Verwendung von AWS Rollen zur Steuerung des Zugriffs auf Backups Standard-Servicerolle für AWS Backup Erstellen der Standardservicerolle mithilfe der Konsole

IAMServicerollen

Eine AWS Identity and Access Management (IAM) -Rolle ähnelt einem Benutzer, da es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, wofür die Identität zuständig ist und welche nicht AWS. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Eine Servicerolle ist eine Rolle, die ein AWS Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Als Service, der für Sie Sicherungsoperationen durchführt, erfordert AWS Backup die Übergabe einer Rolle, die es annehmen soll, wenn es für Sie Sicherungsoperationen durchführt. Weitere Informationen zu IAM IAMRollen finden Sie im IAMBenutzerhandbuch unter Rollen.

Die Rolle, an die Sie übergeben, AWS Backup muss über eine IAM Richtlinie mit Berechtigungen verfügen, die es ermöglichen AWS Backup , Aktionen im Zusammenhang mit Backup-Vorgängen durchzuführen, wie z. B. das Erstellen, Wiederherstellen oder Ablaufen von Backups. Für jeden der AWS Backup unterstützten AWS Dienste sind unterschiedliche Berechtigungen erforderlich. Die Rolle muss außerdem als vertrauenswürdige Entität AWS Backup aufgeführt sein, sodass AWS Backup die Rolle übernommen werden kann.

Wenn Sie einem Backup-Plan Ressourcen zuweisen oder wenn Sie bei Bedarf eine Sicherung, Kopie oder Wiederherstellung durchführen, müssen Sie eine Servicerolle übergeben, die Zugriff auf die Ausführung der zugrunde liegenden Operationen auf den angegebenen Ressourcen hat. AWS Backup verwendet diese Rolle, um Ressourcen in Ihrem Konto zu erstellen, zu kennzeichnen und zu löschen.

Verwendung von AWS Rollen zur Steuerung des Zugriffs auf Backups

Sie können Rollen verwenden, um den Zugriff auf Ihre Sicherungen zu steuern, indem Sie eng gefasste Rollen definieren und angeben, wer diese Rolle an AWS Backupübergeben kann. Sie könnten beispielsweise eine Rolle erstellen, die nur Berechtigungen zum Sichern von Amazon Relational Database Service (AmazonRDS) -Datenbanken gewährt und nur RDS Amazon-Datenbankbesitzern die Erlaubnis erteilt, diese Rolle weiterzugeben. AWS Backup AWS Backup bietet mehrere vordefinierte verwaltete Richtlinien für jeden der unterstützten Dienste. Sie können diese verwalteten Richtlinien an Rollen anfügen, die Sie erstellen. Dies macht es einfacher, dienstspezifische Rollen zu erstellen, die über die richtigen Berechtigungen verfügen, die AWS Backup benötigt werden.

Weitere Informationen zu AWS verwalteten Richtlinien für finden Sie AWS Backup unterVerwaltete Richtlinien für AWS Backup.

Standard-Servicerolle für AWS Backup

Wenn Sie die AWS Backup Konsole zum ersten Mal verwenden, können Sie wählen, ob Sie eine Standard-Servicerolle für Sie AWS Backup erstellen möchten. Diese Rolle verfügt über die erforderlichen AWS Backup Berechtigungen, um in Ihrem Namen Backups zu erstellen und wiederherzustellen.

Anmerkung

Die Standardrolle wird automatisch erstellt, wenn Sie AWS Management Console verwenden. Sie können die Standardrolle mit AWS Command Line Interface (AWS CLI) erstellen, dies muss jedoch manuell erfolgen.

Wenn Sie lieber benutzerdefinierte Rollen verwenden möchten, z. B. separate Rollen für verschiedene Ressourcentypen, können Sie dies auch tun und Ihre benutzerdefinierten Rollen an AWS Backupübergeben. Beispiele für Rollen, die Sicherung und Wiederherstellung für einzelne Ressourcentypen ermöglichen, finden Sie in der Kundenverwaltete Richtlinien-Tabelle.

Die Standarddienstrolle ist benanntAWSBackupDefaultServiceRole. Diese Servicerolle enthält zwei verwaltete Richtlinien AWSBackupServiceRolePolicyForBackupund AWSBackupServiceRolePolicyForRestores.

AWSBackupServiceRolePolicyForBackupbeinhaltet eine IAM Richtlinie, die AWS Backup Berechtigungen zur Beschreibung der zu sichernden Ressource sowie die Möglichkeit gewährt, ein Backup zu erstellen, zu löschen, zu beschreiben oder ihm Tags hinzuzufügen, unabhängig davon, mit welchem AWS KMS Schlüssel es verschlüsselt wurde.

AWSBackupServiceRolePolicyForRestoresbeinhaltet eine IAM Richtlinie, die AWS Backup Berechtigungen zum Erstellen, Löschen oder Beschreiben der neuen Ressource, die aus einem Backup erstellt wird, unabhängig vom AWS KMS Schlüssel, mit dem sie verschlüsselt wurde, gewährt. Dazu kommen die Berechtigungen zum Markieren der neu erstellten Ressource mit Tags.

Um eine EC2 Amazon-Instance wiederherzustellen, müssen Sie eine neue Instance starten.

Erstellen der Standardservicerolle mithilfe der Konsole

Bestimmte Aktionen, die Sie in der AWS Backup Konsole ausführen, erstellen die AWS Backup Standard-Servicerolle.

Um die AWS Backup Standard-Servicerolle in Ihrem AWS Konto zu erstellen

Öffnen Sie die AWS Backup Konsole unter https://console.aws.amazon.com/backup.
Um die Rolle für Ihr Konto zu erstellen, weisen Sie entweder Ressourcen einem Sicherungsplan zu oder erstellen Sie ein On-Demand-Backup.
1. Erstellen Sie einen Sicherungsplan und weisen Sie der Sicherung Ressourcen zu. Siehe Einen Backup-Plan erstellen.
2. Sie können aber auch eine On-Demand-Sicherung erstellen. Siehe So erstellen Sie eine On-Demand-Sicherung.
Stellen Sie sicher, dass Sie das AWSBackupDefaultServiceRole in Ihrem Konto anhand der folgenden Schritte erstellt haben:
1. Warten Sie ein paar Minuten. Weitere Informationen finden Sie unter Meine Änderungen sind nicht immer sofort sichtbar im AWS Identity and Access Management-Benutzerhandbuch.
2. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.
3. Klicken Sie im linken Navigationsmenü auf Roles (Rollen).
4. Geben Sie in das Suchfeld AWSBackupDefaultServiceRole ein. Wenn diese Auswahl vorhanden ist, haben Sie die AWS Backup Standardrolle erstellt und dieses Verfahren abgeschlossen.
5. Falls sie AWSBackupDefaultServiceRole immer noch nicht angezeigt wird, fügen Sie dem IAM Benutzer oder der IAM Rolle, die Sie für den Zugriff auf die Konsole verwenden, die folgenden Berechtigungen hinzu.
```
{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "iam:CreateRole",
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
    },
    {
      "Effect":"Allow",
      "Action":[
        "iam:ListRoles"
      ],
      "Resource":"*"
    }
  ]
}
```
  Für Regionen in China ersetzen Sie aws mit aws-cn. Für AWS GovCloud (US) Regionen ersetzen aws mit aws-us-gov.
6. Wenn Sie Ihrem IAM Benutzer oder Ihrer IAM Rolle keine Berechtigungen hinzufügen können, bitten Sie Ihren Administrator, manuell eine Rolle mit einem anderen Namen als den folgenden verwalteten Richtlinien zu erstellen AWSBackupDefaultServiceRole und diese Rolle diesen verwalteten Richtlinien zuzuordnen:
  - AWSBackupServiceRolePolicyForBackup
  - AWSBackupServiceRolePolicyForRestores

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Zugriffskontrolle

Verwaltete Richtlinien