Zugriffskontrolle - AWS Backup

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffskontrolle

Sie können über gültige Anmeldeinformationen verfügen, um Ihre Anfragen zu authentifizieren. Wenn Sie jedoch nicht über die entsprechenden Berechtigungen verfügen, können Sie nicht auf AWS Backup Ressourcen wie Backup-Tresore zugreifen. Sie können auch keine AWS Ressourcen wie Amazon Elastic Block Store (AmazonEBS) -Volumes sichern.

Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Berechtigungsrichtlinien an AWS Identity and Access Management (IAM) Identitäten (d. h. Benutzern, Gruppen und Rollen) anhängen. Einige Services unterstützen auch das Anfügen von Berechtigungsrichtlinien an Ressourcen.

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorberechtigungen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMBewährte Methoden.

Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen die Berechtigungen gelten und welche Aktionen an diesen Ressourcen gestattet werden sollen.

In den folgenden Themen erfahren Sie, wie Zugriffsrichtlinien funktionieren und wie Sie sie verwenden, um Ihre Sicherungen zu schützen.

Ressourcen und Operationen

Eine Ressource ist ein Objekt, das innerhalb eines Dienstes existiert. AWS Backup Zu den Ressourcen gehören Backup-Pläne, Backup-Tresore und Backups. Backup ist ein allgemeiner Begriff, der sich auf die verschiedenen Arten von Backup-Ressourcen bezieht, die in existieren AWS. Beispielsweise sind EBS Amazon-Snapshots, Amazon Relational Database Service (AmazonRDS) -Snapshots und Amazon DynamoDB-Backups alle Arten von Backup-Ressourcen.

In AWS Backup werden Backups auch als Wiederherstellungspunkte bezeichnet. Bei der Verwendung AWS Backup arbeiten Sie auch mit den Ressourcen anderer AWS Dienste, die Sie schützen möchten, wie EBS Amazon-Volumes oder DynamoDB-Tabellen. Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet. ARNs AWS Ressourcen eindeutig identifizieren. Sie benötigen einARN, wenn Sie eine Ressource in allen Bereichen eindeutig angeben müssen AWS, z. B. in IAM Richtlinien oder Aufrufen. API

In der folgenden Tabelle sind Ressourcen, Unterressourcen, ARN Formate und ein Beispiel für eine eindeutige ID aufgeführt.

AWS Backup Ressource ARNs
Ressourcentyp ARNFormat Beispiel für eine eindeutige ID
Sicherungsplan arn:aws:backup:region:account-id:backup-plan:*
Sicherungstresor arn:aws:backup:region:account-id:backup-vault:*
Erholungspunkt für Amazon EBS arn:aws:ec2:region::snapshot/* snapshot/snap-05f426fd8kdjb4224
Erholungspunkt für EC2 Amazon-Bilder arn:aws:ec2:region::image/ami-* image/ami-1a2b3e4f5e6f7g890
Erholungspunkt für Amazon RDS arn:aws:rds:region:account-id:snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Wiederherstellungspunkt für Aurora arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Wiederherstellungspunkt für Storage Gateway arn:aws:ec2:region::snapshot/* snapshot/snap-0d40e49137e31d9e0
Wiederherstellungspunkt für DynamoDB ohne Erweitertes DynamoDB-Backup arn:aws:dynamodb:region:account-id:table/*/backup/* table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3
Wiederherstellungspunkt für DynamoDB mit aktiviertem Erweitertes DynamoDB-Backup arn:aws:backup:region:account-id:recovery-point:* 12a34a56-7bb8-901c-cd23-4567d8e9ef01
Erholungspunkt für Amazon EFS arn:aws:backup:region:account-id:recovery-point:* d99699e7-e183-477e-bfcd-ccb1c6e5455e
Erholungspunkt für Amazon FSx arn:aws:fsx:region:account-id:backup/backup-* backup/backup-1a20e49137e31d9e0
Wiederherstellungspunkt für virtuelle Maschinen arn:aws:backup:region:account-id:recovery-point:* 1801234a-5b6b-7dc8-8032-836f7ffc623b
Wiederherstellungspunkt für kontinuierliche Amazon S3-Sicherung arn:aws:backup:region:account-id:recovery-point:* amzn-s3-demo-bucket-5ec207d0
Wiederherstellungspunkt für regelmäßige S3-Sicherung arn:aws:backup:region:account-id:recovery-point:* amzn-s3-demo-bucket-20211231900000-5ec207d0
Erholungspunkt für Amazon DocumentDB arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Erholungspunkt für Neptune arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Erholungspunkt für Amazon Redshift arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Erholungspunkt für Amazon Timestream arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta
Erholungspunkt für die Vorlage AWS CloudFormation arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012
Erholungspunkt für die SAP HANA Datenbank auf der EC2 Amazon-Instance arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012

Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, haben alle Wiederherstellungspunkte in diesem Formatarn:aws:backup:region:account-id::recovery-point:*, sodass Sie leichter Berechtigungsrichtlinien anwenden können, um diese Wiederherstellungspunkte zu schützen. Informationen zu den Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, finden Sie in diesem Abschnitt der Verfügbarkeit von Features nach Ressource Tabelle.

AWS Backup bietet eine Reihe von Operationen für die Arbeit mit AWS Backup Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter AWS Backup Aktionen.

Ressourceneigentümerschaft

Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der Prinzipalentität (d. h. der AWS-Konto Root-Benutzer, ein IAM Benutzer oder eine IAM Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Wenn Sie Ihre AWS-Konto Root-Benutzeranmeldedaten verwenden, AWS-Konto um einen Backup-Tresor zu erstellen, AWS-Konto sind Sie der Eigentümer des Tresors.

  • Wenn Sie in Ihrem einen IAM Benutzer erstellen AWS-Konto und diesem Benutzer die Berechtigung zum Erstellen eines Backup-Tresors erteilen, kann der Benutzer einen Backup-Tresor erstellen. Eigentümer der Ressource der Sicherungstresorressource ist jedoch Ihr AWS -Konto, zu dem der Benutzer gehört.

  • Wenn Sie in Ihrem System eine IAM Rolle AWS-Konto mit den Berechtigungen zum Erstellen eines Backup-Tresors erstellen, kann jeder, der diese Rolle übernehmen kann, einen Tresor erstellen. Ihre AWS-Konto, zu der die Rolle gehört, besitzt die Backup-Tresor-Ressource.

Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale

Für jede AWS Backup Ressource (sieheRessourcen und Operationen) definiert der Dienst eine Reihe von API Vorgängen (sieheAktionen). AWS Backup Definiert eine Reihe von API Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese Operationen zu erteilen. Für die Ausführung eines API Vorgangs können Berechtigungen für mehr als eine Aktion erforderlich sein.

Grundlegende Richtlinienelemente:

  • Ressource — In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. Weitere Informationen finden Sie unter Ressourcen und Operationen.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten.

  • Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, der implizite Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).

Weitere Informationen zur IAM Richtliniensyntax und zu deren Beschreibung finden Sie unter IAMJSONRichtlinienreferenz im IAM Benutzerhandbuch.

Eine Tabelle mit allen AWS Backup API Aktionen finden Sie unterAPIReferenz zu Berechtigungen: Aktionen, Ressourcen und Bedingungen.

Angeben von Bedingungen in einer Richtlinie

Wenn Sie Berechtigungen gewähren, können Sie die IAM Richtliniensprache verwenden, um die Bedingungen festzulegen, unter denen eine Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter Bedingung im IAMBenutzerhandbuch.

AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Übersicht aller globalen Bedingungsschlüssel finden Sie unter Kontext-Schlüssel für AWS globale Bedingungen im IAMBenutzerhandbuch.

AWS Backup definiert seinen eigenen Satz von Bedingungsschlüsseln. Eine Liste der AWS Backup Bedingungsschlüssel finden Sie unter Bedingungsschlüssel für AWS Backup in der Service Authorization Reference.

APIReferenz zu Berechtigungen: Aktionen, Ressourcen und Bedingungen

Wenn Sie eine Berechtigungsrichtlinie einrichten Zugriffskontrolle und schreiben, die Sie einer IAM Identität zuordnen können (identitätsbasierte Richtlinien), können Sie die folgende Tabellenliste verwenden. Die Tabellenliste jeden AWS Backup API Vorgang, die entsprechenden Aktionen, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können, und die AWS Ressource, für die Sie die Berechtigungen erteilen können. Die Aktionen geben Sie im Feld Action und den Wert für die Ressource im Feld Resource der Richtlinie an. Wenn das Resource-Feld leer ist, können Sie den Platzhalter (*) verwenden, um alle Ressourcen einzubeziehen.

Sie können in Ihren AWS Backup Richtlinien AWS Bedingungsschlüssel für alle Bereiche verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der Schlüssel für AWS die gesamte Breite finden Sie im IAMBenutzerhandbuch unter Verfügbare Schlüssel.

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

1 Verwendet die bestehende Tresorzugriffsrichtlinie.

2 Informationen zu AWS Backup Ressource ARNs ressourcenspezifischen Wiederherstellungspunkten finden Sie unter. ARNs

3 StartRestoreJob muss das Schlüssel-Wert-Paar in den Metadaten für die Ressource enthalten. Um die Metadaten der Ressource abzurufen, rufen Sie den auf. GetRecoveryPointRestoreMetadata API

4 Bestimmte Ressourcentypen erfordern, dass die Rolle, die das Backup durchführt, über eine bestimmte Tagging-Berechtigung backup:TagResource verfügt, wenn Sie beabsichtigen, entweder originale Ressourcen-Tags in Ihr Backup aufzunehmen oder zusätzliche Tags zu einem Backup hinzuzufügen. Für alle Backups mit einem ARN arn:aws:backup:region:account-id:recovery-point: Anfangswert oder einer fortlaufenden Sicherung ist diese Berechtigung erforderlich. backup:TagResourceDie Genehmigung muss beantragt werden für "resourcetype": "arn:aws:backup:region:account-id:recovery-point:*"

Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Backup in der Service-Autorisierungs-Referenz.

Berechtigungen zum Kopieren von Tags

Bei AWS Backup der Ausführung eines Sicherungs- oder Kopierauftrags wird versucht, die Tags von Ihrer Quellressource (oder von Ihrem Wiederherstellungspunkt im Fall einer Kopie) auf Ihren Wiederherstellungspunkt zu kopieren.

Anmerkung

AWS Backup kopiert Tags bei Wiederherstellungsaufträgen nicht nativ. Eine ereignisgesteuerte Architektur, die Tags bei Wiederherstellungsaufträgen kopiert, finden Sie unter So behalten Sie Ressourcen-Tags in AWS Backup Wiederherstellungsaufträgen bei.

AWS Backup Aggregiert während eines Sicherungs- oder Kopierauftrags die Tags, die Sie in Ihrem Backup-Plan (oder Kopierplan oder On-Demand-Backup) angeben, mit den Tags aus Ihrer Quellressource. AWS Erzwingt jedoch ein Limit von 50 Tags pro Ressource, das AWS Backup nicht überschritten werden darf. Wenn ein Sicherungs- oder Kopierauftrag Tags aus dem Plan und der Quellressource zusammenfasst, werden möglicherweise insgesamt mehr als 50 Tags erkannt, der Job kann nicht abgeschlossen werden und der Job schlägt fehl. Dies steht im Einklang mit den bewährten Methoden für AWS das Tagging in allen Bereichen. Weitere Informationen finden Sie unter Tag-Limits im AWS Allgemeinen Referenzhandbuch.

  • Ihre Ressource hat mehr als 50 Tags, nachdem Sie Ihre Backup-Job-Tags mit Ihren Quellressourcen-Tags zusammengefasst haben. AWS unterstützt bis zu 50 Tags pro Ressource. Weitere Informationen finden Sie unter Tag-Limits.

  • Der IAM Rolle, der Sie zuweisen, AWS Backup sind nicht berechtigt, die Quell-Tags zu lesen oder die Ziel-Tags festzulegen. Weitere Informationen und Beispiele für IAM Rollenrichtlinien finden Sie unter Verwaltete Richtlinien.

Sie können Ihren Sicherungsplan verwenden, um Tags zu erstellen, die Ihren Quellressourcen-Tags widersprechen. Wenn die beiden in Konflikt geraten, haben die Tags aus Ihrem Sicherungsplan Vorrang. Verwenden Sie diese Technik, wenn Sie es vorziehen, keinen Tag-Wert aus Ihrer Quellressource zu kopieren. Geben Sie mithilfe Ihres Sicherungsplans denselben Tag-Schlüssel, aber einen anderen oder leeren Wert an.

Erforderliche Berechtigungen zum Zuweisen von Tags zu Sicherungen
Ressourcentyp Erforderliche Berechtigung
EFSAmazon-Dateisystem

elasticfilesystem:DescribeTags

FSxAmazon-Dateisystem

fsx:ListTagsForResource

RDSAmazon-Datenbank und Amazon Aurora-Cluster

rds:AddTagsToResource

rds:ListTagsForResource

Storage Gateway-Volume

storagegateway:ListTagsForResource

EC2Amazon-Instanz und EBS Amazon-Volume

EC2:CreateTags

EC2:DescribeTags

DynamoDB unterstützt das Zuweisen von Tags zu Backups nur, wenn Sie zuerst Erweitertes DynamoDB-Backup aktivieren.

Wenn ein EC2 Amazon-Backup einen Image Recovery Point und eine Reihe von Snapshots erstellt, werden Tags in das Ergebnis AWS Backup AMI kopiert. AWS Backup kopiert auch die Tags von den Volumes, die der EC2 Amazon-Instance zugeordnet sind, in die resultierenden Snapshots.

Zugriffsrichtlinien

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Richtlinien, die mit einer IAM Identität verknüpft sind, werden als identitätsbasierte Richtlinien (Richtlinien) IAM bezeichnet. Mit einer Ressource verknüpfte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet. AWS Backup unterstützt sowohl identitätsbasierte Richtlinien als auch ressourcenbasierte Richtlinien.

Anmerkung

In diesem Abschnitt wird die Verwendung IAM im Kontext von beschrieben. AWS Backup Es enthält keine detaillierten Informationen über den IAM Dienst. Eine vollständige IAM Dokumentation finden Sie unter Was istIAM? im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und zu Beschreibungen finden Sie unter IAMJSONPolicy Reference im IAMBenutzerhandbuch.

Identitätsbasierte Richtlinien (Richtlinien) IAM

Identitätsbasierte Richtlinien sind Richtlinien, die Sie IAM Identitäten wie Benutzern oder Rollen zuordnen können. Sie können beispielsweise eine Richtlinie definieren, die es einem Benutzer ermöglicht, AWS Ressourcen einzusehen und zu sichern, ihn aber daran hindert, Backups wiederherzustellen.

Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Benutzerhandbuch unter Identitäten (Benutzer, Gruppen und Rollen). IAM

Informationen zur Verwendung von IAM Richtlinien zur Steuerung des Zugriffs auf Backups finden Sie unterVerwaltete Richtlinien für AWS Backup.

Ressourcenbasierte Richtlinien

AWS Backup unterstützt ressourcenbasierte Zugriffsrichtlinien für Backup-Tresore. Damit können Sie eine Zugriffsrichtlinie definieren, die steuern kann, welche Benutzer welche Art von Zugriff auf eine der in einem Sicherungstresor organisierten Sicherungen haben. Ressourcenbasierte Zugriffsrichtlinien für Sicherungstresore bieten eine einfache Möglichkeit zur Steuerung des Zugriffs auf Ihre Sicherungen.

Zugriffsrichtlinien für Backup-Tresore steuern den Benutzerzugriff, wenn Sie es verwenden AWS Backup APIs. Auf einige Backup-Typen, wie Amazon Elastic Block Store (AmazonEBS) und Amazon Relational Database Service (AmazonRDS) -Snapshots, kann auch über diese Dienste zugegriffen werden. APIs Sie können separate Zugriffsrichtlinien erstellenIAM, die den Zugriff auf diese steuern, um den Zugriff APIs auf Backups vollständig zu kontrollieren.

Informationen zur Erstellung einer Zugriffsrichtlinie für Sicherungstresore finden Sie unter Richtlinien für den Tresorzugriff.