IAMperan layanan - AWS Backup

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMperan layanan

Peran AWS Identity and Access Management (IAM) mirip dengan pengguna, dalam hal itu adalah AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya. Peran layanan adalah peran yang diasumsikan AWS layanan untuk melakukan tindakan atas nama Anda. Sebagai layanan yang melakukan operasi pencadangan atas nama Anda, AWS Backup mengharuskan Anda meneruskannya peran untuk diasumsikan saat melakukan operasi pencadangan atas nama Anda. Untuk informasi selengkapnya tentang IAM peran, lihat IAMPeran di Panduan IAM Pengguna.

Peran yang Anda berikan AWS Backup harus memiliki IAM kebijakan dengan izin yang memungkinkan AWS Backup untuk melakukan tindakan yang terkait dengan operasi pencadangan, seperti membuat, memulihkan, atau kedaluwarsa pencadangan. Izin yang berbeda diperlukan untuk setiap AWS layanan yang AWS Backup mendukung. Peran tersebut juga harus AWS Backup terdaftar sebagai entitas tepercaya, yang memungkinkan AWS Backup untuk mengambil peran.

Saat Anda menetapkan sumber daya ke paket cadangan, atau jika Anda melakukan pencadangan, penyalinan, atau pemulihan sesuai permintaan, Anda harus meneruskan peran layanan yang memiliki akses untuk melakukan operasi dasar pada sumber daya yang ditentukan. AWS Backup menggunakan peran ini untuk membuat, menandai, dan menghapus sumber daya di akun Anda.

Menggunakan AWS peran untuk mengontrol akses ke cadangan

Anda dapat menggunakan peran untuk mengontrol akses ke cadangan Anda dengan mendefinisikan peran dengan cakupan sempit dan dengan menentukan siapa yang dapat meneruskan peran itu. AWS Backup Misalnya, Anda dapat membuat peran yang hanya memberikan izin untuk mencadangkan database Amazon Relational Database Service (AmazonRDS) dan hanya memberikan izin kepada pemilik RDS database Amazon untuk meneruskan peran tersebut. AWS Backup AWS Backup menyediakan beberapa kebijakan terkelola yang telah ditetapkan untuk setiap layanan yang didukung. Anda dapat melampirkan kebijakan terkelola ini ke peran yang Anda buat. Ini membuatnya lebih mudah untuk membuat peran khusus layanan yang memiliki izin yang benar yang diperlukan. AWS Backup

Untuk informasi selengkapnya tentang kebijakan AWS terkelola AWS Backup, lihatKebijakan terkelola untuk AWS Backup.

Peran layanan default untuk AWS Backup

Saat menggunakan AWS Backup konsol untuk pertama kalinya, Anda dapat memilih untuk AWS Backup membuat peran layanan default untuk Anda. Peran ini memiliki izin yang AWS Backup diperlukan untuk membuat dan memulihkan cadangan atas nama Anda.

catatan

Peran default dibuat secara otomatis saat Anda menggunakan AWS Management Console. Anda dapat membuat peran default menggunakan AWS Command Line Interface (AWS CLI), tetapi harus dilakukan secara manual.

Jika Anda lebih suka menggunakan peran khusus, seperti peran terpisah untuk jenis sumber daya yang berbeda, Anda juga dapat melakukannya dan meneruskan peran kustom Anda AWS Backup. Untuk melihat contoh peran yang mengaktifkan pencadangan dan pemulihan untuk masing-masing jenis sumber daya, lihat Kebijakan yang dikelola pelanggan tabel.

Peran layanan default diberi namaAWSBackupDefaultServiceRole. Peran layanan ini berisi dua kebijakan terkelola, AWSBackupServiceRolePolicyForBackupdan AWSBackupServiceRolePolicyForRestores.

AWSBackupServiceRolePolicyForBackupmenyertakan IAM kebijakan yang memberikan AWS Backup izin untuk menjelaskan sumber daya yang dicadangkan, kemampuan untuk membuat, menghapus, mendeskripsikan, atau menambahkan tag ke cadangan terlepas dari AWS KMS kunci yang dienkripsi.

AWSBackupServiceRolePolicyForRestoresmenyertakan IAM kebijakan yang memberikan AWS Backup izin untuk membuat, menghapus, atau menjelaskan sumber daya baru yang dibuat dari cadangan, terlepas dari AWS KMS kunci yang dienkripsi. Ini juga mencakup izin untuk menandai sumber daya yang baru dibuat.

Untuk memulihkan EC2 instans Amazon, Anda harus meluncurkan instance baru.

Membuat peran layanan default di konsol

Tindakan spesifik yang Anda lakukan di AWS Backup Konsol membuat peran layanan AWS Backup default.

Untuk membuat peran layanan AWS Backup default di AWS akun Anda
  1. Buka AWS Backup konsol di https://console.aws.amazon.com/backup.

  2. Untuk membuat peran untuk akun Anda, tetapkan sumber daya ke paket cadangan atau buat cadangan sesuai permintaan.

    1. Buat rencana cadangan dan tetapkan sumber daya ke cadangan. Lihat Membuat paket cadangan.

    2. Atau, buat cadangan sesuai permintaan. Lihat Membuat cadangan sesuai permintaan.

  3. Verifikasi bahwa Anda telah membuat akun Anda dengan mengikuti langkah-langkah berikut: AWSBackupDefaultServiceRole

    1. Tunggu beberapa menit. Untuk informasi selengkapnya, lihat Perubahan yang saya buat tidak selalu langsung terlihat di Panduan Pengguna AWS Identity and Access Management.

    2. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

    3. Di menu navigasi kiri, pilih Peran.

    4. Di bilah pencarian, ketikAWSBackupDefaultServiceRole. Jika pilihan ini ada, Anda telah membuat peran AWS Backup default dan menyelesaikan prosedur ini.

    5. Jika AWSBackupDefaultServiceRole masih tidak muncul, tambahkan izin berikut ke IAM pengguna atau IAM peran yang Anda gunakan untuk mengakses konsol.

      { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iam:CreateRole", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole" }, { "Effect":"Allow", "Action":[ "iam:ListRoles" ], "Resource":"*" } ] }

      Untuk Wilayah China, ganti aws dengan aws-cn. Untuk AWS GovCloud (US) Wilayah, ganti aws dengan aws-us-gov.

    6. Jika Anda tidak dapat menambahkan izin ke IAM pengguna atau IAM peran Anda, minta administrator untuk membuat peran dengan nama selain secara manual AWSBackupDefaultServiceRole dan melampirkan peran tersebut ke kebijakan terkelola ini:

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores