfigRules`和`config:DescribeConfigRuleEvaluationStatus`操作以允许 Audi Amazon Backup t Manager 访问 Amazon Backup 审计管理器管理 Amazon Config 的规则。 | 2023 年 3 月 9 日 |
| e — 更新现有政策 | 已向策略 `AWSBackupServiceRolePolicyForS3Restore` 添加以下权限:`kms:Decrypt`、`s3:PutBucketOwnershipControls` 和 `s3:GetBucketOwnershipControls`。这些权限是支持在原始备份中使用 KMS 加密时还原对象,以及在原始存储桶而不是 ACL 上配置对象所有权时还原对象所必需的权限。 | 2023 年 2 月 13 日 |
| :对现有策略的更新 | 添加了以下权限,以使用虚拟机的 VMware标签计划备份并支持基于计划的带宽限制:`backup-gateway:GetHypervisorPropertyMappings`、、、、、`backup-gateway:GetVirtualMachine``backup-gateway:PutHypervisorPropertyMappings`、`backup-gateway:GetHypervisor`和。`backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule` | 2022 年 12 月 15 日 |
| :对现有策略的更新 | 添加了以下权限,以使用虚拟机的 VMware标签计划备份并支持基于计划的带宽限制:`backup-gateway:GetHypervisorPropertyMappings`、、和。`backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule` | 2022 年 12 月 15 日 |
| :新策略 | 允许 Amazon Backup Gateway 将本地网络中虚拟机的元数据与 Backup Gateway 同步。 | 2022 年 12 月 15 日 |
| :对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 资源:`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules` 和 `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| :对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 资源:`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups,`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules` 和 `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| :对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 还原作业:`redshift:RestoreFromCluster Snapshot`、`redshift:RestoreTableFromClusterSnapshot`、`redshift:DescribeClusters` 和 `redshift:DescribeTableRestoreStatus`。 | 2022 年 11 月 27 日 |
| :对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 备份作业:`redshift:CreateClusterSnapshot`、`redshift:DescribeClusterSnapshots`、`redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、`redshift:DescribeClusters` 和 `redshift:CreateTags`。 | 2022 年 11 月 27 日 |
| :对现有策略的更新 | 添加了以下权限来支持 CloudFormation 资源:`cloudformation:ListStacks`. | 2022 年 11 月 27 日 |
| :对现有策略的更新 | 添加了以下权限来支持 CloudFormation 资源:`cloudformation:ListStacks`. | 2022 年 11 月 27 日 |
| :对现有策略的更新 | 为支持 CloudFormation 资源添加了以下权限:`redshift:DescribeClusterSnapshots``redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、和`redshift:DescribeClusters`。 | 2022 年 11 月 27 日 |
| :对现有策略的更新 | 添加了以下权限以支持 Amazon CloudFormation 应用程序堆栈备份作业:`cloudformation:GetTemplate``cloudformation:DescribeStacks`、和`cloudformation:ListStackResources`。 | 2022 年 11 月 16 日 |
| :对现有策略的更新 | 添加了以下权限以支持 Amazon CloudFormation 应用程序堆栈备份作业:`cloudformation:CreateChangeSet`和 `cloudformation:DescribeChangeSet` | 2022 年 11 月 16 日 |
| :对现有策略的更新 | 为此策略添加了以下权限,以允许组织管理员使用“委派管理员”特征:`organizations:ListDelegatedAdministrator`、`organizations:RegisterDelegatedAdministrator` 和 `organizations:DeregisterDelegatedAdministrator` | 2022 年 11 月 27 日 |
| — 更新现有策略 | 添加了支持 Amazon S3 Amazon Backup 的备份操作的权限`s3:GetBucketAcl`。 | 2022 年 8 月 24 日 |
| :对现有策略的更新 | 添加了以下操作以授予创建支持多可用区功能的数据库实例的权限:`rds:CreateDBInstance`。 | 2022 年 7 月 20 日 |
| :对现有策略的更新 | 添加了向用户授予使用资源通配符选择要备份的存储桶的 `s3:GetBucketTagging` 权限。如果没有此权限,使用资源通配符选择要备份的存储桶的用户将无法成功。 | 2022 年 5 月 6 日 |
| :对现有策略的更新 | 在现有`fsx:CreateBackup`和`fsx:ListTagsForResource`操作范围内添加了卷资源,并添加了支持 FSx ONTAP 卷级别备份的新操作`fsx:DescribeVolumes`。 | 2022 年 4 月 27 日 |
| :对现有策略的更新 | 添加了以下操作以授予用户恢复 FSx ONTAP 卷`fsx:DescribeVolumes`、`fsx:CreateVolumeFromBackup``fsx:DeleteVolume`、和`fsx:UntagResource`的权限。 | 2022 年 4 月 27 日 |
| — 更新现有策略 | 添加了以下操作以授予用户在备份操作期间接收其 Amazon S3 存储桶更改通知的权限:`s3:GetBucketNotification` 和 `s3:PutBucketNotification`。 | 2022 年 2 月 25 日 |
| — 新政策 | 添加了以下操作以授予用户备份其 Amazon S3 存储桶的权限:`s3:GetInventoryConfiguration`、`s3:PutInventoryConfiguration`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketTagging`、`s3:GetBucketVersioning`、`s3:GetBucketNotification`、`s3:GetBucketLocation` 和 `s3:ListAllMyBuckets`。 添加了以下操作以授予用户备份其 Amazon S3 对象的权限:`s3:GetObject`、`s3GetObjectAcl`、`s3:GetObjectVersionTagging`、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging` 和 `s3:GetObjectVersion`。 添加了以下操作以授予用户备份其加密 Amazon S3 数据的权限:`kms:Decrypt` 和 `kms:DescribeKey`。 添加了以下操作以授予用户使用 Amazon EventBridge 规则对其 Amazon S3 数据进行增量备份的权限:`events:DescribeRule``events:EnableRule`、`events:PutRule`、、`events:DeleteRule`、`events:PutTargets`、`events:RemoveTargets`、、`events:ListTargetsByRule`、`events:DisableRule`、`cloudwatch:GetMetricData`、、和`events:ListRules`。 | 2022 年 2 月 17 日 |
| e — 新政策 | 添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限:`s3:CreateBucket`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketVersioning`、`s3:GetBucketLocation` 和 `s3:PutBucketVersioning`。 添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限:`s3:GetObject`、`s3:GetObjectVersion`、`s3:DeleteObject`、`s3:PutObjectVersionAcl`、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、`s3:PutObjectTagging`、`s3:GetObjectAcl`、`s3:PutObjectAcl`、`s3:PutObject` 和 `s3:ListMultipartUploadParts`。 添加了以下操作以授予用户加密其还原的 Amazon S3 数据的权限:`kms:Decrypt`、`kms:DescribeKey` 和 `kms:GenerateDataKey`。 | 2022 年 2 月 17 日 |
| :对现有策略的更新 | 添加了 `s3:ListAllMyBuckets` 以授予用户查看其存储桶列表和选择将哪些存储桶分配给备份计划的权限。 | 2022 年 2 月 14 日 |
| :对现有策略的更新 | 添加了 `backup-gateway:ListVirtualMachines` 以授予用户查看其虚拟机列表和选择将哪些虚拟机分配给备份计划的权限。 添加了 `backup-gateway:ListTagsForResource` 以授予用户列出其虚拟机标签的权限。 | 2021 年 11 月 30 日 |
| :对现有策略的更新 | 添加了`backup-gateway:Backup`向用户授予恢复其虚拟机备份的权限。 Amazon Backup 还添加了`backup-gateway:ListTagsForResource`此项以授予用户列出分配给其虚拟机备份的标签的权限。 | 2021 年 11 月 30 日 |
| :对现有策略的更新 | 添加了 `backup-gateway:Restore` 以授予用户还原其虚拟机备份的权限。 | 2021 年 11 月 30 日 |
| :对现有策略的更新 | 添加了以下操作以授予用户使用 Amazon Backup 网关备份、还原和管理其虚拟机的权限:`backup-gateway:AssociateGatewayToServer`、`backup-gateway:CreateGateway`、`backup-gateway:DeleteGateway`、`backup-gateway:DeleteHypervisor`、`backup-gateway:DisassociateGatewayFromServer`、`backup-gateway:ImportHypervisorConfiguration`、`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource`、`backup-gateway:ListVirtualMachines`、`backup-gateway:PutMaintenanceStartTime`、`backup-gateway:TagResource`、`backup-gateway:TestHypervisorConfiguration`、`backup-gateway:UntagResource`、`backup-gateway:UpdateGatewayInformation` 和 `backup-gateway:UpdateHypervisor`。 | 2021 年 11 月 30 日 |
| :对现有策略的更新 | 添加了以下操作以授予用户备份其虚拟机的权限:`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource` 和 `backup-gateway:ListVirtualMachines`。 | 2021 年 11 月 30 日 |
| :对现有策略的更新 | 添加的`dynamodb:ListTagsOfResource`目的是授予用户列出其 DynamoDB 表标签的权限,以便使用其高级 DynamoDB 备份 Amazon Backup功能进行备份。 | 2021 年 11 月 23 日 |
| :对现有策略的更新 | 添加了 `dynamodb:StartAwsBackupJob` 以授予用户使用高级备份特征备份其 DynamoDB 表的权限。 添加了 `dynamodb:ListTagsOfResource` 以授予用户将标签从其源 DynamoDB 表复制到备份的权限。 | 2021 年 11 月 23 日 |
| :对现有策略的更新 | 添加`dynamodb:RestoreTableFromAwsBackup`此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 Amazon Backup的 DynamoDB 表的权限。 | 2021 年 11 月 23 日 |
| :对现有策略的更新 | 添加`dynamodb:RestoreTableFromAwsBackup`此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 Amazon Backup的 DynamoDB 表的权限。 | 2021 年 11 月 23 日 |
| :对现有策略的更新 | 删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`,因为它们是冗余操作。 Amazon Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼`backup:Get*`而有之`AWSBackupOperatorAccess`。而且, Amazon Backup 不需要两者`rds:DescribeDBSnapshots`兼`rds:describeDBSnapshots`而有之`AWSBackupOperatorAccess`。 | 2021 年 11 月 23 日 |
| :对现有策略的更新 | 添加了新的操作`elasticfilesystem:DescribeFileSystems`、`dynamodb:ListTables`、`storagegateway:ListVolumes`、`ec2:DescribeVolumes`、`ec2:DescribeInstances``rds:DescribeDBInstances`、`rds:DescribeDBClusters`、、和`fsx:DescribeFileSystems`,允许客户在选择要分配给备份计划的资源时从其 Amazon Backup支持的资源列表中进行查看和选择。 | 2021 年 11 月 10 日 |
| :新策略 | 添加了授`AWSBackupAuditAccess`予用户使用 Audit Manag Amazon Backup er 的权限。权限包括配置合规框架和生成报告的能力。 | 2021 年 8 月 24 日 |
| :新策略 | 添加了 `AWSServiceRolePolicyForBackupReports` 以授予服务相关角色自动监控备份设置、作业和资源是否符合用户配置的框架的权限。 | 2021 年 8 月 24 日 |
| :对现有策略的更新 | 添加了 `iam:CreateServiceLinkedRole` 以创建服务相关角色(尽力而为)自动为您删除过期的恢复点。如果没有此服务相关角色, Amazon Backup 则无法在客户删除用于创建恢复点的原始 IAM 角色后删除过期的恢复点。 | 2021 年 7 月 5 日 |
| :对现有策略的更新 | 添加了新操作 `dynamodb:DeleteBackup`,以授予根据您的备份计划生命周期设置自动删除过期的 DynamoDB 恢复点的 `DeleteRecoveryPoint` 权限。 | 2021 年 7 月 5 日 |
| :对现有策略的更新 | 删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`,因为它们是冗余操作。 Amazon Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼而有之,`backup:Get*`作为 `AWSBackupOperatorAccess` Also 的一部分, Amazon Backup 不需要两者`rds:DescribeDBSnapshots`兼而`rds:describeDBSnapshots`有之 `AWSBackupOperatorAccess` | 2021 年 5 月 25 日 |
| :对现有策略的更新 | 删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`,因为它们是冗余操作。 Amazon Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼`backup:Get*`而有之`AWSBackupOperatorAccess`。而且, Amazon Backup 不需要两者`rds:DescribeDBSnapshots`兼`rds:describeDBSnapshots`而有之`AWSBackupOperatorAccess`。 | 2021 年 5 月 25 日 |
| [AWSBackupServiceRolePolicyForRestores]():对现有策略的更新 | 添加了授`fsx:TagResource`予`StartRestoreJob`权限的新操作,允许您在还原过程中向 Amazon FSx 文件系统应用标签。 | 2021 年 5 月 24 日 |
| :对现有策略的更新 | 添加了新操作 `ec2:DescribeImages` 和 `ec2:DescribeInstances` 以授予允许您从恢复点还原 Amazon EC2 实例的 `StartRestoreJob` 权限。 | 2021 年 5 月 24 日 |
| :对现有策略的更新 | 添加了授`fsx:CopyBackup`予`StartCopyJob`权限的新操作,允许您跨地区和账户复制 Amazon FSx 恢复点。 | 2021 年 4 月 12 日 |
| :对现有策略的更新 | 添加了授`fsx:CopyBackup`予`StartCopyJob`权限的新操作,允许您跨地区和账户复制 Amazon FSx 恢复点。 | 2021 年 4 月 12 日 |
| :对现有策略的更新 | 进行了更新以符合以下要求: Amazon Backup 要创建加密的 DynamoDB 表的备份,您必须向用于备份的 IAM 角色添加`kms:Decrypt`权限`kms:GenerateDataKey`和。 | 2021 年 3 月 10 日 |
| :对现有策略的更新 | 进行了更新以符合以下要求: Amazon Backup 要使用为您的 Amazon RDS 数据库配置连续备份,请验证您的备份计划配置所定义的 IAM 角色中是否`rds:ModifyDBInstance`存在 API 权限。 要还原 Amazon RDS 连续备份,您必须向为还原作业提交的 IAM 角色添加权限 `rds:RestoreDBInstanceToPointInTime`。 在 Amazon Backup 控制台中,要描述可用于 point-in-time恢复的时间范围,您必须在 IAM 管理的`rds:DescribeDBInstanceAutomatedBackups`策略中包含 API 权限。 | 2021 年 3 月 10 日 |
| Amazon Backup 已开始跟踪更改 | Amazon Backup 开始跟踪其 Amazon托管策略的更改。 | 2021 年 3 月 10 日 |