Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Identitäts- und Zugriffsmanagement in AWS Backup
<a name="backup-iam"></a>

Für den Zugriff auf AWS Backup sind Anmeldeinformationen erforderlich. Diese Anmeldeinformationen müssen Berechtigungen für den Zugriff auf AWS -Ressourcen wie etwa eine Amazon DynamoDB-Datenbank oder ein Amazon EFS-Dateisystem haben. Darüber hinaus können Wiederherstellungspunkte, die von AWS Backup einigen AWS Backup unterstützten Diensten erstellt wurden, nicht mithilfe des Quelldienstes (wie Amazon EFS) gelöscht werden. Sie können diese Wiederherstellungspunkte mithilfe von AWS Backup löschen.

In den folgenden Abschnitten erfahren Sie, wie Sie [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) verwenden und wie Sie AWS Backup den Zugriff auf Ihre Ressourcen sichern können.

**Warnung**  
AWS Backup verwendet dieselbe IAM-Rolle, die Sie bei der Zuweisung von Ressourcen zur Verwaltung Ihres Wiederherstellungspunkt-Lebenszyklus ausgewählt haben. Wenn Sie diese Rolle löschen oder ändern, kann Ihr Wiederherstellungspunkt-Lebenszyklus AWS Backup nicht verwaltet werden. In diesem Fall wird versucht, eine serviceverknüpfte Rolle zu verwenden, um Ihren Lebenszyklus zu verwalten. In einem kleinen Prozentsatz der Fälle funktioniert dies möglicherweise auch nicht, sodass `EXPIRED`-Wiederherstellungspunkte auf Ihrem Speicher verbleiben, was zu unerwünschten Kosten führen kann. Um `EXPIRED`-Wiederherstellungspunkte zu löschen, löschen Sie sie manuell. Gehen Sie dabei wie unter [Löschen von Sicherungen beschrieben](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html) vor.

**Topics**
+ [Authentifizierung](authentication.md)
+ [Zugriffskontrolle](access-control.md)
+ [IAM-Servicerollen](iam-service-roles.md)
+ [Verwaltete Richtlinien für AWS Backup](security-iam-awsmanpol.md)
+ [Verwenden von serviceverknüpften Rollen für AWS Backup](using-service-linked-roles.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)

# Authentifizierung
<a name="authentication"></a>

Für den Zugriff AWS Backup auf die AWS Dienste, die Sie sichern, sind Anmeldeinformationen erforderlich, mit denen Sie Ihre Anfragen authentifizieren AWS können. Sie können mit einer der folgenden Arten von Identitäten darauf zugreifen AWS :
+ **AWS-Konto Root-Benutzer** — Wenn Sie sich für registrieren AWS, geben Sie eine E-Mail-Adresse und ein Passwort an, die mit Ihrem AWS Konto verknüpft sind. Dies ist Ihr *AWS-Konto -Root-Benutzer* Seine Anmeldeinformationen bieten vollständigen Zugriff auf alle Ihre AWS Ressourcen.
**Wichtig**  
Aus Sicherheitsgründen empfehlen wir, den Root-Benutzer nur zum Erstellen eines *Administrators* zu verwenden. Der Administrator ist ein *IAM-Benutzer* mit vollständigen Berechtigungen für Ihr AWS-Konto. Anschließend können Sie mit diesem Administratorbenutzer andere IAM-Benutzer und IAM-Rollen mit eingeschränkten Berechtigungen erstellen. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) und [Erstellen Ihres ersten IAM-Administrator-Benutzers und Ihrer ersten Administratorgruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) im *IAM-Benutzerhandbuch*.
+ **IAM-Benutzer** - Ein [IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) ist eine Identität in Ihrem AWS-Konto mit bestimmten benutzerdefinierten Berechtigungen (z. B. Berechtigungen zum Erstellen eines Sicherungstresors für die Speicherung Ihrer Sicherungen). [Sie können einen IAM-Benutzernamen und ein Passwort verwenden, um sich auf sicheren AWS Webseiten wie den [AWS-ManagementkonsoleAWS](https://console.aws.amazon.com/)[Diskussionsforen](https://forums.aws.amazon.com/) oder dem AWS Support Center anzumelden.](https://console.aws.amazon.com/support/home#/)

  Zusätzlich zu einem Benutzernamen und Passwort können Sie [Zugriffsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) für jeden Benutzer erstellen. Sie können diese Schlüssel verwenden, wenn Sie programmgesteuert auf AWS Dienste zugreifen, entweder über [einen der verschiedenen](https://aws.amazon.com/developer/tools/) Schlüssel SDKs oder mithilfe der [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). Das SDK und die AWS CLI -Tools verwenden die Zugriffsschlüssel, um Ihre Anfrage verschlüsselt zu signieren. Wenn Sie die AWS -Tools nicht nutzen, müssen Sie die Anforderung selbst signieren. Weitere Informationen zur Authentifizierung von Anfragen finden Sie unter [Signature Version 4-Signaturprozess](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) im *Allgemeine AWS-Referenz*.
+ **IAM-Rolle** – Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine weitere IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Sie ähnelt einem IAM-Benutzer, ist aber nicht mit einer bestimmten Person verknüpft. Mit einer IAM-Rolle können Sie temporäre Zugriffsschlüssel abrufen, die für den Zugriff auf AWS Dienste und Ressourcen verwendet werden können. IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:
  + Föderierter Benutzerzugriff — Anstatt einen IAM-Benutzer zu erstellen, können Sie bereits vorhandene Benutzeridentitäten aus Directory Service Ihrem Unternehmensbenutzerverzeichnis oder einem Web-Identitätsanbieter verwenden. Diese werden als *Verbundbenutzer* bezeichnet. AWS weist einem Verbundbenutzer eine Rolle zu, wenn Zugriff über einen [Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) angefordert wird. Weitere Informationen zu Verbundbenutzern finden Sie unter [Verbundbenutzer und Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) im *IAM-Leitfaden*.
  + Kontoübergreifende Verwaltung — Sie können eine IAM-Rolle in Ihrem Konto verwenden, um anderen AWS-Konto Berechtigungen zur Verwaltung der Ressourcen Ihres Kontos zu gewähren. *Ein Beispiel finden Sie unter [Tutorial: Delegate Access Across AWS-Konten Using IAM Roles im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html).*
  + AWS Servicezugriff — Sie können eine IAM-Rolle in Ihrem Konto verwenden, um einem AWS Dienst Berechtigungen für den Zugriff auf die Ressourcen Ihres Kontos zu erteilen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
  + Anwendungen, die auf Amazon Elastic Compute Cloud (Amazon EC2) ausgeführt werden — Sie können eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer Amazon EC2 EC2-Instance ausgeführt werden und API-Anfragen stellen AWS . Das ist eher zu empfehlen, als Zugriffsschlüssel innerhalb der EC2-Instance zu speichern. Um einer EC2-Instance eine AWS Rolle zuzuweisen und sie allen ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instance-Profil, das an die Instance angehängt ist. Ein Instance-Profil enthält die Rolle und ermöglicht, dass Programme, die in der EC2 Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten. Weitere Informationen finden Sie unter [Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) im *IAM-Benutzerhandbuch*.

    

# Zugriffskontrolle
<a name="access-control"></a>

Sie können über gültige Anmeldeinformationen verfügen, um Ihre Anfragen zu authentifizieren. Wenn Sie jedoch nicht über die entsprechenden Berechtigungen verfügen, können Sie nicht auf AWS Backup Ressourcen wie Backup-Tresore zugreifen. Sie können auch keine AWS Ressourcen wie Amazon Elastic Block Store (Amazon EBS) -Volumes sichern.

Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann AWS Identity and Access Management (IAM-) Identitäten (d. h. Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuordnen. Einige Services unterstützen auch das Anfügen von Berechtigungsrichtlinien an Ressourcen. 

Ein *Kontoadministrator* (oder Administratorbenutzer) ist ein Benutzer mit Administratorberechtigungen. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen die Berechtigungen gelten und welche Aktionen an diesen Ressourcen gestattet werden sollen.

In den folgenden Themen erfahren Sie, wie Zugriffsrichtlinien funktionieren und wie Sie sie verwenden, um Ihre Sicherungen zu schützen. 

**Topics**
+ [Ressourcen und Operationen](#access-control-resources)
+ [Ressourceneigentümerschaft](#access-control-owner)
+ [Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale](#access-control-specify-backup-actions)
+ [Angeben von Bedingungen in einer Richtlinie](#specifying-conditions)
+ [API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](#backup-api-permissions-ref)
+ [Berechtigungen zum Kopieren von Tags](#copy-tags)
+ [Zugriffsrichtlinien](#access-policies)

## Ressourcen und Operationen
<a name="access-control-resources"></a>

Eine Ressource ist ein Objekt, das innerhalb eines Dienstes existiert. AWS Backup Zu den Ressourcen gehören Backup-Pläne, Backup-Tresore und Backups. *Backup* ist ein allgemeiner Begriff, der sich auf die verschiedenen Arten von Backup-Ressourcen bezieht, die in existieren AWS. Beispielsweise sind Amazon EBS-Snapshots, Amazon Relational Database Service (Amazon RDS)-Snapshots und Amazon DynamoDB-Sicherungen alle Arten von Backup-Ressourcen. 

 AWS Backup In werden Backups auch als *Wiederherstellungspunkte* bezeichnet. Bei der Verwendung AWS Backup arbeiten Sie auch mit den Ressourcen anderer AWS Dienste, die Sie schützen möchten, wie Amazon EBS-Volumes oder DynamoDB-Tabellen. Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet. ARNs AWS Ressourcen eindeutig identifizieren. Ein ARN ist erforderlich, um eine Ressource im gesamten AWS-System eindeutig anzugeben, z. B. in IAM-Richtlinien oder API-Aufrufen. 

In der folgenden Tabelle sind die Ressourcen, Subressourcen, ARN-Format und ein Beispiel für eine eindeutige ID aufgeführt.


**AWS Backup Ressource ARNs**  

| Ressourcentyp | ARN-Format | Beispiel für eine eindeutige ID | 
| --- | --- | --- | 
| Sicherungsplan | arn:aws:backup:region:account-id:backup-plan:\$1 |  | 
| Sicherungstresor | arn:aws:backup:region:account-id:backup-vault:\$1 |  | 
| Wiederherstellungspunkt für Amazon EBS | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 | 
| Wiederherstellungspunkt für Amazon EC2 EC2-Images | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 | 
| Wiederherstellungspunkt für Amazon RDS | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Wiederherstellungspunkt für Aurora | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Erholungspunkt für Aurora DSQL | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a | 
| Wiederherstellungspunkt für Storage Gateway | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 | 
| Wiederherstellungspunkt für DynamoDB ohne [Erweitertes DynamoDB-Backup](advanced-ddb-backup.md) | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 | 
| Wiederherstellungspunkt für DynamoDB mit aktiviertem [Erweitertes DynamoDB-Backup](advanced-ddb-backup.md) | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 | 
| Wiederherstellungspunkt für Amazon EFS | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e | 
| Erholungspunkt für Amazon FSx | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 | 
| Wiederherstellungspunkt für virtuelle Maschinen | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b | 
| Wiederherstellungspunkt für kontinuierliche Amazon S3-Sicherung | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 | 
| Wiederherstellungspunkt für regelmäßige S3-Sicherung | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 | 
| Erholungspunkt für Amazon DocumentDB | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Erholungspunkt für Neptune | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Erholungspunkt für Amazon Redshift | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Erholungspunkt für Amazon Redshift Serverless | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Erholungspunkt für Amazon Timestream | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta | 
| Erholungspunkt für die Vorlage AWS CloudFormation  | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 
| Erholungspunkt für die SAP HANA-Datenbank auf einer Amazon EC2 EC2-Instance | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 

Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, haben alle Wiederherstellungspunkte in diesem Format, sodass Sie leichter Berechtigungsrichtlinien anwenden können, um diese Wiederherstellungspunkte zu schützen`arn:aws:backup:region:account-id::recovery-point:*`. Informationen zu den Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, finden Sie in diesem Abschnitt der [Feature-Verfügbarkeit nach Ressource](backup-feature-availability.md#features-by-resource) Tabelle.

AWS Backup bietet eine Reihe von Vorgängen für die Arbeit mit AWS Backup Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter AWS Backup [Aktionen](API_Operations.md).

## Ressourceneigentümerschaft
<a name="access-control-owner"></a>

Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der [Prinzipalentität](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (d. h. der AWS-Konto Root-Benutzer, ein IAM-Benutzer oder eine IAM-Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
+ Wenn Sie Ihre AWS-Konto Root-Benutzeranmeldedaten verwenden, AWS-Konto um einen Backup-Tresor zu erstellen, sind Sie AWS-Konto der Eigentümer des Tresors.
+ Wenn Sie in Ihrem einen IAM-Benutzer erstellen AWS-Konto und diesem Benutzer die Berechtigung zum Erstellen eines Backup-Tresors erteilen, kann der Benutzer einen Backup-Tresor erstellen. Eigentümer der Ressource der Sicherungstresorressource ist jedoch Ihr AWS -Konto, zu dem der Benutzer gehört.
+ Wenn Sie in Ihrem System eine IAM-Rolle AWS-Konto mit den Berechtigungen zum Erstellen eines Backup-Tresors erstellen, kann jeder, der diese Rolle übernehmen kann, einen Tresor erstellen. Ihre AWS-Konto, zu der die Rolle gehört, besitzt die Backup-Vault-Ressource. 

## Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
<a name="access-control-specify-backup-actions"></a>

Für jede AWS Backup Ressource (siehe[Ressourcen und Operationen](#access-control-resources)) definiert der Dienst eine Reihe von API-Operationen (siehe[Aktionen](API_Operations.md)). AWS Backup Definiert eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese API-Operationen zu gewähren. Für das Durchführen einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.

Grundlegende Richtlinienelemente:
+ Ressource – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Weitere Informationen finden Sie unter [Ressourcen und Operationen](#access-control-resources).
+ Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten.
+ Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
+ Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).

Weitere Informationen zur Syntax sowie Beschreibungen von IAM-Richtlinien finden Sie in der [-IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.

Eine Tabelle mit allen AWS Backup API-Aktionen finden Sie unter[API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen](#backup-api-permissions-ref).

## Angeben von Bedingungen in einer Richtlinie
<a name="specifying-conditions"></a>

Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM Benutzerhandbuch*. 

AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Übersicht aller globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

AWS Backup definiert seinen eigenen Satz von Bedingungsschlüsseln. Eine Liste der AWS Backup Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys) in der *Service Authorization Reference*.

## API-Berechtigungen: Referenztabelle für Aktionen, Ressourcen und Bedingungen
<a name="backup-api-permissions-ref"></a>

Wenn Sie die [Zugriffskontrolle](#access-control) einrichten und eine Berechtigungsrichtlinie für eine IAM-Identität (identitätsbasierte Richtlinie) verfassen, können Sie die folgende Tabelle als Referenz verwenden. Die Tabelle einzelnen AWS Backup API-Operationen, die entsprechenden Aktionen, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können, und die AWS Ressource, für die Sie die Berechtigungen erteilen können. Die Aktionen geben Sie im Feld `Action` und den Wert für die Ressource im Feld `Resource` der Richtlinie an. Wenn das `Resource`-Feld leer ist, können Sie den Platzhalter (`*`) verwenden, um alle Ressourcen einzubeziehen.

Sie können in Ihren AWS Backup Richtlinien AWS allgemeine Bedingungsschlüssel verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter [Verfügbare Schlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*. 

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.


**AWS Backup API und erforderliche Berechtigungen für Aktionen**  

| AWS Backup API-Operationen | Erforderliche Berechtigungen (API-Aktionen) | Ressourcen | 
| --- | --- | --- | 
|  [CreateBackupPlan](API_CreateBackupPlan.md)  | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupSelection](API_CreateBackupSelection.md)  | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupVault](API_CreateBackupVault.md)  |  `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey`  |  arn:aws:backup:region:account-id:backup-vault:\$1 Für `backup-storage`: \$1 Für `kms`: `arn:aws:kms:region:account-id:key/keystring` | 
|  [DeleteBackupPlan](API_DeleteBackupPlan.md)  | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupSelection](API_DeleteBackupSelection.md)  | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupVault](API_DeleteBackupVault.md)  | backup:DeleteBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md)  | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md)  |  backup:DeleteBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md)  |  backup:DeleteRecoveryPoint1  | 2 | 
|  [DescribeBackupJob](API_DescribeBackupJob.md)  | backup:DescribeBackupJob |  | 
|  [DescribeBackupVault](API_DescribeBackupVault.md)  |  backup:DescribeBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DescribeProtectedResource](API_DescribeProtectedResource.md)  | backup:DescribeProtectedResource |  | 
|  [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md)  |  backup:DescribeRecoveryPoint1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [DescribeRestoreJob](API_DescribeRestoreJob.md)  | backup:DescribeRestoreJob |  | 
|  [DescribeRegionSettings](API_DescribeRegionSettings.md)  |  backup:DescribeRegionSettings  |  | 
|  [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md)  | backup:ExportBackupPlanTemplate |  | 
|  [GetBackupPlan](API_GetBackupPlan.md)  | backup:GetBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md)  | backup:GetBackupPlanFromJSON |  | 
|  [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md)  | backup:GetBackupPlanFromTemplate |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupSelection](API_GetBackupSelection.md)  | backup:GetBackupSelection |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md)  |  backup:GetBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md)  |  backup:GetBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md)  |  backup:GetRecoveryPointRestoreMetadata1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md)  | backup:GetSupportedResourceTypes |  | 
|  [ListBackupJobs](API_ListBackupJobs.md)  | backup:ListBackupJobs |  | 
|  [ListBackupPlans](API_ListBackupPlans.md)  | backup:ListBackupPlans |  | 
|  [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md)  | backup:ListBackupPlanTemplates |  | 
|  [ListBackupPlanVersions](API_ListBackupPlanVersions.md)  | backup:ListBackupPlanVersions |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupSelections](API_ListBackupSelections.md)  | backup:ListBackupSelections |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupVaults](API_ListBackupVaults.md)  | backup:ListBackupVaults |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListProtectedResources](API_ListProtectedResources.md)  | backup:ListProtectedResources |  | 
|  [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md)  |  backup:ListRecoveryPointsByBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md)  | backup:ListRecoveryPointsByResource |  | 
|  [ListRestoreJobs](API_ListRestoreJobs.md)  | backup:ListRestoreJobs |  | 
|  [ListTags](API_ListTags.md)  | backup:ListTags |  | 
|  [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md)  |  backup:PutBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md)  |  backup:PutBackupVaultLockConfiguration1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md)  |  backup:PutBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartBackupJob](API_StartBackupJob.md)  | backup:StartBackupJob |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartRestoreJob](API_StartRestoreJob.md)  | backup:StartRestoreJob |  `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3  | 
|  [StopBackupJob](API_StopBackupJob.md)  | backup:StopBackupJob |  | 
|  [TagResource](API_TagResource.md)  | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 | 
|  [UntagResource](API_UntagResource.md)  | backup:UntagResource |  | 
|  [UpdateBackupPlan](API_UpdateBackupPlan.md)  | backup:UpdateBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md)  |  backup:UpdateRecoveryPointLifecycle1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [UpdateRegionSettings](API_UpdateRegionSettings.md)  |  `backup:UpdateRegionSettings` `backup:DescribeRegionSettings`  |  | 

1 Verwendet die bestehende Tresorzugriffsrichtlinie.

2 Informationen zu [AWS Backup Ressource ARNs](#resource-arns-table) ressourcenspezifischen Wiederherstellungspunkten finden Sie unter. ARNs

3 `StartRestoreJob` muss das Schlüssel-Wert-Paar in den Metadaten für die Ressource enthalten. Rufen Sie die `GetRecoveryPointRestoreMetadata`-API auf, um die Metadaten der Ressource abzurufen.

Weitere Informationen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html) in der *Service-Autorisierungs-Referenz*.

## Berechtigungen zum Kopieren von Tags
<a name="copy-tags"></a>

Bei der AWS Backup Ausführung eines Sicherungs- oder Kopierauftrags wird versucht, die Tags von Ihrer Quellressource (oder vom Wiederherstellungspunkt im Fall einer Kopie) auf Ihren Wiederherstellungspunkt zu kopieren.

**Anmerkung**  
AWS Backup kopiert Tags bei Wiederherstellungsaufträgen **nicht** nativ. Eine ereignisgesteuerte Architektur, die Tags bei Wiederherstellungsaufträgen kopiert, finden Sie unter [So behalten Sie Ressourcen-Tags in AWS Backup](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/) Wiederherstellungsaufträgen bei.

 AWS Backup Aggregiert während eines Sicherungs- oder Kopierauftrags die Tags, die Sie in Ihrem Backup-Plan (oder Kopierplan oder On-Demand-Backup) angeben, mit den Tags aus Ihrer Quellressource. AWS Erzwingt jedoch ein Limit von 50 Tags pro Ressource, das AWS Backup nicht überschritten werden darf. Wenn ein Sicherungs- oder Kopierauftrag Tags aus dem Plan und der Quellressource zusammenfasst, werden möglicherweise insgesamt mehr als 50 Tags erkannt, der Job kann nicht abgeschlossen werden und der Job schlägt fehl. Dies steht im Einklang mit den bewährten Methoden für AWS das Tagging in allen Bereichen.
+ Ihre Ressource hat mehr als 50 Tags, nachdem Sie Ihre Backup-Job-Tags mit Ihren Quellressourcen-Tags zusammengefasst haben. AWS unterstützt bis zu 50 Tags pro Ressource.
+ Der IAM-Rolle, der Sie zur Verfügung stellen, AWS Backup sind nicht berechtigt, die Quell-Tags zu lesen oder die Ziel-Tags festzulegen. Weitere Informationen und Beispiele zu IAM-Rollenrichtlinien finden Sie unter [Managed Policies](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies).

Sie können Ihren Backup-Plan (zu Wiederherstellungspunkten hinzugefügte Tags) verwenden, um Tags zu erstellen, die Ihren Quellressourcen-Tags widersprechen. Wenn die beiden in Konflikt geraten, haben die Tags aus Ihrem Sicherungsplan Vorrang. Verwenden Sie diese Technik, wenn Sie es vorziehen, keinen Tag-Wert aus Ihrer Quellressource zu kopieren. Geben Sie mithilfe Ihres Sicherungsplans denselben Tag-Schlüssel, aber einen anderen oder leeren Wert an.


**Erforderliche Berechtigungen zum Zuweisen von Tags zu Sicherungen**  

| Ressourcentyp | Erforderliche Berechtigung | 
| --- | --- | 
| Amazon-EFS-Dateisystem | `elasticfilesystem:DescribeTags` | 
|  FSx Amazon-Dateisystem | `fsx:ListTagsForResource` | 
| Amazon RDS-Datenbank und Amazon Aurora-Cluster |  `rds:AddTagsToResource` `rds:ListTagsForResource`  | 
| Storage Gateway-Volume | `storagegateway:ListTagsForResource` | 
| Amazon EC2-Instance und Amazon EBS-Volume |  `EC2:CreateTags` `EC2:DescribeTags`  | 

DynamoDB unterstützt das Zuweisen von Tags zu Sicherungen nur, wenn Sie zuerst [Erweitertes DynamoDB-Backup](advanced-ddb-backup.md) aktivieren.

Wenn ein Amazon EC2 EC2-Backup einen Image Recovery Point und eine Reihe von Snapshots erstellt, werden Tags in das resultierende AMI AWS Backup kopiert. AWS Backup kopiert auch die Tags von den Volumes, die der Amazon EC2 EC2-Instance zugeordnet sind, in die resultierenden Snapshots.

## Zugriffsrichtlinien
<a name="access-policies"></a>

Eine *Berechtigungsrichtlinie* beschreibt, wer Zugriff auf welche Objekte hat. An eine IAM-Identität angefügte Richtlinien werden als *identitätsbasierte* Richtlinien (oder IAM-Richtlinien) bezeichnet. Mit einer Ressource verknüpfte Richtlinien werden als *ressourcenbasierte* Richtlinien bezeichnet. AWS Backup unterstützt sowohl identitätsbasierte Richtlinien als auch ressourcenbasierte Richtlinien.

**Anmerkung**  
In diesem Abschnitt wird die Verwendung von IAM im Kontext von beschrieben. AWS Backup Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Informationen zur IAM-Richtliniensyntax und Beschreibungen finden Sie in der [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.

### Identitätsbasierte Richtlinien (IAM-Richtlinien)
<a name="identity-based-policies"></a>

Identitätsbasierte Richtlinien sind Richtlinien, die Sie IAM-Identitäten anfügen können, etwa Benutzern oder Rollen. Sie können beispielsweise eine Richtlinie definieren, die es einem Benutzer ermöglicht, AWS Ressourcen einzusehen und zu sichern, ihn aber daran hindert, Backups wiederherzustellen.

Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Thema [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.

Informationen zur Verwendung von IAM-Richtlinien für die Steuerung des Zugriffs auf Sicherungen finden Sie unter .

### Ressourcenbasierte Richtlinien
<a name="resource-based-policies"></a>

AWS Backup unterstützt ressourcenbasierte Zugriffsrichtlinien für Backup-Tresore. Damit können Sie eine Zugriffsrichtlinie definieren, die steuern kann, welche Benutzer welche Art von Zugriff auf eine der in einem Sicherungstresor organisierten Sicherungen haben. Ressourcenbasierte Zugriffsrichtlinien für Sicherungstresore bieten eine einfache Möglichkeit zur Steuerung des Zugriffs auf Ihre Sicherungen. 

Zugriffsrichtlinien für Backup-Tresore steuern den Benutzerzugriff, wenn Sie es verwenden AWS Backup APIs. Auf einige Backup-Typen, wie Amazon Elastic Block Store (Amazon EBS) und Amazon Relational Database Service (Amazon RDS) -Snapshots, kann auch über diese Dienste zugegriffen werden. APIs Sie können in IAM separate Zugriffsrichtlinien erstellen, die den Zugriff auf diese steuern, um den Zugriff auf APIs Backups vollständig zu kontrollieren.

Informationen zur Erstellung einer Zugriffsrichtlinie für Sicherungstresore finden Sie unter [Richtlinien für den Tresorzugriff](create-a-vault-access-policy.md).

# IAM-Servicerollen
<a name="iam-service-roles"></a>

Eine AWS Identity and Access Management (IAM-) Rolle ähnelt einem Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, wofür die Identität zuständig ist und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Eine Servicerolle ist eine Rolle, die ein AWS Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Als Service, der für Sie Sicherungsoperationen durchführt, erfordert AWS Backup die Übergabe einer Rolle, die es annehmen soll, wenn es für Sie Sicherungsoperationen durchführt. Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) im *IAM-Benutzerhandbuch*. 

Die Rolle, zu der Sie übergehen, AWS Backup muss über eine IAM-Richtlinie mit den Berechtigungen verfügen, die es ermöglichen AWS Backup , Aktionen im Zusammenhang mit Backup-Vorgängen durchzuführen, wie z. B. das Erstellen, Wiederherstellen oder Ablaufen von Backups. Für jeden der unterstützten AWS Dienste sind unterschiedliche Berechtigungen erforderlich. AWS Backup Die Rolle muss außerdem als vertrauenswürdige Entität AWS Backup aufgeführt sein, sodass AWS Backup die Rolle übernommen werden kann. 

Wenn Sie einem Backup-Plan Ressourcen zuweisen oder wenn Sie bei Bedarf eine Sicherung, Kopie oder Wiederherstellung durchführen, müssen Sie eine Servicerolle übergeben, die Zugriff auf die Ausführung der zugrunde liegenden Operationen auf den angegebenen Ressourcen hat. AWS Backup verwendet diese Rolle, um Ressourcen in Ihrem Konto zu erstellen, zu kennzeichnen und zu löschen.

## Verwendung von AWS Rollen zur Steuerung des Zugriffs auf Backups
<a name="using-roles-to-control-access"></a>

Sie können Rollen verwenden, um den Zugriff auf Ihre Sicherungen zu steuern, indem Sie eng gefasste Rollen definieren und angeben, wer diese Rolle an AWS Backupübergeben kann. Sie könnten beispielsweise eine Rolle erstellen, die nur Berechtigungen zum Sichern von Amazon Relational Database Service (Amazon RDS) -Datenbanken gewährt und nur Besitzern von Amazon RDS-Datenbanken die Erlaubnis erteilt, diese Rolle weiterzugeben. AWS Backup AWS Backup bietet mehrere vordefinierte verwaltete Richtlinien für jeden der unterstützten Dienste. Sie können diese verwalteten Richtlinien an Rollen anfügen, die Sie erstellen. Dies macht es einfacher, dienstspezifische Rollen zu erstellen, die über die richtigen Berechtigungen verfügen, die AWS Backup benötigt werden. 

Weitere Informationen zu AWS verwalteten Richtlinien für finden Sie AWS Backup unter[Verwaltete Richtlinien für AWS Backup](security-iam-awsmanpol.md).

## Standard-Servicerolle für AWS Backup
<a name="default-service-roles"></a>

Wenn Sie die AWS Backup Konsole zum ersten Mal verwenden, können Sie wählen, ob Sie eine Standard-Servicerolle für Sie AWS Backup erstellen möchten. Diese Rolle verfügt über die erforderlichen AWS Backup Berechtigungen, um in Ihrem Namen Backups zu erstellen und wiederherzustellen.

**Anmerkung**  
Die Standardrolle wird automatisch erstellt, wenn Sie AWS-Managementkonsole verwenden. Sie können die Standardrolle mit AWS Command Line Interface (AWS CLI) erstellen, dies muss jedoch manuell erfolgen.

Wenn Sie lieber benutzerdefinierte Rollen verwenden möchten, z. B. separate Rollen für verschiedene Ressourcentypen, können Sie dies auch tun und Ihre benutzerdefinierten Rollen an AWS Backupübergeben. Beispiele für Rollen, die Sicherung und Wiederherstellung für einzelne Ressourcentypen ermöglichen, finden Sie in der [Kundenverwaltete Richtlinien](security-iam-awsmanpol.md#customer-managed-policies)-Tabelle.

Die Standarddienstrolle ist benannt`AWSBackupDefaultServiceRole`. Diese Servicerolle enthält zwei verwaltete Richtlinien [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)und [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

`AWSBackupServiceRolePolicyForBackup`beinhaltet eine IAM-Richtlinie, die AWS Backup Berechtigungen zur Beschreibung der zu sichernden Ressource sowie die Möglichkeit gewährt, ein Backup unabhängig vom AWS KMS Schlüssel, mit dem es verschlüsselt wurde, zu erstellen, zu löschen, zu beschreiben oder Tags hinzuzufügen. 

`AWSBackupServiceRolePolicyForRestores`beinhaltet eine IAM-Richtlinie, die AWS Backup Berechtigungen zum Erstellen, Löschen oder Beschreiben der neuen Ressource, die aus einem Backup erstellt wird, gewährt, unabhängig vom AWS KMS Schlüssel, mit dem sie verschlüsselt wurde. Dazu kommen die Berechtigungen zum Markieren der neu erstellten Ressource mit Tags.

Um eine Amazon EC2-Instance wiederherzustellen, müssen Sie eine neue Instance starten. 

## Erstellen der Standardservicerolle mithilfe der Konsole
<a name="creating-default-service-role-console"></a>

 Durch bestimmte Aktionen, die Sie in der AWS Backup Konsole ausführen, wird die AWS Backup Standard-Servicerolle erstellt. 

**Um die AWS Backup Standard-Servicerolle in Ihrem AWS Konto zu erstellen**

1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Um die Rolle für Ihr Konto zu erstellen, weisen Sie entweder Ressourcen einem Sicherungsplan zu oder erstellen Sie ein On-Demand-Backup.

   1. Erstellen Sie einen Sicherungsplan und weisen Sie der Sicherung Ressourcen zu. Siehe [Einen Backup-Plan erstellen](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html).

   1. Sie können aber auch eine On-Demand-Sicherung erstellen. Siehe [So erstellen Sie eine On-Demand-Sicherung](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html).

1.  Stellen Sie sicher, dass Sie das `AWSBackupDefaultServiceRole` in Ihrem Konto anhand der folgenden Schritte erstellt haben: 

   1. Warten Sie ein paar Minuten. Weitere Informationen finden Sie unter [Meine Änderungen sind nicht immer sofort sichtbar](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency) im *AWS Identity and Access Management-Benutzerhandbuch*.

   1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Klicken Sie im linken Navigationsmenü auf **Roles (Rollen)**.

   1. Geben Sie in das Suchfeld `AWSBackupDefaultServiceRole` ein. Wenn diese Auswahl vorhanden ist, haben Sie die AWS Backup Standardrolle erstellt und dieses Verfahren abgeschlossen.

   1. Falls `AWSBackupDefaultServiceRole` immer noch nicht angezeigt wird, fügen Sie entweder dem IAM-Benutzer oder der IAM-Rolle, die Sie für den Zugriff auf die Konsole verwenden, die folgenden Berechtigungen hinzu.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement":[
          {
            "Effect":"Allow",
            "Action":[
              "iam:CreateRole",
              "iam:AttachRolePolicy",
              "iam:PassRole"
            ],
            "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
          },
          {
            "Effect":"Allow",
            "Action":[
              "iam:ListRoles"
            ],
            "Resource":"*"
          }
        ]
      }
      ```

------

      Ersetzen Sie für China Regionen *aws* durch*aws-cn*. Ersetzen Sie für AWS GovCloud (US) Regionen *aws* durch*aws-us-gov*.

   1. Wenn Sie Ihrem IAM-Benutzer oder Ihrer IAM-Rolle keine Berechtigungen hinzufügen können, bitten Sie Ihren Administrator, manuell eine Rolle mit einem *anderen Namen als *`AWSBackupDefaultServiceRole` zu erstellen und diese Rolle diesen verwalteten Richtlinien zuzuweisen:
      + `AWSBackupServiceRolePolicyForBackup`
      + `AWSBackupServiceRolePolicyForRestores`

# Verwaltete Richtlinien für AWS Backup
<a name="security-iam-awsmanpol"></a>

Verwaltete Richtlinien sind eigenständige identitätsbasierte Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können. AWS-Konto Wenn Sie eine Richtlinie an eine Auftraggeber-Entität anfügen, gewähren Sie ihr die in der Richtlinie festgelegten Berechtigungen.

*AWS verwaltete Richtlinien* werden von erstellt und verwaltet. AWS Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist.

*Mit vom Kunden verwalteten Richtlinien* können Sie den Zugriff auf Backups genau festlegen. AWS Backup Sie können sie beispielsweise verwenden, um Ihrem Datenbank-Backup-Administrator Zugriff auf Amazon RDS-Sicherungen zu gewähren, aber nicht auf Amazon EFS-Sicherungen.

Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html).

## AWS verwaltete Richtlinien
<a name="aws-managed-policies"></a>

AWS Backup bietet die folgenden AWS verwalteten Richtlinien für allgemeine Anwendungsfälle. Diese Richtlinien erleichtern die Definition der erforderlichen Berechtigungen und die Steuerung des Zugriffs auf Ihre Sicherungen. Es gibt zwei Typen von verwalteten Richtlinien. Ein Typ ist so konzipiert, dass er Benutzer zugewiesen wird, um deren Zugriff auf AWS Backup zu steuern. Der andere Typ verwalteter Richtlinien wird Rollen zugewiesen, die Sie an AWS Backupübergeben. In der folgenden Tabelle sind alle verwalteten Richtlinien und ihre Definitionen aufgeführt, die AWS Backup bereitstellt. Sie finden diese verwalteten Richtlinien im Abschnitt **Policies** (Richtlinien) der -Konsole.

**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForS3 Backup](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3 Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)

### AWSBackupAuditAccess
<a name="AWSBackupAuditAccess"></a>

Diese Richtlinie gewährt Benutzern die Erlaubnis, Kontrollen und Frameworks zu erstellen, die ihre Erwartungen an AWS Backup Ressourcen und Aktivitäten definieren, und AWS Backup Ressourcen und Aktivitäten anhand ihrer definierten Kontrollen und Frameworks zu überprüfen. Diese Richtlinie gewährt Benutzern AWS Config und ähnlichen Diensten die Erlaubnis, die Erwartungen der Benutzer zu beschreiben und die Audits durchzuführen.

Diese Richtlinie gewährt auch Berechtigungen zur Übermittlung von Auditberichten an Amazon S3 und ähnliche Dienste und ermöglicht es Benutzern, ihre Auditberichte zu finden und zu öffnen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSBackupDataTransferAccess
<a name="AWSBackupDataTransferAccess"></a>

Diese Richtlinie gewährt Berechtigungen für die Datenübertragung auf der AWS Backup Speicherebene APIs, sodass der AWS Backint-Agent die Backup-Datenübertragung mit der AWS Backup Speicherebene abschließen kann. Sie können diese Richtlinie an Rollen anhängen, die von Amazon EC2 EC2-Instances übernommen werden, auf denen SAP HANA mit dem Backint-Agenten ausgeführt wird.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSBackupFullAccess
<a name="AWSBackupFullAccess"></a>

Der Backup-Administrator hat vollen Zugriff auf alle AWS Backup Vorgänge, einschließlich der Erstellung oder Bearbeitung von Backup-Plänen, der Zuweisung von AWS Ressourcen zu Backup-Plänen und der Wiederherstellung von Backups. Sicherungsadministratoren sind verantwortlich für die Festlegung und Durchsetzung der Sicherungs-Compliance durch die Definition von Sicherungsplänen, die den geschäftlichen und regulatorischen Anforderungen ihrer Organisation entsprechen. Backup-Administratoren stellen außerdem sicher, dass die AWS Ressourcen ihrer Organisation dem entsprechenden Plan zugewiesen sind.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
<a name="AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync"></a>

Diese Richtlinie gewährt dem Backup-Gateway die Berechtigung, die Metadaten virtueller Maschinen in Ihrem Namen zu synchronisieren.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSBackupGuardDutyRolePolicyForScans
<a name="AWSBackupGuardDutyRolePolicyForScans"></a>

Diese Richtlinie muss zu einer neuen Scanrolle hinzugefügt werden, die Amazon die GuardDuty Erlaubnis erteilt, Ihre Backups zu lesen und zu scannen. Sie müssen diese Scan-Rolle in den Malware-Schutz- oder Scan-Einstellungen zu Ihrem Backup-Plan hinzufügen. Wenn AWS Backup einen Scan initiiert, übergibt es diese Scan-Rolle an Amazon GuardDuty.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSBackupOperatorAccess
<a name="AWSBackupOperatorAccess"></a>

Sicherungsoperatoren sind Benutzer, die dafür verantwortlich sind, sicherzustellen, dass die unter ihrer Verantwortung stehenden Ressourcen korrekt gesichert werden. Backup-Operatoren sind berechtigt, den Backup-Plänen, die der Backup-Administrator erstellt, AWS Ressourcen zuzuweisen. Sie sind auch berechtigt, On-Demand-Backups ihrer AWS Ressourcen zu erstellen und die Aufbewahrungsdauer von On-Demand-Backups zu konfigurieren. Sicherungsoperatoren sind nicht berechtigt, Sicherungspläne zu erstellen oder zu bearbeiten oder geplante Sicherungen nach ihrer Erstellung zu löschen. Sicherungsoperatoren können Sicherungen wiederherstellen. Sie können die Ressourcentypen einschränken, die ein Sicherungsoperator einem Sicherungsplan oder einer Wiederherstellung aus einer Sicherung zuweisen kann. Sie tun dies, indem Sie zulassen, dass nur bestimmte Servicerollen übergeben werden AWS Backup , die über Berechtigungen für einen bestimmten Ressourcentyp verfügen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSBackupOrganizationAdminAccess
<a name="AWSBackupOrganizationAdminAccess"></a>

Der Organisationsadministrator hat vollen Zugriff auf alle AWS Organizations Vorgänge, darunter das Erstellen, Bearbeiten oder Löschen von Backup-Richtlinien, das Zuweisen von Backup-Richtlinien zu Konten und Organisationseinheiten und das Überwachen der Backup-Aktivitäten innerhalb der Organisation. Es ist Aufgabe der Organisationsadministratoren, die Konten in ihrer Organisation zu schützen, indem sie Sicherungsrichtlinien definieren und zuweisen, die die geschäftlichen und behördlichen Anforderungen ihrer Organisation erfüllen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSBackupRestoreAccessForSAPHANA
<a name="AWSBackupRestoreAccessForSAPHANA"></a>

Diese Richtlinie gewährt die AWS Backup Erlaubnis, ein Backup von SAP HANA auf Amazon EC2 wiederherzustellen.

Die Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupRestoreAccessForSAPHANA in der Referenz](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html) für *AWS verwaltete Richtlinien*.

### AWSBackupSearchOperatorAccess
<a name="AWSBackupSearchOperatorAccess"></a>

Die Suchoperatorrolle hat Zugriff auf die Erstellung von Backup-Indizes und die Erstellung von Suchvorgängen in indizierten Backup-Metadaten.

Diese Richtlinie enthält die erforderlichen Berechtigungen für diese Funktionen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSBackupServiceLinkedRolePolicyForBackup
<a name="AWSBackupServiceLinkedRolePolicyForBackup"></a>

Diese Richtlinie ist der dienstbezogenen Rolle zugeordnet, die so benannt istAWSServiceRoleforBackup, dass Sie AWS Dienste AWS Backup in Ihrem Namen aufrufen können, um Ihre Backups zu verwalten. Weitere Informationen finden Sie unter [Rollen zum Sichern und Kopieren verwenden](using-service-linked-roles-AWSServiceRoleForBackup.md).

Die Berechtigungen für diese Richtlinie finden Sie [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)in der *Referenz zu AWS verwalteten Richtlinien.*

### AWSBackupServiceLinkedRolePolicyForBackupTest
<a name="AWSBackupServiceLinkedRolePolicyForBackupTest"></a>

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSBackupServiceRolePolicyForBackup
<a name="AWSBackupServiceRolePolicyForBackup"></a>

Bietet AWS Backup Berechtigungen zum Erstellen von Backups aller unterstützten Ressourcentypen in Ihrem Namen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSBackupServiceRolePolicyForItemRestores
<a name="AWSBackupServiceRolePolicyForItemRestores"></a>

**Beschreibung**

Diese Richtlinie gewährt Benutzern die Berechtigung, einzelne Dateien und Elemente in einem Snapshot (periodischer Backup-Wiederherstellungspunkt) auf einem neuen oder vorhandenen Amazon S3 S3-Bucket oder einem neuen Amazon EBS-Volume wiederherzustellen. Zu diesen Berechtigungen gehören: Leseberechtigungen für Amazon EBS für Snapshots, die über AWS Backup Lese-/Schreibberechtigungen für Amazon S3 S3-Buckets verwaltet werden, sowie Berechtigungen zum Generieren und Beschreiben von Schlüsseln. AWS KMS 

**Verwenden Sie diese Richtlinie**

Sie können `AWSBackupServiceRolePolicyForItemRestores` an Ihre Benutzer, Gruppen und Rollen anfügen.

**Einzelheiten zur Richtlinie**
+ **Typ:** AWS verwaltete Richtlinie
+ **Erstellungszeit:** 21. November 2024, 22:45 UTC
+ **Bearbeitungszeit:** Erste Instanz
+ **ARN**: `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`

**Richtlinienversion:** v1 (Standard)

Die Version dieser Richtlinie definiert die Berechtigungen für die Richtlinie. Wenn der Benutzer oder die Rolle mit der Richtlinie eine Anfrage für den Zugriff auf eine AWS Ressource stellt, AWS überprüft er die Standardversion der Richtlinie, um festzustellen, ob die Anfrage zulässig ist oder nicht.

**JSON-Richtliniendokument:**

#### AWSBackupServiceRolePolicyForItemRestores JSON
<a name="AWSBackupServiceRolePolicyForItemRestoresJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "S3ReadonlyPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "S3PermissionsForFileLevelRestore",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "KMSDataKeyForS3AndEC2Permissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com",
                        "s3.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForIndexing
<a name="AWSBackupServiceRolePolicyForIndexing"></a>

**Beschreibung**

Diese Richtlinie gewährt Benutzern Berechtigungen zum Indexieren von Snapshots, auch bekannt als periodische Wiederherstellungspunkte. Zu diesen Berechtigungen gehören: Leseberechtigungen für Amazon EBS für Snapshots, die über AWS Backup Lese-/Schreibberechtigungen für Amazon S3 S3-Buckets verwaltet werden, sowie Berechtigungen zum Generieren und Beschreiben von Schlüsseln. AWS KMS 

**Verwenden Sie diese Richtlinie**

Sie können `AWSBackupServiceRolePolicyForIndexing` an Ihre Benutzer, Gruppen und Rollen anfügen.

**Einzelheiten zur Richtlinie**
+ **Typ:** AWS verwaltete Richtlinie
+ **Zeitpunkt der Bearbeitung:** Erste Instanz
+ **ARN**: `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`

**Richtlinienversion:** v1 (Standard)

Die Version dieser Richtlinie definiert die Berechtigungen für die Richtlinie. Wenn der Benutzer oder die Rolle mit der Richtlinie eine Anfrage zum Zugriff auf eine AWS Ressource stellt, wird anhand der Standardversion der Richtlinie AWS geprüft, ob die Anfrage zugelassen werden soll oder nicht.

**JSON-Richtliniendokument:**

#### AWSBackupServiceRolePolicyForIndexing JSON
<a name="AWSBackupServiceRolePolicyForIndexingJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSDataKeyForEC2Permissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForRestores
<a name="AWSBackupServiceRolePolicyForRestores"></a>

Bietet AWS Backup Berechtigungen zum Wiederherstellen von Backups aller unterstützten Ressourcentypen in Ihrem Namen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

Für EC2-Instance-Wiederherstellungen müssen Sie außerdem die folgenden Berechtigungen angeben, um die EC2-Instance zu starten:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPassRole",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/role-name",
      "Effect": "Allow"
    }
  ]
}
```

------

### AWSBackupServiceRolePolicyForS3 Backup
<a name="AWSBackupServiceRolePolicyForS3Backup"></a>

Diese Richtlinie enthält die erforderlichen Berechtigungen, AWS Backup um einen beliebigen S3-Bucket zu sichern. Dies beinhaltet den Zugriff auf alle Objekte in einem Bucket und alle zugehörigen AWS KMS Schlüssel.

Die Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) in der Referenz für *AWS verwaltete Richtlinien*.

### AWSBackupServiceRolePolicyForS3 Restore
<a name="AWSBackupServiceRolePolicyForS3Restore"></a>

Diese Richtlinie enthält die erforderlichen Berechtigungen, AWS Backup um ein S3-Backup in einem Bucket wiederherzustellen. Dazu gehören Lese- und Schreibberechtigungen für die Buckets sowie die Verwendung beliebiger AWS KMS Schlüssel im Zusammenhang mit S3-Vorgängen.

Die Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) in der Referenz für *AWS verwaltete* Richtlinien.

### AWSBackupServiceRolePolicyForScans
<a name="AWSBackupServiceRolePolicyForScans"></a>

Die Richtlinie sollte der IAM-Rolle zugeordnet werden, die Sie in der Ressourcenauswahl Ihres Backup-Plans verwenden. Diese Rolle erteilt AWS Backup die Berechtigung, Scans in Amazon zu initiieren GuardDuty. 

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSServiceRolePolicyForBackupReports
<a name="AWSServiceRolePolicyForBackupReports"></a>

AWS Backup verwendet diese Richtlinie für die [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html)serviceverknüpfte Rolle. Diese dienstbezogene Rolle gibt Ihnen AWS Backup die Möglichkeit, die Übereinstimmung Ihrer Backup-Einstellungen, Jobs und Ressourcen mit Ihren Frameworks zu überwachen und darüber zu berichten.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

### AWSServiceRolePolicyForBackupRestoreTesting
<a name="AWSServiceRolePolicyForBackupRestoreTesting"></a>

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

## Kundenverwaltete Richtlinien
<a name="customer-managed-policies"></a>

In den folgenden Abschnitten werden die empfohlenen Sicherungs- und Wiederherstellungsberechtigungen für die AWS Dienste und Drittanbieteranwendungen beschrieben, die von AWS Backup unterstützt werden. Sie können die vorhandenen AWS verwalteten Richtlinien als Modell verwenden, wenn Sie Ihre eigenen Richtliniendokumente erstellen, und diese dann anpassen, um den Zugriff auf Ihre AWS Ressourcen weiter einzuschränken.

**Wichtig**  
Wenn Sie benutzerdefinierte IAM-Rollen für verwenden AWS Backup, müssen Sie zusätzlich zu den Berechtigungen auch ressourcenspezifische Berechtigungen angeben. AWS Backup Wenn Sie beispielsweise eine `backup:ListTags` Amazon RDS-Ressource aufrufen, muss Ihre benutzerdefinierte IAM-Rolle auch `rds:ListTagsForResource` Berechtigungen enthalten. Diese Berechtigungen sind zwar in der AWS Backup Standard-Servicerolle enthalten, müssen aber explizit zu den vom Kunden verwalteten Richtlinien hinzugefügt werden. Die erforderlichen zugrundeliegenden Ressourcenberechtigungen hängen vom jeweiligen AWS Dienst und Vorgang ab.

### Amazon Aurora
<a name="aurora-customer-managed-policies"></a>

**Backup**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Wiederherstellen**  
Beginnen Sie mit der `RDSPermissions` Aussage von [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon Aurora DSQL
<a name="aurora-dsql-customer-managed-policies"></a>

**Backup**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Wiederherstellen**  
Beginnen Sie mit der `DSQLRestorePermissions` Aussage von [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon DynamoDB
<a name="ddb-customer-managed-policies"></a>

**Backup**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`

**Wiederherstellen**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`

### Amazon EBS
<a name="ebs-customer-managed-policies"></a>

**Backup**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Wiederherstellen**  
Beginnen Sie mit der `EBSPermissions` Aussage von [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

Fügen Sie die folgende Anweisung hinzu.

```
{
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
},
```

### Amazon EC2
<a name="ec2-customer-managed-policies"></a>

**Backup**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Wiederherstellen**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`

Fügen Sie die folgende Anweisung hinzu.

```
{
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::account-id:role/role-name"
},
```

*role-name*Ersetzen Sie durch den Namen der EC2-Instance-Profilrolle, die der wiederhergestellten EC2-Instance zugewiesen wird. Dies ist nicht die AWS Backup Service-Rolle, sondern die IAM-Rolle, die Berechtigungen für Anwendungen bereitstellt, die auf der EC2-Instance ausgeführt werden.

### Amazon EFS
<a name="efs-customer-managed-policies"></a>

**Backup**

Beginnen Sie mit den folgenden Aussagen von: [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Wiederherstellen**  
Beginnen Sie mit der `EFSPermissions` Aussage von [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon FSx
<a name="fsx-customer-managed-policies"></a>

**Backup**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`

**Wiederherstellen**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`

### Amazon Neptune
<a name="neptune-customer-managed-policies"></a>

**Backup**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Wiederherstellen**  
Beginnen Sie mit der `RDSPermissions` Aussage von [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon RDS
<a name="rds-customer-managed-policies"></a>

**Backup**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Wiederherstellen**  
Beginnen Sie mit der `RDSPermissions` Aussage von [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon S3
<a name="s3-customer-managed-policies"></a>

**Backup**  
Beginnen Sie mit [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html).

Fügen Sie die `BackupVaultCopyPermissions` Anweisungen `BackupVaultPermissions` und hinzu, wenn Sie Backups auf ein anderes Konto kopieren müssen.

**Wiederherstellen**  
Beginnen Sie mit [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html).

### AWS Storage Gateway
<a name="storage-gateway-customer-managed-policies"></a>

**Backup**

Beginnen Sie mit den folgenden Aussagen von: [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

Fügen Sie die folgende Anweisung hinzu.

```
{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
},
```

**Wiederherstellen**

Beginnen Sie mit den folgenden Aussagen von [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`

### Virtuelle Maschine
<a name="vm-customer-managed-policies"></a>

**Backup**  
Beginnen Sie mit der `BackupGatewayBackupPermissions` Aussage von [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html).

**Wiederherstellen**  
Beginnen Sie mit der `GatewayRestorePermissions` Aussage von [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Verschlüsseltes Backup
<a name="customer-managed-policies-encrypted-backup"></a>

**Um eine verschlüsselte Sicherung wiederherzustellen, führen Sie einen der folgenden Schritte aus:**
+ Fügen Sie Ihre Rolle der Zulassungsliste für die AWS KMS Schlüsselrichtlinie hinzu
+ Fügen Sie Ihrer IAM-Rolle für [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)Wiederherstellungen die folgenden Anweisungen von hinzu:
  + `KMSDescribePermissions`
  + `KMSPermissions`
  + `KMSCreateGrantPermissions`

## Richtlinien-Updates für AWS Backup
<a name="policy-updates"></a>

Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien, die AWS Backup seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden.


| Änderungen | Beschreibung | Datum | 
| --- | --- | --- | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgende Berechtigung hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen AWS Backup Restore Testing, RDS-Mandantendatenbanken nach Abschluss des Wiederherstellungstests zu löschen.  | 18. März 2026 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen AWS Backup das Initiieren von Malware-Scans auf Ihren Wiederherstellungspunkten.  | 23. Februar 2026 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – Neue Richtlinie |  AWS Backup hat eine neue AWS verwaltete Richtlinie hinzugefügt, die Amazon die GuardDuty Erlaubnis gibt, Kunden-Backups zu lesen und zu scannen. AWS Backup übergibt GuardDuty bei der Initiierung der Operationen `StartMalwareScan` eine Rolle mit dieser Richtlinie an. Dies ist erforderlich, um alle erforderlichen Berechtigungen für Malware-Scans auf Wiederherstellungspunkten von Amazon EC2-, Amazon EBS- und Amazon S3 S3-Ressourcen bereitzustellen. Weitere Informationen finden Sie in der verwalteten Richtlinie. [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)  | 19. November 2025 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – Neue Richtlinie |  AWS Backup hat eine neue AWS verwaltete Richtlinie hinzugefügt, die AWS Backup berechtigt, Malware-Scans auf Ihren Wiederherstellungspunkten zu initiieren. Dies ist erforderlich, um alle erforderlichen Berechtigungen für Malware-Scans auf Wiederherstellungspunkten von Amazon EC2-, Amazon EBS- und Amazon S3 S3-Ressourcen bereitzustellen. Weitere Informationen finden Sie in der verwalteten Richtlinie. [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)  | 19. November 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie |  Hinzugefügt `malware-protection.guardduty.amazonaws.com` zu`IamPassRolePermissions`, was notwendig ist, um Malware-Scan-Jobs zu initiieren.   | 19. November 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen sind erforderlich, um Malware-Scanaufträge zu initiieren.  | 19. November 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen AWS Backup das Sichern und Wiederherstellen von Amazon EKS-Clustern.  | 10. November 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen AWS Backup das Sichern und Wiederherstellen von Amazon EKS-Clustern.  | 10. November 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen AWS Backup die Erstellung von Backups von Amazon EKS-Clustern und den zugehörigen Ressourcen im Auftrag von Kunden.  | 10. November 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen AWS Backup die Erstellung von Backups von Amazon EKS-Clustern und den zugehörigen Ressourcen im Auftrag von Kunden.  | 10. November 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen AWS Backup die Durchführung von Wiederherstellungsvorgängen für Amazon EKS-Cluster und die zugehörigen Ressourcen im Auftrag von Kunden.  | 10. November 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgende Berechtigung hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Mit dieser Berechtigung können delegierte Administratorinformationen mit Organizations synchronisiert werden, AWS Backup um kontoübergreifende Verwaltungsfunktionen zu nutzen.  | 9. September 2025 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – Neue Richtlinie |  AWS Backup hat eine neue AWS verwaltete Richtlinie hinzugefügt, die Amazon die GuardDuty Erlaubnis gibt, Kunden-Backups zu lesen und zu scannen. AWS Backup übergibt GuardDuty bei der Initiierung der Operationen `StartMalwareScan` eine Rolle mit dieser Richtlinie an. Dies ist erforderlich, um alle erforderlichen Berechtigungen für Malware-Scans auf Wiederherstellungspunkten von Amazon EC2-, Amazon EBS- und Amazon S3 S3-Ressourcen bereitzustellen. Weitere Informationen finden Sie in der verwalteten Richtlinie. [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)  | 24. November 2025 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – Neue Richtlinie |  AWS Backup hat eine neue AWS verwaltete Richtlinie hinzugefügt, die AWS Backup berechtigt, Malware-Scans auf Ihren Wiederherstellungspunkten zu initiieren. Dies ist erforderlich, um alle erforderlichen Berechtigungen für Malware-Scans auf Wiederherstellungspunkten von Amazon EC2-, Amazon EBS- und Amazon S3 S3-Ressourcen bereitzustellen. Weitere Informationen finden Sie in der verwalteten Richtlinie. [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)  | 24. November 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen sind erforderlich AWS Backup , um orchestrierte Wiederherstellungsvorgänge für DSQL-Ressourcen in mehreren Regionen im Namen von Kunden durchzuführen.  | 17. Juli 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen sind für die AWS Backup Integration mit AWS -Kontenverwaltung erforderlich, AWS Organizations sodass Kunden die Möglichkeit haben, die Genehmigung durch mehrere Parteien (MPA) als Teil ihrer Logical Air-Gapped Tresore zu beantragen.  | 17. Juni 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— Aktualisierung einer bestehenden Richtlinie: |  AWS Backup hat die folgenden Berechtigungen zu dieser Richtlinie hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen sind erforderlich, damit Kunden Amazon FSx for OpenZFS Multi-Availability Zone (Multi-AZ) -Snapshots wiederherstellen können. AWS Backup  | 27. Mai 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat die folgenden Berechtigungen zu dieser Richtlinie hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen AWS Backup das Sichern und Wiederherstellen von Amazon Aurora DSQL-Ressourcen.  | 21. Mai 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat die folgenden Berechtigungen zu dieser Richtlinie hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen AWS Backup das Sichern und Wiederherstellen von Amazon Aurora DSQL-Ressourcen.  | 21. Mai 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat die folgenden Berechtigungen zu dieser Richtlinie hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen AWS Backup ermöglichen das Erstellen, Löschen, Abrufen und Verwalten von Amazon Aurora DSQL-Snapshots im Namen von Kunden.  | 21. Mai 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat die folgenden Berechtigungen zu dieser Richtlinie hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen AWS Backup ermöglichen das Erstellen, Löschen, Abrufen, Verschlüsseln, Entschlüsseln und Verwalten von Amazon Aurora DSQL-Snapshots im Namen von Kunden.  | 21. Mai 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat die folgenden Berechtigungen zu dieser Richtlinie hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen ermöglichen AWS Backup die Verwaltung von Aurora DSQL-Backups in vom Kunden festgelegten Intervallen.  | 21. Mai 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat die folgenden Berechtigungen zu dieser Richtlinie hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen sind erforderlich, damit bestimmte Kunden vollen Zugriff auf Amazon Redshift Serverless-Backups haben, einschließlich der erforderlichen Leseberechtigungen sowie der Möglichkeit, Amazon Redshift Serverless-Wiederherstellungspunkte (Snapshot-Backups) zu löschen.   | 31. März 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen sind erforderlich, damit bestimmte Kunden über alle erforderlichen Backup-Berechtigungen für Amazon Redshift Serverless verfügen, einschließlich der erforderlichen Leseberechtigungen.  | 31. März 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen sind erforderlich, AWS Backup um Amazon Redshift Serverless-Snapshots in vom Kunden festgelegten Intervallen zu verwalten.  | 31. März 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen sind erforderlich, um Amazon Redshift Serverless-Snapshots im Namen von Kunden erstellen, löschen, abrufen und verwalten zu können AWS Backup .  | 31. März 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat dieser Richtlinie die folgenden Berechtigungen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/aws-backup/latest/devguide/security-iam-awsmanpol.html) Diese Berechtigungen sind erforderlich, um Amazon Redshift- und Amazon Redshift Serverless-Snapshots im Namen des Kunden wiederherstellen zu können AWS Backup .  | 31. März 2025 | 
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— Eine neue AWS verwaltete Richtlinie wurde hinzugefügt | AWS Backup hat die AWSBackupSearchOperatorAccess AWS verwaltete Richtlinie hinzugefügt. | 27. Februar 2025 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  AWS Backup hat die Erlaubnis hinzugefügt`rds:AddTagsToResource`, kontoübergreifende Kopien von Backups mit Amazon RDS-Multi-Tenant-Snapshots zu unterstützen. Diese Genehmigung ist erforderlich, um Vorgänge abzuschließen, wenn ein Kunde eine kontoübergreifende Kopie eines mandantenfähigen RDS-Snapshots erstellen möchte.  | 8. Januar 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup hat die Berechtigungen `rds:CreateTenantDatabase` und `rds:DeleteTenantDatabase` zu dieser Richtlinie hinzugefügt, um den Wiederherstellungsprozess von Amazon RDS-Ressourcen zu unterstützen. Diese Berechtigungen sind erforderlich, um Kundenvorgänge zur Wiederherstellung von Multi-Tenant-Snapshots abzuschließen.  | 8. Januar 2025 | 
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— Eine neue AWS verwaltete Richtlinie wurde hinzugefügt | AWS Backup hat die AWSBackupServiceRolePolicyForItemRestores AWS verwaltete Richtlinie hinzugefügt. | 26. November 2024 | 
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— Eine neue AWS verwaltete Richtlinie wurde hinzugefügt | AWS Backup hat die AWSBackupServiceRolePolicyForIndexing AWS verwaltete Richtlinie hinzugefügt. | 26. November 2024 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie |  AWS Backup Dieser Richtlinie wurde `backup:TagResource` eine Genehmigung hinzugefügt. Die Genehmigung ist erforderlich, um bei der Erstellung eines Wiederherstellungspunkts Tagging-Berechtigungen zu erhalten.  | 17. Mai 2024 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Aktualisierung einer bestehenden Richtlinie  |  AWS Backup hat dieser Richtlinie `backup:TagResource` eine Berechtigung hinzugefügt. Die Genehmigung ist erforderlich, um bei der Erstellung eines Wiederherstellungspunkts Tagging-Berechtigungen zu erhalten.  | 17. Mai 2024 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  AWS Backup Dieser Richtlinie wurde `backup:TagResource` eine Genehmigung hinzugefügt. Die Genehmigung ist erforderlich, um bei der Erstellung eines Wiederherstellungspunkts Tagging-Berechtigungen zu erhalten.  | 17. Mai 2024 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie | Die Erlaubnis wurde hinzugefügt`rds:DeleteDBInstanceAutomatedBackups`.  Diese Genehmigung ist erforderlich AWS Backup , um kontinuierliche Backups und point-in-time-restore Amazon RDS-Instances zu unterstützen.  | 1. Mai 2024 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie | AWS Backup hat den Amazon-Ressourcennamen (ARN) mit Genehmigung `storagegateway:ListVolumes` von bis aktualisiert`arn:aws:storagegateway:*:*:gateway/*`, `*` um einer Änderung des Storage Gateway Gateway-API-Modells Rechnung zu tragen. | 1. Mai 2024 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie | AWS Backup hat den Amazon-Ressourcennamen (ARN) mit Genehmigung `storagegateway:ListVolumes` von bis aktualisiert`arn:aws:storagegateway:*:*:gateway/*`, `*` um einer Änderung des Storage Gateway Gateway-API-Modells Rechnung zu tragen. | 1. Mai 2024 | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – Aktualisierung auf eine bestehende Richtlinie |  Es wurden die folgenden Berechtigungen hinzugefügt, um Wiederherstellungspunkte und geschützte Ressourcen zu beschreiben und aufzulisten, um Wiederherstellungstestpläne durchzuführen: `backup:DescribeRecoveryPoint``backup:DescribeProtectedResource`,`backup:ListProtectedResources`, und`backup:ListRecoveryPointsByResource`. Die Berechtigung `ec2:DescribeSnapshotTierStatus` zur Unterstützung von Amazon EBS-Archiv-Tier-Speicher wurde hinzugefügt. Die Erlaubnis `rds:DescribeDBClusterAutomatedBackups` zur Unterstützung kontinuierlicher Amazon Aurora Aurora-Backups wurde hinzugefügt. Die folgenden Berechtigungen wurden hinzugefügt, um Wiederherstellungstests von Amazon Redshift Redshift-Backups zu unterstützen: `redshift:DescribeClusters` und`redshift:DeleteCluster`. Es wurde die Erlaubnis `timestream:DeleteTable` hinzugefügt, Wiederherstellungstests von Amazon Timestream-Backups zu unterstützen.  | 14. Februar 2024 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie  |  Die Berechtigungen `ec2:DescribeSnapshotTierStatus` und wurden hinzugefügt`ec2:RestoreSnapshotTier`. Diese Berechtigungen sind erforderlich, damit Benutzer die Möglichkeit haben, Amazon EBS-Ressourcen, die mit gespeichert wurden, AWS Backup aus dem Archivspeicher wiederherzustellen. Für EC2-Instance-Wiederherstellungen müssen Sie außerdem die in der folgenden Richtlinienanweisung gezeigten Berechtigungen angeben, um die EC2-Instance zu starten:  | 27. November 2023 | 
|  [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Es wurden die Berechtigungen `ec2:DescribeSnapshotTierStatus` und `ec2:ModifySnapshotTier` die Unterstützung einer zusätzlichen Speicheroption für gesicherte Amazon EBS-Ressourcen hinzugefügt, die auf die Archivspeicherebene übertragen werden sollen. Diese Berechtigungen sind erforderlich, damit Benutzer die Möglichkeit haben, Amazon EBS-Ressourcen, die zusammen gespeichert sind, AWS Backup auf Archivspeicher umzustellen.  | 27. November 2023 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Es wurden die Berechtigungen `ec2:DescribeSnapshotTierStatus` und `ec2:ModifySnapshotTier` die Unterstützung einer zusätzlichen Speicheroption für gesicherte Amazon EBS-Ressourcen hinzugefügt, die auf die Archivspeicherebene übertragen werden sollen. Diese Berechtigungen sind erforderlich, damit Benutzer die Möglichkeit haben, Amazon EBS-Ressourcen, die zusammen gespeichert sind, AWS Backup auf Archivspeicher umzustellen. Die Berechtigungen `rds:DescribeDBClusterSnapshots` und wurden hinzugefügt`rds:RestoreDBClusterToPointInTime`, was für PITR (point-in-time Wiederherstellungen) von Aurora-Clustern erforderlich ist.  | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – Neue Richtlinie |  Stellt die für die Durchführung von Wiederherstellungstests erforderlichen Berechtigungen bereit. Die Berechtigungen umfassen die Aktionen `list, read, and write` für die folgenden Dienste, die in Wiederherstellungstests aufgenommen werden sollen: Aurora, DocumentDB, DynamoDB, Amazon EBS, Amazon EC2, Amazon EFS, FSx für Lustre, für Windows File Server, FSx für ONTAP, FSx FSx für OpenZFS, Amazon Neptune, Amazon RDS und Amazon S3.  | 27. November 2023 | 
|  [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie  |  `restore-testing.backup.amazonaws.com` wurde `IamPassRolePermissions` und `IamCreateServiceLinkedRolePermissions` hinzugefügt. Dieser Zusatz ist erforderlich, um Wiederherstellungstests im Auftrag von Kunden durchzuführen. AWS Backup   | 27. November 2023 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigungen `rds:DescribeDBClusterSnapshots` und wurden hinzugefügt`rds:RestoreDBClusterToPointInTime`, was für PITR (point-in-time Wiederherstellungen) von Aurora-Clustern erforderlich ist. | 6. September 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung wurde hinzugefügt`rds:DescribeDBClusterAutomatedBackups`, die für die kontinuierliche Sicherung und point-in-time Wiederherstellung von Aurora-Clustern erforderlich ist. | 6. September 2023 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie | Die Berechtigung wurde hinzugefügt`rds:DescribeDBClusterAutomatedBackups`, die für die kontinuierliche Sicherung und point-in-time Wiederherstellung von Aurora-Clustern erforderlich ist. | 6. September 2023 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie |  Die Erlaubnis wurde hinzugefügt`rds:DescribeDBClusterAutomatedBackups`. Diese Genehmigung ist für die AWS Backup Unterstützung der kontinuierlichen Sicherung und point-in-time Wiederherstellung von Aurora-Clustern erforderlich. Es wurde die Erlaubnis `rds:DeleteDBClusterAutomatedBackups` hinzugefügt, AWS Backup Lifecycle das Löschen und Trennen von kontinuierlichen Amazon Aurora Aurora-Wiederherstellungspunkten zu gestatten, wenn ein Aufbewahrungszeitraum abgelaufen ist. Diese Genehmigung ist für den Aurora-Wiederherstellungspunkt erforderlich, um einen Übergang in einen `EXIPIRED`-Status zu verhindern. Die Erlaubnis`rds:ModifyDBCluster`, mit Aurora-Clustern AWS Backup zu interagieren, wurde hinzugefügt. Dieser Zusatz ermöglicht es Benutzern, kontinuierliche Sicherungen auf der Grundlage der gewünschten Konfigurationen zu aktivieren oder zu deaktivieren.  | 6. September 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie |  Es wurde die Aktion hinzugefügt`ram:GetResourceShareAssociations`, um dem Benutzer die Erlaubnis zu erteilen, Ressourcenfreigabezuordnungen für einen neuen Tresortyp abzurufen.  | 08. August 2023 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie |  Es wurde die Aktion hinzugefügt`ram:GetResourceShareAssociations`, um dem Benutzer die Erlaubnis zu erteilen, Ressourcenfreigabezuordnungen für einen neuen Tresortyp abzurufen.  | 08. August 2023 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Aktualisierung auf eine bestehende Richtlinie  |  Es wurde die Erlaubnis hinzugefügt`s3:PutInventoryConfiguration`, die Geschwindigkeit der Backup-Leistung mithilfe eines Bucket-Inventars zu erhöhen.  | 1. August 2023 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie  |  Es wurden die folgenden Aktionen hinzugefügt, um dem Benutzer Berechtigungen zum Hinzufügen von Tags zur Wiederherstellung von Ressourcen zu gewähren: `storagegateway:AddTagsToResource``elasticfilesystem:TagResource`,, nur `ec2:CreateTags` für `ec2:CreateAction` das, was entweder `RunInstances` oder `CreateVolume``fsx:TagResource`, und beinhaltet`cloudformation:TagResource`.  | 22. Mai 2023 | 
|  [AWSBackupAuditAccess](#AWSBackupAuditAccess) – Aktualisierung auf eine bestehende Richtlinie  |  Die Ressourcenauswahl innerhalb der API wurde `config:DescribeComplianceByConfigRule` durch eine Platzhalterressource ersetzt, um Benutzern die Auswahl von Ressourcen zu erleichtern.  | 11. April 2023 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie  |  Die folgende Berechtigung zur Wiederherstellung von Amazon EFS mithilfe eines vom Kunden verwalteten Schlüssels wurde hinzugefügt:`kms:GenerateDataKeyWithoutPlaintext`. Dadurch wird sichergestellt, dass Benutzer über die erforderlichen Berechtigungen zur Wiederherstellung von Amazon EFS-Ressourcen verfügen.  | 27. März 2023 | 
|  [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – Aktualisierung auf eine bestehende Richtlinie  |  Die `config:DescribeConfigRuleEvaluationStatus` Aktionen `config:DescribeConfigRules` und wurden aktualisiert, sodass AWS Backup Audit Manager auf von AWS Backup Audit Manager verwaltete Regeln zugreifen kann AWS Config .  | 9. März 2023 | 
|  [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) — Aktualisierung auf eine bestehende Richtlinie  |  Der Richtlinie wurden die folgenden Berechtigungen hinzugefügt: `kms:Decrypt``s3:PutBucketOwnershipControls`,`s3:GetBucketOwnershipControls`, und. `AWSBackupServiceRolePolicyForS3Restore` Diese Berechtigungen sind erforderlich, um die Wiederherstellung von Objekten zu unterstützen, wenn die KMS-Verschlüsselung in der ursprünglichen Sicherung verwendet wird, und für die Wiederherstellung von Objekten, wenn der Objekteigentum im ursprünglichen Bucket statt in ACL konfiguriert ist.  | 13. Februar 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Es wurden die folgenden Berechtigungen hinzugefügt, um Backups mithilfe von VMware Tags virtueller Maschinen zu planen und die zeitplanbasierte Bandbreitendrosselung zu unterstützen:`backup-gateway:GetHypervisorPropertyMappings`,,,`backup-gateway:GetVirtualMachine`, `backup-gateway:PutHypervisorPropertyMappings``backup-gateway:GetHypervisor`, `backup-gateway:StartVirtualMachinesMetadataSync` und. `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule`  | 15. Dezember 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie | Es wurden die folgenden Berechtigungen hinzugefügt, um Backups mithilfe von VMware Tags virtueller Maschinen zu planen und die zeitplanbasierte Bandbreitendrosselung zu unterstützen:,, und. `backup-gateway:GetHypervisorPropertyMappings` `backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule`  | 15. Dezember 2022 | 
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync) – Neue Richtlinie |  Ermöglicht AWS Backup Gateway, die Metadaten virtueller Maschinen in lokalen Netzwerken mit Backup Gateway zu synchronisieren.  | 15. Dezember 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie | Es wurden die folgenden Berechtigungen zur Unterstützung von Timestream-Backup-Jobs hinzugefügt: `timestream:StartAwsBackupJob` `timestream:GetAwsBackupStatus``timestream:ListTables`,,`timestream:ListDatabases`,`timestream:ListTagsForResource`, `timestream:DescribeTable``timestream:DescribeDatabase`, und. `timestream:DescribeEndpoints`  | 13. Dezember 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen zur Unterstützung von Timestream-Wiederherstellungsaufträgen wurden hinzugefügt: `timestream:StartAwsRestoreJob``timestream:GetAwsRestoreStatus`,`timestream:ListTables`,`timestream:ListTagsForResource`,`timestream:ListDatabases`,`timestream:DescribeTable`, `timestream:DescribeDatabase``s3:GetBucketAcl`, und. `timestream:DescribeEndpoints`  | 13. Dezember 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen zur Unterstützung von Timestream-Ressourcen wurden hinzugefügt:`timestream:ListTables`,`timestream:ListDatabases`, `s3:ListAllMyBuckets` und. `timestream:DescribeEndpoints`  | 13. Dezember 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen zur Unterstützung von Timestream-Ressourcen wurden hinzugefügt:`timestream:ListDatabases`, `timestream:ListTables``s3:ListAllMyBuckets`, und. `timestream:DescribeEndpoints`  | 13. Dezember 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen zur Unterstützung von Timestream-Ressourcen wurden hinzugefügt: `timestream:ListDatabases``timestream:ListTables`,`timestream:ListTagsForResource`,`timestream:DescribeDatabase`,`timestream:DescribeTable`, `timestream:GetAwsBackupStatus``timestream:GetAwsRestoreStatus`, und. `timestream:DescribeEndpoints`  | 13. Dezember 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen zur Unterstützung von Amazon Redshift Redshift-Ressourcen wurden hinzugefügt: `redshift:DescribeClusters` `redshift:DescribeClusterSubnetGroups``redshift:DescribeNodeConfigurationOptions`,`redshift:DescribeOrderableClusterOptions`,`redshift:DescribeClusterParameterGroups`,`redshift:DescribeClusterTracks`,`redshift:DescribeSnapshotSchedules`, und`ec2:DescribeAddresses`.  | 27. November 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen zur Unterstützung von Amazon Redshift Redshift-Ressourcen wurden hinzugefügt:`redshift:DescribeClusters`,`redshift:DescribeClusterSubnetGroups`,`redshift:DescribeNodeConfigurationOptions`,`redshift:DescribeOrderableClusterOptions`,`redshift:DescribeClusterParameterGroups,`,`redshift:DescribeClusterTracks`. `redshift:DescribeSnapshotSchedules`, und. `ec2:DescribeAddresses`  | 27. November 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie |  Die folgenden Berechtigungen zur Unterstützung von Amazon Redshift Redshift-Wiederherstellungsaufträgen wurden hinzugefügt: `redshift:RestoreFromCluster Snapshot``redshift:RestoreTableFromClusterSnapshot`,`redshift:DescribeClusters`, und`redshift:DescribeTableRestoreStatus`.  | 27. November 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie |  Die folgenden Berechtigungen zur Unterstützung von Amazon Redshift Redshift-Backup-Jobs wurden hinzugefügt: `redshift:CreateClusterSnapshot``redshift:DescribeClusterSnapshots`,`redshift:DescribeTags`,`redshift:DeleteClusterSnapshot`,`redshift:DescribeClusters`, und`redshift:CreateTags`.  | 27. November 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die folgende Berechtigung zur Unterstützung von CloudFormation Ressourcen wurde hinzugefügt:`cloudformation:ListStacks`.  | 27. November 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie | Die folgende Berechtigung zur Unterstützung von CloudFormation Ressourcen wurde hinzugefügt:`cloudformation:ListStacks`. | 27. November 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen zur Unterstützung von CloudFormation Ressourcen wurden hinzugefügt: `redshift:DescribeClusterSnapshots``redshift:DescribeTags`,`redshift:DeleteClusterSnapshot`, und`redshift:DescribeClusters`.  | 27. November 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen wurden hinzugefügt, um Backup-Jobs für den CloudFormation Anwendungsstapel zu unterstützen: `cloudformation:GetTemplate``cloudformation:DescribeStacks`, und`cloudformation:ListStackResources`.  | 16. November 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen wurden hinzugefügt, um Backup-Jobs für den CloudFormation Anwendungsstapel zu unterstützen: `cloudformation:CreateChangeSet` und `cloudformation:DescribeChangeSet`  | 16. November 2022 | 
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess) – Aktualisierung auf eine bestehende Richtlinie | Dieser Richtlinie wurden die folgenden Berechtigungen hinzugefügt, damit Organisationsadministratoren die Funktion „Delegierter Administrator“ verwenden können:`organizations:ListDelegatedAdministrator`, und `organizations:RegisterDelegatedAdministrator` `organizations:DeregisterDelegatedAdministrator`  | 27. November 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen zur Unterstützung von SAP HANA auf Amazon EC2 EC2-Instances wurden hinzugefügt: `ssm-sap:GetOperation``ssm-sap:ListDatabases`,`ssm-sap:BackupDatabase`,`ssm-sap:UpdateHanaBackupSettings`,`ssm-sap:GetDatabase`, und`ssm-sap:ListTagsForResource`.  | 20. November 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen zur Unterstützung von SAP HANA auf Amazon EC2 EC2-Instances wurden hinzugefügt: `ssm-sap:GetOperation``ssm-sap:ListDatabases`,`ssm-sap:GetDatabase`, und`ssm-sap:ListTagsForResource`.  | 20. November 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen zur Unterstützung von SAP HANA auf Amazon EC2 EC2-Instances wurden hinzugefügt: `ssm-sap:GetOperation``ssm-sap:ListDatabases`,`ssm-sap:GetDatabase`, und`ssm-sap:ListTagsForResource`.  | 20. November 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie | Die folgende Berechtigung zur Unterstützung von SAP HANA auf Amazon EC2 EC2-Instances wurde hinzugefügt:`ssm-sap:GetOperation`.  | 20. November 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie | Die folgende Berechtigung zur Unterstützung von Backup-Gateway-Wiederherstellungsaufträgen für eine EC2-Instance wurde hinzugefügt:`ec2:CreateTags`.  | 20. November 2022 | 
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess) – Aktualisierung auf eine bestehende Richtlinie | Die folgenden Berechtigungen wurden hinzugefügt, um die sichere Speicherdatenübertragung für SAP HANA On Amazon EC2 EC2-Ressourcen zu unterstützen: `backup-storage:StartObject``backup-storage:PutChunk`,`backup-storage:GetChunk`,`backup-storage:ListChunks`,`backup-storage:ListObjects`,`backup-storage:GetObjectMetadata`, und`backup-storage:NotifyObjectComplete`.  | 20. November 2022 | 
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) — Aktualisierung einer bestehenden Richtlinie | Es wurden die folgenden Berechtigungen für Ressourcenbesitzer hinzugefügt, um die Wiederherstellung von SAP HANA On Amazon EC2 EC2-Ressourcen durchzuführen: `backup:Get*` `backup:List*``backup:Describe*`,`backup:StartBackupJob`,`backup:StartRestoreJob`,,`ssm-sap:GetOperation`,`ssm-sap:ListDatabases`,`ssm-sap:BackupDatabase`,`ssm-sap:RestoreDatabase`,`ssm-sap:UpdateHanaBackupSettings`,`ssm-sap:GetDatabase`, und`ssm-sap:ListTagsForResource`.  | 20. November 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Aktualisierung einer bestehenden Richtlinie  |  Die Erlaubnis `s3:GetBucketAcl` zur Unterstützung von Backup-Vorgängen von AWS Backup für Amazon S3 wurde hinzugefügt.  | 24. August 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie  |  Die folgenden Aktionen wurden hinzugefügt, um Zugriff auf die Erstellung einer Datenbank-Instance zur Unterstützung der Multi-Availability Zone (Multi-AZ) -Funktionalität zu gewähren:. `rds:CreateDBInstance`  | 20. Juli 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Es wurde die `s3:GetBucketTagging` Berechtigung hinzugefügt, dem Benutzer die Erlaubnis zu erteilen, Buckets für die Sicherung mit einem Ressourcen-Platzhalter auszuwählen. Ohne diese Berechtigung sind Benutzer, die auswählen, welche Buckets mit einem Ressourcen-Platzhalter gesichert werden sollen, erfolglos.  | 6. Mai 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Volume-Ressourcen wurden im Rahmen vorhandener Aktionen hinzugefügt `fsx:CreateBackup` und neue `fsx:ListTagsForResource` Aktionen `fsx:DescribeVolumes` FSx zur Unterstützung von ONTAP-Backups auf Volume-Ebene hinzugefügt.  | 27. April 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie  |  Die folgenden Aktionen wurden hinzugefügt, um den Benutzern Berechtigungen FSx zur Wiederherstellung von ONTAP-Volumes`fsx:DescribeVolumes`, `fsx:CreateVolumeFromBackup``fsx:DeleteVolume`, und zu gewähren. `fsx:UntagResource`  | 27. April 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Aktualisierung einer bestehenden Richtlinie  |  Die folgenden Aktionen wurden hinzugefügt, um Benutzern Berechtigungen zu erteilen, Benachrichtigungen über Änderungen an ihren Amazon S3 S3-Buckets während Backup-Vorgängen zu erhalten: `s3:GetBucketNotification` und`s3:PutBucketNotification`.  | 25. Februar 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Neue Richtlinie  |  Die folgenden Aktionen wurden hinzugefügt, um Benutzern Berechtigungen zum Sichern ihrer Amazon S3 S3-Buckets zu gewähren:`s3:GetInventoryConfiguration`,,,`s3:PutInventoryConfiguration`,`s3:ListBucketVersions`,`s3:ListBucket`,`s3:GetBucketTagging`,`s3:GetBucketVersioning`,, `s3:GetBucketNotification``s3:GetBucketLocation`, und `s3:ListAllMyBuckets` Die folgenden Aktionen wurden hinzugefügt, um Benutzern Berechtigungen zum Sichern ihrer Amazon S3 S3-Objekte zu gewähren: `s3:GetObject``s3GetObjectAcl`,`s3:GetObjectVersionTagging`,`s3:GetObjectVersionAcl`,`s3:GetObjectTagging`, und`s3:GetObjectVersion`.  Die folgenden Aktionen wurden hinzugefügt, um Benutzern Berechtigungen zum Sichern ihrer verschlüsselten Amazon S3 S3-Daten zu gewähren: `kms:Decrypt` und`kms:DescribeKey`.  Die folgenden Aktionen wurden hinzugefügt, um Benutzern Berechtigungen zum Erstellen inkrementeller Backups ihrer Amazon S3 S3-Daten unter Verwendung von EventBridge Amazon-Regeln zu gewähren: `events:DescribeRule``events:EnableRule`,`events:PutRule`,`events:DeleteRule`,`events:PutTargets`,,`events:RemoveTargets`,`events:ListTargetsByRule`,`events:DisableRule`,`cloudwatch:GetMetricData`, und`events:ListRules`.  | 17. Februar 2022 | 
| [AWSBackupServiceRolePolicyForS3 Restore](#AWSBackupServiceRolePolicyForS3Restore) — Neue Richtlinie  |  Die folgenden Aktionen wurden hinzugefügt, um Benutzern Berechtigungen zur Wiederherstellung ihrer Amazon S3 S3-Buckets zu gewähren: `s3:CreateBucket``s3:ListBucketVersions`,`s3:ListBucket`,, `s3:GetBucketVersioning``s3:GetBucketLocation`, und`s3:PutBucketVersioning`. Die folgenden Aktionen wurden hinzugefügt, um Benutzern Berechtigungen zur Wiederherstellung ihrer Amazon S3 S3-Buckets zu gewähren: `s3:GetObject``s3:GetObjectVersion`,`s3:DeleteObject`,,`s3:PutObjectVersionAcl`,`s3:GetObjectVersionAcl`,`s3:GetObjectTagging`,`s3:PutObjectTagging`,`s3:GetObjectAcl`,, `s3:PutObjectAcl``s3:PutObject`, und`s3:ListMultipartUploadParts`. Die folgenden Aktionen wurden hinzugefügt, um Benutzern Berechtigungen zur Verschlüsselung ihrer wiederhergestellten Amazon S3 S3-Daten zu gewähren: `kms:Decrypt``kms:DescribeKey`, und`kms:GenerateDataKey`.  | 17. Februar 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Es wurde hinzugefügt`s3:ListAllMyBuckets`, um Benutzern die Möglichkeit zu geben, eine Liste ihrer Buckets einzusehen und auszuwählen, welche Buckets einem Backup-Plan zugewiesen werden sollen.  | 14. Februar 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Wurde hinzugefügt`backup-gateway:ListVirtualMachines`, um Benutzern die Möglichkeit zu geben, eine Liste ihrer virtuellen Maschinen einzusehen und auszuwählen, welche sie einem Backup-Plan zuweisen möchten. Wurde hinzugefügt`backup-gateway:ListTagsForResource`, um Benutzern das Recht zu gewähren, die Tags für ihre virtuellen Maschinen aufzulisten.  | 30. November 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Hinzugefügt`backup-gateway:Backup`, um Benutzern Rechte für die Wiederherstellung ihrer virtuellen Maschinen-Backups zu gewähren. AWS Backup wurde auch hinzugefügt`backup-gateway:ListTagsForResource`, um Benutzern die Möglichkeit zu geben, die Tags aufzulisten, die ihren Backups virtueller Maschinen zugewiesen sind.  | 30. November 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie  |  Wurde hinzugefügt`backup-gateway:Restore`, um Benutzern Rechte für die Wiederherstellung ihrer virtuellen Maschinen-Backups zu gewähren.  | 30. November 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie  |  Die folgenden Aktionen wurden hinzugefügt, um Benutzern Berechtigungen zur Verwendung von AWS Backup Gateway zum Sichern, Wiederherstellen und Verwalten ihrer virtuellen Maschinen zu gewähren:,,`backup-gateway:AssociateGatewayToServer`,,,,,`backup-gateway:CreateGateway`,`backup-gateway:DeleteGateway`,`backup-gateway:DeleteHypervisor`,,`backup-gateway:DisassociateGatewayFromServer`,`backup-gateway:ImportHypervisorConfiguration`,`backup-gateway:ListGateways`,`backup-gateway:ListHypervisors`,,`backup-gateway:ListTagsForResource`,`backup-gateway:ListVirtualMachines`,`backup-gateway:PutMaintenanceStartTime`,,`backup-gateway:TagResource`,`backup-gateway:TestHypervisorConfiguration`,`backup-gateway:UntagResource`,`backup-gateway:UpdateGatewayInformation`,, und`backup-gateway:UpdateHypervisor`.  | 30. November 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie  |  Die folgenden Aktionen wurden hinzugefügt, um Benutzern Berechtigungen zum Sichern ihrer virtuellen Maschinen zu gewähren: `backup-gateway:ListGateways``backup-gateway:ListHypervisors`,`backup-gateway:ListTagsForResource`, und`backup-gateway:ListVirtualMachines`.  | 30. November 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |   AWS Backup Es wurde hinzugefügt`dynamodb:ListTagsOfResource`, um Benutzern die Rechte zu gewähren, Tags ihrer DynamoDB-Tabellen aufzulisten, um sie mithilfe der erweiterten DynamoDB-Backup-Funktionen zu sichern.  | 23. November 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Hinzugefügt`dynamodb:StartAwsBackupJob`, um Benutzern Berechtigungen zum Sichern ihrer DynamoDB-Tabellen mithilfe erweiterter Backup-Funktionen zu gewähren. Es wurde hinzugefügt`dynamodb:ListTagsOfResource`, um Benutzern Berechtigungen zum Kopieren von Tags aus ihren DynamoDB-Quelltabellen in ihre Backups zu gewähren.  | 23. November 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie  |   AWS Backup Es wurde hinzugefügt`dynamodb:RestoreTableFromAwsBackup`, um Benutzern Rechte zur Wiederherstellung ihrer DynamoDB-Tabellen zu gewähren, die mit den erweiterten DynamoDB-Backup-Funktionen gesichert wurden.  | 23. November 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie  |   AWS Backup Es wurde hinzugefügt`dynamodb:RestoreTableFromAwsBackup`, um Benutzern Rechte zur Wiederherstellung ihrer DynamoDB-Tabellen zu gewähren, die mit den erweiterten DynamoDB-Backup-Funktionen gesichert wurden.  | 23. November 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie  |  Die Aktionen wurden entfernt, `rds:DescribeDBSnapshots` weil sie `backup:GetRecoveryPointRestoreMetadata` überflüssig waren.  AWS Backup brauchte nicht beides `backup:GetRecoveryPointRestoreMetadata` und `backup:Get*` als Teil von`AWSBackupOperatorAccess`. Ich AWS Backup brauchte auch nicht beides `rds:DescribeDBSnapshots` und `rds:describeDBSnapshots` als Teil von`AWSBackupOperatorAccess`.  | 23. November 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Die neuen Aktionen`elasticfilesystem:DescribeFileSystems`,,,`dynamodb:ListTables`,`storagegateway:ListVolumes`, `ec2:DescribeVolumes``ec2:DescribeInstances`, und wurden hinzugefügt `rds:DescribeDBInstances``rds:DescribeDBClusters`, `fsx:DescribeFileSystems` damit Kunden bei der Auswahl der Ressourcen, die sie einem AWS Backup Backup-Plan zuweisen möchten, eine Liste der von ihnen unterstützten Ressourcen einsehen und auswählen können.  | 10. November 2021 | 
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – Neue Richtlinie  |  Hinzugefügt`AWSBackupAuditAccess`, um dem Benutzer Berechtigungen zur Verwendung von AWS Backup Audit Manager zu gewähren. Zu den Berechtigungen gehört die Möglichkeit, Compliance-Frameworks zu konfigurieren und Berichte zu erstellen.  | 24. August 2021 | 
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – Neue Richtlinie  |  Es wurde hinzugefügt`AWSServiceRolePolicyForBackupReports`, um Berechtigungen für eine dienstbezogene Rolle zu gewähren, um die Überwachung von Backup-Einstellungen, Jobs und Ressourcen im Hinblick auf die Einhaltung der vom Benutzer konfigurierten Frameworks zu automatisieren.  | 24. August 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie  |  Es wurde hinzugefügt`iam:CreateServiceLinkedRole`, um eine dienstbezogene Rolle (nach bestem Wissen) zu erstellen, um das Löschen abgelaufener Wiederherstellungspunkte für Sie zu automatisieren. Ohne diese serviceverknüpfte Rolle können abgelaufene Wiederherstellungspunkte AWS Backup nicht gelöscht werden, nachdem Kunden die ursprüngliche IAM-Rolle gelöscht haben, mit der sie ihre Wiederherstellungspunkte erstellt haben.  | 5. Juli 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Es wurde die neue Aktion hinzugefügt`dynamodb:DeleteBackup`, um die `DeleteRecoveryPoint` Erlaubnis zu erteilen, das Löschen abgelaufener DynamoDB-Wiederherstellungspunkte auf der Grundlage der Lebenszykluseinstellungen Ihres Backupplans zu automatisieren.  | 5. Juli 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie  |  Die Aktionen `backup:GetRecoveryPointRestoreMetadata` wurden entfernt`rds:DescribeDBSnapshots`, weil sie überflüssig waren. AWS Backup brauchte nicht beide `backup:GetRecoveryPointRestoreMetadata` und `backup:Get*` als Teil von `AWSBackupOperatorAccess` Also AWS Backup brauchte ich nicht beides `rds:DescribeDBSnapshots` und `rds:describeDBSnapshots` als Teil von `AWSBackupOperatorAccess`  | 25. Mai 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Aktualisierung auf eine bestehende Richtlinie  |  Die Aktionen `backup:GetRecoveryPointRestoreMetadata` wurden entfernt`rds:DescribeDBSnapshots`, weil sie überflüssig waren. AWS Backup brauchte nicht beides `backup:GetRecoveryPointRestoreMetadata` und `backup:Get*` als Teil von`AWSBackupOperatorAccess`. Ich AWS Backup brauchte auch nicht beides `rds:DescribeDBSnapshots` und `rds:describeDBSnapshots` als Teil von`AWSBackupOperatorAccess`.  | 25. Mai 2021 | 
| [AWSBackupServiceRolePolicyForRestores]() – Aktualisierung auf eine bestehende Richtlinie  |  Die neue Aktion wurde hinzugefügt`fsx:TagResource`, um Ihnen die `StartRestoreJob` Erlaubnis zu erteilen, während des Wiederherstellungsvorgangs Tags auf FSx Amazon-Dateisysteme anzuwenden.  | 24. Mai 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Aktualisierung auf eine bestehende Richtlinie  |  Es wurden die neuen Aktionen `ec2:DescribeImages` und `ec2:DescribeInstances` die Erteilung von `StartRestoreJob` Berechtigungen hinzugefügt, mit denen Sie Amazon EC2 EC2-Instances von Wiederherstellungspunkten wiederherstellen können.  | 24. Mai 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Die neue Aktion wurde hinzugefügt`fsx:CopyBackup`, um Ihnen die `StartCopyJob` Erlaubnis zu erteilen, FSx Amazon-Wiederherstellungspunkte zwischen Regionen und Konten zu kopieren.  | 12. April 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Die neue Aktion wurde hinzugefügt`fsx:CopyBackup`, um Ihnen die `StartCopyJob` Erlaubnis zu erteilen, FSx Amazon-Wiederherstellungspunkte zwischen Regionen und Konten zu kopieren.  | 12. April 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Aktualisierung auf eine bestehende Richtlinie  |  Es wurde aktualisiert, um die folgenden Anforderungen zu erfüllen:  AWS Backup Um ein Backup einer verschlüsselten DynamoDB-Tabelle zu erstellen, müssen Sie die Berechtigungen `kms:Decrypt` und `kms:GenerateDataKey` zur IAM-Rolle hinzufügen, die für die Sicherung verwendet wird.  | 10. März 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Aktualisierung auf eine bestehende Richtlinie  |  Es wurde aktualisiert, um die folgenden Anforderungen zu erfüllen: Um kontinuierliche Backups für Ihre Amazon RDS-Datenbank AWS Backup zu konfigurieren, stellen Sie sicher, dass die API-Berechtigung in der IAM-Rolle `rds:ModifyDBInstance` vorhanden ist, die in Ihrer Backup-Plan-Konfiguration definiert ist. Um kontinuierliche Amazon RDS-Sicherungen wiederherzustellen, müssen Sie die Berechtigung `rds:RestoreDBInstanceToPointInTime` zu der IAM-Rolle hinzufügen, die Sie für den Wiederherstellungsauftrag eingereicht haben. Um in der AWS Backup Konsole den Zeitraum zu beschreiben, der für die point-in-time Wiederherstellung zur Verfügung steht, müssen Sie die `rds:DescribeDBInstanceAutomatedBackups` API-Berechtigung in Ihre von IAM verwaltete Richtlinie aufnehmen.  | 10. März 2021 | 
|  AWS Backup hat begonnen, Änderungen zu verfolgen  |  AWS Backup hat begonnen, Änderungen für die von AWS ihm verwalteten Richtlinien zu verfolgen.  | 10. März 2021 | 

# Verwenden von serviceverknüpften Rollen für AWS Backup
<a name="using-service-linked-roles"></a>

AWS Backup verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Backup Mit Diensten verknüpfte Rollen sind vordefiniert AWS Backup und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. 

**Topics**
+ [Rollen zum Sichern und Kopieren verwenden](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [Rollen für AWS Backup Audit Manager verwenden](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [Rollen für Wiederherstellungstests verwenden](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)

# Rollen zum Sichern und Kopieren verwenden
<a name="using-service-linked-roles-AWSServiceRoleForBackup"></a>

AWS Backup verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Backup Mit Diensten verknüpfte Rollen sind vordefiniert AWS Backup und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. 

Eine dienstbezogene Rolle AWS Backup erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Backup definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Backup kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen juristischen Stelle von IAM zugeordnet werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS Backup Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Mit dem Dienst verknüpfte Rollenberechtigungen für AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackup"></a>

AWS Backup verwendet die angegebene dienstbezogene Rolle **AWSServiceRoleForBackup**, um in Ihrem Namen Backups Ihrer AWS Ressourcen zu erstellen und zu löschen.

Die AWSService RoleForBackup dienstverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `backup.amazonaws.com`

Die Berechtigungen für diese Richtlinie finden Sie [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)in der Referenz für *AWS verwaltete Richtlinien*.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Erstellen einer serviceverknüpften Rolle für AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackup"></a>

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Ressourcen auflisten, die gesichert werden sollen, kontenübergreifende Backups einrichten oder Backups in der AWS-Managementkonsole, der oder der AWS API durchführen AWS CLI, AWS Backup wird die dienstbezogene Rolle für Sie erstellt. 

**Wichtig**  
 Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem IAM-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie zu sichernde Ressourcen auflisten, kontenübergreifende Backups einrichten oder Backups durchführen, AWS Backup wird die dienstbezogene Rolle erneut für Sie erstellt. 

## Bearbeiten einer serviceverknüpften Rolle für AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackup"></a>

AWS Backup erlaubt es Ihnen nicht, die AWSService RoleForBackup dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rollenbeschreibung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) im *IAM-Benutzerhandbuch*.

## Löschen einer dienstbezogenen Rolle für AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackup"></a>

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

### Bereinigen einer serviceverknüpften Rolle
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackup"></a>

Bevor mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie zunächst alle von der Rolle verwendeten Ressourcen löschen. Zunächst müssen Sie alle Ihre Wiederherstellungspunkte löschen. Dann müssen Sie alle Ihre Backup-Tresore löschen.

**Anmerkung**  
Wenn der AWS Backup Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

**Um AWS Backup Ressourcen zu löschen, die von der AWSService RoleForBackup (Konsole) verwendet werden**

1. Gehen Sie wie unter Einen Tresor löschen beschrieben vor, um all Ihre Wiederherstellungspunkte und Backup-Tresore (mit Ausnahme Ihres [Standard-Tresors) zu löschen](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault).

1. Um Ihren Standard-Tresor zu löschen, verwenden Sie den folgenden Befehl in der AWS CLI:

   ```
   aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
   ```

**Um AWS Backup Ressourcen zu löschen, die von AWSService RoleForBackup ()AWS CLI verwendet werden**

1. Um alle Ihre Wiederherstellungspunkte zu löschen, verwenden Sie [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html).

1. Um all Ihre Backup-Tresore zu löschen, verwenden Sie [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html).

**Um AWS Backup Ressourcen zu löschen, die von der AWSService RoleForBackup (API) verwendet werden**

1. Um alle Ihre Wiederherstellungspunkte zu löschen, verwenden Sie `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`.

1. Um all Ihre Backup-Tresore zu löschen, verwenden Sie `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`.

### Manuelles Löschen der serviceverknüpften Rolle
<a name="slr-manual-delete-AWSServiceRoleForBackup"></a>

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSService RoleForBackup serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) im *IAM-Benutzerhandbuch*.

## Unterstützte Regionen für serviceverknüpfte Rollen AWS Backup
<a name="slr-regions-AWSServiceRoleForBackup"></a>

AWS Backup unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS Backup Unterstützte Features und Regionen](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Rollen für AWS Backup Audit Manager verwenden
<a name="using-service-linked-roles-AWSServiceRoleForBackupReports"></a>

AWS Backup verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Backup Mit Diensten verknüpfte Rollen sind vordefiniert AWS Backup und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. 

Eine dienstbezogene Rolle AWS Backup erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Backup definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Backup kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen juristischen Stelle von IAM zugeordnet werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS Backup Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Mit dem Dienst verknüpfte Rollenberechtigungen für AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupReports"></a>

AWS Backup verwendet die dienstbezogene Rolle mit dem Namen **AWSServiceRoleForBackupReports**— Erlaubt AWS Backup die Berechtigung zum Erstellen von Steuerelementen, Frameworks und Berichten.

Die AWSService RoleForBackupReports dienstverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `reports.backup.amazonaws.com`

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Erstellen einer dienstbezogenen Rolle für AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupReports"></a>

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie ein Framework oder einen Berichtsplan in der AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, AWS Backup wird die dienstbezogene Rolle für Sie erstellt. 

**Wichtig**  
 Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem IAM-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie ein Framework oder einen Berichtsplan erstellen, AWS Backup wird die dienstbezogene Rolle erneut für Sie erstellt. 

## Bearbeiten einer serviceverknüpften Rolle für AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupReports"></a>

AWS Backup erlaubt es Ihnen nicht, die AWSService RoleForBackupReports dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. *Weitere Informationen finden Sie im [IAM-Benutzerhandbuch unter Bearbeiten einer Beschreibung einer dienstbezogenen Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console).*

## Löschen einer serviceverknüpften Rolle für AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupReports"></a>

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

### Bereinigen einer serviceverknüpften Rolle
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupReports"></a>

Bevor mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie zunächst alle von der Rolle verwendeten Ressourcen löschen. Sie müssen alle Frameworks und Berichtspläne löschen.

**Anmerkung**  
Wenn der AWS Backup Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

**Um AWS Backup Ressourcen zu löschen, die von der AWSService RoleForBackupReports (Konsole) verwendet werden**

1. Informationen zum Löschen aller Frameworks finden Sie unter [Löschen von Frameworks](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html).

1. Informationen zum Löschen aller Berichtspläne finden Sie unter [Löschen von Berichtsplänen](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html).

**Um AWS Backup Ressourcen zu löschen, die von AWSService RoleForBackupReports (AWS CLI) verwendet werden**

1. Verwenden Sie zum Löschen aller Frameworks [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html).

1. Um alle Berichtspläne zu löschen, verwenden Sie [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html).

**Um AWS Backup Ressourcen zu löschen, die von der AWSService RoleForBackupReports (API) verwendet werden**

1. Um alle Frameworks zu löschen, verwenden Sie [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html).

1. Um alle Berichtspläne zu löschen, verwenden Sie [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html).

### Manuelles Löschen der serviceverknüpften Rolle
<a name="slr-manual-delete-AWSServiceRoleForBackupReports"></a>

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSService RoleForBackupReports serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) im *IAM-Benutzerhandbuch*.

## Unterstützte Regionen für serviceverknüpfte Rollen AWS Backup
<a name="slr-regions-AWSServiceRoleForBackupReports"></a>

AWS Backup unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS Backup Unterstützte Features und Regionen](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Rollen für Wiederherstellungstests verwenden
<a name="using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Backup Mit Diensten verknüpfte Rollen sind vordefiniert AWS Backup und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. 

Eine dienstbezogene Rolle AWS Backup erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Backup definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Backup kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen juristischen Stelle von IAM zugeordnet werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS Backup Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Mit dem Dienst verknüpfte Rollenberechtigungen für AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup verwendet die dienstbezogene Rolle mit dem Namen **AWSServiceRoleForBackupRestoreTesting**— Stellt Backup-Berechtigungen für die Durchführung von Wiederherstellungstests bereit.

Die serviceverknüpfte Rolle **AWSServiceRoleForBackupRestoreTesting** vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `restore-testing.backup.amazonaws.com`

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Erstellen einer dienstbezogenen Rolle für AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Wiederherstellungstests in der AWS-Managementkonsole, der oder der AWS CLI AWS API durchführen, AWS Backup wird die dienstbezogene Rolle für Sie erstellt. 

**Wichtig**  
 Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem IAM-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie Wiederherstellungstests durchführen, AWS Backup erstellt die dienstbezogene Rolle erneut für Sie.

## Bearbeitung einer serviceverknüpften Rolle für AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup erlaubt es Ihnen nicht, die AWSService RoleForBackupRestoreTesting dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rollenbeschreibung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) im *IAM-Benutzerhandbuch*.

## Löschen einer dienstbezogenen Rolle für AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

### Bereinigen einer serviceverknüpften Rolle
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupRestoreTesting"></a>

Bevor mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie zunächst alle von der Rolle verwendeten Ressourcen löschen. Sie müssen alle Wiederherstellungstestpläne löschen.

**Anmerkung**  
Wenn der AWS Backup Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

**Um AWS Backup Ressourcen zu löschen, die von der AWSService RoleForBackupRestoreTesting (Konsole) verwendet werden**
+ Informationen zum Löschen aller Wiederherstellungstestpläne finden Sie unter [Wiederherstellungstests](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html).

**Um AWS Backup Ressourcen zu löschen, die von AWSService RoleForBackupRestoreTesting (AWS CLI) verwendet werden**
+ Um Wiederherstellungstestpläne zu löschen, verwenden Sie `delete-restore-testing-plan`.

**Um AWS Backup Ressourcen zu löschen, die von der AWSService RoleForBackupRestoreTesting (API) verwendet werden**
+ Um Wiederherstellungstestpläne zu löschen, verwenden Sie `DeleteRestoreTestingPlan`.

### Manuelles Löschen der serviceverknüpften Rolle
<a name="slr-manual-delete-AWSServiceRoleForBackupRestoreTesting"></a>

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die **AWSServiceRoleForBackupRestoreTesting**serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) im *IAM-Benutzerhandbuch*.

## Unterstützte Regionen für serviceverknüpfte Rollen AWS Backup
<a name="slr-regions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS Backup Unterstützte Features und Regionen](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Serviceübergreifende Confused-Deputy-Prävention
<a name="cross-service-confused-deputy-prevention"></a>

Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS, dienstübergreifender Identitätswechsel kann zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, AWS bietet Tools, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.

Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, AWS Backup die der Ressource einen anderen Dienst gewähren. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.

Der Wert von `aws:SourceArn` muss ein AWS Backup Tresor sein, wenn Sie AWS Backup Amazon SNS SNS-Themen in Ihrem Namen veröffentlichen.

Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws::servicename::123456789012:*`. 

Die folgende Beispielrichtlinie zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globale Bedingung verwenden können, AWS Backup um das Problem des verwirrten Stellvertreters zu vermeiden. Diese Richtlinie gewährt dem Service Principal backup-storage.amazonaws.com nur dann die Möglichkeit, KMS-Aktionen durchzuführen, wenn der Service Principal im Namen des Kontos 123456789012 in den Backup-Tresoren handelt: AWS