기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 자격 증명 및 액세스 관리 AWS Backup
에 액세스하려면 자격 증명이 AWS Backup 필요합니다. 이러한 보안 인증 정보에는 AWS 리소스(예: Amazon DynamoDB 데이터베이스 또는 Amazon EFS 파일 시스템)에 액세스할 수 있는 권한이 있어야 합니다. 또한 일부 AWS Backup지원 서비스에 AWS Backup 대해에서 생성한 복구 시점은 소스 서비스(예: Amazon EFS)를 사용하여 삭제할 수 없습니다. 를 사용하여 이러한 복구 시점을 삭제할 수 있습니다 AWS Backup.
다음 섹션에서는 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 및 AWS Backup 를 사용하여 리소스에 대한 액세스를 보호하는 방법에 대한 세부 정보를 제공합니다.
**주의**
AWS Backup 는 복구 시점 수명 주기를 관리하기 위해 리소스를 할당할 때 선택한 것과 동일한 IAM 역할을 사용합니다. 해당 역할을 삭제하거나 수정하면 AWS Backup 에서 복구 시점 수명 주기를 관리할 수 없습니다. 이 경우 서비스 연결 역할을 사용하여 수명 주기를 관리하려고 시도합니다. 일부 경우에는 이 방법도 작동하지 않아 스토리지에 `EXPIRED` 복구 시점이 남아 원치 않는 비용이 발생할 수 있습니다. `EXPIRED` 복구 시점을 삭제하려면 [백업 삭제](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html)의 절차를 사용하여 복구 시점을 수동으로 삭제하세요.
**Topics**
+ [Authentication](authentication.md)
+ [액세스 관리](access-control.md)
+ [IAM 서비스 역할](iam-service-roles.md)
+ [에 대한 관리형 정책 AWS Backup](security-iam-awsmanpol.md)
+ [에 대한 서비스 연결 역할 사용 AWS Backup](using-service-linked-roles.md)
+ [교차 서비스 혼동된 대리인 방지](cross-service-confused-deputy-prevention.md)
# Authentication
AWS Backup 또는 백업 중인 AWS 서비스에 액세스하려면가 요청을 인증하는 데 사용할 AWS 수 있는 자격 증명이 필요합니다. 다음 자격 증명 유형 중 AWS 하나로에 액세스할 수 있습니다.
+ **AWS 계정 루트 사용자** - 가입할 때 계정 AWS 과 연결된 이메일 주소와 암호를 AWS제공합니다. 이것은 *AWS 계정 *루트 사용자입니다. 자격 증명은 모든 AWS 리소스에 대한 완전한 액세스를 제공합니다.
**중요**
보안상 **관리자를 생성할 때만 루트 사용자를 사용하는 것이 좋습니다. 관리자는 AWS 계정에 대한 모든 권한을 가진 *IAM *사용자입니다. 그런 다음 이 관리자 사용자를 사용하여 제한된 권한이 있는 다른 IAM 사용자 및 역할을 만들 수 있습니다. 자세한 내용은 *IAM *사용 설명서에서 [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) 및 [첫 번째 IAM 관리자 및 그룹 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)을 참조하세요.
+ **IAM 사용자** – [IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)는 특정 사용자 지정 권한(예: 백업을 저장할 백업 저장소를 생성할 수 있는 권한)이 있는 AWS 계정 내의 자격 증명입니다. IAM 사용자 이름과 암호를 사용하여 [AWS Management Console](https://console.aws.amazon.com/), [AWS 토론 포럼](https://forums.aws.amazon.com/) 또는 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)와 같은 보안 AWS 웹 페이지에 로그인할 수 있습니다.
사용자 이름과 암호 외에도 각 사용자에 대해 [액세스 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)를 생성할 수 있습니다. [여러 SDKs](https://aws.amazon.com/developer/tools/) 또는 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)를 사용하여 프로그래밍 방식으로 AWS 서비스에 액세스할 때 이러한 키를 사용할 수 있습니다. SDK 및 AWS CLI 도구는 액세스 키를 사용하여 암호화 방식으로 요청에 서명합니다. AWS 도구를 사용하지 않는 경우 요청에 직접 서명해야 합니다. 요청 인증에 대한 자세한 내용은 *AWS 일반 참조*의 [서명 버전 4 서명 프로세스](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)를 참조하십시오.
+ **IAM 역할** – [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)은 계정에 만들 수 있는, 특정 권한을 지닌 또 하나의 IAM 자격 증명입니다. IAM 사용자와 유사하지만, 특정 개인과 연결되지 않습니다. IAM 역할을 사용하면 AWS 서비스 및 리소스에 액세스하는 데 사용할 수 있는 임시 액세스 키를 얻을 수 있습니다. 임시 보안 인증이 있는 IAM 역할은 다음과 같은 상황에서 유용합니다.
+ 페더레이션 사용자 액세스 - IAM 사용자를 생성하는 대신의 기존 사용자 자격 증명 Directory Service, 엔터프라이즈 사용자 디렉터리 또는 웹 자격 증명 공급자를 사용할 수 있습니다. 이 사용자를 **페더레이션 사용자라고 합니다. AWS 에서는 [자격 증명 공급자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)를 통해 액세스가 요청되면 페더레이션 사용자에게 역할을 할당합니다. 페더레이션 사용자에 대한 자세한 내용은 *IAM 사용자 안내서*의 [페더레이션 사용자 및 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)을 참조하세요.
+ 교차 계정 관리 - 계정의 IAM 역할을 사용하여 계정의 리소스를 관리할 수 있는 다른 AWS 계정 권한을 부여할 수 있습니다. 예제는 [IAM 사용 설명서의 자습서: IAM 역할을 AWS 계정 사용하여 간 액세스 권한 위임을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html). **
+ AWS 서비스 액세스 - 계정의 IAM 역할을 사용하여 계정의 리소스에 액세스할 수 있는 AWS 서비스 권한을 부여할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스에 대한 권한을 위임할 역할 생성을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
+ Amazon Elastic Compute Cloud(Amazon EC2)에서 실행되는 애플리케이션 - IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되고 AWS API 요청을 수행하는 애플리케이션의 임시 자격 증명을 관리할 수 있습니다. 이것은 EC2 인스턴스 내에 액세스 키를 저장하는 경우에 바람직한 방법입니다. EC2 인스턴스에 AWS 역할을 할당하고 모든 애플리케이션에서 사용할 수 있도록 하려면 인스턴스에 연결된 인스턴스 프로파일을 생성합니다. 인스턴스 프로파일에는 역할이 포함되어 있으며 EC2 인스턴스에서 실행되는 프로그램이 임시 자격 증명을 얻을 수 있습니다. 자세한 정보는 *IAM* 사용 설명서의 [IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)를 참조하세요.
# 액세스 관리
요청을 인증하는 데 유효한 자격 증명이 있을 수 있지만 적절한 권한이 없으면 백업 볼트와 같은 AWS Backup 리소스에 액세스할 수 없습니다. 또한 Amazon Elastic Block Store(Amazon EBS) 볼륨과 같은 AWS 리소스는 백업할 수 없습니다.
모든 AWS 리소스는에서 소유하며 AWS 계정, 리소스를 생성하거나 액세스할 수 있는 권한은 권한 정책에 의해 관리됩니다. 계정 관리자는 AWS Identity and Access Management (IAM) 자격 증명(즉, 사용자, 그룹 및 역할)에 권한 정책을 연결할 수 있습니다. 일부 서비스에서도 리소스에 권한 정책 연결을 지원합니다.
**계정 관리자(또는 관리자 사용자)는 관리자 권한이 있는 사용자입니다. 자세한 내용은 *IAM* 사용 설명서의 [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 단원을 참조하세요.
권한을 부여하려면 권한을 부여 받을 사용자, 권한 대상이 되는 리소스, 해당 리소스에 허용되는 특정 작업을 결정합니다.
다음 단원에서는 액세스 정책의 작동 방식과 액세스 정책을 사용하여 백업을 보호하는 방법에 대해 설명합니다.
**Topics**
+ [리소스 및 작업](#access-control-resources)
+ [리소스 소유권](#access-control-owner)
+ [정책 요소 지정: 작업, 효과, 보안 주체](#access-control-specify-backup-actions)
+ [정책에서 조건 지정](#specifying-conditions)
+ [API 권한: 작업, 리소스 및 조건 참조](#backup-api-permissions-ref)
+ [태그 복사 권한](#copy-tags)
+ [액세스 정책](#access-policies)
## 리소스 및 작업
리소스는 서비스 내에 있는 객체입니다. AWS Backup 리소스에는 백업 계획, 백업 볼트 및 백업이 포함됩니다. *백업*은에 있는 다양한 유형의 백업 리소스를 가리키는 일반적인 용어입니다 AWS. 예를 들어 Amazon EBS 스냅샷, Amazon Relational Database Service(Amazon RDS) 스냅샷, Amazon DynamoDB 백업은 모두 백업 리소스 유형입니다.
에서는 AWS Backup백업을 *복구 시점*이라고도 합니다. 를 사용할 때는 Amazon EBS 볼륨 또는 DynamoDB 테이블과 같이 보호하려는 다른 AWS 서비스의 리소스 AWS Backup도 사용합니다. 이러한 리소스에는 고유한 Amazon 리소스 이름(ARN)이 연결됩니다. ARNs AWS 리소스를 고유하게 식별합니다. IAM 정책 또는 API 직접 호출과 같은 모든 AWS에서 리소스를 명료하게 지정해야 하는 경우 ARN이 필요합니다.
다음 표에는 리소스, 하위 리소스, ARN 형식 및 고유 ID 예제가 나와 있습니다.
**AWS Backup 리소스 ARNs**
| 리소스 유형 | ARN 형식 | 고유 ID 예제 |
| --- | --- | --- |
| 백업 계획 | arn:aws:backup:region:account-id:backup-plan:\$1 | |
| 백업 저장소 | arn:aws:backup:region:account-id:backup-vault:\$1 | |
| Amazon EBS의 복구 시점 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 |
| Amazon EC2 이미지의 복구 시점 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 |
| Amazon RDS의 복구 시점 | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora의 복구 시점 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora DSQL의 복구 시점 | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a |
| Storage Gateway의 복구 시점 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 |
| DynamoDB의 복구 시점([고급 DynamoDB 백업](advanced-ddb-backup.md) 없음) | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| DynamoDB의 복구 시점([고급 DynamoDB 백업](advanced-ddb-backup.md) 활성화됨) | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Amazon EFS의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Amazon FSx의 복구 시점 | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 |
| 가상 머신의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Amazon S3 연속 백업의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 |
| S3 정기 백업의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 |
| Amazon DocumentDB의 복구 시점 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Neptune의 복구 시점 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift의 복구 시점 | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift Serverless의 복구 시점 | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Timestream의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta |
| AWS CloudFormation 템플릿의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Amazon EC2 인스턴스의 SAP HANA 데이터베이스에 대한 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
전체 AWS Backup 관리를 지원하는 리소스에는 모두 형식의 복구 시점이 있습니다`arn:aws:backup:region:account-id::recovery-point:*`. 따라서 권한 정책을 더 쉽게 적용하여 해당 복구 시점을 보호할 수 있습니다. 전체 AWS Backup 관리를 지원하는 리소스를 확인하려면 [리소스별 기능 가용성](backup-feature-availability.md#features-by-resource) 표의 해당 섹션을 참조하세요.
AWS Backup 는 AWS Backup 리소스 작업을 위한 일련의 작업을 제공합니다. 사용 가능한 작업 목록은 AWS Backup [작업](API_Operations.md) 섹션을 참조하십시오.
## 리소스 소유권
는 누가 리소스를 생성했는지에 관계없이 계정에서 생성된 리소스를 AWS 계정 소유합니다. 특히 리소스 소유자는 리소스 생성 요청을 인증하는 AWS 계정 [보안 주체 엔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)터티(즉, AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할)의 입니다. 다음 예제에서는 이러한 작동 방법을 설명합니다.
+ 의 AWS 계정 루트 사용자 자격 증명을 사용하여 백업 볼트를 AWS 계정 생성하는 경우 AWS 계정 는 볼트의 소유자입니다.
+ 에서 IAM 사용자를 생성하고 해당 사용자에게 백업 볼트를 생성할 수 있는 권한을 AWS 계정 부여하는 경우 사용자는 백업 볼트를 생성할 수 있습니다. 하지만 백업 저장소 리소스는 그 사용자가 속한 AWS 계정이 소유합니다.
+ 에서 백업 볼트를 생성할 권한이 AWS 계정 있는 IAM 역할을 생성하는 경우 해당 역할을 수임할 수 있는 사람은 누구나 볼트를 생성할 수 있습니다. 역할 AWS 계정이 속한이 백업 볼트 리소스를 소유합니다.
## 정책 요소 지정: 작업, 효과, 보안 주체
각 AWS Backup 리소스( 참조[리소스 및 작업](#access-control-resources))에 대해 서비스는 API 작업 세트를 정의합니다( 참조[작업](API_Operations.md)). 이러한 API 작업에 대한 권한을 부여하기 위해는 정책에서 지정할 수 있는 일련의 작업을 AWS Backup 정의합니다. API 작업을 실시하려면 둘 이상의 작업에 대한 권한이 필요할 수 있습니다.
다음은 가장 기본적인 정책 요소입니다.
+ 리소스 – 정책에서 Amazon 리소스 이름(ARN)을 사용하여 정책을 적용할 리소스를 식별합니다. 자세한 내용은 [리소스 및 작업](#access-control-resources) 단원을 참조하십시오.
+ 작업 – 작업 키워드를 사용하여 허용 또는 거부할 리소스 작업을 식별합니다.
+ 결과 – 사용자가 특정 작업을 요청하는 경우의 결과를 지정합니다. 이는 허용 또는 거부 중에 하나가 될 수 있습니다. 명시적으로 리소스에 대한 액세스 권한을 부여(허용)하지 않는 경우, 액세스는 묵시적으로 거부됩니다. 다른 정책에서 액세스 권한을 부여하는 경우라도 사용자가 해당 리소스에 액세스할 수 없도록 하기 위해 리소스에 대한 권한을 명시적으로 거부할 수도 있습니다.
+ 보안 주체 – ID 기반 정책(IAM 정책)에서 정책이 연결되는 사용자는 암시적인 보안 주체입니다. 리소스 기반 정책의 경우, 사용자, 계정, 서비스 또는 권한의 수신자인 기타 개체를 지정합니다(리소스 기반 정책에만 해당).
IAM 정책 구문 및 설명에 대해 자세히 알아보려면 *IAM* 사용 설명서의 [ IAM JSON 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) 단원을 참조하세요.
모든 AWS Backup API 작업을 보여주는 표는 섹션을 참조하세요[API 권한: 작업, 리소스 및 조건 참조](#backup-api-permissions-ref).
## 정책에서 조건 지정
권한을 부여할 때 IAM 정책 언어를 사용하여 정책이 적용되는 조건을 지정할 수 있습니다. 예를 들어, 특정 날짜 이후에만 정책을 적용할 수 있습니다. 정책 언어에서의 조건 지정에 관한 자세한 내용은 *IAM 사용자 안내서*의 [조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
AWS 는 전역 조건 키와 서비스별 조건 키를 지원합니다. 모든 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)를 참조하세요.
AWS Backup 는 자체 조건 키 세트를 정의합니다. AWS Backup 조건 키 목록을 보려면 *서비스 승인* 참조의에 [대한 조건 키를 AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys) 참조하세요.
## API 권한: 작업, 리소스 및 조건 참조
[액세스 관리](#access-control)을 설정하고 IAM 자격 증명에 연결할 수 있는 권한 정책(자격 증명 기반 정책)을 작성할 때 다음 테이블 을 참조로 사용할 수 있습니다. 표 목록 목록에 있습니다. AWS Backup AWS 정책의 `Action`필드에서 작업을 지정하고, 정책의 `Resource`필드에서 리소스 값을 지정합니다. `Resource` 필드가 비어 있는 경우 와일드카드(`*`)를 사용하여 모든 리소스를 포함할 수 있습니다.
AWS Backup 정책에서 AWS전체 조건 키를 사용하여 조건을 표시할 수 있습니다. AWS전체 키의 전체 목록은 *IAM 사용 설명서*의 [사용 가능한 키를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys).
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**AWS Backup API 및 작업에 필요한 권한**
| AWS Backup API 작업 | 필요한 권한(API 작업) | 리소스 |
| --- | --- | --- |
| [CreateBackupPlan](API_CreateBackupPlan.md) | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupSelection](API_CreateBackupSelection.md) | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupVault](API_CreateBackupVault.md) | `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey` | arn:aws:backup:region:account-id:backup-vault:\$1 대상 `backup-storage`: \$1 `kms`의 경우: `arn:aws:kms:region:account-id:key/keystring` |
| [DeleteBackupPlan](API_DeleteBackupPlan.md) | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupSelection](API_DeleteBackupSelection.md) | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupVault](API_DeleteBackupVault.md) | backup:DeleteBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md) | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md) | backup:DeleteBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md) | backup:DeleteRecoveryPoint 1 | 2 |
| [DescribeBackupJob](API_DescribeBackupJob.md) | backup:DescribeBackupJob | |
| [DescribeBackupVault](API_DescribeBackupVault.md) | backup:DescribeBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DescribeProtectedResource](API_DescribeProtectedResource.md) | backup:DescribeProtectedResource | |
| [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md) | backup:DescribeRecoveryPoint 1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [DescribeRestoreJob](API_DescribeRestoreJob.md) | backup:DescribeRestoreJob | |
| [DescribeRegionSettings](API_DescribeRegionSettings.md) | backup:DescribeRegionSettings | |
| [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md) | backup:ExportBackupPlanTemplate | |
| [GetBackupPlan](API_GetBackupPlan.md) | backup:GetBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md) | backup:GetBackupPlanFromJSON | |
| [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md) | backup:GetBackupPlanFromTemplate | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupSelection](API_GetBackupSelection.md) | backup:GetBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md) | backup:GetBackupVaultAccessPolicy 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md) | backup:GetBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md) | backup:GetRecoveryPointRestoreMetadata 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md) | backup:GetSupportedResourceTypes | |
| [ListBackupJobs](API_ListBackupJobs.md) | backup:ListBackupJobs | |
| [ListBackupPlans](API_ListBackupPlans.md) | backup:ListBackupPlans | |
| [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md) | backup:ListBackupPlanTemplates | |
| [ListBackupPlanVersions](API_ListBackupPlanVersions.md) | backup:ListBackupPlanVersions | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupSelections](API_ListBackupSelections.md) | backup:ListBackupSelections | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupVaults](API_ListBackupVaults.md) | backup:ListBackupVaults | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListProtectedResources](API_ListProtectedResources.md) | backup:ListProtectedResources | |
| [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md) | backup:ListRecoveryPointsByBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md) | backup:ListRecoveryPointsByResource | |
| [ListRestoreJobs](API_ListRestoreJobs.md) | backup:ListRestoreJobs | |
| [ListTags](API_ListTags.md) | backup:ListTags | |
| [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md) | backup:PutBackupVaultAccessPolicy 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md) | backup:PutBackupVaultLockConfiguration 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md) | backup:PutBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartBackupJob](API_StartBackupJob.md) | backup:StartBackupJob | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartRestoreJob](API_StartRestoreJob.md) | backup:StartRestoreJob | `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3 |
| [StopBackupJob](API_StopBackupJob.md) | backup:StopBackupJob | |
| [TagResource](API_TagResource.md) | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 |
| [UntagResource](API_UntagResource.md) | backup:UntagResource | |
| [UpdateBackupPlan](API_UpdateBackupPlan.md) | backup:UpdateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md) | backup:UpdateRecoveryPointLifecycle 1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [UpdateRegionSettings](API_UpdateRegionSettings.md) | `backup:UpdateRegionSettings` `backup:DescribeRegionSettings` | |
1 기존 저장소 액세스 정책을 사용합니다.
2 리소스별 복구 시점 ARN에 대해서는 [AWS Backup 리소스 ARNs](#resource-arns-table)을 참조하십시오.
3 `StartRestoreJob`에는 리소스의 메타데이터에 키-값 페어가 있어야 합니다. 리소스의 메타데이터를 가져오려면 `GetRecoveryPointRestoreMetadata` API를 호출합니다.
자세한 내용은 *서비스 권한 부여 참조*에서 [AWS Backup에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)를 참조하세요.
## 태그 복사 권한
가 백업 또는 복사 작업을 AWS Backup 수행하면 소스 리소스(또는 복사의 경우 복구 시점)에서 복구 시점으로 태그를 복사하려고 시도합니다.
**참고**
AWS Backup 는 복원 작업 중에 태그를 기본적으로 복사**하지** 않습니다. 복원 작업 중에 태그를 복사하는 이벤트 기반 아키텍처는 [AWS Backup 복원 작업에서 리소스 태그를 유지하는 방법을 참조하세요](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/).
백업 또는 복사 작업 중에는 백업 계획(또는 복사 계획 또는 온디맨드 백업)에 지정한 태그를 소스 리소스의 태그와 AWS Backup 집계합니다. 그러나는 리소스당 50개의 태그를 AWS 적용하며,이 제한은를 초과할 AWS Backup 수 없습니다. 백업 또는 복사 작업이 계획과 소스 리소스의 태그를 집계할 때 총 50개가 넘는 태그를 발견할 수 있으며, 이 경우 작업을 완료할 수 없고 작업이 실패합니다. 이는 AWS전체 태그 지정 모범 사례와 일치합니다.
+ 백업 작업 태그를 소스 리소스 태그로 집계한 후 리소스에 50개 이상의 태그가 있습니다.는 리소스당 최대 50개의 태그를 AWS 지원합니다.
+ 에 제공하는 IAM 역할에는 소스 태그를 읽거나 대상 태그를 설정할 수 있는 권한이 AWS Backup 없습니다. 자세한 내용 및 샘플 IAM 역할 정책은 [관리형 정책](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies)을 참조하세요.
백업 계획(복구 지점에 추가된 태그)을 사용하여 소스 리소스 태그와 모순되는 태그를 생성할 수 있습니다. 두 태그가 충돌하는 경우 백업 계획의 태그가 우선합니다. 소스 리소스의 태그 값을 복사하지 않으려면 이 방법을 사용하세요. 백업 계획을 사용하여 동일한 태그 키를 지정하되 다른 값 또는 빈 값을 지정합니다.
**백업에 태그를 할당하는 데 필요한 사용 권한**
| 리소스 유형 | 필수 권한 |
| --- | --- |
| Amazon EFS 파일 시스템 | `elasticfilesystem:DescribeTags` |
| Amazon FSx 파일 시스템 | `fsx:ListTagsForResource` |
| Amazon RDS 데이터베이스 및 Amazon Aurora 클러스터 | `rds:AddTagsToResource` `rds:ListTagsForResource` |
| Storage Gateway 볼륨 | `storagegateway:ListTagsForResource` |
| Amazon EC2 인스턴스 및 Amazon EBS 볼륨 | `EC2:CreateTags` `EC2:DescribeTags` |
DynamoDB는 먼저 [고급 DynamoDB 백업](advanced-ddb-backup.md)을 활성화하지 않는 한 백업에 태그 할당을 지원하지 않습니다.
Amazon EC2 백업이 이미지 복구 시점과 스냅샷 세트를 생성하면 AWS Backup 는 생성된 AMI에 태그를 복사합니다. AWS Backup 또한는 Amazon EC2 인스턴스와 연결된 볼륨의 태그를 결과 스냅샷에 복사합니다.
## 액세스 정책
**권한 정책은 누가 무엇에 액세스할 수 있는지를 나타냅니다. IAM 자격 증명에 연결된 정책을 **자격 증명 기반 정책(IAM 정책)이라고 합니다. 리소스에 연결된 정책을 *리소스 기반* 정책이라고 합니다.는 자격 증명 기반 정책과 리소스 기반 정책을 모두 AWS Backup 지원합니다.
**참고**
이 섹션에서는 컨텍스트에서 IAM을 사용하는 방법에 대해 설명합니다 AWS Backup. IAM 서비스에 대한 자세한 내용은 다루지 않습니다. 전체 IAM 설명은 *IAM 사용자 가이드*에서 [IAM이란 무엇인가?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)를 참조하십시오. IAM 정책 구문과 설명에 대한 자세한 내용은 *IAM* 사용 설명서의 [IAM JSON Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)를 참조하세요.
### 자격 증명 기반 정책(IAM 정책)
자격 증명 기반 정책은 사용자 또는 역할과 같은 IAM 자격 증명에 연결할 수 있는 정책입니다. 예를 들어 사용자가 AWS 리소스를 보고 백업할 수 있도록 허용하지만 백업을 복원할 수는 없도록 하는 정책을 정의할 수 있습니다.
사용자, 그룹, 역할 및 권한에 대한 자세한 내용은 *IAM* 사용 설명서의 [자격 증명(사용자, 그룹 및 역할)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)을 참조하세요.
IAM 정책을 사용하여 백업에 대한 액세스를 제어하는 방법에 대한 자세한 내용은 [에 대한 관리형 정책 AWS Backup](security-iam-awsmanpol.md) 단원을 참조하세요.
### 리소스 기반 정책
AWS Backup 는 백업 볼트에 대한 리소스 기반 액세스 정책을 지원합니다. 따라서 백업 저장소에 구성된 백업에 대해 어떤 사용자가 어떠한 종류의 권한을 갖는지를 제어하는 액세스 정책을 정의할 수 있습니다. 백업 저장소에 대한 리소스 기반 액세스 정책을 사용하면 백업에 대한 액세스를 쉽게 제어할 수 있습니다.
백업 볼트 액세스 정책은 AWS Backup APIs. Amazon Elastic Block Store(Amazon EBS) 및 Amazon Relational Dabase Service(Amazon RDS) 스냅샷과 같은 일부 백업 유형도 해당 서비스의 API를 사용하여 액세스할 수 있습니다. API에 대한 액세스를 제어하는 별도의 액세스 정책을 IAM에 생성하면 백업에 대한 액세스를 완전히 제어할 수 있습니다.
백업 저장소에 대한 액세스 정책을 생성하는 방법에 대한 자세한 내용은 [볼트 액세스 정책](create-a-vault-access-policy.md) 단원을 참조하세요.
# IAM 서비스 역할
AWS Identity and Access Management (IAM) 역할은 자격 AWS 증명이 할 수 있는 것과 없는 것을 결정하는 권한 정책이 있는 자격 증명이라는 점에서 사용자와 유사합니다 AWS. 그러나 역할은 한 사람하고만 연관되지 않고 해당 역할이 필요한 사람이라면 누구든지 맡을 수 있어야 합니다. 서비스 역할은 AWS 서비스가 사용자를 대신하여 작업을 수행하기 위해 수임하는 역할입니다. 사용자 대신 백업 작업을 수행하는 서비스인 AWS Backup 에 사용자 대신 백업 작업을 수행할 때 맡아야 할 역할을 전달해야 합니다. IAM 역할에 대한 자세한 내용은 *IAM* 사용 설명서의 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 섹션을 참조하세요.
에 전달하는 역할에는가 백업 생성, 복원 또는 만료와 같은 백업 작업과 관련된 작업을 AWS Backup 수행할 수 있는 권한이 있는 IAM 정책이 AWS Backup 있어야 합니다. 가 AWS Backup 지원하는 각 AWS 서비스에 대해 서로 다른 권한이 필요합니다. 또한 역할은가 역할을 수임 AWS Backup 할 수 있는 신뢰할 수 있는 엔터티로 AWS Backup 나열되어 있어야 합니다.
백업 계획에 리소스를 할당하거나 온디맨드 백업, 복사 또는 복원을 수행하는 경우 지정된 리소스에서 기본 작업을 수행할 수 있는 액세스 권한이 있는 서비스 역할을 전달해야 합니다.는이 역할을 AWS Backup 사용하여 계정에서 리소스를 생성, 태그 지정 및 삭제합니다.
## AWS 역할을 사용하여 백업에 대한 액세스 제어
좁은 범위의 역할을 정의하고 해당 역할을 AWS Backup에 전달할 수 있는 사용자를 지정하여 역할을 통해 백업에 대한 액세스를 제어할 수 있습니다. 예를 들어 Amazon Relational Database Service(RDS) 데이터베이스를 백업할 수 있는 권한만 부여하고 Amazon RDS 데이터베이스 소유자에게 해당 역할을 전달할 수 있는 권한만 부여하는 역할을 생성할 수 있습니다 AWS Backup.는 지원되는 각 서비스에 대해 사전 정의된 여러 관리형 정책을 AWS Backup 제공합니다. 이러한 관리형 정책을 생성한 역할에 연결할 수 있습니다. 이렇게 하면에 AWS Backup 필요한 올바른 권한이 있는 서비스별 역할을 더 쉽게 생성할 수 있습니다.
의 AWS 관리형 정책에 대한 자세한 내용은 섹션을 AWS Backup참조하세요[에 대한 관리형 정책 AWS Backup](security-iam-awsmanpol.md).
## 에 대한 기본 서비스 역할 AWS Backup
AWS Backup 콘솔을 처음 사용하는 경우 기본 서비스 역할을 AWS Backup 생성하도록 선택할 수 있습니다. 이 역할에는 사용자를 대신하여 백업을 생성하고 복원하는 데 AWS Backup 필요한 권한이 있습니다.
**참고**
AWS Management Console을 사용하면 기본 역할이 자동으로 생성됩니다. AWS Command Line Interface (AWS CLI)를 사용하여 기본 역할을 생성할 수 있지만 수동으로 수행해야 합니다.
리소스 유형별로 별도의 역할을 사용하는 등 사용자 지정 역할을 사용하려는 경우 그렇게 할 수도 있으며 사용자 지정 역할을 AWS Backup에 전달할 수 있습니다. 개별 리소스 유형에 대해 백업 및 복원을 활성화하는 역할의 예제를 보려면 [고객 관리형 정책](security-iam-awsmanpol.md#customer-managed-policies) 표를 참조하세요.
기본 서비스 역할 이름은 `AWSBackupDefaultServiceRole`입니다. 이 서비스 역할에는 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 및 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)라는 두 가지 관리형 정책이 포함되어 있습니다.
`AWSBackupServiceRolePolicyForBackup` 에는 백업되는 리소스를 설명할 수 있는 AWS Backup 권한, 암호화된 AWS KMS 키에 관계없이 백업에 태그를 생성, 삭제, 설명 또는 추가할 수 있는 권한을 부여하는 IAM 정책이 포함되어 있습니다.
`AWSBackupServiceRolePolicyForRestores` 에는 암호화된 AWS KMS 키에 관계없이 백업에서 생성되는 새 리소스를 생성, 삭제 또는 설명할 수 있는 AWS Backup 권한을 부여하는 IAM 정책이 포함되어 있습니다. 새로 생성된 리소스에 태그를 지정할 수 있는 권한도 포함됩니다.
Amazon EC2 인스턴스를 복원하려면 새 인스턴스를 시작해야 합니다.
## 콘솔에서 기본 서비스 역할 생성
AWS Backup 콘솔에서 수행하는 특정 작업은 AWS Backup 기본 서비스 역할을 생성합니다.
**AWS 계정에서 AWS Backup 기본 서비스 역할을 생성하려면**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 계정을 위해 역할을 생성하려면 백업 계획에 리소스를 할당하거나 온디맨드 백업을 생성합니다.
1. 백업 계획을 생성하고 백업에 리소스를 할당합니다. [백업 계획 생성](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)을 참조하세요.
1. 또는 온디맨드 백업을 생성합니다. [온디맨드 백업 생성](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html)을 참조하세요.
1. 다음 단계에 따라 계정에 `AWSBackupDefaultServiceRole`이 생성되었는지 확인합니다.
1. 몇 분간 기다리십시오. 자세한 내용은 *AWS Identity and Access Management* 사용 설명서의 [변경 사항이 매번 즉시 표시되는 것은 아닙니다](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency)를 참조하세요.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 왼쪽 탐색 메뉴에서 **역할**을 선택합니다.
1. 검색 창에 `AWSBackupDefaultServiceRole`를 입력합니다. 이 선택 항목이 있는 경우 AWS Backup 기본 역할을 생성하고이 절차를 완료했습니다.
1. 그래도 `AWSBackupDefaultServiceRole`이 표시되지 않으면 콘솔에 액세스하는 데 사용하는 IAM 사용자 또는 IAM 역할에 다음 권한을 추가합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
},
{
"Effect":"Allow",
"Action":[
"iam:ListRoles"
],
"Resource":"*"
}
]
}
```
------
중국 리전의 경우 *aws*를 *aws-cn*으로 바꿉니다. AWS GovCloud (US) 리전의 경우 *aws를* *aws-us-gov*로 바꿉니다.
1. IAM 사용자 또는 IAM 역할에 권한을 추가할 수 없는 경우 관리자에게 `AWSBackupDefaultServiceRole`과 **다른 이름으로 역할을 수동으로 생성하고 해당 역할을 다음 관리형 정책에 연결하도록 요청하세요.
+ `AWSBackupServiceRolePolicyForBackup`
+ `AWSBackupServiceRolePolicyForRestores`
# 에 대한 관리형 정책 AWS Backup
관리형 정책은의 여러 사용자, 그룹 및 역할에 연결할 수 있는 독립 실행형 자격 증명 기반 정책입니다 AWS 계정. 정책을 보안 주체 엔터티에 추가할 경우 정책에서 정의한 권한까지 엔터티에게 부여하게 됩니다.
*AWS 관리형 정책은*에서 생성하고 관리합니다 AWS. AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 AWS 관리형 정책에 정의된 권한을 AWS 업데이트하면 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다.
*고객 관리형 정책은* 백업에 대한 액세스를 설정할 수 있는 세분화된 제어를 제공합니다 AWS Backup. 예를 들어 이러한 정책을 사용하여 데이터베이스 백업 관리자에게 Amazon RDS 백업에는 액세스할 수 있지만 Amazon EFS 백업에는 액세스할 수 없는 권한을 부여할 수 있습니다.
자세한 내용은 *IAM 사용 설명서*의 [ 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)을 참조하세요.
## AWS 관리형 정책
AWS Backup 는 일반적인 사용 사례에 대해 다음과 같은 AWS 관리형 정책을 제공합니다. 이러한 정책을 사용하면 쉽게 올바른 권한을 정의하고 백업에 대한 액세스를 제어할 수 있습니다. 두 가지 유형의 관리형 정책이 있습니다. 한 유형은 AWS Backup에 대한 액세스를 제어하기 위해 사용자에게 할당되도록 고안되었습니다. 다른 유형의 관리형 정책은 AWS Backup에 전달하는 역할에 연결되도록 고안되었습니다. 다음 표에는 AWS Backup 이 제공하는 모든 관리형 정책 목록과 정책이 정의된 방식이 설명되어 있습니다. 또한 IAM 콘솔의 **정책** 섹션에도 이 관리형 정책이 표시됩니다.
**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)
### AWSBackupAuditAccess
이 정책은 사용자가 AWS Backup 리소스 및 활동에 대한 기대치를 정의하는 제어 및 프레임워크를 생성하고 정의된 제어 및 프레임워크에 대해 AWS Backup 리소스 및 활동을 감사할 수 있는 권한을 부여합니다. 이 정책은 AWS Config 및 유사한 서비스에 감사를 수행하는 사용자 기대치를 설명할 수 있는 권한을 부여합니다.
또한 이 정책은 Amazon S3 및 유사한 서비스에 감사 보고서를 전송할 수 있는 권한을 부여하고 사용자가 감사 보고서를 검색하고 열람할 수 있도록 합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html)를 참조하세요.
### AWSBackupDataTransferAccess
이 정책은 AWS Backup 스토리지 영역 데이터 전송 APIs에 대한 권한을 제공하여 AWS Backint 에이전트가 AWS Backup 스토리지 영역으로 백업 데이터 전송을 완료할 수 있도록 합니다. 이 정책을 Backint 에이전트와 함께 SAP HANA를 실행하는 Amazon EC2 인스턴스가 수임한 역할에 연결할 수 있습니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html)를 참조하세요.
### AWSBackupFullAccess
백업 관리자는 백업 계획 생성 또는 편집, 백업 계획에 AWS 리소스 할당, 백업 복원을 포함한 AWS Backup 작업에 대한 전체 액세스 권한을 가집니다. 백업 관리자는 조직의 비즈니스 및 규제 요건에 맞는 백업 계획을 정의하여 백업 규정 준수를 확인하고 적용해야 합니다. 또한 백업 관리자는 조직의 AWS 리소스가 적절한 계획에 할당되도록 합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)를 참조하세요.
### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
이 정책은 사용자를 대신하여 가상 머신의 메타데이터를 동기화할 수 있는 백업 게이트웨이 권한을 제공합니다.
이 정책의 권한을 보려면 *AWS 관리*형 정책 참조의 [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html)를 참조하세요.
### AWSBackupGuardDutyRolePolicyForScans
이 정책은 Amazon GuardDuty에 백업을 읽고 스캔할 수 있는 권한을 부여하는 새 스캔 역할에 추가해야 합니다. 맬웨어 보호 또는 스캔 설정 내에서이 스캔 역할을 백업 계획에 연결해야 합니다. AWS Backup은 스캔을 시작하면이 스캔 역할을 Amazon GuardDuty에 전달합니다.
이 정책의 권한을 보려면 *AWS 관리*형 정책 참조의 [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)를 참조하세요.
### AWSBackupOperatorAccess
백업 운영자는 리소스가 적절히 백업되도록 하는 업무를 담당하는 사용자입니다. 백업 운영자는 백업 관리자가 생성하는 백업 계획에 AWS 리소스를 할당할 수 있는 권한이 있습니다. 또한 AWS 리소스의 온디맨드 백업을 생성하고 온디맨드 백업의 보존 기간을 구성할 수 있는 권한도 있습니다. 백업 계획을 생성 또는 편집하거나 이미 생성되어 예약된 백업을 삭제할 수 있는 권한은 백업 운영자에게 없습니다. 백업 운영자는 백업을 복원할 수 있습니다. 백업 운영자가 백업 계획에 할당하거나 백업에서 복원할 수 있는 리소스 유형을 제한할 수 있습니다. 특정 리소스 유형에 대한 권한이 AWS Backup 있는에 특정 서비스 역할만 전달하도록 허용하면 됩니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html)를 참조하세요.
### AWSBackupOrganizationAdminAccess
조직 관리자는 백업 정책 생성, 편집 또는 삭제, 계정 및 조직 단위에 백업 정책 할당, 조직 내 백업 활동 모니터링 등 AWS Organizations 작업에 대한 전체 액세스 권한을 가집니다. 조직 관리자는 조직의 비즈니스 및 규제 요건에 맞는 백업 정책을 정의하고 할당하여 조직의 계정을 보호해야 합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html)를 참조하세요.
### AWSBackupRestoreAccessForSAPHANA
이 정책은 Amazon EC2에서 SAP HANA의 백업을 복원할 수 있는 AWS Backup 권한을 제공합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html)를 참조하세요.
### AWSBackupSearchOperatorAccess
검색 연산자 역할은 백업 인덱스를 생성하고 인덱싱된 백업 메타데이터의 검색을 생성할 수 있는 액세스 권한이 있습니다.
이 정책에는 해당 함수에 필요한 권한이 포함되어 있습니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html)를 참조하세요.
### AWSBackupServiceLinkedRolePolicyForBackup
이 정책은가 사용자를 대신하여 서비스를 AWS Backup 호출AWSServiceRoleforBackup하여 백업을 관리할 수 있도록 라는 AWS 서비스 연결 역할에 연결됩니다. 자세한 내용은 [역할을 사용하여 백업 및 복사](using-service-linked-roles-AWSServiceRoleForBackup.md) 단원을 참조하십시오.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)을 참조하세요.
### AWSBackupServiceLinkedRolePolicyForBackupTest
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html)를 확인하세요.
### AWSBackupServiceRolePolicyForBackup
사용자를 대신하여 지원되는 모든 리소스 유형의 백업을 생성할 수 있는 AWS Backup 권한을 제공합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)을 참조하세요.
### AWSBackupServiceRolePolicyForItemRestores
**설명**
이 정책은 스냅샷(정기 백업 복구 시점)의 개별 파일 및 항목을 새 또는 기존 Amazon S3 버킷 또는 새 Amazon EBS 볼륨으로 복원할 수 있는 권한을 사용자에게 부여합니다. 이러한 권한에는 Amazon S3 버킷에 대한 AWS Backup 읽기/쓰기 권한으로 관리되는 스냅샷에 대한 Amazon EBS에 대한 읽기 권한과 AWS KMS 키에 대한 생성 및 설명 권한이 포함됩니다.
**이 정책 사용**
사용자, 그룹 및 역할에 `AWSBackupServiceRolePolicyForItemRestores`를 연결할 수 있습니다.
**정책 세부 정보**
+ **Type:** AWS managed 정책
+ **생성 시간:** 2024년 11월 21일, 22:45 UTC
+ **편집된 시간:** 첫 번째 인스턴스
+ **ARN**: `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`
**정책 버전:** v1(기본값)
이 정책의 버전은 정책에 대한 권한을 정의합니다. 정책이 있는 사용자 또는 역할이 AWS 리소스에 대한 액세스를 요청하면는 정책의 기본 버전을 AWS 확인하여 요청을 허용할지 여부를 결정합니다.
**JSON 정책 문서:**
#### AWSBackupServiceRolePolicyForItemRestores JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "S3ReadonlyPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "S3PermissionsForFileLevelRestore",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::*/*"
},
{
"Sid": "KMSDataKeyForS3AndEC2Permissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com",
"s3.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForIndexing
**설명**
이 정책은 사용자에게 주기적 복구 시점이라고도 하는 스냅샷을 인덱싱할 수 있는 권한을 부여합니다. 이러한 권한에는 Amazon S3 버킷에 대한 읽기/쓰기 권한으로 관리되는 스냅샷에 대한 Amazon EBS에 대한 AWS Backup 읽기 권한과 AWS KMS 키에 대한 생성 및 설명 권한이 포함됩니다.
**이 정책 사용**
사용자, 그룹 및 역할에 `AWSBackupServiceRolePolicyForIndexing`를 연결할 수 있습니다.
**정책 세부 정보**
+ **Type:** AWS managed 정책
+ **편집된 시간:** 첫 번째 인스턴스
+ **ARN**: `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`
**정책 버전:** v1(기본값)
이 정책의 버전은 정책에 대한 권한을 정의합니다. 정책이 있는 사용자 또는 역할이 AWS 리소스에 대한 액세스를 요청하면는 정책의 기본 버전을 AWS 확인하여 요청을 허용할지 여부를 결정합니다.
**JSON 정책 문서:**
#### AWSBackupServiceRolePolicyForIndexing JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSDataKeyForEC2Permissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForRestores
사용자를 대신하여 지원되는 모든 리소스 유형의 백업을 복원할 수 있는 AWS Backup 권한을 제공합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)를 참조하세요.
EC2 인스턴스 복원의 경우 EC2 인스턴스를 시작할 수 있는 다음 권한도 포함해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPassRole",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/role-name",
"Effect": "Allow"
}
]
}
```
------
### AWSBackupServiceRolePolicyForS3Backup
이 정책에는가 S3 버킷을 백업 AWS Backup 하는 데 필요한 권한이 포함되어 있습니다. 여기에는 버킷의 모든 객체 및 연결된 AWS KMS 키에 대한 액세스가 포함됩니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)을 참조하세요.
### AWSBackupServiceRolePolicyForS3Restore
이 정책에는 AWS Backup 가 S3 백업을 버킷으로 복원하는 데 필요한 권한이 포함되어 있습니다. 여기에는 버킷에 대한 읽기 및 쓰기 권한과 S3 작업과 관련된 AWS KMS 키 사용이 포함됩니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)를 참조하세요.
### AWSBackupServiceRolePolicyForScans
정책은 백업 계획의 리소스 선택에 사용하는 IAM 역할에 연결되어야 합니다. 이 역할은 AWS 백업에 Amazon GuardDuty에서 스캔을 시작할 수 있는 권한을 부여합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책* 참조의 [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)를 참조하세요.
### AWSServiceRolePolicyForBackupReports
AWS Backup 는 [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html) 서비스 연결 역할에이 정책을 사용합니다. 이 서비스 연결 역할은 백업 설정, 작업 및 리소스의 프레임워크 준수 여부를 모니터링하고 보고할 수 있는 AWS Backup 권한을 부여합니다.
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)를 참조하세요.
### AWSServiceRolePolicyForBackupRestoreTesting
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)을 참조하세요.
## 고객 관리형 정책
다음 섹션에서는에서 지원하는 AWS 서비스 및 타사 애플리케이션에 대한 권장 백업 및 복원 권한을 설명합니다 AWS Backup. 기존 AWS 관리형 정책을 모델로 사용하여 자체 정책 문서를 생성한 다음 AWS 리소스에 대한 액세스를 추가로 제한하도록 사용자 지정할 수 있습니다.
**중요**
에 사용자 지정 IAM 역할을 사용하는 AWS Backup경우 권한 외에도 리소스별 AWS Backup 권한을 포함해야 합니다. 예를 들어 Amazon RDS 리소스에서 `backup:ListTags`를 호출할 때 사용자 지정 IAM 역할에는 `rds:ListTagsForResource` 권한도 포함되어야 합니다. 이러한 권한은 기본 AWS Backup 서비스 역할에 포함되지만 고객 관리형 정책에 명시적으로 추가되어야 합니다. 필요한 기본 리소스 권한은 수행 중인 특정 AWS 서비스 및 작업에 따라 달라집니다.
### Amazon Aurora
**백업**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**복원**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `RDSPermissions` 문으로 시작합니다.
### Amazon Aurora DSQL
**백업**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**복원**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `DSQLRestorePermissions` 문으로 시작합니다.
### Amazon DynamoDB
**백업**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`
**복원**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 다음 문으로 시작합니다.
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`
### Amazon EBS
**백업**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**복원**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `EBSPermissions` 문으로 시작합니다.
다음 명령문을 추가합니다.
```
{
"Effect":"Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource":"*"
},
```
### Amazon EC2
**백업**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**복원**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 다음 문으로 시작합니다.
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`
다음 명령문을 추가합니다.
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/role-name"
},
```
*role-name*을 복원된 EC2 인스턴스에 연결할 EC2 인스턴스 프로파일 역할의 이름으로 바꿉니다. 이는 AWS Backup 서비스 역할이 아니라 EC2 인스턴스에서 실행되는 애플리케이션에 권한을 제공하는 IAM 역할입니다.
### Amazon EFS
**백업**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**복원**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `EFSPermissions` 문으로 시작합니다.
### Amazon FSx
**백업**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`
**복원**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 다음 문으로 시작합니다.
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`
### Amazon Neptune
**백업**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**복원**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `RDSPermissions` 문으로 시작합니다.
### Amazon RDS
**백업**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**복원**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `RDSPermissions` 문으로 시작합니다.
### Amazon S3
**백업**
[AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)으로 시작합니다.
백업을 다른 계정으로 복사해야 하는 경우 `BackupVaultPermissions` 및 `BackupVaultCopyPermissions` 문을 추가합니다.
**복원**
[AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)로 시작합니다.
### AWS Storage Gateway
**백업**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
다음 명령문을 추가합니다.
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource":"*"
},
```
**복원**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 다음 문으로 시작합니다.
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`
### 가상 머신
**백업**
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 `BackupGatewayBackupPermissions` 문으로 시작합니다.
**복원**
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `GatewayRestorePermissions` 문으로 시작합니다.
### 암호화된 백업
**암호화된 백업을 복원하려면 다음 중 하나를 수행합니다.**
+ AWS KMS 키 정책의 허용 목록에 역할 추가
+ 복원을 위해 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 다음 문을 IAM 역할에 추가합니다.
+ `KMSDescribePermissions`
+ `KMSPermissions`
+ `KMSCreateGrantPermissions`
## 에 대한 정책 업데이트 AWS Backup
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS Backup 이후부터의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 복원 테스트가 완료된 후 복원 테스트를 통해 RDS 테넌트 데이터베이스를 삭제할 수 있습니다. | 2026년 3월 18일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 복구 시점에서 맬웨어 스캔을 시작할 수 있습니다. | 2026년 2월 23일 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – 새 정책 | AWS Backup 는 Amazon GuardDuty에 고객 백업을 읽고 스캔할 수 있는 권한을 제공하는 새로운 AWS 관리형 정책을 추가했습니다.는 작업을 시작할 때이 정책의 역할을 GuardDuty에 AWS Backup 전달합니다`StartMalwareScan`. 이는 Amazon EC2, Amazon EBS 및 Amazon S3 리소스의 복구 시점에 맬웨어 스캔에 필요한 모든 권한을 제공하는 데 필요합니다. 자세한 내용은 관리형 정책 [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)를 참조하세요. | 2025년 11월 19일 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – 새 정책 | AWS Backup 는 복구 시점에 맬웨어 스캔을 시작할 수 있는 AWS Backup 권한을 제공하는 새로운 AWS 관리형 정책을 추가했습니다. 이는 Amazon EC2, Amazon EBS 및 Amazon S3 리소스의 복구 시점에 맬웨어 스캔에 필요한 모든 권한을 제공하는 데 필요합니다. 자세한 내용은 관리형 정책 [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)를 참조하세요. | 2025년 11월 19일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | 맬웨어 스캔 작업을 시작하는 `malware-protection.guardduty.amazonaws.com` 데 `IamPassRolePermissions`필요한가에 추가되었습니다. | 2025년 11월 19일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 맬웨어 스캔 작업을 시작하는 데 필요합니다. | 2025년 11월 19일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해는 Amazon EKS 클러스터 AWS Backup 를 백업하고 복원할 수 있습니다. | 2025년 11월 10일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해는 Amazon EKS 클러스터 AWS Backup 를 백업하고 복원할 수 있습니다. | 2025년 11월 10일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객을 대신하여 Amazon EKS 클러스터 및 관련 리소스의 백업을 생성할 수 있습니다. | 2025년 11월 10일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객을 대신하여 Amazon EKS 클러스터 및 관련 리소스의 백업을 생성할 수 있습니다. | 2025년 11월 10일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객을 대신하여 Amazon EKS 클러스터 및 관련 리소스에 대한 복원 작업을 수행할 수 있습니다. | 2025년 11월 10일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이 권한을 통해는 교차 계정 관리 기능을 위해 위임된 관리자 정보를 Organizations와 동기화 AWS Backup 할 수 있습니다. | 2025년 9월 9일 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – 새 정책 | AWS Backup 는 Amazon GuardDuty에 고객 백업을 읽고 스캔할 수 있는 권한을 제공하는 새로운 AWS 관리형 정책을 추가했습니다.는 작업을 시작할 때이 정책의 역할을 GuardDuty에 AWS Backup 전달합니다`StartMalwareScan`. 이는 Amazon EC2, Amazon EBS 및 Amazon S3 리소스의 복구 시점에 맬웨어 스캔에 필요한 모든 권한을 제공하는 데 필요합니다. 자세한 내용은 관리형 정책 [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)를 참조하세요. | 2025년 11월 24일 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – 새 정책 | AWS Backup 는 복구 시점에 맬웨어 스캔을 시작할 수 있는 AWS Backup 권한을 제공하는 새로운 AWS 관리형 정책을 추가했습니다. 이는 Amazon EC2, Amazon EBS 및 Amazon S3 리소스의 복구 시점에 맬웨어 스캔에 필요한 모든 권한을 제공하는 데 필요합니다. 자세한 내용은 관리형 정책 [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)를 참조하세요. | 2025년 11월 24일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은가 고객을 대신하여 DSQL 리소스에 대해 오케스트레이션된 다중 리전 복원 작업을 수행하는 AWS Backup 데 필요합니다. | 2025년 7월 17일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은와 AWS Backup AWS Account Management 통합하는 데 필요 AWS Organizations 하므로 고객은 논리적 에어 갭 저장소의 일부로 다자간 승인(MPA)을 선택할 수 있습니다. | 2025년 6월 17일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트: | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 고객이 AWS Backup를 통해 Amazon FSx for OpenZFS 다중 가용 영역(다중 AZ) 스냅샷을 복원할 수 있도록 하는 데 필요합니다. | 2025년 5월 27일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해는 Amazon Aurora DSQL 리소스를 백업하고 복원 AWS Backup 할 수 있습니다. | 2025년 5월 21일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해는 Amazon Aurora DSQL 리소스를 백업하고 복원 AWS Backup 할 수 있습니다. | 2025년 5월 21일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객을 대신하여 Amazon Aurora DSQL 스냅샷을 생성, 삭제, 검색 및 관리할 수 있습니다. | 2025년 5월 21일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객을 대신하여 Amazon Aurora DSQL 스냅샷을 생성, 삭제, 검색, 암호화, 복호화 및 관리할 수 있습니다. | 2025년 5월 21일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객 지정 간격으로 Aurora DSQL 백업을 관리할 수 있습니다. | 2025년 5월 21일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 지정된 고객이 필요한 읽기 권한과 Amazon Redshift Serverless 복구 시점 삭제 기능(스냅샷 백업)을 포함하여 Amazon Redshift Serverless 백업에 대한 전체 액세스 권한을 갖는 데 필요합니다. | 2025년 3월 31일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 지정된 고객이 필요한 읽기 권한을 포함하여 Amazon Redshift Serverless에 필요한 모든 백업 권한을 보유하는 데 필요합니다. | 2025년 3월 31일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은가 고객 지정 간격으로 Amazon Redshift Serverless 스냅샷을 관리하는 AWS Backup 데 필요합니다. | 2025년 3월 31일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 AWS Backup 가 고객을 대신하여 Amazon Redshift Serverless 스냅샷을 생성, 삭제, 검색 및 관리할 수 있도록 허용하는 데 필요합니다. | 2025년 3월 31일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 AWS Backup 가 고객을 대신하여 Amazon Redshift 및 Amazon Redshift Serverless 스냅샷을 복원하도록 허용하는 데 필요합니다. | 2025년 3월 31일 |
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess) – 새 AWS 관리형 정책 추가 | AWS Backup 에서 AWSBackupSearchOperatorAccess AWS 관리형 정책을 추가했습니다. | 2025년 2월 27일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | AWS Backup 에 백업의 Amazon RDS 다중 테넌트 스냅샷 교차 계정 복사본`rds:AddTagsToResource`을 지원하는 권한이 추가되었습니다. 이 권한은 고객이 다중 테넌트 RDS 스냅샷의 교차 계정 복사본을 생성하기로 선택할 때 작업을 완료하는 데 필요합니다. | 2025년 1월 8일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | AWS Backup 는 Amazon RDS 리소스의 복원 프로세스를 지원하기 위해 `rds:DeleteTenantDatabase`이 정책에 `rds:CreateTenantDatabase` 및 권한을 추가했습니다. 이러한 권한은 다중 테넌트 스냅샷 복원을 위한 고객 작업을 완료하는 데 필요합니다. | 2025년 1월 8일 |
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores) – 새 AWS 관리형 정책 추가 | AWS Backup 에서 AWSBackupServiceRolePolicyForItemRestores AWS 관리형 정책을 추가했습니다. | 2024년 11월 26일 |
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing) – 새 AWS 관리형 정책 추가 | AWS Backup 에서 AWSBackupServiceRolePolicyForIndexing AWS 관리형 정책을 추가했습니다. | 2024년 11월 26일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 권한을 추가`backup:TagResource`했습니다. 해당 권한은 복구 시점을 생성하는 동안 태그 지정 권한을 얻으려면 필요합니다. | 2024년 5월 17일 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 권한을 추가`backup:TagResource`했습니다. 해당 권한은 복구 시점을 생성하는 동안 태그 지정 권한을 얻으려면 필요합니다. | 2024년 5월 17일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | AWS Backup 는이 정책에 권한을 추가`backup:TagResource`했습니다. 해당 권한은 복구 시점을 생성하는 동안 태그 지정 권한을 얻으려면 필요합니다. | 2024년 5월 17일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | `rds:DeleteDBInstanceAutomatedBackups` 권한을 추가했습니다. 이 권한은가 Amazon RDS 인스턴스의 연속 백업 및 point-in-time-restore을 지원하는 AWS Backup 데 필요합니다. | 2024년 5월 1일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | AWS Backup 는 Storage Gateway API 모델의 변경 사항을 수용`arn:aws:storagegateway:*:*:gateway/*`하기 `*` 위해 `storagegateway:ListVolumes`에서 로 권한의 Amazon 리소스 이름(ARN)을 업데이트했습니다. | 2024년 5월 1일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | AWS Backup 는 Storage Gateway API 모델의 변경 사항을 수용`arn:aws:storagegateway:*:*:gateway/*`하기 `*` 위해 `storagegateway:ListVolumes`에서 로 권한의 Amazon 리소스 이름(ARN)을 업데이트했습니다. | 2024년 5월 1일 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) - 기존 정책에 대한 업데이트 | 복원 테스트 계획을 수행하기 위해, 복구 시점 및 보호된 리소스를 설명하고 나열하는 다음 권한을 추가했습니다. 해당 권한은 `backup:DescribeRecoveryPoint`, `backup:DescribeProtectedResource`, `backup:ListProtectedResources` 및 `backup:ListRecoveryPointsByResource`입니다. Amazon EBS 아카이브 계층 스토리지를 지원하기 위해 `ec2:DescribeSnapshotTierStatus` 권한을 추가했습니다. Amazon Aurora 연속 백업을 지원하기 위해 `rds:DescribeDBClusterAutomatedBackups` 권한을 추가했습니다. Amazon Redshift 백업의 복원 테스트를 지원하기 위해 다음 권한을 추가했습니다, 해당 권한은 `redshift:DescribeClusters` 및 `redshift:DeleteCluster`입니다. Amazon Timestream 백업의 복원 테스트를 지원하기 위해 `timestream:DeleteTable` 권한을 추가했습니다. | 2024년 2월 14일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | `ec2:DescribeSnapshotTierStatus` 및 `ec2:RestoreSnapshotTier` 권한을 추가했습니다. 이러한 권한은 사용자가 아카이브 스토리지 AWS Backup 에서에 저장된 Amazon EBS 리소스를 복원할 수 있는 옵션을 갖는 데 필요합니다. EC2 인스턴스 복원의 경우 다음 정책 문과 같이 EC2 인스턴스를 시작할 수 있는 권한도 포함해야 합니다. | 2023년 11월 27일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | 백업된 Amazon EBS 리소스를 아카이브 스토리지 계층으로 전환할 수 있는 추가 스토리지 옵션을 지원하기 위해, `ec2:DescribeSnapshotTierStatus` 및 `ec2:ModifySnapshotTier` 권한을 추가했습니다. 이러한 권한은 사용자가에 저장된 Amazon EBS 리소스를 아카이브 스토리지로 전환하는 옵션을 갖는 AWS Backup 데 필요합니다. | 2023년 11월 27일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | 백업된 Amazon EBS 리소스를 아카이브 스토리지 계층으로 전환할 수 있는 추가 스토리지 옵션을 지원하기 위해, `ec2:DescribeSnapshotTierStatus` 및 `ec2:ModifySnapshotTier` 권한을 추가했습니다. 이러한 권한은 사용자가에 저장된 Amazon EBS 리소스를 아카이브 스토리지로 전환하는 옵션을 갖는 AWS Backup 데 필요합니다. Aurora 클러스터의 PITR(특정 시점 복원)에 필요한 `rds:DescribeDBClusterSnapshots` 및 `rds:RestoreDBClusterToPointInTime` 권한을 추가했습니다. |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – 새 정책 | 복원 테스트를 수행하는 데 필요한 권한을 제공합니다. 권한에는 Aurora, DocumentDB, DynamoDB, Amazon EBS, Amazon EC2, Amazon EFS, FSx for Lustre, FSx for Windows File Server, FSx for ONTAP, FSx for OpenZFS, Amazon Neptune, Amazon RDS, Amazon S3 등 복원 테스트에 포함할 서비스에 대한 `list, read, and write` 작업이 포함됩니다. | 2023년 11월 27일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | `IamPassRolePermissions` 및 `IamCreateServiceLinkedRolePermissions`에 `restore-testing.backup.amazonaws.com`를 추가했습니다. 이 추가는가 고객을 대신하여 복원 테스트를 수행하는 AWS Backup 데 필요합니다. | 2023년 11월 27일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | Aurora 클러스터의 PITR(특정 시점 복원)에 필요한 `rds:DescribeDBClusterSnapshots` 및 `rds:RestoreDBClusterToPointInTime` 권한을 추가했습니다. | 2023년 9월 6일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | Aurora 클러스터의 연속 백업 및 특정 시점 복원에 필요한 `rds:DescribeDBClusterAutomatedBackups` 권한을 추가했습니다. | 2023년 9월 6일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | Aurora 클러스터의 연속 백업 및 특정 시점 복원에 필요한 `rds:DescribeDBClusterAutomatedBackups` 권한을 추가했습니다. | 2023년 9월 6일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | `rds:DescribeDBClusterAutomatedBackups` 권한을 추가했습니다. 이 권한은 Aurora 클러스터의 연속 백업 및 point-in-time 복원을 AWS Backup 지원하는 데 필요합니다. 보존 기간이 완료되면 `rds:DeleteDBClusterAutomatedBackups` AWS Backup 수명 주기가 Amazon Aurora 연속 복구 시점을 삭제하고 연결 해제할 수 있는 권한을 추가했습니다. 이 권한은 Aurora 복구 시점이 `EXIPIRED` 상태로의 전환을 방지하는 데 필요합니다. AWS Backup 이 Aurora 클러스터와 상호 작용할 수 있게 하는 `rds:ModifyDBCluster` 권한을 추가했습니다. 이 권한 추가를 통해 사용자는 원하는 구성에 따라 연속 백업을 활성화하거나 비활성화할 수 있습니다. | 2023년 9월 6일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | 새 저장소 유형에 대한 리소스 공유 연결을 가져올 수 있는 권한을 사용자에게 부여하기 위해, `ram:GetResourceShareAssociations` 작업을 추가했습니다. | 2023년 8월 8일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | 새 저장소 유형에 대한 리소스 공유 연결을 가져올 수 있는 권한을 사용자에게 부여하기 위해, `ram:GetResourceShareAssociations` 작업을 추가했습니다. | 2023년 8월 8일 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 기존 정책에 대한 업데이트 | 버킷 인벤토리를 사용하여 백업 성능 속도를 향상시키기 위해 `s3:PutInventoryConfiguration` 권한을 추가했습니다. | 2023년 8월 1일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | 리소스를 복원하기 위한 태그를 추가할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `storagegateway:AddTagsToResource`, `elasticfilesystem:TagResource`, `ec2:CreateTags`(`RunInstances` 또는 `CreateVolume` 중 하나만 포함하는 `ec2:CreateAction` 전용), `fsx:TagResource` 및 `cloudformation:TagResource`입니다. | 2023년 5월 22일 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – 기존 정책에 대한 업데이트 | 사용자가 리소스를 더 쉽게 선택할 수 있도록 `config:DescribeComplianceByConfigRule` API 내에서 리소스 선택을 와일드카드 리소스로 대체했습니다. | 2023년 4월 11일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | 고객 관리형 키를 사용하여 Amazon EFS를 복원할 수 있는 `kms:GenerateDataKeyWithoutPlaintext` 권한을 추가했습니다. 이렇게 하면 사용자에게 Amazon EFS 리소스를 복원하는 데 필요한 권한이 있도록 보장하는 데 도움이 됩니다. | 2023년 3월 27일 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) - 기존 정책에 대한 업데이트 | Audit Manager가 AWS Backup Audit Manager 관리형 AWS Config 규칙에 액세스할 수 있도록 `config:DescribeConfigRules` AWS Backup 및 `config:DescribeConfigRuleEvaluationStatus` 작업을 업데이트했습니다. | 2023년 3월 9일 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) - 기존 정책에 대한 업데이트 | `AWSBackupServiceRolePolicyForS3Restore` 정책에 다음 권한을 추가했습니다. 해당 권한은 `kms:Decrypt`, `s3:PutBucketOwnershipControls` 및 `s3:GetBucketOwnershipControls`입니다. 이러한 권한은 원본 백업에서 KMS 암호화를 사용하는 경우 객체 복원을 지원하는 데 필요하고 원본 버킷에 ACL 대신 객체 소유권이 구성된 경우 객체 복원에 필요합니다. | 2023년 2월 13일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | 가상 머신의 VMware 태그를 사용하여 백업을 예약하고 일정 기반 대역폭 스로틀링을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `backup-gateway:GetHypervisorPropertyMappings`, `backup-gateway:GetVirtualMachine`, `backup-gateway:PutHypervisorPropertyMappings`, `backup-gateway:GetHypervisor`, `backup-gateway:StartVirtualMachinesMetadataSync`, `backup-gateway:GetBandwidthRateLimitSchedule` 및 `backup-gateway:PutBandwidthRateLimitSchedule`입니다. | 2022년 12월 15일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | 가상 머신의 VMware 태그를 사용하여 백업을 예약하고 일정 기반 대역폭 스로틀링을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `backup-gateway:GetHypervisorPropertyMappings`, `backup-gateway:GetVirtualMachine`, `backup-gateway:GetHypervisor` 및 `backup-gateway:GetBandwidthRateLimitSchedule`입니다. | 2022년 12월 15일 |
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync) – 새 정책 | AWS Backup Gateway가 온프레미스 네트워크의 가상 머신 메타데이터를 Backup Gateway와 동기화할 수 있는 권한을 제공합니다. | 2022년 12월 15일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | Timestream 백업 작업을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `timestream:StartAwsBackupJob`, `timestream:GetAwsBackupStatus`, `timestream:ListTables`, `timestream:ListDatabases`, `timestream:ListTagsForResource`, `timestream:DescribeTable`, `timestream:DescribeDatabase` 및 `timestream:DescribeEndpoints`입니다. | 2022년 12월 13일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | Timestream 복원 작업을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `timestream:StartAwsRestoreJob`, `timestream:GetAwsRestoreStatus`, `timestream:ListTables`, `timestream:ListTagsForResource`, `timestream:ListDatabases`, `timestream:DescribeTable`, `timestream:DescribeDatabase`, `s3:GetBucketAcl` 및 `timestream:DescribeEndpoints`입니다. | 2022년 12월 13일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | Timestream 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `timestream:ListTables`, `timestream:ListDatabases`, `s3:ListAllMyBuckets` 및 `timestream:DescribeEndpoints`입니다. | 2022년 12월 13일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | Timestream 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `timestream:ListDatabases`, `timestream:ListTables`, `s3:ListAllMyBuckets` 및 `timestream:DescribeEndpoints`입니다. | 2022년 12월 13일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | Timestream 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `timestream:ListDatabases`, `timestream:ListTables`, `timestream:ListTagsForResource`, `timestream:DescribeDatabase`, `timestream:DescribeTable`, `timestream:GetAwsBackupStatus`, `timestream:GetAwsRestoreStatus` 및 `timestream:DescribeEndpoints`입니다. | 2022년 12월 13일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | Amazon Redshift 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `redshift:DescribeClusters`, `redshift:DescribeClusterSubnetGroups`, `redshift:DescribeNodeConfigurationOptions`, `redshift:DescribeOrderableClusterOptions`, `redshift:DescribeClusterParameterGroups`, `redshift:DescribeClusterTracks`, `redshift:DescribeSnapshotSchedules` 및 `ec2:DescribeAddresses`입니다. | 2022년 11월 27일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | Amazon Redshift 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `redshift:DescribeClusters`, `redshift:DescribeClusterSubnetGroups`, `redshift:DescribeNodeConfigurationOptions`, `redshift:DescribeOrderableClusterOptions`, `redshift:DescribeClusterParameterGroups,`, `redshift:DescribeClusterTracks`, `redshift:DescribeSnapshotSchedules` 및 `ec2:DescribeAddresses`입니다. | 2022년 11월 27일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | Amazon Redshift 복원 작업을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `redshift:RestoreFromCluster Snapshot`, `redshift:RestoreTableFromClusterSnapshot`, `redshift:DescribeClusters` 및 `redshift:DescribeTableRestoreStatus`입니다. | 2022년 11월 27일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | Amazon Redshift 백업 작업을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `redshift:CreateClusterSnapshot`, `redshift:DescribeClusterSnapshots`, `redshift:DescribeTags`, `redshift:DeleteClusterSnapshot`, `redshift:DescribeClusters` 및 `redshift:CreateTags`입니다. | 2022년 11월 27일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | CloudFormation 리소스를 지원하는 `cloudformation:ListStacks` 권한을 추가했습니다. | 2022년 11월 27일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | CloudFormation 리소스를 지원하는 `cloudformation:ListStacks` 권한을 추가했습니다. | 2022년 11월 27일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | CloudFormation 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `redshift:DescribeClusterSnapshots`, `redshift:DescribeTags`, `redshift:DeleteClusterSnapshot` 및 `redshift:DescribeClusters`입니다. | 2022년 11월 27일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | CloudFormation 애플리케이션 스택 백업 작업을 지원하기 위해 `cloudformation:GetTemplate`, `cloudformation:DescribeStacks`및 권한을 추가했습니다`cloudformation:ListStackResources`. | 2022년 11월 16일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | CloudFormation 애플리케이션 스택 백업 작업을 지원하기 위해 및 권한을 추가했습니다. `cloudformation:CreateChangeSet` `cloudformation:DescribeChangeSet` | 2022년 11월 16일 |
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess) – 기존 정책에 대한 업데이트 | 조직 관리자가 위임된 관리자 기능을 사용할 수 있도록 하는 다음 권한을 이 정책에 추가했습니다. 해당 권한은 `organizations:ListDelegatedAdministrator`, `organizations:RegisterDelegatedAdministrator` 및 `organizations:DeregisterDelegatedAdministrator`입니다. | 2022년 11월 27일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | Amazon EC2 인스턴스에서 SAP HANA를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:BackupDatabase`, `ssm-sap:UpdateHanaBackupSettings`, `ssm-sap:GetDatabase` 및 `ssm-sap:ListTagsForResource`입니다. | 2022년 11월 20일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | Amazon EC2 인스턴스에서 SAP HANA를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:GetDatabase` 및 `ssm-sap:ListTagsForResource`입니다. | 2022년 11월 20일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | Amazon EC2 인스턴스에서 SAP HANA를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:GetDatabase` 및 `ssm-sap:ListTagsForResource`입니다. | 2022년 11월 20일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | Amazon EC2 인스턴스에서 SAP HANA를 지원하는 `ssm-sap:GetOperation` 권한을 추가했습니다. | 2022년 11월 20일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | EC2 인스턴스에 대한 Backup 게이트웨이 복원 작업을 지원하는 `ec2:CreateTags` 권한을 추가했습니다. | 2022년 11월 20일 |
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess) – 기존 정책에 대한 업데이트 | SAP HANA On Amazon EC2 리소스에 대한 안전한 스토리지 데이터 전송을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `backup-storage:StartObject`, `backup-storage:PutChunk`, `backup-storage:GetChunk`, `backup-storage:ListChunks`, `backup-storage:ListObjects`, `backup-storage:GetObjectMetadata` 및 `backup-storage:NotifyObjectComplete`입니다. | 2022년 11월 20일 |
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) – 기존 정책에 대한 업데이트 | 리소스 소유자가 SAP HANA On Amazon EC2 리소스의 복원을 수행하는 다음 권한을 추가했습니다. 해당 권한은 `backup:Get*`, `backup:List*`, `backup:Describe*`, `backup:StartBackupJob`, `backup:StartRestoreJob`, `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:BackupDatabase`, `ssm-sap:RestoreDatabase`, `ssm-sap:UpdateHanaBackupSettings`, `ssm-sap:GetDatabase` 및 `ssm-sap:ListTagsForResource`입니다. | 2022년 11월 20일 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 기존 정책에 대한 업데이트 | AWS Backup Amazon S3용의 백업 작업을 지원하는 권한을 추가`s3:GetBucketAcl`했습니다. | 2022년 8월 24일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | 다중 가용 영역(다중 AZ) 기능을 지원하기 위해 데이터베이스 인스턴스를 생성할 수 있는 액세스 권한을 부여하기 위해 `rds:CreateDBInstance` 작업을 추가했습니다. | 2022년 7월 20일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | 리소스 와일드카드로 백업할 버킷을 선택할 수 있는 권한을 사용자에게 부여하기 위해 `s3:GetBucketTagging` 권한을 추가했습니다. 이 권한이 없으면 사용자가 리소스 와일드카드로 백업할 버킷을 선택하는 작업이 실패합니다. | 2022년 5월 6일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | 기존 `fsx:CreateBackup` 및 `fsx:ListTagsForResource` 작업의 범위에 볼륨 리소스를 추가했고, FSx for ONTAP 볼륨 수준 백업을 지원하기 위해 `fsx:DescribeVolumes` 작업을 새로 추가했습니다. | 2022년 4월 27일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | FSx for ONTAP 볼륨을 복원할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `fsx:DescribeVolumes`, `fsx:CreateVolumeFromBackup`, `fsx:DeleteVolume` 및 `fsx:UntagResource`입니다. | 2022년 4월 27일 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 기존 정책에 대한 업데이트 | 백업 작업 중에 Amazon S3 버킷에 대한 변경 알림을 수신할 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `s3:GetBucketNotification` 및 `s3:PutBucketNotification`입니다. | 2022년 2월 25일 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 새 정책 | Amazon S3 버킷을 백업할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `s3:GetInventoryConfiguration`, `s3:PutInventoryConfiguration`, `s3:ListBucketVersions`, `s3:ListBucket`, `s3:GetBucketTagging`, `s3:GetBucketVersioning`, `s3:GetBucketNotification`, `s3:GetBucketLocation` 및 `s3:ListAllMyBuckets`입니다. Amazon S3 객체를 백업할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `s3:GetObject`, `s3GetObjectAcl`, `s3:GetObjectVersionTagging`, `s3:GetObjectVersionAcl`, `s3:GetObjectTagging` 및 `s3:GetObjectVersion`입니다. 암호화된 Amazon S3 데이터를 백업할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `kms:Decrypt` 및 `kms:DescribeKey`입니다. Amazon EventBridge 규칙을 사용하여 Amazon S3 데이터를 증분 백업할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `events:DescribeRule`, `events:EnableRule`, `events:PutRule`, `events:DeleteRule`, `events:PutTargets`, `events:RemoveTargets`, `events:ListTargetsByRule`, `events:DisableRule`, `cloudwatch:GetMetricData` 및 `events:ListRules`입니다. | 2022년 2월 17일 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) – 새 정책 | Amazon S3 버킷을 복원할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `s3:CreateBucket`, `s3:ListBucketVersions`, `s3:ListBucket`, `s3:GetBucketVersioning`, `s3:GetBucketLocation` 및 `s3:PutBucketVersioning`입니다. Amazon S3 버킷을 복원할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `s3:GetObject`, `s3:GetObjectVersion`, `s3:DeleteObject`, `s3:PutObjectVersionAcl`, `s3:GetObjectVersionAcl`, `s3:GetObjectTagging`, `s3:PutObjectTagging`, `s3:GetObjectAcl`, `s3:PutObjectAcl`, `s3:PutObject` 및 `s3:ListMultipartUploadParts`입니다. 복원된 Amazon S3 데이터를 암호화할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `kms:Decrypt`, `kms:DescribeKey` 및 `kms:GenerateDataKey`입니다. | 2022년 2월 17일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | 버킷 목록을 보고 백업 계획에 할당할 버킷을 선택할 수 있는 권한을 사용자에게 부여하기 위해 `s3:ListAllMyBuckets`를 추가했습니다. | 2022년 2월 14일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | 가상 머신 목록을 보고 백업 계획에 할당할 가상 머신을 선택할 수 있는 권한을 사용자에게 부여하기 위해 `backup-gateway:ListVirtualMachines`를 추가했습니다. 가상 머신의 태그를 나열할 수 있는 권한을 사용자에게 부여하기 위해 `backup-gateway:ListTagsForResource`를 추가했습니다. | 2021년 11월 30일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | 사용자에게 가상 머신 백업을 복원`backup-gateway:Backup`할 수 있는 권한을 부여`backup-gateway:ListTagsForResource`하기 위해가 추가되었습니다. AWS Backup 또한 사용자에게 가상 머신 백업에 할당된 태그를 나열할 수 있는 권한을 부여하기 위해가 추가되었습니다. | 2021년 11월 30일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | 가상 머신 백업을 복원할 수 있는 권한을 사용자에게 부여하기 위해 `backup-gateway:Restore`를 추가했습니다. | 2021년 11월 30일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | AWS Backup 게이트웨이를 사용하여 가상 머신을 백업, 복원, 관리할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `backup-gateway:AssociateGatewayToServer`, `backup-gateway:CreateGateway`, `backup-gateway:DeleteGateway`, `backup-gateway:DeleteHypervisor`, `backup-gateway:DisassociateGatewayFromServer`, `backup-gateway:ImportHypervisorConfiguration`, `backup-gateway:ListGateways`, `backup-gateway:ListHypervisors`, `backup-gateway:ListTagsForResource`, `backup-gateway:ListVirtualMachines`, `backup-gateway:PutMaintenanceStartTime`, `backup-gateway:TagResource`, `backup-gateway:TestHypervisorConfiguration`, `backup-gateway:UntagResource`, `backup-gateway:UpdateGatewayInformation` 및 `backup-gateway:UpdateHypervisor`입니다. | 2021년 11월 30일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | 가상 머신을 백업할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `backup-gateway:ListGateways`, `backup-gateway:ListHypervisors`, `backup-gateway:ListTagsForResource` 및 `backup-gateway:ListVirtualMachines`입니다. | 2021년 11월 30일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | 사용자에게의 고급 DynamoDB 백업 기능을 사용하여 백업할 DynamoDB 테이블의 태그를 나열할 수 있는 권한을 부여`dynamodb:ListTagsOfResource`하기 위해 AWS Backup가 추가되었습니다. | 2021년 11월 23일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | 고급 백업 기능을 사용하여 DynamoDB 테이블을 백업할 수 있는 권한을 사용자에게 부여하기 위해 `dynamodb:StartAwsBackupJob`을 추가했습니다. 소스 DynamoDB 테이블의 태그를 백업으로 복사할 수 있는 권한을 사용자에게 부여하기 위해 `dynamodb:ListTagsOfResource`를 추가했습니다. | 2021년 11월 23일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | 사용자에게 고급 DynamoDB 고급 백업 기능을 사용하여 백업된 DynamoDB 테이블을 복원할 수 있는 권한을 부여`dynamodb:RestoreTableFromAwsBackup`하기 위해 AWS Backup가 추가되었습니다. | 2021년 11월 23일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | 사용자에게 고급 DynamoDB 고급 백업 기능을 사용하여 백업된 DynamoDB 테이블을 복원할 수 있는 권한을 부여`dynamodb:RestoreTableFromAwsBackup`하기 위해 AWS Backup가 추가되었습니다. | 2021년 11월 23일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | 중복되던 `backup:GetRecoveryPointRestoreMetadata` 및 `rds:DescribeDBSnapshots` 작업을 제거했습니다. AWS Backup 에는의 `backup:Get*` 일부로 `backup:GetRecoveryPointRestoreMetadata` 및가 모두 필요하지 않았습니다`AWSBackupOperatorAccess`. 또한의 `rds:describeDBSnapshots` 일부로 `rds:DescribeDBSnapshots` 및가 모두 필요하지 AWS Backup 않았습니다`AWSBackupOperatorAccess`. | 2021년 11월 23일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | 고객이 백업 계획에 할당할 리소스를 선택할 때 AWS Backup지원되는 리소스 목록을 보고 선택할 수 `fsx:DescribeFileSystems` 있도록 새 작업 , `rds:DescribeDBClusters`, , , , `elasticfilesystem:DescribeFileSystems``dynamodb:ListTables``storagegateway:ListVolumes``ec2:DescribeVolumes``ec2:DescribeInstances``rds:DescribeDBInstances`,가 추가되었습니다. | 2021년 11월 10일 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – 새 정책 | 사용자에게 AWS Backup Audit Manager를 사용할 수 있는 권한을 부여`AWSBackupAuditAccess`하기 위해를 추가했습니다. 권한에는 규정 준수 프레임워크를 구성하고 보고서를 생성하는 기능이 포함됩니다. | 2021년 8월 24일 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – 새 정책 | 사용자가 구성한 프레임워크를 준수하기 위해 서비스 연결 역할이 백업 설정, 작업 및 리소스에 대한 모니터링을 자동화할 수 있는 권한을 부여하기 위해 `AWSServiceRolePolicyForBackupReports`를 추가했습니다. | 2021년 8월 24일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | 만료된 복구 시점의 삭제를 자동화하는 서비스 연결 역할(최선의 노력 기준)을 생성하기 위해 `iam:CreateServiceLinkedRole`을 추가했습니다. 이 서비스 연결 역할 AWS Backup 이 없으면 고객이 복구 시점을 생성하는 데 사용한 원래 IAM 역할을 삭제한 후에는 만료된 복구 시점을 삭제할 수 없습니다. | 2021년 7월 5일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | 백업 계획 수명 주기 설정을 기반으로 만료된 DynamoDB 복구 시점의 삭제를 자동화할 수 있는 `DeleteRecoveryPoint` 권한을 부여하기 위해 새로운 `dynamodb:DeleteBackup` 작업을 추가했습니다. | 2021년 7월 5일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | 중복되던 `backup:GetRecoveryPointRestoreMetadata` 및 `rds:DescribeDBSnapshots` 작업을 제거했습니다. AWS Backup 에는의 `backup:Get*` 일부로 `backup:GetRecoveryPointRestoreMetadata` 및가 모두 필요하지 않음 `AWSBackupOperatorAccess` 또한 에는의 `rds:describeDBSnapshots` 일부로 `rds:DescribeDBSnapshots` 및가 모두 필요하지 AWS Backup 않음 `AWSBackupOperatorAccess` | 2021년 5월 25일 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | 중복되던 `backup:GetRecoveryPointRestoreMetadata` 및 `rds:DescribeDBSnapshots` 작업을 제거했습니다. AWS Backup 에는의 `backup:Get*` 일부로 `backup:GetRecoveryPointRestoreMetadata` 및가 모두 필요하지 않았습니다`AWSBackupOperatorAccess`. 또한의 `rds:describeDBSnapshots` 일부로 `rds:DescribeDBSnapshots` 및가 모두 필요하지 AWS Backup 않았습니다`AWSBackupOperatorAccess`. | 2021년 5월 25일 |
| [AWSBackupServiceRolePolicyForRestores]() - 기존 정책에 대한 업데이트 | 사용자가 복원 프로세스 중에 Amazon FSx 파일 시스템에 태그를 적용할 수 있는 `StartRestoreJob` 권한을 부여하기 위해 새로운 `fsx:TagResource` 작업을 추가했습니다. | 2021년 5월 24일 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | 사용자가 복구 시점에서 Amazon EC2 인스턴스를 복원할 수 있는 `StartRestoreJob` 권한을 부여하기 위해 새로운 `ec2:DescribeImages` 및 `ec2:DescribeInstances` 작업을 추가했습니다. | 2021년 5월 24일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | 사용자가 리전 및 계정 간에 Amazon FSx 복구 시점을 복사할 수 있는 `StartCopyJob` 권한을 부여하기 위해 새로운 `fsx:CopyBackup` 작업을 추가했습니다. | 2021년 4월 12일 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | 사용자가 리전 및 계정 간에 Amazon FSx 복구 시점을 복사할 수 있는 `StartCopyJob` 권한을 부여하기 위해 새로운 `fsx:CopyBackup` 작업을 추가했습니다. | 2021년 4월 12일 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | 다음 요구 사항을 준수하도록 업데이트했습니다. 가 암호화된 DynamoDB 테이블의 백업을 생성 AWS Backup 하려면 백업에 사용되는 `kms:GenerateDataKey` IAM 역할에 `kms:Decrypt` 및 권한을 추가해야 합니다. | 2021년 3월 10일 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | 다음 요구 사항을 준수하도록 업데이트했습니다. AWS Backup 를 사용하여 Amazon RDS 데이터베이스에 대한 연속 백업을 구성하려면 백업 계획 구성에서 정의한 IAM 역할에 API 권한이 `rds:ModifyDBInstance` 있는지 확인합니다. Amazon RDS 연속 백업을 복원하려면 복원 작업을 위해 제출한 IAM 역할에 `rds:RestoreDBInstanceToPointInTime` 권한을 추가해야 합니다. AWS Backup 콘솔에서 point-in-time으로 복구에 사용할 수 있는 시간 범위를 설명하려면 IAM 관리형 정책에 `rds:DescribeDBInstanceAutomatedBackups` API 권한을 포함해야 합니다. | 2021년 3월 10일 |
| AWS Backup 에서 변경 내용 추적 시작 | AWS Backup 가 AWS관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2021년 3월 10일 |
# 에 대한 서비스 연결 역할 사용 AWS Backup
AWS Backup 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS Backup. 서비스 연결 역할은에서 사전 정의 AWS Backup 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
**Topics**
+ [역할을 사용하여 백업 및 복사](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [AWS Backup Audit Manager에 역할 사용](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [복원 테스트를 위한 역할 사용](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)
# 역할을 사용하여 백업 및 복사
AWS Backup 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS Backup. 서비스 연결 역할은에서 사전 정의 AWS Backup 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 AWS Backup 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS Backup 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS Backup 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔티티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제해야만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 AWS Backup 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조해 **서비스 연결 역할** 열이 **예(Yes)**인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
## 에 대한 서비스 연결 역할 권한 AWS Backup
AWS Backup 는 **AWSServiceRoleForBackup**이라는 서비스 연결 역할을 사용하여 사용자를 대신하여 AWS 리소스의 백업을 생성하고 삭제합니다.
AWSServiceRoleForBackup 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `backup.amazonaws.com`
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)을 참조하세요.
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)을 참조하세요.
## 에 대한 서비스 연결 역할 생성 AWS Backup
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. 백업할 리소스를 나열하거나, 교차 계정 백업을 설정하거나, AWS CLI또는 AWS API에서 백업 AWS Management Console을 수행하면 AWS Backup 가 서비스 연결 역할을 생성합니다.
**중요**
이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 백업할 리소스를 나열하거나, 교차 계정 백업을 설정하거나, 백업을 수행하면가 서비스 연결 역할을 다시 AWS Backup 생성합니다.
## 에 대한 서비스 연결 역할 편집 AWS Backup
AWS Backup 에서는 AWSServiceRoleForBackup 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 설명 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)을 참조하세요.
## 에 대한 서비스 연결 역할 삭제 AWS Backup
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.
### 서비스 연결 역할을 정리
IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 역할에서 사용되는 리소스를 삭제해야 합니다. 먼저 모든 복구 시점을 삭제해야 합니다. 그런 다음, 모든 백업 저장소를 삭제해야 합니다.
**참고**
리소스를 삭제하려고 할 때 AWS Backup 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
**AWSServiceRoleForBackup에서 사용하는 AWS Backup 리소스를 삭제하려면(콘솔)**
1. 모든 복구 시점 및 백업 저장소(기본 저장소 제외)를 삭제하려면 [저장소 삭제](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault)의 절차를 따릅니다.
1. 기본 저장소를 삭제하려면 AWS CLI에서 다음 명령을 사용합니다.
```
aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
```
**AWSServiceRoleForBackup에서 사용하는 AWS Backup 리소스를 삭제하려면(AWS CLI)**
1. 모든 복구 시점을 삭제하려면 [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html)를 사용합니다.
1. 모든 백업 저장소를 삭제하려면 [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html)를 사용합니다.
**AWSServiceRoleForBackup(API)에서 사용하는 AWS Backup 리소스를 삭제하려면**
1. 모든 복구 시점을 삭제하려면 `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`를 사용합니다.
1. 모든 백업 저장소를 삭제하려면 `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`를 사용합니다.
### 수동으로 서비스 연결 역할 삭제
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForBackup 서비스 연결 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)를 참조하세요.
## AWS Backup 서비스 연결 역할에 지원되는 리전
AWS Backup 는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [AWS Backup 지원되는 기능 및 리전](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)을 참조하세요.
# AWS Backup Audit Manager에 역할 사용
AWS Backup 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS Backup. 서비스 연결 역할은에서 사전 정의 AWS Backup 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 AWS Backup 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS Backup 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS Backup 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔티티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제해야만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 AWS Backup 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조해 **서비스 연결 역할** 열이 **예(Yes)**인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
## 에 대한 서비스 연결 역할 권한 AWS Backup
AWS Backup 는 **AWSServiceRoleForBackupReports**라는 서비스 연결 역할을 사용합니다.는 제어, 프레임워크 및 보고서를 생성할 수 AWS Backup 있는 권한을 제공합니다.
AWSServiceRoleForBackupReports 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `reports.backup.amazonaws.com`
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)를 참조하세요.
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)을 참조하세요.
## 에 대한 서비스 연결 역할 생성 AWS Backup
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API AWS Backup 에서 프레임워크 또는 보고서 계획을 생성하면가 서비스 연결 역할을 생성합니다.
**중요**
이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 프레임워크 또는 보고서 계획을 생성하면가 서비스 연결 역할을 다시 AWS Backup 생성합니다.
## 에 대한 서비스 연결 역할 편집 AWS Backup
AWS Backup 에서는 AWSServiceRoleForBackupReports 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 설명 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)을 참조하세요.
## 에 대한 서비스 연결 역할 삭제 AWS Backup
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.
### 서비스 연결 역할을 정리
IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 역할에서 사용되는 리소스를 삭제해야 합니다. 모든 프레임워크와 보고서 계획을 삭제해야 합니다.
**참고**
리소스를 삭제하려고 할 때 AWS Backup 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
**AWSServiceRoleForBackupReports에서 사용하는 AWS Backup 리소스를 삭제하려면(콘솔)**
1. 모든 프레임워크를 삭제하려면 [프레임워크 삭제](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html)를 참조하세요.
1. 모든 보고서 계획을 삭제하려면 [보고서 계획 삭제](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html)를 참조하세요.
**AWSServiceRoleForBackupReports에서 사용하는 AWS Backup 리소스를 삭제하려면(AWS CLI)**
1. 모든 프레임워크를 삭제하려면 [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html)를 사용합니다.
1. 모든 보고서 계획을 삭제하려면 [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html)을 사용합니다.
**AWSServiceRoleForBackupReports(API)에서 사용하는 AWS Backup 리소스를 삭제하려면**
1. 모든 프레임워크를 삭제하려면 [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html)를 사용합니다.
1. 모든 보고서 계획을 삭제하려면 [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html)을 사용합니다.
### 수동으로 서비스 연결 역할 삭제
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForBackupReports 서비스 연결 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)를 참조하세요.
## AWS Backup 서비스 연결 역할에 지원되는 리전
AWS Backup 는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [AWS Backup 지원되는 기능 및 리전](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)을 참조하세요.
# 복원 테스트를 위한 역할 사용
AWS Backup 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS Backup. 서비스 연결 역할은에서 사전 정의 AWS Backup 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 AWS Backup 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS Backup 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS Backup 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔티티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제해야만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 AWS Backup 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조해 **서비스 연결 역할** 열이 **예(Yes)**인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
## 에 대한 서비스 연결 역할 권한 AWS Backup
AWS Backup 는 **AWSServiceRoleForBackupRestoreTesting**이라는 서비스 연결 역할을 사용합니다. 복원 테스트를 수행할 수 있는 백업 권한을 제공합니다.
**AWSServiceRoleForBackupRestoreTesting** 서비스 연결 역할은 다음 서비스가 역할을 수임할 것을 신뢰합니다.
+ `restore-testing.backup.amazonaws.com`
이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)을 참조하세요.
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)을 참조하세요.
## 에 대한 서비스 연결 역할 생성 AWS Backup
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console, AWS CLI또는 AWS API에서 복원 테스트를 수행하면 AWS Backup 가 서비스 연결 역할을 생성합니다.
**중요**
이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 복원 테스트를 수행하면가 서비스 연결 역할을 다시 AWS Backup 생성합니다.
## 에 대한 서비스 연결 역할 편집 AWS Backup
AWS Backup 에서는 AWSServiceRoleForBackupRestoreTesting 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 설명 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)을 참조하세요.
## 에 대한 서비스 연결 역할 삭제 AWS Backup
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.
### 서비스 연결 역할을 정리
IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 역할에서 사용되는 리소스를 삭제해야 합니다. 복원 테스트 계획을 모두 삭제해야 합니다.
**참고**
리소스를 삭제하려고 할 때 AWS Backup 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
**AWSServiceRoleForBackupRestoreTesting에서 사용하는 AWS Backup 리소스를 삭제하려면(콘솔)**
+ 모든 복원 테스트 계획을 삭제하려면 [복원 테스트](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html)를 참조하세요.
**AWSServiceRoleForBackupRestoreTesting에서 사용하는 AWS Backup 리소스를 삭제하려면(AWS CLI)**
+ 복원 테스트 계획을 삭제하려면 `delete-restore-testing-plan`을 사용하세요.
**AWSServiceRoleForBackupRestoreTesting(API)에서 사용하는 AWS Backup 리소스를 삭제하려면**
+ 복원 테스트 계획을 삭제하려면 `DeleteRestoreTestingPlan`을 사용하세요.
### 수동으로 서비스 연결 역할 삭제
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 **AWSServiceRoleForBackupRestoreTesting** 서비스 연결 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)를 참조하세요.
## AWS Backup 서비스 연결 역할에 지원되는 리전
AWS Backup 는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [AWS Backup 지원되는 기능 및 리전](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)을 참조하세요.
# 교차 서비스 혼동된 대리인 방지
혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. 에서 AWS교차 서비스 가장은 혼동된 대리자 문제를 초래할 수 있습니다. 교차 서비스 가장은 한 서비스(*직접 호출하는 서비스*)가 다른 서비스(*직접 호출되는 서비스*)를 직접 호출할 때 발생할 수 있습니다. 직접 호출하는 서비스는 다른 고객의 리소스에 대해 액세스 권한이 없는 방식으로 작동하게 권한을 사용하도록 조작될 수 있습니다. 이를 방지하기 위해는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 보안 주체를 사용하여 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 AWS 제공합니다.
리소스 정책에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 전역 조건 컨텍스트 키를 사용하여 리소스에 다른 서비스를 AWS Backup 제공하는 권한을 제한하는 것이 좋습니다. 두 전역 조건 컨텍스트 키를 모두 사용하는 경우 `aws:SourceAccount` 값과 `aws:SourceArn` 값의 계정은 동일한 정책 문에서 사용할 경우 동일한 계정 ID를 사용해야 합니다.
를 사용하여 사용자를 대신하여 Amazon SNS 주제를 게시 AWS Backup 할 때 AWS Backup 의 값은 볼트여야 `aws:SourceArn` 합니다.
혼동된 대리인 문제로부터 보호하는 가장 효과적인 방법은 리소스의 전체 ARN이 포함된 `aws:SourceArn`글로벌 조건 컨텍스트 키를 사용하는 것입니다. 리소스의 전체 ARN을 모를 경우 또는 여러 리소스를 지정하는 경우, ARN의 알 수 없는 부분에 대해 와일드카드(`*`)를 포함한 `aws:SourceArn`전역 조건 컨텍스트 키를 사용합니다. 예제: `arn:aws::servicename::123456789012:*`.
다음 예제 정책은에서 `aws:SourceArn` 및 `aws:SourceAccount` 전역 조건 컨텍스트 키를 사용하여 혼동된 대리자 문제를 AWS Backup 방지하는 방법을 보여줍니다. 이 정책은 서비스 보안 주체가 백업 볼트에서 AWS 계정 123456789012을 대신하여 작업하는 경우에만 서비스 보안 주체 backup-storage.amazonaws.com KMS 작업을 수행할 수 있는 권한을 부여합니다.