Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können über gültige Anmeldeinformationen verfügen, um Ihre Anfragen zu authentifizieren. Wenn Sie jedoch nicht über die entsprechenden Berechtigungen verfügen, können Sie nicht auf AWS Backup Ressourcen wie Backup-Tresore zugreifen. Sie können auch keine AWS Ressourcen wie Amazon Elastic Block Store (Amazon EBS) -Volumes sichern.
Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann AWS Identity and Access Management (IAM-) Identitäten (d. h. Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuordnen. Einige Services unterstützen auch das Anfügen von Berechtigungsrichtlinien an Ressourcen.
Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorberechtigungen. Weitere Informationen finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.
Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen die Berechtigungen gelten und welche Aktionen an diesen Ressourcen gestattet werden sollen.
In den folgenden Themen erfahren Sie, wie Zugriffsrichtlinien funktionieren und wie Sie sie verwenden, um Ihre Sicherungen zu schützen.
Themen
Ressourcen und Operationen
Eine Ressource ist ein Objekt, das innerhalb eines Dienstes existiert. AWS Backup Zu den Ressourcen gehören Backup-Pläne, Backup-Tresore und Backups. Backup ist ein allgemeiner Begriff, der sich auf die verschiedenen Arten von Backup-Ressourcen bezieht, die in existieren AWS. Beispielsweise sind Amazon EBS-Snapshots, Amazon Relational Database Service (Amazon RDS)-Snapshots und Amazon DynamoDB-Sicherungen alle Arten von Backup-Ressourcen.
AWS Backup In werden Backups auch als Wiederherstellungspunkte bezeichnet. Bei der Verwendung AWS Backup arbeiten Sie auch mit den Ressourcen anderer AWS Dienste, die Sie schützen möchten, wie Amazon EBS-Volumes oder DynamoDB-Tabellen. Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet. ARNs AWS Ressourcen eindeutig identifizieren. Ein ARN ist erforderlich, um eine Ressource im gesamten AWS-System eindeutig anzugeben, z. B. in IAM-Richtlinien oder API-Aufrufen.
In der folgenden Tabelle sind die Ressourcen, Subressourcen, ARN-Format und ein Beispiel für eine eindeutige ID aufgeführt.
| Ressourcentyp | ARN-Format | Beispiel für eine eindeutige ID |
|---|---|---|
| Sicherungsplan | arn:aws:backup: |
|
| Sicherungstresor | arn:aws:backup: |
|
| Wiederherstellungspunkt für Amazon EBS | arn:aws:ec2: |
snapshot/snap-05f426fd8kdjb4224 |
| Erholungspunkt für EC2 Amazon-Bilder | arn:aws:ec2: |
image/ami-1a2b3e4f5e6f7g890 |
| Wiederherstellungspunkt für Amazon RDS | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Wiederherstellungspunkt für Aurora | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Wiederherstellungspunkt für Storage Gateway | arn:aws:ec2: |
snapshot/snap-0d40e49137e31d9e0 |
| Wiederherstellungspunkt für DynamoDB ohne Erweitertes DynamoDB-Backup | arn:aws:dynamodb: |
table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| Wiederherstellungspunkt für DynamoDB mit aktiviertem Erweitertes DynamoDB-Backup | arn:aws:backup: |
12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Wiederherstellungspunkt für Amazon EFS | arn:aws:backup: |
d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Erholungspunkt für Amazon FSx | arn:aws:fsx: |
backup/backup-1a20e49137e31d9e0 |
| Wiederherstellungspunkt für virtuelle Maschinen | arn:aws:backup: |
1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Wiederherstellungspunkt für kontinuierliche Amazon S3-Sicherung | arn:aws:backup: |
|
| Wiederherstellungspunkt für regelmäßige S3-Sicherung | arn:aws:backup: |
|
| Erholungspunkt für Amazon DocumentDB | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Erholungspunkt für Neptune | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Erholungspunkt für Amazon Redshift | arn:aws:redshift: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Erholungspunkt für Amazon Timestream | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta |
| Erholungspunkt für die Vorlage AWS CloudFormation | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Erholungspunkt für die SAP HANA-Datenbank auf einer EC2 Amazon-Instance | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, haben alle Wiederherstellungspunkte in diesem Formatarn:aws:backup:, sodass Sie leichter Berechtigungsrichtlinien anwenden können, um diese Wiederherstellungspunkte zu schützen. Informationen zu den Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, finden Sie in diesem Abschnitt der Verfügbarkeit von Features nach Ressource Tabelle.region:account-id::recovery-point:*
AWS Backup bietet eine Reihe von Operationen für die Arbeit mit AWS Backup Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter AWS Backup Aktionen.
Ressourceneigentümerschaft
Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der Prinzipalentität (d. h. der AWS-Konto Root-Benutzer, ein IAM-Benutzer oder eine IAM-Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
-
Wenn Sie Ihre AWS-Konto Root-Benutzeranmeldedaten verwenden, AWS-Konto um einen Backup-Tresor zu erstellen, sind Sie AWS-Konto der Eigentümer des Tresors.
-
Wenn Sie in Ihrem einen IAM-Benutzer erstellen AWS-Konto und diesem Benutzer die Berechtigung zum Erstellen eines Backup-Tresors erteilen, kann der Benutzer einen Backup-Tresor erstellen. Eigentümer der Ressource der Sicherungstresorressource ist jedoch Ihr AWS -Konto, zu dem der Benutzer gehört.
-
Wenn Sie in Ihrem System eine IAM-Rolle AWS-Konto mit den Berechtigungen zum Erstellen eines Backup-Tresors erstellen, kann jeder, der diese Rolle übernehmen kann, einen Tresor erstellen. Ihre AWS-Konto, zu der die Rolle gehört, besitzt die Backup-Vault-Ressource.
Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
Für jede AWS Backup Ressource (sieheRessourcen und Operationen) definiert der Dienst eine Reihe von API-Operationen (sieheAktionen). AWS Backup Definiert eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese API-Operationen zu gewähren. Für das Durchführen einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.
Grundlegende Richtlinienelemente:
-
Ressource – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Weitere Informationen finden Sie unter Ressourcen und Operationen.
-
Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten.
-
Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
-
Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).
Weitere Informationen zur Syntax sowie Beschreibungen von IAM-Richtlinien finden Sie in der -IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.
Eine Tabelle mit allen AWS Backup API-Aktionen finden Sie unterAPI-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen.
Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema Bedingung im IAM Benutzerhandbuch.
AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Übersicht aller globalen Bedingungsschlüssel finden Sie unter Kontextschlüssel für AWS globale Bedingungen im IAM-Benutzerhandbuch.
AWS Backup definiert seinen eigenen Satz von Bedingungsschlüsseln. Eine Liste der AWS Backup Bedingungsschlüssel finden Sie unter Bedingungsschlüssel für AWS Backup in der Service Authorization Reference.
API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen
Wenn Sie die Zugriffskontrolle einrichten und eine Berechtigungsrichtlinie für eine IAM-Identität (identitätsbasierte Richtlinie) verfassen, können Sie die folgende Tabelle als Referenz verwenden. Die Tabelle einzelnen AWS Backup API-Operationen, die entsprechenden Aktionen, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können, und die AWS Ressource, für die Sie die Berechtigungen erteilen können. Die Aktionen geben Sie im Feld Action und den Wert für die Ressource im Feld Resource der Richtlinie an. Wenn das Resource-Feld leer ist, können Sie den Platzhalter (*) verwenden, um alle Ressourcen einzubeziehen.
Sie können in Ihren AWS Backup Richtlinien AWS allgemeine Bedingungsschlüssel verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter Verfügbare Schlüssel im IAM-Benutzerhandbuch.
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
1 Verwendet die bestehende Tresorzugriffsrichtlinie.
2 Informationen zu AWS Backup Ressource ARNs ressourcenspezifischen Wiederherstellungspunkten finden Sie unter. ARNs
3 StartRestoreJob muss das Schlüssel-Wert-Paar in den Metadaten für die Ressource enthalten. Rufen Sie die GetRecoveryPointRestoreMetadata-API auf, um die Metadaten der Ressource abzurufen.
4 Bei bestimmten Ressourcentypen muss die Rolle, die das Backup durchführt, über eine bestimmte Tagging-Berechtigung verfügen, backup:TagResource wenn Sie entweder ursprüngliche Ressourcen-Tags in Ihr Backup aufnehmen oder einem Backup zusätzliche Tags hinzufügen möchten. Für alle Backups, bei denen ein ARN mit beginnt, arn:aws:backup: oder für Backups, die kontinuierlich sind, ist diese Genehmigung erforderlich. region:account-id:recovery-point:backup:TagResourceDie Genehmigung muss beantragt werden für "resourcetype":
"arn:aws:backup:region:account-id:recovery-point:*"
Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Backup in der Service-Autorisierungs-Referenz.
Berechtigungen zum Kopieren von Tags
Bei AWS Backup der Ausführung eines Sicherungs- oder Kopierauftrags wird versucht, die Tags von Ihrer Quellressource (oder von Ihrem Wiederherstellungspunkt im Fall einer Kopie) auf Ihren Wiederherstellungspunkt zu kopieren.
Anmerkung
AWS Backup kopiert Tags bei Wiederherstellungsaufträgen nicht nativ. Eine ereignisgesteuerte Architektur, die Tags bei Wiederherstellungsaufträgen kopiert, finden Sie unter So behalten Sie Ressourcen-Tags in AWS Backup
AWS Backup Aggregiert während eines Sicherungs- oder Kopierauftrags die Tags, die Sie in Ihrem Backup-Plan (oder Kopierplan oder On-Demand-Backup) angeben, mit den Tags aus Ihrer Quellressource. AWS Erzwingt jedoch ein Limit von 50 Tags pro Ressource, das AWS Backup nicht überschritten werden darf. Wenn ein Sicherungs- oder Kopierauftrag Tags aus dem Plan und der Quellressource zusammenfasst, werden möglicherweise insgesamt mehr als 50 Tags erkannt, der Job kann nicht abgeschlossen werden und der Job schlägt fehl. Dies steht im Einklang mit den bewährten Methoden für AWS das Tagging in allen Bereichen.
-
Ihre Ressource hat mehr als 50 Tags, nachdem Sie Ihre Backup-Job-Tags mit Ihren Quellressourcen-Tags zusammengefasst haben. AWS unterstützt bis zu 50 Tags pro Ressource.
-
Der IAM-Rolle, der Sie zur Verfügung stellen, AWS Backup sind nicht berechtigt, die Quell-Tags zu lesen oder die Ziel-Tags festzulegen. Weitere Informationen und Beispiele zu IAM-Rollenrichtlinien finden Sie unter Managed Policies.
Sie können Ihren Sicherungsplan verwenden, um Tags zu erstellen, die Ihren Quellressourcen-Tags widersprechen. Wenn die beiden in Konflikt geraten, haben die Tags aus Ihrem Sicherungsplan Vorrang. Verwenden Sie diese Technik, wenn Sie es vorziehen, keinen Tag-Wert aus Ihrer Quellressource zu kopieren. Geben Sie mithilfe Ihres Sicherungsplans denselben Tag-Schlüssel, aber einen anderen oder leeren Wert an.
| Ressourcentyp | Erforderliche Berechtigung |
|---|---|
| Amazon-EFS-Dateisystem |
|
| FSx Amazon-Dateisystem |
|
| Amazon RDS-Datenbank und Amazon Aurora-Cluster |
|
| Storage Gateway-Volume |
|
| EC2 Amazon-Instance und Amazon EBS-Volume |
|
DynamoDB unterstützt das Zuweisen von Tags zu Backups nur, wenn Sie zuerst Erweitertes DynamoDB-Backup aktivieren.
Wenn ein EC2 Amazon-Backup einen Image Recovery Point und eine Reihe von Snapshots erstellt, werden Tags in das resultierende AMI AWS Backup kopiert. AWS Backup kopiert auch die Tags von den Volumes, die der EC2 Amazon-Instance zugeordnet sind, in die resultierenden Snapshots.
Zugriffsrichtlinien
Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. An eine IAM-Identität angefügte Richtlinien werden als identitätsbasierte Richtlinien (oder IAM-Richtlinien) bezeichnet. Richtlinien, die mit einer Ressource verknüpft sind, werden als ressourcenbasierte Richtlinien bezeichnet. AWS Backup unterstützt sowohl identitätsbasierte Richtlinien als auch ressourcenbasierte Richtlinien.
Anmerkung
In diesem Abschnitt wird die Verwendung von IAM im Kontext von beschrieben. AWS Backup Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Informationen zur IAM-Richtliniensyntax und Beschreibungen finden Sie in der IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch.
Identitätsbasierte Richtlinien (IAM-Richtlinien)
Identitätsbasierte Richtlinien sind Richtlinien, die Sie IAM-Identitäten anfügen können, etwa Benutzern oder Rollen. Sie können beispielsweise eine Richtlinie definieren, die es einem Benutzer ermöglicht, AWS Ressourcen einzusehen und zu sichern, ihn aber daran hindert, Backups wiederherzustellen.
Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Thema Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.
Informationen zur Verwendung von IAM-Richtlinien für die Steuerung des Zugriffs auf Sicherungen finden Sie unter .
Ressourcenbasierte Richtlinien
AWS Backup unterstützt ressourcenbasierte Zugriffsrichtlinien für Backup-Tresore. Damit können Sie eine Zugriffsrichtlinie definieren, die steuern kann, welche Benutzer welche Art von Zugriff auf eine der in einem Sicherungstresor organisierten Sicherungen haben. Ressourcenbasierte Zugriffsrichtlinien für Sicherungstresore bieten eine einfache Möglichkeit zur Steuerung des Zugriffs auf Ihre Sicherungen.
Zugriffsrichtlinien für Backup-Tresore steuern den Benutzerzugriff, wenn Sie es verwenden AWS Backup APIs. Auf einige Backup-Typen, wie Amazon Elastic Block Store (Amazon EBS) und Amazon Relational Database Service (Amazon RDS) -Snapshots, kann auch über diese Dienste zugegriffen werden. APIs Sie können in IAM separate Zugriffsrichtlinien erstellen, die den Zugriff auf diese steuern, um den Zugriff auf APIs Backups vollständig zu kontrollieren.
Informationen zur Erstellung einer Zugriffsrichtlinie für Sicherungstresore finden Sie unter Richtlinien für den Tresorzugriff.
