Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan akses vault
Dengan AWS Backup, Anda dapat menetapkan kebijakan ke brankas cadangan dan sumber daya yang dikandungnya. Menetapkan kebijakan memungkinkan Anda melakukan hal-hal seperti memberikan akses kepada pengguna untuk membuat paket cadangan dan pencadangan sesuai permintaan, tetapi membatasi kemampuan mereka untuk menghapus titik pemulihan setelah dibuat.
Untuk informasi tentang penggunaan kebijakan untuk memberikan atau membatasi akses ke sumber daya, lihat Kebijakan Berbasis Identitas dan Kebijakan Berbasis Sumber Daya di Panduan Pengguna. IAM Anda juga dapat mengontrol akses menggunakan tag.
Anda dapat menggunakan contoh kebijakan berikut sebagai panduan untuk membatasi akses ke sumber daya saat Anda bekerja dengan AWS Backup vault. Tidak seperti kebijakan IAM berbasis lainnya, kebijakan AWS Backup akses tidak mendukung wildcard di Action kunci.
Untuk daftar Nama Sumber Daya Amazon (ARNs) yang dapat Anda gunakan untuk mengidentifikasi titik pemulihan untuk jenis sumber daya yang berbeda, lihat AWS Backup sumber daya ARNs titik pemulihan khusus sumber daya. ARNs
Kebijakan akses Vault hanya mengontrol akses pengguna ke AWS Backup APIs. Beberapa jenis cadangan, seperti snapshot Amazon Elastic Block Store (AmazonEBS) dan Amazon Relational Database Service (RDSAmazon), juga dapat diakses menggunakan layanan APIs tersebut. Anda dapat membuat kebijakan akses terpisah di dalamnya IAM mengontrol akses ke mereka APIs untuk sepenuhnya mengontrol akses ke jenis cadangan tersebut.
Terlepas dari kebijakan akses AWS Backup vault, akses lintas akun untuk tindakan apa pun selain backup:CopyIntoBackupVault akan ditolak; yaitu, AWS Backup akan menolak permintaan lain dari akun yang berbeda dari akun sumber daya yang direferensikan.
Topik
Tolak akses ke jenis sumber daya di brankas cadangan
Kebijakan ini menolak akses ke API operasi yang ditentukan untuk semua EBS snapshot Amazon di brankas cadangan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }
Tolak akses ke brankas cadangan
Kebijakan ini menolak akses ke API operasi tertentu yang menargetkan brankas cadangan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }
Tolak akses untuk menghapus titik pemulihan di brankas cadangan
Akses ke brankas dan kemampuan untuk menghapus titik pemulihan yang tersimpan di dalamnya ditentukan oleh akses yang Anda berikan kepada pengguna Anda.
Ikuti langkah-langkah berikut untuk membuat kebijakan akses berbasis sumber daya pada brankas cadangan yang mencegah penghapusan cadangan apa pun di brankas cadangan.
Untuk membuat kebijakan akses berbasis sumber daya di brankas cadangan
Masuk ke AWS Management Console, dan buka AWS Backup konsol di https://console.aws.amazon.com/backup
. -
Di panel navigasi di sebelah kiri, pilih Backup vaults.
-
Pilih brankas cadangan dalam daftar.
-
Di bagian Kebijakan akses, tempel JSON contoh berikut. Kebijakan ini mencegah siapa pun yang bukan prinsipal menghapus titik pemulihan di brankas cadangan target.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }Untuk mengizinkan IAM identitas daftar menggunakannyaARN, gunakan kunci kondisi
aws:PrincipalArnglobal dalam contoh berikut.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }Untuk informasi tentang mendapatkan ID unik untuk IAM entitas, lihat Mendapatkan pengenal unik di Panduan IAM Pengguna.
Jika Anda ingin membatasi ini ke jenis sumber daya tertentu, alih-alih
"Resource": "*", Anda dapat secara eksplisit menyertakan jenis titik pemulihan untuk ditolak. Misalnya, untuk EBS snapshot Amazon, ubah jenis sumber daya menjadi yang berikut."Resource": ["arn:aws:ec2::Region::snapshot/*"] -
Pilih Lampirkan kebijakan.
