기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 의 보안 AWS Backup
<a name="security-considerations"></a>

의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.

보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이를 클라우드*의* 보안과 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다 AWS 클라우드. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 서드 파티 감사원은 정기적으로 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)의 일환으로 보안 효과를 테스트하고 검증합니다. 에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 [AWS 규정 준수 프로그램 제공 범위 내 서비스를](https://aws.amazon.com/compliance/services-in-scope/) AWS Backup참조하세요.
+ **클라우드 내부의 보안** - 귀하의 AWS Backup 책임에는 다음이 포함되며 이에 국한되지는 않습니다. 또한 데이터의 민감도, 조직의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
  + 수신한 통신에 응답합니다 AWS.
  + 귀하의 조직에서 사용하는 보안 인증 정보를 관리. 자세한 내용은 [의 자격 증명 및 액세스 관리를 AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-iam.html) 참조하세요.
  + 조직의 데이터 보호 정책을 반영하여 백업 계획 및 리소스 할당을 구성. 자세한 내용은 [백업 계획 관리](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html)를 참조하세요.
  + 특정 복구 시점을 검색 및 복원하는 능력을 정기적으로 테스트. 자세한 내용은 [백업 작업](https://docs.aws.amazon.com/aws-backup/latest/devguide/recovery-points.html)을 참조하세요.
  + 조직의 재해 복구 및 비즈니스 연속성 서면 AWS Backup 절차에 절차를 통합합니다. 시작하려면 [AWS Backup시작하기](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html)를 참조하세요.
  + 긴급 상황 발생 시 직원들이 조직 절차와 AWS Backup 함께를 숙지하고 연습했는지 확인합니다. 자세한 내용은 [AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html)를 참조하세요.

이 설명서는를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다 AWS Backup. 다음 주제에서는 보안 및 규정 준수 목표를 충족하도록 AWS Backup 를 구성하는 방법을 보여줍니다. 또한 AWS Backup 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 알아봅니다.

**Topics**
+ [규정 준수 확인](backup-compliance.md)
+ [데이터 보호](data-protection.md)
+ [ID 및 액세스 관리](backup-iam.md)
+ [인프라 보안](infrastructure-security.md)
+ [무결성](backup-integrity.md)
+ [법적 보존](legalhold.md)
+ [맬웨어 보호](malware-protection.md)
+ [복원력](disaster-recovery-resiliency.md)

# 에 대한 규정 준수 검증 AWS Backup
<a name="backup-compliance"></a>

 AWS 서비스 가 특정 규정 준수 프로그램의 범위 내에 있는지 알아보려면 [AWS 서비스 규정 준수 프로그램 범위 내](https://aws.amazon.com/compliance/services-in-scope/)를 참조하고 관심 있는 규정 준수 프로그램을 선택합니다. 일반 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/).

를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다 AWS Artifact. 자세한 내용은 [Downloading Reports inDownloading AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)을 참조하세요.

사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표 및 관련 법률과 규정에 따라 AWS 서비스 결정됩니다. 사용 시 규정 준수 책임에 대한 자세한 내용은 [AWS 보안 설명서를](https://docs.aws.amazon.com/security/) AWS 서비스참조하세요.

# 의 데이터 보호 AWS Backup
<a name="data-protection"></a>

AWS Backup 는 데이터 보호에 대한 규정 및 지침을 포함하는 AWS [공동 책임 모델을](https://aws.amazon.com/compliance/shared-responsibility-model/) 준수합니다. AWS 는 모든 AWS 서비스를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. AWS 는 고객 콘텐츠 및 개인 데이터를 처리하기 위한 보안 구성 제어를 포함하여이 인프라에서 호스팅되는 데이터에 대한 제어를 유지합니다. 데이터 컨트롤러 또는 데이터 프로세서 역할을 하는 AWS 고객 및 AWS 파트너 네트워크(APN) 파트너는에 입력하는 모든 개인 데이터에 대해 책임을 집니다 AWS 클라우드.

데이터 보호를 위해 자격 AWS 계정 증명을 보호하고 AWS Identity and Access Management (IAM)을 사용하여 개별 사용자 계정을 설정하는 것이 좋습니다. 이는 각 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여된다는 것을 의미합니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용합니다.
+ 보안 소켓 계층(SSL)/전송 계층 보안(TLS)를 사용하여 AWS 리소스와 통신합니다.
+  AWS 암호화 솔루션을 서비스 내의 AWS 모든 기본 보안 제어와 함께 사용합니다.

**이름** 필드와 같은 자유 형식 필드에 고객 계정 번호와 같은 중요 식별 정보를 절대 입력하지 마세요. 여기에는 콘솔 AWS CLI, API 또는 AWS SDKs를 사용하여 AWS Backup 또는 기타 AWS 서비스를 사용하는 경우가 포함됩니다. AWS Backup 또는 기타 서비스에 입력하는 모든 데이터는 진단 로그에 포함하기 위해 선택될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명 정보를 URL에 포함시키지 마세요.

데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.

# 의 백업에 대한 암호화 AWS Backup
<a name="encryption"></a>

## 독립 암호화
<a name="independent-encryption"></a>

AWS Backup 는 [전체 AWS Backup 관리를 지원하는 리소스 유형에](backup-feature-availability.md#features-by-resource) 대해 독립적인 암호화를 제공합니다. 독립 암호화는를 통해 생성하는 복구 시점(백업)이 소스 리소스의 암호화에 따라 결정되는 암호화 방법 이외의 암호화 방법을 가질 AWS Backup 수 있음을 의미합니다. 예를 들어 Amazon S3 버킷의 백업은 Amazon S3 암호화로 암호화한 소스 버킷과 다른 암호화 방법을 가질 수 있습니다. 이 암호화는에 백업이 저장된 백업 볼트의 AWS KMS 키 구성을 통해 제어됩니다.

에서 완전히 관리되지 않는 리소스 유형의 백업은 AWS Backup 일반적으로 소스 리소스에서 암호화 설정을 상속합니다. *Amazon EBS 사용 설명서*의 [Amazon EBS 암호화](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)와 같은 해당 서비스의 지침에 따라 이러한 암호화 설정을 구성할 수 있습니다.

IAM 역할은 객체를 백업 및 복원하는 데 사용되는 KMS 키에 액세스할 수 있어야 합니다. 그렇게 하지 않으면 작업은 성공하지만 객체는 백업되거나 복원되지 않습니다. IAM 정책 및 KMS 키 정책의 권한은 일관되어야 합니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [IAM 정책 설명에서 KMS 키 지정](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)을 참조하세요.

다음 표에는 지원되는 각 리소스 유형, 백업에 대해 암호화가 구성되는 방법 및 백업에 대해 독립 암호화가 지원되는지 여부가 나와 있습니다. AWS Backup 은 독립적으로 백업을 암호화하는 경우 업계 표준 AES-256 암호화 알고리즘을 사용합니다. 의 암호화에 대한 자세한 내용은 [교차 리전](cross-region-backup.md) 및 [교차 계정 백업을](create-cross-account-backup.md) AWS Backup참조하세요.


| 리소스 유형 | 암호화 구성 방법 | 독립 AWS Backup 암호화 | 
| --- | --- | --- | 
| Amazon Simple Storage Service(Amazon S3) | Amazon S3 백업은 백업 볼트와 연결된 AWS KMS (AWS Key Management Service) 키를 사용하여 암호화됩니다. AWS KMS 키는 고객 관리형 키 또는 AWS Backup 서비스와 연결된 AWS관리형 키일 수 있습니다.는 소스 Amazon S3 버킷이 AWS Backup 암호화되지 않은 경우에도 모든 백업을 암호화합니다. | 지원됨 | 
| VMware 가상 머신 | VM 백업은 항상 암호화됩니다. 가상 머신 백업의 AWS KMS 암호화 키는 가상 머신 백업이 저장되는 AWS Backup 볼트에 구성됩니다. | 지원됨 | 
| [고급 DynamoDB 백업](advanced-ddb-backup.md)을 활성화한 후의 Amazon DynamoDB |  DynamoDB 백업은 항상 암호화됩니다. DynamoDB 백업의 AWS KMS 암호화 키는 DynamoDB 백업이 저장되는 AWS Backup 볼트에 구성됩니다.  | 지원됨 | 
| [고급 DynamoDB 백업](advanced-ddb-backup.md)을 활성화하지 않은 Amazon DynamoDB |  DynamoDB 백업은 소스 DynamoDB 테이블을 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 DynamoDB 테이블은 스냅샷도 암호화되지 않습니다.  AWS Backup 가 암호화된 DynamoDB 테이블의 백업을 생성하려면 백업에 사용되는 `kms:GenerateDataKey` IAM 역할에 `kms:Decrypt` 및 권한을 추가해야 합니다. 또는 AWS Backup 기본 서비스 역할을 사용할 수 있습니다.  | 지원되지 않음 | 
| Amazon Elastic File System(Amazon EFS) | Amazon EFS 백업은 항상 암호화됩니다. Amazon EFS 백업의 AWS KMS 암호화 키는 Amazon EFS 백업이 저장되는 AWS Backup 볼트에 구성됩니다. | 지원됨 | 
| Amazon Elastic Block Store(Amazon EBS) | 기본적으로 Amazon EBS 백업은 소스 볼륨을 암호화하는 데 사용된 키를 사용하여 암호화되거나 암호화되지 않습니다. 복원 중에 KMS 키를 지정하여 기본 암호화 방법을 재정의하도록 선택할 수 있습니다. | 지원되지 않음 | 
| Amazon Elastic Compute Cloud(Amazon EC2) AMI | AMI는 암호화되지 않습니다. EBS 스냅샷은 EBS 백업에 대한 기본 암호화 규칙에 의해 암호화됩니다(EBS 항목 참조). 데이터 볼륨과 루트 볼륨의 EBS 스냅샷을 암호화하고 AMI에 연결할 수 있습니다. | 지원되지 않음 | 
| Amazon Relational Database Service(Amazon RDS) | Amazon RDS 스냅샷은 소스 Amazon RDS 데이터베이스를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Amazon RDS 데이터베이스는 스냅샷도 암호화되지 않습니다. | 지원되지 않음 | 
| Amazon Aurora | Aurora 클러스터 스냅샷은 소스 Amazon Aurora 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Aurora 클러스터는 스냅샷도 암호화되지 않습니다. | 지원되지 않음 | 
| AWS Storage Gateway | Storage Gateway 스냅샷은 소스 Storage Gateway 볼륨을 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Storage Gateway 볼륨은 스냅샷도 암호화되지 않습니다.Storage Gateway를 활성화하기 위해 모든 서비스에서 고객 관리형 키를 사용할 필요는 없습니다. KMS 키를 구성한 저장소에 Storage Gateway 백업을 복사하기만 하면 됩니다. Storage Gateway에 서비스별 AWS KMS 관리형 키가 없기 때문입니다.  | 지원되지 않음 | 
| Amazon FSx | Amazon FSx 파일 시스템의 암호화 기능은 기본 파일 시스템에 따라 다릅니다. 특정 Amazon FSx 파일 시스템에 대해 자세히 알아보려면 해당 [FSx 사용 설명서](https://docs.aws.amazon.com/fsx/)를 참조하세요. | 지원되지 않음 | 
| Amazon DocumentDB | Amazon DocumentDB 클러스터 스냅샷은 소스 Amazon DocumentDB 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Amazon DocumentDB 클러스터는 스냅샷도 암호화되지 않습니다. | 지원되지 않음 | 
| Amazon Neptune | Neptune 클러스터 스냅샷은 소스 Neptune 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Neptune 클러스터는 스냅샷도 암호화되지 않습니다. | 지원되지 않음 | 
| Amazon Timestream | Timestream 테이블 스냅샷 백업은 항상 암호화됩니다. Timestream 백업의 AWS KMS 암호화 키는 Timestream 백업이 저장되는 백업 볼트에 구성됩니다. | 지원됨 | 
| Amazon Redshift | Amazon Redshift 클러스터는 소스 Amazon Redshift 클러스터를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. 암호화되지 않은 Amazon Redshift 클러스터는 스냅샷도 암호화되지 않습니다. | 지원되지 않음 | 
| Amazon Redshift Serverless | Redshift Serverless 스냅샷은 소스를 암호화하는 데 사용된 동일한 암호화 키로 자동 암호화됩니다. | 지원되지 않음 | 
| CloudFormation | CloudFormation 백업은 항상 암호화됩니다. CloudFormation 백업에 대한 CloudFormation 암호화 키는 CloudFormation 백업이 저장되는 CloudFormation 저장소에 구성됩니다. | 지원됨 | 
| Amazon EC2 인스턴스의 SAP HANA 데이터베이스 | SAP HANA 데이터베이스 백업은 항상 암호화됩니다. SAP HANA 데이터베이스 백업의 AWS KMS 암호화 키는 데이터베이스 백업이 저장되는 AWS Backup 볼트에 구성됩니다. | 지원됨 | 

**작은 정보**  
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html)를 사용하면 암호화되지 않은 백업을 자동으로 감지할 수 있습니다.

## 다른 계정 또는에 백업 복사본 암호화 AWS 리전
<a name="copy-encryption"></a>

계정 또는 리전 간에 백업을 복사하면는 원본 백업이 암호화되지 않은 경우에도 대부분의 리소스 유형에 대해 이러한 복사본을 AWS Backup 자동으로 암호화합니다. AWS Backup 는 대상 볼트의 KMS 키를 사용하여 복사본을 암호화합니다.

한 계정에서 다른 계정으로 백업을 복사(교차 계정 복사 작업)하거나 한 리전에서 다른 리전으로 백업을 복사(교차 리전 복사 작업)하기 전에 백업의 리소스 유형(복구 시점)이에서 [완전히 관리되는지 AWS Backup 여부에](backup-feature-availability.md#features-by-resource) 따라 달라지는 다음 조건을 참고하세요.
+ 백업 복사본은 대상 볼트의 키를 사용하여 암호화 AWS 리전 됩니다.
+ 에서 **완전히 관리하는 AWS Backup** 리소스의 복구 시점(백업) 복사본의 경우 [고객 관리형 키(CMK) 또는 관리형 키()](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)로 암호화하도록 선택할 수 있습니다`aws/backup`. AWS Backup 

  에서 **완전히 관리하지** 않는 리소스의 복구 시점 사본의 경우 대상 볼트에 연결된 AWS Backup키는 CMK 또는 기본 리소스를 소유한 서비스의 관리형 키여야 합니다. 예를 들어 EC2 인스턴스를 복사하는 경우 백업 관리형 키를 사용할 수 없습니다. 대신 복사 작업 실패를 방지하려면 CMK 또는 Amazon EBS KMS 키(`aws/ebs`)를 사용해야 합니다.
+ 에서 완전히 관리하지 않는 리소스에는 AWS 관리형 키가 있는 교차 계정 복사가 지원되지 않습니다 AWS Backup. AWS 관리형 키의 [키 정책](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)은 변경할 수 없으므로 계정 간에 키를 복사할 수 없습니다. 리소스가 AWS 관리형 키로 암호화되고 교차 계정 복사를 수행하려는 경우 [암호화 키를 교차 계정 복사에 사용할 수 있는 고객 관리형 키로 변경할](https://repost.aws/knowledge-center/update-encryption-key-rds) 수 있습니다. 또는 [ 교차 계정 및 교차 리전 백업으로 암호화된 Amazon RDS 인스턴스 보호](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/)의 지침에 따라 AWS 관리형 키를 계속 사용할 수 있습니다.
+ 암호화되지 않은 Amazon Aurora, Amazon DocumentDB, Amazon Neptune 클러스터의 복사본도 암호화되지 않습니다.

## AWS Backup 권한, 권한 부여 및 거부 문
<a name="backup-permissions-grants-deny-statements"></a>

실패한 작업을 방지하기 위해 AWS KMS 키 정책을 검사하여 필요한 권한이 있고 성공적인 작업을 방해하는 거부 문이 없는지 확인할 수 있습니다.

실패한 작업은 KMS 키에 하나 이상의 거부 문이 적용되었거나 키에 대한 [권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)가 취소되었기 때문에 발생할 수 있습니다.

와 같은 AWS 관리형 액세스 정책에는 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)가와 인터페이스하여 고객을 대신하여 KMS 키에 대한 권한 부여를 생성 AWS KMS 하도록 허용하는 AWS Backup 허용 작업이 있습니다.

최소한 키 정책에는 다음과 같은 권한이 필요합니다.
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`

거부 정책이 필요한 경우 백업 및 복원 작업에 필요한 역할을 허용 목록에 추가해야 합니다.

이러한 요소는 다음과 같을 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
          "Sid": "KmsPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:ListKeys",
              "kms:DescribeKey",
              "kms:GenerateDataKey",
              "kms:ListAliases"
          ],
          "Resource": "*"
      },
      {
          "Sid": "KmsCreateGrantPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:CreateGrant"
          ],
          "Resource": "*",
          "Condition": {
              "ForAnyValue:StringEquals": {
                  "kms:EncryptionContextKeys": "aws:backup:backup-vault"
              },
              "Bool": {
                  "kms:GrantIsForAWSResource": true
              },
              "StringLike": {
                  "kms:ViaService": "backup.*.amazonaws.com"
              }
          }
      }
    ]
}
```

------

이러한 권한은 AWS 관리형이든 고객 관리형이든 키의 일부여야 합니다.

1. 필요한 권한이 KMS 키 정책의 일부인지 확인

   1. KMS CLI `get-key-policy`([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html))를 실행하여 지정된 KMS 키에 연결된 키 정책을 봅니다.

   1. 반환된 권한을 검토합니다.

1. 작업에 영향을 미치는 거부 문이 없는지 확인합니다.

   1. CLI `get-key-policy`([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html))를 실행(또는 다시 실행)하여 지정된 KMS 키에 연결된 키 정책을 봅니다.

   1. 정책을 검토합니다.

   1. KMS 키 정책에서 관련 거부 문을 제거합니다.

1. 필요한 경우 [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)를 실행하여 키 정책을 수정된 권한으로 바꾸거나 업데이트하고 거부 문을 제거합니다.

또한 교차 리전 복사 작업을 시작하는 역할과 연결된 키는 `DescribeKey` 권한에 `"kms:ResourcesAliases": "alias/aws/backup"`가 있어야 합니다.

# 가상 머신 하이퍼바이저 보안 인증 정보 암호화
<a name="bgw-hypervisor-encryption-page"></a>

[하이퍼바이저로 관리되는](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html) 가상 머신은 [AWS Backup 게이트웨이](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html)를 사용하여 온프레미스 시스템을 AWS Backup에 연결합니다. 하이퍼바이저도 마찬가지로 강력하고 신뢰할 수 있는 보안을 유지하는 것이 중요합니다. 이 보안은 AWS 소유 키 또는 고객 관리형 키로 하이퍼바이저를 암호화하여 달성할 수 있습니다.

## AWS 소유 및 고객 관리형 키
<a name="bgw-encryption-keys"></a>

AWS Backup 는 소유 암호화 키를 사용하여 **AWS 민감한 고객 로그인 정보를 보호하기 위해 하이퍼바이저 자격 증명에 대한 암호화**를 제공합니다. **고객 관리형 키**를 대신 사용할 수도 있습니다.

기본적으로 하이퍼바이저에서 자격 증명을 암호화하는 데 사용되는 키는 **AWS 소유 키**입니다.는 이러한 키를 AWS Backup 사용하여 하이퍼바이저 자격 증명을 자동으로 암호화합니다. AWS 소유 키를 보거나 관리하거나 사용할 수 없으며 사용을 감사할 수도 없습니다. 하지만 데이터를 암호화하는 키를 보호하기 위해 어떤 작업을 수행하거나 어떤 프로그램을 변경할 필요가 없습니다. 자세한 내용은 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)의 AWS 소유 키를 참조하세요.

또는 **고객 관리형 키를 사용하여 보안 인증 정보를 암호화할 수도 있습니다. AWS Backup 은 사용자가 암호화를 수행하기 위해 생성, 소유, 관리하는 대칭 고객 관리형 키의 사용을 지원합니다. 이 암호화를 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
+ 키 정책 수립 및 유지
+ IAM 정책 및 권한 부여 수립 및 유지
+ 키 정책 활성화 및 비활성화
+ 키 암호화 자료 교체
+  태그 추가
+ 키 별칭 만들기
+ 삭제를 위한 스케줄 키

고객 관리형 키를 사용하는 경우는 역할이 (백업 또는 복원 작업이 실행되기 전에)이 키를 사용하여 복호화할 수 있는 권한이 있는지 AWS Backup 확인합니다. 백업 또는 복원 작업을 시작하는 데 사용되는 역할에 `kms:Decrypt` 작업을 추가해야 합니다.

기본 백업 역할에는 `kms:Decrypt` 작업을 추가할 수 없으므로 고객 관리형 키를 사용하려면 기본 백업 역할 이외의 역할을 사용해야 합니다.

자세한 내용은 *AWS Key Management Service *개발자 안내서의 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)를 참조하세요.

## 고객 관리형 키 사용 시 필요한 권한 부여
<a name="encryption-grant"></a>

AWS KMS 고객 관리형 키를 사용하려면에 [ 권한 부여](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)가 필요합니다. 고객 관리형 키로 암호화된 [ 하이퍼바이저 구성을](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html) 가져올 때는에 [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 요청을 보내 사용자를 대신하여 권한 부여를 AWS Backup 생성합니다 AWS KMS.는 고객 계정의 KMS 키에 액세스하기 위한 권한 부여를 AWS Backup 사용합니다.

언제든지 권한 부여에 대한 액세스를 취소하거나 고객 관리형 키에 대한 AWS Backup액세스를 제거할 수 있습니다. 이렇게 하면 하이퍼바이저와 연결된 모든 게이트웨이가 고객 관리형 키로 암호화된 하이퍼바이저의 사용자 이름 및 암호에 더 이상 액세스할 수 없게 되어 백업 및 복원 작업에 영향을 미칠 수 있습니다. 특히, 이 하이퍼바이저의 가상 머신에서 수행하는 백업 및 복원 작업은 실패합니다.

Backup 게이트웨이는 사용자가 하이퍼바이저를 삭제하면 `RetireGrant` 작업을 사용하여 권한 부여를 제거합니다.

## 암호화 키 모니터링
<a name="monitoring-encryption-keys"></a>

 AWS Backup 리소스와 함께 AWS KMS 고객 관리형 키를 사용하는 경우 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 또는 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)를 사용하여가 로 AWS Backup 보내는 요청을 추적할 수 있습니다 AWS KMS.

고객 관리형 키로 암호화된 데이터에 액세스하기 위해에서 호출한 AWS KMS 작업을 모니터링 AWS Backup 하려면에 다음 `"eventName"` 필드가 있는 AWS CloudTrail 이벤트를 찾습니다.
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`

# 의 자격 증명 및 액세스 관리 AWS Backup
<a name="backup-iam"></a>

에 액세스하려면 자격 증명이 AWS Backup 필요합니다. 이러한 보안 인증 정보에는 AWS 리소스(예: Amazon DynamoDB 데이터베이스 또는 Amazon EFS 파일 시스템)에 액세스할 수 있는 권한이 있어야 합니다. 또한 일부 AWS Backup지원 서비스에 AWS Backup 대해에서 생성한 복구 시점은 소스 서비스(예: Amazon EFS)를 사용하여 삭제할 수 없습니다. 를 사용하여 이러한 복구 시점을 삭제할 수 있습니다 AWS Backup.

다음 섹션에서는 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 및 AWS Backup 를 사용하여 리소스에 대한 액세스를 보호하는 방법에 대한 세부 정보를 제공합니다.

**주의**  
AWS Backup 는 복구 시점 수명 주기를 관리하기 위해 리소스를 할당할 때 선택한 것과 동일한 IAM 역할을 사용합니다. 해당 역할을 삭제하거나 수정하면 AWS Backup 에서 복구 시점 수명 주기를 관리할 수 없습니다. 이 경우 서비스 연결 역할을 사용하여 수명 주기를 관리하려고 시도합니다. 일부 경우에는 이 방법도 작동하지 않아 스토리지에 `EXPIRED` 복구 시점이 남아 원치 않는 비용이 발생할 수 있습니다. `EXPIRED` 복구 시점을 삭제하려면 [백업 삭제](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html)의 절차를 사용하여 복구 시점을 수동으로 삭제하세요.

**Topics**
+ [Authentication](authentication.md)
+ [액세스 관리](access-control.md)
+ [IAM 서비스 역할](iam-service-roles.md)
+ [에 대한 관리형 정책 AWS Backup](security-iam-awsmanpol.md)
+ [에 대한 서비스 연결 역할 사용 AWS Backup](using-service-linked-roles.md)
+ [교차 서비스 혼동된 대리인 방지](cross-service-confused-deputy-prevention.md)

# Authentication
<a name="authentication"></a>

 AWS Backup 또는 백업 중인 AWS 서비스에 액세스하려면가 요청을 인증하는 데 사용할 AWS 수 있는 자격 증명이 필요합니다. 다음 자격 증명 유형 중 AWS 하나로에 액세스할 수 있습니다.
+ **AWS 계정 루트 사용자** - 가입할 때 계정 AWS 과 연결된 이메일 주소와 암호를 AWS제공합니다. 이것은 *AWS 계정 *루트 사용자입니다. 자격 증명은 모든 AWS 리소스에 대한 완전한 액세스를 제공합니다.
**중요**  
보안상 **관리자를 생성할 때만 루트 사용자를 사용하는 것이 좋습니다. 관리자는 AWS 계정에 대한 모든 권한을 가진 *IAM *사용자입니다. 그런 다음 이 관리자 사용자를 사용하여 제한된 권한이 있는 다른 IAM 사용자 및 역할을 만들 수 있습니다. 자세한 내용은 *IAM *사용 설명서에서 [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) 및 [첫 번째 IAM 관리자 및 그룹 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)을 참조하세요.
+ **IAM 사용자** – [IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)는 특정 사용자 지정 권한(예: 백업을 저장할 백업 저장소를 생성할 수 있는 권한)이 있는 AWS 계정 내의 자격 증명입니다. IAM 사용자 이름과 암호를 사용하여 [AWS Management Console](https://console.aws.amazon.com/), [AWS 토론 포럼](https://forums.aws.amazon.com/) 또는 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)와 같은 보안 AWS 웹 페이지에 로그인할 수 있습니다.

  사용자 이름과 암호 외에도 각 사용자에 대해 [액세스 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)를 생성할 수 있습니다. [여러 SDKs](https://aws.amazon.com/developer/tools/) 또는 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)를 사용하여 프로그래밍 방식으로 AWS 서비스에 액세스할 때 이러한 키를 사용할 수 있습니다. SDK 및 AWS CLI 도구는 액세스 키를 사용하여 암호화 방식으로 요청에 서명합니다. AWS 도구를 사용하지 않는 경우 요청에 직접 서명해야 합니다. 요청 인증에 대한 자세한 내용은 *AWS 일반 참조*의 [서명 버전 4 서명 프로세스](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)를 참조하십시오.
+ **IAM 역할** – [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)은 계정에 만들 수 있는, 특정 권한을 지닌 또 하나의 IAM 자격 증명입니다. IAM 사용자와 유사하지만, 특정 개인과 연결되지 않습니다. IAM 역할을 사용하면 AWS 서비스 및 리소스에 액세스하는 데 사용할 수 있는 임시 액세스 키를 얻을 수 있습니다. 임시 보안 인증이 있는 IAM 역할은 다음과 같은 상황에서 유용합니다.
  + 페더레이션 사용자 액세스 - IAM 사용자를 생성하는 대신의 기존 사용자 자격 증명 Directory Service, 엔터프라이즈 사용자 디렉터리 또는 웹 자격 증명 공급자를 사용할 수 있습니다. 이 사용자를 **페더레이션 사용자라고 합니다. AWS 에서는 [자격 증명 공급자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)를 통해 액세스가 요청되면 페더레이션 사용자에게 역할을 할당합니다. 페더레이션 사용자에 대한 자세한 내용은 *IAM 사용자 안내서*의 [페더레이션 사용자 및 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)을 참조하세요.
  + 교차 계정 관리 - 계정의 IAM 역할을 사용하여 계정의 리소스를 관리할 수 있는 다른 AWS 계정 권한을 부여할 수 있습니다. 예제는 [IAM 사용 설명서의 자습서: IAM 역할을 AWS 계정 사용하여 간 액세스 권한 위임을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html). ** 
  + AWS 서비스 액세스 - 계정의 IAM 역할을 사용하여 계정의 리소스에 액세스할 수 있는 AWS 서비스 권한을 부여할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스에 대한 권한을 위임할 역할 생성을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
  + Amazon Elastic Compute Cloud(Amazon EC2)에서 실행되는 애플리케이션 - IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되고 AWS API 요청을 수행하는 애플리케이션의 임시 자격 증명을 관리할 수 있습니다. 이것은 EC2 인스턴스 내에 액세스 키를 저장하는 경우에 바람직한 방법입니다. EC2 인스턴스에 AWS 역할을 할당하고 모든 애플리케이션에서 사용할 수 있도록 하려면 인스턴스에 연결된 인스턴스 프로파일을 생성합니다. 인스턴스 프로파일에는 역할이 포함되어 있으며 EC2 인스턴스에서 실행되는 프로그램이 임시 자격 증명을 얻을 수 있습니다. 자세한 정보는 *IAM* 사용 설명서의 [IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)를 참조하세요.

    

# 액세스 관리
<a name="access-control"></a>

요청을 인증하는 데 유효한 자격 증명이 있을 수 있지만 적절한 권한이 없으면 백업 볼트와 같은 AWS Backup 리소스에 액세스할 수 없습니다. 또한 Amazon Elastic Block Store(Amazon EBS) 볼륨과 같은 AWS 리소스는 백업할 수 없습니다.

모든 AWS 리소스는에서 소유하며 AWS 계정, 리소스를 생성하거나 액세스할 수 있는 권한은 권한 정책에 의해 관리됩니다. 계정 관리자는 AWS Identity and Access Management (IAM) 자격 증명(즉, 사용자, 그룹 및 역할)에 권한 정책을 연결할 수 있습니다. 일부 서비스에서도 리소스에 권한 정책 연결을 지원합니다.

**계정 관리자(또는 관리자 사용자)는 관리자 권한이 있는 사용자입니다. 자세한 내용은 *IAM* 사용 설명서의 [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 단원을 참조하세요.

권한을 부여하려면 권한을 부여 받을 사용자, 권한 대상이 되는 리소스, 해당 리소스에 허용되는 특정 작업을 결정합니다.

다음 단원에서는 액세스 정책의 작동 방식과 액세스 정책을 사용하여 백업을 보호하는 방법에 대해 설명합니다.

**Topics**
+ [리소스 및 작업](#access-control-resources)
+ [리소스 소유권](#access-control-owner)
+ [정책 요소 지정: 작업, 효과, 보안 주체](#access-control-specify-backup-actions)
+ [정책에서 조건 지정](#specifying-conditions)
+ [API 권한: 작업, 리소스 및 조건 참조](#backup-api-permissions-ref)
+ [태그 복사 권한](#copy-tags)
+ [액세스 정책](#access-policies)

## 리소스 및 작업
<a name="access-control-resources"></a>

리소스는 서비스 내에 있는 객체입니다. AWS Backup 리소스에는 백업 계획, 백업 볼트 및 백업이 포함됩니다. *백업*은에 있는 다양한 유형의 백업 리소스를 가리키는 일반적인 용어입니다 AWS. 예를 들어 Amazon EBS 스냅샷, Amazon Relational Database Service(Amazon RDS) 스냅샷, Amazon DynamoDB 백업은 모두 백업 리소스 유형입니다.

에서는 AWS Backup백업을 *복구 시점*이라고도 합니다. 를 사용할 때는 Amazon EBS 볼륨 또는 DynamoDB 테이블과 같이 보호하려는 다른 AWS 서비스의 리소스 AWS Backup도 사용합니다. 이러한 리소스에는 고유한 Amazon 리소스 이름(ARN)이 연결됩니다. ARNs AWS 리소스를 고유하게 식별합니다. IAM 정책 또는 API 직접 호출과 같은 모든 AWS에서 리소스를 명료하게 지정해야 하는 경우 ARN이 필요합니다.

다음 표에는 리소스, 하위 리소스, ARN 형식 및 고유 ID 예제가 나와 있습니다.


**AWS Backup 리소스 ARNs**  

| 리소스 유형 | ARN 형식 | 고유 ID 예제 | 
| --- | --- | --- | 
| 백업 계획 | arn:aws:backup:region:account-id:backup-plan:\$1 |  | 
| 백업 저장소 | arn:aws:backup:region:account-id:backup-vault:\$1 |  | 
| Amazon EBS의 복구 시점 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 | 
| Amazon EC2 이미지의 복구 시점 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 | 
| Amazon RDS의 복구 시점 | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Aurora의 복구 시점 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Aurora DSQL의 복구 시점 | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a | 
| Storage Gateway의 복구 시점 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 | 
| DynamoDB의 복구 시점([고급 DynamoDB 백업](advanced-ddb-backup.md) 없음) | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 | 
| DynamoDB의 복구 시점([고급 DynamoDB 백업](advanced-ddb-backup.md) 활성화됨) | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 | 
| Amazon EFS의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e | 
| Amazon FSx의 복구 시점 | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 | 
| 가상 머신의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b | 
| Amazon S3 연속 백업의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 | 
| S3 정기 백업의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 | 
| Amazon DocumentDB의 복구 시점 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Neptune의 복구 시점 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Amazon Redshift의 복구 시점 | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Amazon Redshift Serverless의 복구 시점 | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Amazon Timestream의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta | 
|  AWS CloudFormation 템플릿의 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 
| Amazon EC2 인스턴스의 SAP HANA 데이터베이스에 대한 복구 시점 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 

전체 AWS Backup 관리를 지원하는 리소스에는 모두 형식의 복구 시점이 있습니다`arn:aws:backup:region:account-id::recovery-point:*`. 따라서 권한 정책을 더 쉽게 적용하여 해당 복구 시점을 보호할 수 있습니다. 전체 AWS Backup 관리를 지원하는 리소스를 확인하려면 [리소스별 기능 가용성](backup-feature-availability.md#features-by-resource) 표의 해당 섹션을 참조하세요.

AWS Backup 는 AWS Backup 리소스 작업을 위한 일련의 작업을 제공합니다. 사용 가능한 작업 목록은 AWS Backup [작업](API_Operations.md) 섹션을 참조하십시오.

## 리소스 소유권
<a name="access-control-owner"></a>

는 누가 리소스를 생성했는지에 관계없이 계정에서 생성된 리소스를 AWS 계정 소유합니다. 특히 리소스 소유자는 리소스 생성 요청을 인증하는 AWS 계정 [보안 주체 엔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)터티(즉, AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할)의 입니다. 다음 예제에서는 이러한 작동 방법을 설명합니다.
+ 의 AWS 계정 루트 사용자 자격 증명을 사용하여 백업 볼트를 AWS 계정 생성하는 경우 AWS 계정 는 볼트의 소유자입니다.
+ 에서 IAM 사용자를 생성하고 해당 사용자에게 백업 볼트를 생성할 수 있는 권한을 AWS 계정 부여하는 경우 사용자는 백업 볼트를 생성할 수 있습니다. 하지만 백업 저장소 리소스는 그 사용자가 속한 AWS 계정이 소유합니다.
+ 에서 백업 볼트를 생성할 권한이 AWS 계정 있는 IAM 역할을 생성하는 경우 해당 역할을 수임할 수 있는 사람은 누구나 볼트를 생성할 수 있습니다. 역할 AWS 계정이 속한이 백업 볼트 리소스를 소유합니다.

## 정책 요소 지정: 작업, 효과, 보안 주체
<a name="access-control-specify-backup-actions"></a>

각 AWS Backup 리소스( 참조[리소스 및 작업](#access-control-resources))에 대해 서비스는 API 작업 세트를 정의합니다( 참조[작업](API_Operations.md)). 이러한 API 작업에 대한 권한을 부여하기 위해는 정책에서 지정할 수 있는 일련의 작업을 AWS Backup 정의합니다. API 작업을 실시하려면 둘 이상의 작업에 대한 권한이 필요할 수 있습니다.

다음은 가장 기본적인 정책 요소입니다.
+ 리소스 – 정책에서 Amazon 리소스 이름(ARN)을 사용하여 정책을 적용할 리소스를 식별합니다. 자세한 내용은 [리소스 및 작업](#access-control-resources) 단원을 참조하십시오.
+ 작업 – 작업 키워드를 사용하여 허용 또는 거부할 리소스 작업을 식별합니다.
+ 결과 – 사용자가 특정 작업을 요청하는 경우의 결과를 지정합니다. 이는 허용 또는 거부 중에 하나가 될 수 있습니다. 명시적으로 리소스에 대한 액세스 권한을 부여(허용)하지 않는 경우, 액세스는 묵시적으로 거부됩니다. 다른 정책에서 액세스 권한을 부여하는 경우라도 사용자가 해당 리소스에 액세스할 수 없도록 하기 위해 리소스에 대한 권한을 명시적으로 거부할 수도 있습니다.
+ 보안 주체 – ID 기반 정책(IAM 정책)에서 정책이 연결되는 사용자는 암시적인 보안 주체입니다. 리소스 기반 정책의 경우, 사용자, 계정, 서비스 또는 권한의 수신자인 기타 개체를 지정합니다(리소스 기반 정책에만 해당).

IAM 정책 구문 및 설명에 대해 자세히 알아보려면 *IAM* 사용 설명서의 [ IAM JSON 정책 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) 단원을 참조하세요.

모든 AWS Backup API 작업을 보여주는 표는 섹션을 참조하세요[API 권한: 작업, 리소스 및 조건 참조](#backup-api-permissions-ref).

## 정책에서 조건 지정
<a name="specifying-conditions"></a>

권한을 부여할 때 IAM 정책 언어를 사용하여 정책이 적용되는 조건을 지정할 수 있습니다. 예를 들어, 특정 날짜 이후에만 정책을 적용할 수 있습니다. 정책 언어에서의 조건 지정에 관한 자세한 내용은 *IAM 사용자 안내서*의 [조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.

AWS 는 전역 조건 키와 서비스별 조건 키를 지원합니다. 모든 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)를 참조하세요.

AWS Backup 는 자체 조건 키 세트를 정의합니다. AWS Backup 조건 키 목록을 보려면 *서비스 승인* 참조의에 [대한 조건 키를 AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys) 참조하세요.

## API 권한: 작업, 리소스 및 조건 참조
<a name="backup-api-permissions-ref"></a>

[액세스 관리](#access-control)을 설정하고 IAM 자격 증명에 연결할 수 있는 권한 정책(자격 증명 기반 정책)을 작성할 때 다음 테이블 을 참조로 사용할 수 있습니다. 표 목록 목록에 있습니다. AWS Backup AWS 정책의 `Action`필드에서 작업을 지정하고, 정책의 `Resource`필드에서 리소스 값을 지정합니다. `Resource` 필드가 비어 있는 경우 와일드카드(`*`)를 사용하여 모든 리소스를 포함할 수 있습니다.

 AWS Backup 정책에서 AWS전체 조건 키를 사용하여 조건을 표시할 수 있습니다. AWS전체 키의 전체 목록은 *IAM 사용 설명서*의 [사용 가능한 키를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys).

스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.


**AWS Backup API 및 작업에 필요한 권한**  

| AWS Backup API 작업 | 필요한 권한(API 작업) | 리소스 | 
| --- | --- | --- | 
|  [CreateBackupPlan](API_CreateBackupPlan.md)  | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupSelection](API_CreateBackupSelection.md)  | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupVault](API_CreateBackupVault.md)  |  `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey`  |  arn:aws:backup:region:account-id:backup-vault:\$1 대상 `backup-storage`: \$1 `kms`의 경우: `arn:aws:kms:region:account-id:key/keystring` | 
|  [DeleteBackupPlan](API_DeleteBackupPlan.md)  | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupSelection](API_DeleteBackupSelection.md)  | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupVault](API_DeleteBackupVault.md)  | backup:DeleteBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md)  | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md)  |  backup:DeleteBackupVaultNotifications 1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md)  |  backup:DeleteRecoveryPoint 1  | 2 | 
|  [DescribeBackupJob](API_DescribeBackupJob.md)  | backup:DescribeBackupJob |  | 
|  [DescribeBackupVault](API_DescribeBackupVault.md)  |  backup:DescribeBackupVault 1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DescribeProtectedResource](API_DescribeProtectedResource.md)  | backup:DescribeProtectedResource |  | 
|  [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md)  |  backup:DescribeRecoveryPoint 1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [DescribeRestoreJob](API_DescribeRestoreJob.md)  | backup:DescribeRestoreJob |  | 
|  [DescribeRegionSettings](API_DescribeRegionSettings.md)  |  backup:DescribeRegionSettings  |  | 
|  [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md)  | backup:ExportBackupPlanTemplate |  | 
|  [GetBackupPlan](API_GetBackupPlan.md)  | backup:GetBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md)  | backup:GetBackupPlanFromJSON |  | 
|  [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md)  | backup:GetBackupPlanFromTemplate |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupSelection](API_GetBackupSelection.md)  | backup:GetBackupSelection |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md)  |  backup:GetBackupVaultAccessPolicy 1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md)  |  backup:GetBackupVaultNotifications 1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md)  |  backup:GetRecoveryPointRestoreMetadata 1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md)  | backup:GetSupportedResourceTypes |  | 
|  [ListBackupJobs](API_ListBackupJobs.md)  | backup:ListBackupJobs |  | 
|  [ListBackupPlans](API_ListBackupPlans.md)  | backup:ListBackupPlans |  | 
|  [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md)  | backup:ListBackupPlanTemplates |  | 
|  [ListBackupPlanVersions](API_ListBackupPlanVersions.md)  | backup:ListBackupPlanVersions |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupSelections](API_ListBackupSelections.md)  | backup:ListBackupSelections |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupVaults](API_ListBackupVaults.md)  | backup:ListBackupVaults |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListProtectedResources](API_ListProtectedResources.md)  | backup:ListProtectedResources |  | 
|  [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md)  |  backup:ListRecoveryPointsByBackupVault 1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md)  | backup:ListRecoveryPointsByResource |  | 
|  [ListRestoreJobs](API_ListRestoreJobs.md)  | backup:ListRestoreJobs |  | 
|  [ListTags](API_ListTags.md)  | backup:ListTags |  | 
|  [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md)  |  backup:PutBackupVaultAccessPolicy 1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md)  |  backup:PutBackupVaultLockConfiguration 1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md)  |  backup:PutBackupVaultNotifications 1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartBackupJob](API_StartBackupJob.md)  | backup:StartBackupJob |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartRestoreJob](API_StartRestoreJob.md)  | backup:StartRestoreJob |  `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3  | 
|  [StopBackupJob](API_StopBackupJob.md)  | backup:StopBackupJob |  | 
|  [TagResource](API_TagResource.md)  | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 | 
|  [UntagResource](API_UntagResource.md)  | backup:UntagResource |  | 
|  [UpdateBackupPlan](API_UpdateBackupPlan.md)  | backup:UpdateBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md)  |  backup:UpdateRecoveryPointLifecycle 1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [UpdateRegionSettings](API_UpdateRegionSettings.md)  |  `backup:UpdateRegionSettings` `backup:DescribeRegionSettings`  |  | 

1 기존 저장소 액세스 정책을 사용합니다.

2 리소스별 복구 시점 ARN에 대해서는 [AWS Backup 리소스 ARNs](#resource-arns-table)을 참조하십시오.

3 `StartRestoreJob`에는 리소스의 메타데이터에 키-값 페어가 있어야 합니다. 리소스의 메타데이터를 가져오려면 `GetRecoveryPointRestoreMetadata` API를 호출합니다.

자세한 내용은 *서비스 권한 부여 참조*에서 [AWS Backup에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)를 참조하세요.

## 태그 복사 권한
<a name="copy-tags"></a>

가 백업 또는 복사 작업을 AWS Backup 수행하면 소스 리소스(또는 복사의 경우 복구 시점)에서 복구 시점으로 태그를 복사하려고 시도합니다.

**참고**  
AWS Backup 는 복원 작업 중에 태그를 기본적으로 복사**하지** 않습니다. 복원 작업 중에 태그를 복사하는 이벤트 기반 아키텍처는 [AWS Backup 복원 작업에서 리소스 태그를 유지하는 방법을 참조하세요](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/).

백업 또는 복사 작업 중에는 백업 계획(또는 복사 계획 또는 온디맨드 백업)에 지정한 태그를 소스 리소스의 태그와 AWS Backup 집계합니다. 그러나는 리소스당 50개의 태그를 AWS 적용하며,이 제한은를 초과할 AWS Backup 수 없습니다. 백업 또는 복사 작업이 계획과 소스 리소스의 태그를 집계할 때 총 50개가 넘는 태그를 발견할 수 있으며, 이 경우 작업을 완료할 수 없고 작업이 실패합니다. 이는 AWS전체 태그 지정 모범 사례와 일치합니다.
+ 백업 작업 태그를 소스 리소스 태그로 집계한 후 리소스에 50개 이상의 태그가 있습니다.는 리소스당 최대 50개의 태그를 AWS 지원합니다.
+ 에 제공하는 IAM 역할에는 소스 태그를 읽거나 대상 태그를 설정할 수 있는 권한이 AWS Backup 없습니다. 자세한 내용 및 샘플 IAM 역할 정책은 [관리형 정책](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies)을 참조하세요.

백업 계획(복구 지점에 추가된 태그)을 사용하여 소스 리소스 태그와 모순되는 태그를 생성할 수 있습니다. 두 태그가 충돌하는 경우 백업 계획의 태그가 우선합니다. 소스 리소스의 태그 값을 복사하지 않으려면 이 방법을 사용하세요. 백업 계획을 사용하여 동일한 태그 키를 지정하되 다른 값 또는 빈 값을 지정합니다.


**백업에 태그를 할당하는 데 필요한 사용 권한**  

| 리소스 유형 | 필수 권한 | 
| --- | --- | 
| Amazon EFS 파일 시스템 | `elasticfilesystem:DescribeTags` | 
| Amazon FSx 파일 시스템 | `fsx:ListTagsForResource` | 
| Amazon RDS 데이터베이스 및 Amazon Aurora 클러스터 |  `rds:AddTagsToResource` `rds:ListTagsForResource`  | 
| Storage Gateway 볼륨 | `storagegateway:ListTagsForResource` | 
| Amazon EC2 인스턴스 및 Amazon EBS 볼륨 |  `EC2:CreateTags` `EC2:DescribeTags`  | 

DynamoDB는 먼저 [고급 DynamoDB 백업](advanced-ddb-backup.md)을 활성화하지 않는 한 백업에 태그 할당을 지원하지 않습니다.

Amazon EC2 백업이 이미지 복구 시점과 스냅샷 세트를 생성하면 AWS Backup 는 생성된 AMI에 태그를 복사합니다. AWS Backup 또한는 Amazon EC2 인스턴스와 연결된 볼륨의 태그를 결과 스냅샷에 복사합니다.

## 액세스 정책
<a name="access-policies"></a>

**권한 정책은 누가 무엇에 액세스할 수 있는지를 나타냅니다. IAM 자격 증명에 연결된 정책을 **자격 증명 기반 정책(IAM 정책)이라고 합니다. 리소스에 연결된 정책을 *리소스 기반* 정책이라고 합니다.는 자격 증명 기반 정책과 리소스 기반 정책을 모두 AWS Backup 지원합니다.

**참고**  
이 섹션에서는 컨텍스트에서 IAM을 사용하는 방법에 대해 설명합니다 AWS Backup. IAM 서비스에 대한 자세한 내용은 다루지 않습니다. 전체 IAM 설명은 *IAM 사용자 가이드*에서 [IAM이란 무엇인가?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)를 참조하십시오. IAM 정책 구문과 설명에 대한 자세한 내용은 *IAM* 사용 설명서의 [IAM JSON Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)를 참조하세요.

### 자격 증명 기반 정책(IAM 정책)
<a name="identity-based-policies"></a>

자격 증명 기반 정책은 사용자 또는 역할과 같은 IAM 자격 증명에 연결할 수 있는 정책입니다. 예를 들어 사용자가 AWS 리소스를 보고 백업할 수 있도록 허용하지만 백업을 복원할 수는 없도록 하는 정책을 정의할 수 있습니다.

사용자, 그룹, 역할 및 권한에 대한 자세한 내용은 *IAM* 사용 설명서의 [자격 증명(사용자, 그룹 및 역할)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)을 참조하세요.

IAM 정책을 사용하여 백업에 대한 액세스를 제어하는 방법에 대한 자세한 내용은 [에 대한 관리형 정책 AWS Backup](security-iam-awsmanpol.md) 단원을 참조하세요.

### 리소스 기반 정책
<a name="resource-based-policies"></a>

AWS Backup 는 백업 볼트에 대한 리소스 기반 액세스 정책을 지원합니다. 따라서 백업 저장소에 구성된 백업에 대해 어떤 사용자가 어떠한 종류의 권한을 갖는지를 제어하는 액세스 정책을 정의할 수 있습니다. 백업 저장소에 대한 리소스 기반 액세스 정책을 사용하면 백업에 대한 액세스를 쉽게 제어할 수 있습니다.

백업 볼트 액세스 정책은 AWS Backup APIs. Amazon Elastic Block Store(Amazon EBS) 및 Amazon Relational Dabase Service(Amazon RDS) 스냅샷과 같은 일부 백업 유형도 해당 서비스의 API를 사용하여 액세스할 수 있습니다. API에 대한 액세스를 제어하는 별도의 액세스 정책을 IAM에 생성하면 백업에 대한 액세스를 완전히 제어할 수 있습니다.

백업 저장소에 대한 액세스 정책을 생성하는 방법에 대한 자세한 내용은 [볼트 액세스 정책](create-a-vault-access-policy.md) 단원을 참조하세요.

# IAM 서비스 역할
<a name="iam-service-roles"></a>

 AWS Identity and Access Management (IAM) 역할은 자격 AWS 증명이 할 수 있는 것과 없는 것을 결정하는 권한 정책이 있는 자격 증명이라는 점에서 사용자와 유사합니다 AWS. 그러나 역할은 한 사람하고만 연관되지 않고 해당 역할이 필요한 사람이라면 누구든지 맡을 수 있어야 합니다. 서비스 역할은 AWS 서비스가 사용자를 대신하여 작업을 수행하기 위해 수임하는 역할입니다. 사용자 대신 백업 작업을 수행하는 서비스인 AWS Backup 에 사용자 대신 백업 작업을 수행할 때 맡아야 할 역할을 전달해야 합니다. IAM 역할에 대한 자세한 내용은 *IAM* 사용 설명서의 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 섹션을 참조하세요.

에 전달하는 역할에는가 백업 생성, 복원 또는 만료와 같은 백업 작업과 관련된 작업을 AWS Backup 수행할 수 있는 권한이 있는 IAM 정책이 AWS Backup 있어야 합니다. 가 AWS Backup 지원하는 각 AWS 서비스에 대해 서로 다른 권한이 필요합니다. 또한 역할은가 역할을 수임 AWS Backup 할 수 있는 신뢰할 수 있는 엔터티로 AWS Backup 나열되어 있어야 합니다.

백업 계획에 리소스를 할당하거나 온디맨드 백업, 복사 또는 복원을 수행하는 경우 지정된 리소스에서 기본 작업을 수행할 수 있는 액세스 권한이 있는 서비스 역할을 전달해야 합니다.는이 역할을 AWS Backup 사용하여 계정에서 리소스를 생성, 태그 지정 및 삭제합니다.

## AWS 역할을 사용하여 백업에 대한 액세스 제어
<a name="using-roles-to-control-access"></a>

좁은 범위의 역할을 정의하고 해당 역할을 AWS Backup에 전달할 수 있는 사용자를 지정하여 역할을 통해 백업에 대한 액세스를 제어할 수 있습니다. 예를 들어 Amazon Relational Database Service(RDS) 데이터베이스를 백업할 수 있는 권한만 부여하고 Amazon RDS 데이터베이스 소유자에게 해당 역할을 전달할 수 있는 권한만 부여하는 역할을 생성할 수 있습니다 AWS Backup.는 지원되는 각 서비스에 대해 사전 정의된 여러 관리형 정책을 AWS Backup 제공합니다. 이러한 관리형 정책을 생성한 역할에 연결할 수 있습니다. 이렇게 하면에 AWS Backup 필요한 올바른 권한이 있는 서비스별 역할을 더 쉽게 생성할 수 있습니다.

의 AWS 관리형 정책에 대한 자세한 내용은 섹션을 AWS Backup참조하세요[에 대한 관리형 정책 AWS Backup](security-iam-awsmanpol.md).

## 에 대한 기본 서비스 역할 AWS Backup
<a name="default-service-roles"></a>

 AWS Backup 콘솔을 처음 사용하는 경우 기본 서비스 역할을 AWS Backup 생성하도록 선택할 수 있습니다. 이 역할에는 사용자를 대신하여 백업을 생성하고 복원하는 데 AWS Backup 필요한 권한이 있습니다.

**참고**  
 AWS Management Console을 사용하면 기본 역할이 자동으로 생성됩니다. AWS Command Line Interface (AWS CLI)를 사용하여 기본 역할을 생성할 수 있지만 수동으로 수행해야 합니다.

리소스 유형별로 별도의 역할을 사용하는 등 사용자 지정 역할을 사용하려는 경우 그렇게 할 수도 있으며 사용자 지정 역할을 AWS Backup에 전달할 수 있습니다. 개별 리소스 유형에 대해 백업 및 복원을 활성화하는 역할의 예제를 보려면 [고객 관리형 정책](security-iam-awsmanpol.md#customer-managed-policies) 표를 참조하세요.

기본 서비스 역할 이름은 `AWSBackupDefaultServiceRole`입니다. 이 서비스 역할에는 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 및 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)라는 두 가지 관리형 정책이 포함되어 있습니다.

`AWSBackupServiceRolePolicyForBackup` 에는 백업되는 리소스를 설명할 수 있는 AWS Backup 권한, 암호화된 AWS KMS 키에 관계없이 백업에 태그를 생성, 삭제, 설명 또는 추가할 수 있는 권한을 부여하는 IAM 정책이 포함되어 있습니다.

`AWSBackupServiceRolePolicyForRestores` 에는 암호화된 AWS KMS 키에 관계없이 백업에서 생성되는 새 리소스를 생성, 삭제 또는 설명할 수 있는 AWS Backup 권한을 부여하는 IAM 정책이 포함되어 있습니다. 새로 생성된 리소스에 태그를 지정할 수 있는 권한도 포함됩니다.

Amazon EC2 인스턴스를 복원하려면 새 인스턴스를 시작해야 합니다.

## 콘솔에서 기본 서비스 역할 생성
<a name="creating-default-service-role-console"></a>

 AWS Backup 콘솔에서 수행하는 특정 작업은 AWS Backup 기본 서비스 역할을 생성합니다.

**AWS 계정에서 AWS Backup 기본 서비스 역할을 생성하려면**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.

1. 계정을 위해 역할을 생성하려면 백업 계획에 리소스를 할당하거나 온디맨드 백업을 생성합니다.

   1. 백업 계획을 생성하고 백업에 리소스를 할당합니다. [백업 계획 생성](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)을 참조하세요.

   1. 또는 온디맨드 백업을 생성합니다. [온디맨드 백업 생성](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html)을 참조하세요.

1.  다음 단계에 따라 계정에 `AWSBackupDefaultServiceRole`이 생성되었는지 확인합니다.

   1. 몇 분간 기다리십시오. 자세한 내용은 *AWS Identity and Access Management* 사용 설명서의 [변경 사항이 매번 즉시 표시되는 것은 아닙니다](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency)를 참조하세요.

   1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.

   1. 왼쪽 탐색 메뉴에서 **역할**을 선택합니다.

   1. 검색 창에 `AWSBackupDefaultServiceRole`를 입력합니다. 이 선택 항목이 있는 경우 AWS Backup 기본 역할을 생성하고이 절차를 완료했습니다.

   1. 그래도 `AWSBackupDefaultServiceRole`이 표시되지 않으면 콘솔에 액세스하는 데 사용하는 IAM 사용자 또는 IAM 역할에 다음 권한을 추가합니다.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement":[
          {
            "Effect":"Allow",
            "Action":[
              "iam:CreateRole",
              "iam:AttachRolePolicy",
              "iam:PassRole"
            ],
            "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
          },
          {
            "Effect":"Allow",
            "Action":[
              "iam:ListRoles"
            ],
            "Resource":"*"
          }
        ]
      }
      ```

------

      중국 리전의 경우 *aws*를 *aws-cn*으로 바꿉니다. AWS GovCloud (US) 리전의 경우 *aws를* *aws-us-gov*로 바꿉니다.

   1. IAM 사용자 또는 IAM 역할에 권한을 추가할 수 없는 경우 관리자에게 `AWSBackupDefaultServiceRole`과 **다른 이름으로 역할을 수동으로 생성하고 해당 역할을 다음 관리형 정책에 연결하도록 요청하세요.
      + `AWSBackupServiceRolePolicyForBackup`
      + `AWSBackupServiceRolePolicyForRestores`

# 에 대한 관리형 정책 AWS Backup
<a name="security-iam-awsmanpol"></a>

관리형 정책은의 여러 사용자, 그룹 및 역할에 연결할 수 있는 독립 실행형 자격 증명 기반 정책입니다 AWS 계정. 정책을 보안 주체 엔터티에 추가할 경우 정책에서 정의한 권한까지 엔터티에게 부여하게 됩니다.

*AWS 관리형 정책은*에서 생성하고 관리합니다 AWS. AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 AWS 관리형 정책에 정의된 권한을 AWS 업데이트하면 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다.

*고객 관리형 정책은* 백업에 대한 액세스를 설정할 수 있는 세분화된 제어를 제공합니다 AWS Backup. 예를 들어 이러한 정책을 사용하여 데이터베이스 백업 관리자에게 Amazon RDS 백업에는 액세스할 수 있지만 Amazon EFS 백업에는 액세스할 수 없는 권한을 부여할 수 있습니다.

자세한 내용은 *IAM 사용 설명서*의 [ 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)을 참조하세요.

## AWS 관리형 정책
<a name="aws-managed-policies"></a>

AWS Backup 는 일반적인 사용 사례에 대해 다음과 같은 AWS 관리형 정책을 제공합니다. 이러한 정책을 사용하면 쉽게 올바른 권한을 정의하고 백업에 대한 액세스를 제어할 수 있습니다. 두 가지 유형의 관리형 정책이 있습니다. 한 유형은 AWS Backup에 대한 액세스를 제어하기 위해 사용자에게 할당되도록 고안되었습니다. 다른 유형의 관리형 정책은 AWS Backup에 전달하는 역할에 연결되도록 고안되었습니다. 다음 표에는 AWS Backup 이 제공하는 모든 관리형 정책 목록과 정책이 정의된 방식이 설명되어 있습니다. 또한 IAM 콘솔의 **정책** 섹션에도 이 관리형 정책이 표시됩니다.

**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)

### AWSBackupAuditAccess
<a name="AWSBackupAuditAccess"></a>

이 정책은 사용자가 AWS Backup 리소스 및 활동에 대한 기대치를 정의하는 제어 및 프레임워크를 생성하고 정의된 제어 및 프레임워크에 대해 AWS Backup 리소스 및 활동을 감사할 수 있는 권한을 부여합니다. 이 정책은 AWS Config 및 유사한 서비스에 감사를 수행하는 사용자 기대치를 설명할 수 있는 권한을 부여합니다.

또한 이 정책은 Amazon S3 및 유사한 서비스에 감사 보고서를 전송할 수 있는 권한을 부여하고 사용자가 감사 보고서를 검색하고 열람할 수 있도록 합니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html)를 참조하세요.

### AWSBackupDataTransferAccess
<a name="AWSBackupDataTransferAccess"></a>

이 정책은 AWS Backup 스토리지 영역 데이터 전송 APIs에 대한 권한을 제공하여 AWS Backint 에이전트가 AWS Backup 스토리지 영역으로 백업 데이터 전송을 완료할 수 있도록 합니다. 이 정책을 Backint 에이전트와 함께 SAP HANA를 실행하는 Amazon EC2 인스턴스가 수임한 역할에 연결할 수 있습니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html)를 참조하세요.

### AWSBackupFullAccess
<a name="AWSBackupFullAccess"></a>

백업 관리자는 백업 계획 생성 또는 편집, 백업 계획에 AWS 리소스 할당, 백업 복원을 포함한 AWS Backup 작업에 대한 전체 액세스 권한을 가집니다. 백업 관리자는 조직의 비즈니스 및 규제 요건에 맞는 백업 계획을 정의하여 백업 규정 준수를 확인하고 적용해야 합니다. 또한 백업 관리자는 조직의 AWS 리소스가 적절한 계획에 할당되도록 합니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)를 참조하세요.

### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
<a name="AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync"></a>

이 정책은 사용자를 대신하여 가상 머신의 메타데이터를 동기화할 수 있는 백업 게이트웨이 권한을 제공합니다.

이 정책의 권한을 보려면 *AWS 관리*형 정책 참조의 [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html)를 참조하세요.

### AWSBackupGuardDutyRolePolicyForScans
<a name="AWSBackupGuardDutyRolePolicyForScans"></a>

이 정책은 Amazon GuardDuty에 백업을 읽고 스캔할 수 있는 권한을 부여하는 새 스캔 역할에 추가해야 합니다. 맬웨어 보호 또는 스캔 설정 내에서이 스캔 역할을 백업 계획에 연결해야 합니다. AWS Backup은 스캔을 시작하면이 스캔 역할을 Amazon GuardDuty에 전달합니다.

이 정책의 권한을 보려면 *AWS 관리*형 정책 참조의 [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)를 참조하세요.

### AWSBackupOperatorAccess
<a name="AWSBackupOperatorAccess"></a>

백업 운영자는 리소스가 적절히 백업되도록 하는 업무를 담당하는 사용자입니다. 백업 운영자는 백업 관리자가 생성하는 백업 계획에 AWS 리소스를 할당할 수 있는 권한이 있습니다. 또한 AWS 리소스의 온디맨드 백업을 생성하고 온디맨드 백업의 보존 기간을 구성할 수 있는 권한도 있습니다. 백업 계획을 생성 또는 편집하거나 이미 생성되어 예약된 백업을 삭제할 수 있는 권한은 백업 운영자에게 없습니다. 백업 운영자는 백업을 복원할 수 있습니다. 백업 운영자가 백업 계획에 할당하거나 백업에서 복원할 수 있는 리소스 유형을 제한할 수 있습니다. 특정 리소스 유형에 대한 권한이 AWS Backup 있는에 특정 서비스 역할만 전달하도록 허용하면 됩니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html)를 참조하세요.

### AWSBackupOrganizationAdminAccess
<a name="AWSBackupOrganizationAdminAccess"></a>

조직 관리자는 백업 정책 생성, 편집 또는 삭제, 계정 및 조직 단위에 백업 정책 할당, 조직 내 백업 활동 모니터링 등 AWS Organizations 작업에 대한 전체 액세스 권한을 가집니다. 조직 관리자는 조직의 비즈니스 및 규제 요건에 맞는 백업 정책을 정의하고 할당하여 조직의 계정을 보호해야 합니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html)를 참조하세요.

### AWSBackupRestoreAccessForSAPHANA
<a name="AWSBackupRestoreAccessForSAPHANA"></a>

이 정책은 Amazon EC2에서 SAP HANA의 백업을 복원할 수 있는 AWS Backup 권한을 제공합니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html)를 참조하세요.

### AWSBackupSearchOperatorAccess
<a name="AWSBackupSearchOperatorAccess"></a>

검색 연산자 역할은 백업 인덱스를 생성하고 인덱싱된 백업 메타데이터의 검색을 생성할 수 있는 액세스 권한이 있습니다.

이 정책에는 해당 함수에 필요한 권한이 포함되어 있습니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html)를 참조하세요.

### AWSBackupServiceLinkedRolePolicyForBackup
<a name="AWSBackupServiceLinkedRolePolicyForBackup"></a>

이 정책은가 사용자를 대신하여 서비스를 AWS Backup 호출AWSServiceRoleforBackup하여 백업을 관리할 수 있도록 라는 AWS 서비스 연결 역할에 연결됩니다. 자세한 내용은 [역할을 사용하여 백업 및 복사](using-service-linked-roles-AWSServiceRoleForBackup.md) 단원을 참조하십시오.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)을 참조하세요.

### AWSBackupServiceLinkedRolePolicyForBackupTest
<a name="AWSBackupServiceLinkedRolePolicyForBackupTest"></a>

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html)를 확인하세요.

### AWSBackupServiceRolePolicyForBackup
<a name="AWSBackupServiceRolePolicyForBackup"></a>

사용자를 대신하여 지원되는 모든 리소스 유형의 백업을 생성할 수 있는 AWS Backup 권한을 제공합니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)을 참조하세요.

### AWSBackupServiceRolePolicyForItemRestores
<a name="AWSBackupServiceRolePolicyForItemRestores"></a>

**설명**

이 정책은 스냅샷(정기 백업 복구 시점)의 개별 파일 및 항목을 새 또는 기존 Amazon S3 버킷 또는 새 Amazon EBS 볼륨으로 복원할 수 있는 권한을 사용자에게 부여합니다. 이러한 권한에는 Amazon S3 버킷에 대한 AWS Backup 읽기/쓰기 권한으로 관리되는 스냅샷에 대한 Amazon EBS에 대한 읽기 권한과 AWS KMS 키에 대한 생성 및 설명 권한이 포함됩니다.

**이 정책 사용**

사용자, 그룹 및 역할에 `AWSBackupServiceRolePolicyForItemRestores`를 연결할 수 있습니다.

**정책 세부 정보**
+ **Type:** AWS managed 정책
+ **생성 시간:** 2024년 11월 21일, 22:45 UTC
+ **편집된 시간:** 첫 번째 인스턴스
+ **ARN**: `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`

**정책 버전:** v1(기본값)

이 정책의 버전은 정책에 대한 권한을 정의합니다. 정책이 있는 사용자 또는 역할이 AWS 리소스에 대한 액세스를 요청하면는 정책의 기본 버전을 AWS 확인하여 요청을 허용할지 여부를 결정합니다.

**JSON 정책 문서:**

#### AWSBackupServiceRolePolicyForItemRestores JSON
<a name="AWSBackupServiceRolePolicyForItemRestoresJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "S3ReadonlyPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "S3PermissionsForFileLevelRestore",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "KMSDataKeyForS3AndEC2Permissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com",
                        "s3.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForIndexing
<a name="AWSBackupServiceRolePolicyForIndexing"></a>

**설명**

이 정책은 사용자에게 주기적 복구 시점이라고도 하는 스냅샷을 인덱싱할 수 있는 권한을 부여합니다. 이러한 권한에는 Amazon S3 버킷에 대한 읽기/쓰기 권한으로 관리되는 스냅샷에 대한 Amazon EBS에 대한 AWS Backup 읽기 권한과 AWS KMS 키에 대한 생성 및 설명 권한이 포함됩니다.

**이 정책 사용**

사용자, 그룹 및 역할에 `AWSBackupServiceRolePolicyForIndexing`를 연결할 수 있습니다.

**정책 세부 정보**
+ **Type:** AWS managed 정책
+ **편집된 시간:** 첫 번째 인스턴스
+ **ARN**: `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`

**정책 버전:** v1(기본값)

이 정책의 버전은 정책에 대한 권한을 정의합니다. 정책이 있는 사용자 또는 역할이 AWS 리소스에 대한 액세스를 요청하면는 정책의 기본 버전을 AWS 확인하여 요청을 허용할지 여부를 결정합니다.

**JSON 정책 문서:**

#### AWSBackupServiceRolePolicyForIndexing JSON
<a name="AWSBackupServiceRolePolicyForIndexingJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSDataKeyForEC2Permissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForRestores
<a name="AWSBackupServiceRolePolicyForRestores"></a>

사용자를 대신하여 지원되는 모든 리소스 유형의 백업을 복원할 수 있는 AWS Backup 권한을 제공합니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)를 참조하세요.

EC2 인스턴스 복원의 경우 EC2 인스턴스를 시작할 수 있는 다음 권한도 포함해야 합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPassRole",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/role-name",
      "Effect": "Allow"
    }
  ]
}
```

------

### AWSBackupServiceRolePolicyForS3Backup
<a name="AWSBackupServiceRolePolicyForS3Backup"></a>

이 정책에는가 S3 버킷을 백업 AWS Backup 하는 데 필요한 권한이 포함되어 있습니다. 여기에는 버킷의 모든 객체 및 연결된 AWS KMS 키에 대한 액세스가 포함됩니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)을 참조하세요.

### AWSBackupServiceRolePolicyForS3Restore
<a name="AWSBackupServiceRolePolicyForS3Restore"></a>

이 정책에는 AWS Backup 가 S3 백업을 버킷으로 복원하는 데 필요한 권한이 포함되어 있습니다. 여기에는 버킷에 대한 읽기 및 쓰기 권한과 S3 작업과 관련된 AWS KMS 키 사용이 포함됩니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)를 참조하세요.

### AWSBackupServiceRolePolicyForScans
<a name="AWSBackupServiceRolePolicyForScans"></a>

정책은 백업 계획의 리소스 선택에 사용하는 IAM 역할에 연결되어야 합니다. 이 역할은 AWS 백업에 Amazon GuardDuty에서 스캔을 시작할 수 있는 권한을 부여합니다.

이 정책의 권한을 보려면 *AWS 관리형 정책* 참조의 [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)를 참조하세요.

### AWSServiceRolePolicyForBackupReports
<a name="AWSServiceRolePolicyForBackupReports"></a>

AWS Backup 는 [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html) 서비스 연결 역할에이 정책을 사용합니다. 이 서비스 연결 역할은 백업 설정, 작업 및 리소스의 프레임워크 준수 여부를 모니터링하고 보고할 수 있는 AWS Backup 권한을 부여합니다.

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)를 참조하세요.

### AWSServiceRolePolicyForBackupRestoreTesting
<a name="AWSServiceRolePolicyForBackupRestoreTesting"></a>

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)을 참조하세요.

## 고객 관리형 정책
<a name="customer-managed-policies"></a>

다음 섹션에서는에서 지원하는 AWS 서비스 및 타사 애플리케이션에 대한 권장 백업 및 복원 권한을 설명합니다 AWS Backup. 기존 AWS 관리형 정책을 모델로 사용하여 자체 정책 문서를 생성한 다음 AWS 리소스에 대한 액세스를 추가로 제한하도록 사용자 지정할 수 있습니다.

**중요**  
에 사용자 지정 IAM 역할을 사용하는 AWS Backup경우 권한 외에도 리소스별 AWS Backup 권한을 포함해야 합니다. 예를 들어 Amazon RDS 리소스에서 `backup:ListTags`를 호출할 때 사용자 지정 IAM 역할에는 `rds:ListTagsForResource` 권한도 포함되어야 합니다. 이러한 권한은 기본 AWS Backup 서비스 역할에 포함되지만 고객 관리형 정책에 명시적으로 추가되어야 합니다. 필요한 기본 리소스 권한은 수행 중인 특정 AWS 서비스 및 작업에 따라 달라집니다.

### Amazon Aurora
<a name="aurora-customer-managed-policies"></a>

**백업**

[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**복원**  
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `RDSPermissions` 문으로 시작합니다.

### Amazon Aurora DSQL
<a name="aurora-dsql-customer-managed-policies"></a>

**백업**

[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**복원**  
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `DSQLRestorePermissions` 문으로 시작합니다.

### Amazon DynamoDB
<a name="ddb-customer-managed-policies"></a>

**백업**

[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`

**복원**

[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 다음 문으로 시작합니다.
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`

### Amazon EBS
<a name="ebs-customer-managed-policies"></a>

**백업**

[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**복원**  
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `EBSPermissions` 문으로 시작합니다.

다음 명령문을 추가합니다.

```
{
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
},
```

### Amazon EC2
<a name="ec2-customer-managed-policies"></a>

**백업**

[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**복원**

[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 다음 문으로 시작합니다.
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`

다음 명령문을 추가합니다.

```
{
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::account-id:role/role-name"
},
```

*role-name*을 복원된 EC2 인스턴스에 연결할 EC2 인스턴스 프로파일 역할의 이름으로 바꿉니다. 이는 AWS Backup 서비스 역할이 아니라 EC2 인스턴스에서 실행되는 애플리케이션에 권한을 제공하는 IAM 역할입니다.

### Amazon EFS
<a name="efs-customer-managed-policies"></a>

**백업**

[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**복원**  
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `EFSPermissions` 문으로 시작합니다.

### Amazon FSx
<a name="fsx-customer-managed-policies"></a>

**백업**

[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`

**복원**

[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 다음 문으로 시작합니다.
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`

### Amazon Neptune
<a name="neptune-customer-managed-policies"></a>

**백업**

[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**복원**  
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `RDSPermissions` 문으로 시작합니다.

### Amazon RDS
<a name="rds-customer-managed-policies"></a>

**백업**

[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**복원**  
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `RDSPermissions` 문으로 시작합니다.

### Amazon S3
<a name="s3-customer-managed-policies"></a>

**백업**  
[AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)으로 시작합니다.

백업을 다른 계정으로 복사해야 하는 경우 `BackupVaultPermissions` 및 `BackupVaultCopyPermissions` 문을 추가합니다.

**복원**  
[AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)로 시작합니다.

### AWS Storage Gateway
<a name="storage-gateway-customer-managed-policies"></a>

**백업**

[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 다음 문으로 시작합니다.
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

다음 명령문을 추가합니다.

```
{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
},
```

**복원**

[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 다음 문으로 시작합니다.
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`

### 가상 머신
<a name="vm-customer-managed-policies"></a>

**백업**  
[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)의 `BackupGatewayBackupPermissions` 문으로 시작합니다.

**복원**  
[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 `GatewayRestorePermissions` 문으로 시작합니다.

### 암호화된 백업
<a name="customer-managed-policies-encrypted-backup"></a>

**암호화된 백업을 복원하려면 다음 중 하나를 수행합니다.**
+  AWS KMS 키 정책의 허용 목록에 역할 추가
+ 복원을 위해 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)의 다음 문을 IAM 역할에 추가합니다.
  + `KMSDescribePermissions`
  + `KMSPermissions`
  + `KMSCreateGrantPermissions`

## 에 대한 정책 업데이트 AWS Backup
<a name="policy-updates"></a>

이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS Backup 이후부터의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.


| 변경 | 설명 | Date | 
| --- | --- | --- | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 복원 테스트가 완료된 후 복원 테스트를 통해 RDS 테넌트 데이터베이스를 삭제할 수 있습니다.  | 2026년 3월 18일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 복구 시점에서 맬웨어 스캔을 시작할 수 있습니다.  | 2026년 2월 23일 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – 새 정책 |  AWS Backup 는 Amazon GuardDuty에 고객 백업을 읽고 스캔할 수 있는 권한을 제공하는 새로운 AWS 관리형 정책을 추가했습니다.는 작업을 시작할 때이 정책의 역할을 GuardDuty에 AWS Backup 전달합니다`StartMalwareScan`. 이는 Amazon EC2, Amazon EBS 및 Amazon S3 리소스의 복구 시점에 맬웨어 스캔에 필요한 모든 권한을 제공하는 데 필요합니다. 자세한 내용은 관리형 정책 [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)를 참조하세요.  | 2025년 11월 19일 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – 새 정책 |  AWS Backup 는 복구 시점에 맬웨어 스캔을 시작할 수 있는 AWS Backup 권한을 제공하는 새로운 AWS 관리형 정책을 추가했습니다. 이는 Amazon EC2, Amazon EBS 및 Amazon S3 리소스의 복구 시점에 맬웨어 스캔에 필요한 모든 권한을 제공하는 데 필요합니다. 자세한 내용은 관리형 정책 [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)를 참조하세요.  | 2025년 11월 19일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 |  맬웨어 스캔 작업을 시작하는 `malware-protection.guardduty.amazonaws.com` 데 `IamPassRolePermissions`필요한가에 추가되었습니다.  | 2025년 11월 19일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 맬웨어 스캔 작업을 시작하는 데 필요합니다.  | 2025년 11월 19일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해는 Amazon EKS 클러스터 AWS Backup 를 백업하고 복원할 수 있습니다.  | 2025년 11월 10일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해는 Amazon EKS 클러스터 AWS Backup 를 백업하고 복원할 수 있습니다.  | 2025년 11월 10일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객을 대신하여 Amazon EKS 클러스터 및 관련 리소스의 백업을 생성할 수 있습니다.  | 2025년 11월 10일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객을 대신하여 Amazon EKS 클러스터 및 관련 리소스의 백업을 생성할 수 있습니다.  | 2025년 11월 10일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객을 대신하여 Amazon EKS 클러스터 및 관련 리소스에 대한 복원 작업을 수행할 수 있습니다.  | 2025년 11월 10일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이 권한을 통해는 교차 계정 관리 기능을 위해 위임된 관리자 정보를 Organizations와 동기화 AWS Backup 할 수 있습니다.  | 2025년 9월 9일 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – 새 정책 |  AWS Backup 는 Amazon GuardDuty에 고객 백업을 읽고 스캔할 수 있는 권한을 제공하는 새로운 AWS 관리형 정책을 추가했습니다.는 작업을 시작할 때이 정책의 역할을 GuardDuty에 AWS Backup 전달합니다`StartMalwareScan`. 이는 Amazon EC2, Amazon EBS 및 Amazon S3 리소스의 복구 시점에 맬웨어 스캔에 필요한 모든 권한을 제공하는 데 필요합니다. 자세한 내용은 관리형 정책 [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)를 참조하세요.  | 2025년 11월 24일 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – 새 정책 |  AWS Backup 는 복구 시점에 맬웨어 스캔을 시작할 수 있는 AWS Backup 권한을 제공하는 새로운 AWS 관리형 정책을 추가했습니다. 이는 Amazon EC2, Amazon EBS 및 Amazon S3 리소스의 복구 시점에 맬웨어 스캔에 필요한 모든 권한을 제공하는 데 필요합니다. 자세한 내용은 관리형 정책 [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)를 참조하세요.  | 2025년 11월 24일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은가 고객을 대신하여 DSQL 리소스에 대해 오케스트레이션된 다중 리전 복원 작업을 수행하는 AWS Backup 데 필요합니다.  | 2025년 7월 17일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은와 AWS Backup AWS Account Management 통합하는 데 필요 AWS Organizations 하므로 고객은 논리적 에어 갭 저장소의 일부로 다자간 승인(MPA)을 선택할 수 있습니다.  | 2025년 6월 17일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트: |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 고객이 AWS Backup를 통해 Amazon FSx for OpenZFS 다중 가용 영역(다중 AZ) 스냅샷을 복원할 수 있도록 하는 데 필요합니다.  | 2025년 5월 27일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해는 Amazon Aurora DSQL 리소스를 백업하고 복원 AWS Backup 할 수 있습니다.  | 2025년 5월 21일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해는 Amazon Aurora DSQL 리소스를 백업하고 복원 AWS Backup 할 수 있습니다.  | 2025년 5월 21일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객을 대신하여 Amazon Aurora DSQL 스냅샷을 생성, 삭제, 검색 및 관리할 수 있습니다.  | 2025년 5월 21일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객을 대신하여 Amazon Aurora DSQL 스냅샷을 생성, 삭제, 검색, 암호화, 복호화 및 관리할 수 있습니다.  | 2025년 5월 21일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한을 통해 AWS Backup 는 고객 지정 간격으로 Aurora DSQL 백업을 관리할 수 있습니다.  | 2025년 5월 21일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 지정된 고객이 필요한 읽기 권한과 Amazon Redshift Serverless 복구 시점 삭제 기능(스냅샷 백업)을 포함하여 Amazon Redshift Serverless 백업에 대한 전체 액세스 권한을 갖는 데 필요합니다.  | 2025년 3월 31일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 지정된 고객이 필요한 읽기 권한을 포함하여 Amazon Redshift Serverless에 필요한 모든 백업 권한을 보유하는 데 필요합니다.  | 2025년 3월 31일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은가 고객 지정 간격으로 Amazon Redshift Serverless 스냅샷을 관리하는 AWS Backup 데 필요합니다.  | 2025년 3월 31일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 AWS Backup 가 고객을 대신하여 Amazon Redshift Serverless 스냅샷을 생성, 삭제, 검색 및 관리할 수 있도록 허용하는 데 필요합니다.  | 2025년 3월 31일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 다음 권한을 추가했습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/aws-backup/latest/devguide/security-iam-awsmanpol.html) 이러한 권한은 AWS Backup 가 고객을 대신하여 Amazon Redshift 및 Amazon Redshift Serverless 스냅샷을 복원하도록 허용하는 데 필요합니다.  | 2025년 3월 31일 | 
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess) – 새 AWS 관리형 정책 추가 | AWS Backup 에서 AWSBackupSearchOperatorAccess AWS 관리형 정책을 추가했습니다. | 2025년 2월 27일 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트  |  AWS Backup 에 백업의 Amazon RDS 다중 테넌트 스냅샷 교차 계정 복사본`rds:AddTagsToResource`을 지원하는 권한이 추가되었습니다. 이 권한은 고객이 다중 테넌트 RDS 스냅샷의 교차 계정 복사본을 생성하기로 선택할 때 작업을 완료하는 데 필요합니다.  | 2025년 1월 8일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 |  AWS Backup 는 Amazon RDS 리소스의 복원 프로세스를 지원하기 위해 `rds:DeleteTenantDatabase`이 정책에 `rds:CreateTenantDatabase` 및 권한을 추가했습니다. 이러한 권한은 다중 테넌트 스냅샷 복원을 위한 고객 작업을 완료하는 데 필요합니다.  | 2025년 1월 8일 | 
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores) – 새 AWS 관리형 정책 추가 | AWS Backup 에서 AWSBackupServiceRolePolicyForItemRestores AWS 관리형 정책을 추가했습니다. | 2024년 11월 26일 | 
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing) – 새 AWS 관리형 정책 추가 | AWS Backup 에서 AWSBackupServiceRolePolicyForIndexing AWS 관리형 정책을 추가했습니다. | 2024년 11월 26일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 |  AWS Backup 는이 정책에 권한을 추가`backup:TagResource`했습니다. 해당 권한은 복구 시점을 생성하는 동안 태그 지정 권한을 얻으려면 필요합니다.  | 2024년 5월 17일 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 기존 정책에 대한 업데이트  |  AWS Backup 는이 정책에 권한을 추가`backup:TagResource`했습니다. 해당 권한은 복구 시점을 생성하는 동안 태그 지정 권한을 얻으려면 필요합니다.  | 2024년 5월 17일 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트  |  AWS Backup 는이 정책에 권한을 추가`backup:TagResource`했습니다. 해당 권한은 복구 시점을 생성하는 동안 태그 지정 권한을 얻으려면 필요합니다.  | 2024년 5월 17일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | `rds:DeleteDBInstanceAutomatedBackups` 권한을 추가했습니다. 이 권한은가 Amazon RDS 인스턴스의 연속 백업 및 point-in-time-restore을 지원하는 AWS Backup 데 필요합니다.  | 2024년 5월 1일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | AWS Backup 는 Storage Gateway API 모델의 변경 사항을 수용`arn:aws:storagegateway:*:*:gateway/*`하기 `*` 위해 `storagegateway:ListVolumes`에서 로 권한의 Amazon 리소스 이름(ARN)을 업데이트했습니다. | 2024년 5월 1일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | AWS Backup 는 Storage Gateway API 모델의 변경 사항을 수용`arn:aws:storagegateway:*:*:gateway/*`하기 `*` 위해 `storagegateway:ListVolumes`에서 로 권한의 Amazon 리소스 이름(ARN)을 업데이트했습니다. | 2024년 5월 1일 | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) - 기존 정책에 대한 업데이트 |  복원 테스트 계획을 수행하기 위해, 복구 시점 및 보호된 리소스를 설명하고 나열하는 다음 권한을 추가했습니다. 해당 권한은 `backup:DescribeRecoveryPoint`, `backup:DescribeProtectedResource`, `backup:ListProtectedResources` 및 `backup:ListRecoveryPointsByResource`입니다. Amazon EBS 아카이브 계층 스토리지를 지원하기 위해 `ec2:DescribeSnapshotTierStatus` 권한을 추가했습니다. Amazon Aurora 연속 백업을 지원하기 위해 `rds:DescribeDBClusterAutomatedBackups` 권한을 추가했습니다. Amazon Redshift 백업의 복원 테스트를 지원하기 위해 다음 권한을 추가했습니다, 해당 권한은 `redshift:DescribeClusters` 및 `redshift:DeleteCluster`입니다. Amazon Timestream 백업의 복원 테스트를 지원하기 위해 `timestream:DeleteTable` 권한을 추가했습니다.  | 2024년 2월 14일 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트  |  `ec2:DescribeSnapshotTierStatus` 및 `ec2:RestoreSnapshotTier` 권한을 추가했습니다. 이러한 권한은 사용자가 아카이브 스토리지 AWS Backup 에서에 저장된 Amazon EBS 리소스를 복원할 수 있는 옵션을 갖는 데 필요합니다. EC2 인스턴스 복원의 경우 다음 정책 문과 같이 EC2 인스턴스를 시작할 수 있는 권한도 포함해야 합니다.  | 2023년 11월 27일 | 
|  [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트  |  백업된 Amazon EBS 리소스를 아카이브 스토리지 계층으로 전환할 수 있는 추가 스토리지 옵션을 지원하기 위해, `ec2:DescribeSnapshotTierStatus` 및 `ec2:ModifySnapshotTier` 권한을 추가했습니다. 이러한 권한은 사용자가에 저장된 Amazon EBS 리소스를 아카이브 스토리지로 전환하는 옵션을 갖는 AWS Backup 데 필요합니다.  | 2023년 11월 27일 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트  |  백업된 Amazon EBS 리소스를 아카이브 스토리지 계층으로 전환할 수 있는 추가 스토리지 옵션을 지원하기 위해, `ec2:DescribeSnapshotTierStatus` 및 `ec2:ModifySnapshotTier` 권한을 추가했습니다. 이러한 권한은 사용자가에 저장된 Amazon EBS 리소스를 아카이브 스토리지로 전환하는 옵션을 갖는 AWS Backup 데 필요합니다. Aurora 클러스터의 PITR(특정 시점 복원)에 필요한 `rds:DescribeDBClusterSnapshots` 및 `rds:RestoreDBClusterToPointInTime` 권한을 추가했습니다.  | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – 새 정책 |  복원 테스트를 수행하는 데 필요한 권한을 제공합니다. 권한에는 Aurora, DocumentDB, DynamoDB, Amazon EBS, Amazon EC2, Amazon EFS, FSx for Lustre, FSx for Windows File Server, FSx for ONTAP, FSx for OpenZFS, Amazon Neptune, Amazon RDS, Amazon S3 등 복원 테스트에 포함할 서비스에 대한 `list, read, and write` 작업이 포함됩니다.  | 2023년 11월 27일 | 
|  [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트  |  `IamPassRolePermissions` 및 `IamCreateServiceLinkedRolePermissions`에 `restore-testing.backup.amazonaws.com`를 추가했습니다. 이 추가는가 고객을 대신하여 복원 테스트를 수행하는 AWS Backup 데 필요합니다.  | 2023년 11월 27일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | Aurora 클러스터의 PITR(특정 시점 복원)에 필요한 `rds:DescribeDBClusterSnapshots` 및 `rds:RestoreDBClusterToPointInTime` 권한을 추가했습니다. | 2023년 9월 6일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | Aurora 클러스터의 연속 백업 및 특정 시점 복원에 필요한 `rds:DescribeDBClusterAutomatedBackups` 권한을 추가했습니다. | 2023년 9월 6일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | Aurora 클러스터의 연속 백업 및 특정 시점 복원에 필요한 `rds:DescribeDBClusterAutomatedBackups` 권한을 추가했습니다. | 2023년 9월 6일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 |  `rds:DescribeDBClusterAutomatedBackups` 권한을 추가했습니다. 이 권한은 Aurora 클러스터의 연속 백업 및 point-in-time 복원을 AWS Backup 지원하는 데 필요합니다. 보존 기간이 완료되면 `rds:DeleteDBClusterAutomatedBackups` AWS Backup 수명 주기가 Amazon Aurora 연속 복구 시점을 삭제하고 연결 해제할 수 있는 권한을 추가했습니다. 이 권한은 Aurora 복구 시점이 `EXIPIRED` 상태로의 전환을 방지하는 데 필요합니다.  AWS Backup 이 Aurora 클러스터와 상호 작용할 수 있게 하는 `rds:ModifyDBCluster` 권한을 추가했습니다. 이 권한 추가를 통해 사용자는 원하는 구성에 따라 연속 백업을 활성화하거나 비활성화할 수 있습니다.  | 2023년 9월 6일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 |  새 저장소 유형에 대한 리소스 공유 연결을 가져올 수 있는 권한을 사용자에게 부여하기 위해, `ram:GetResourceShareAssociations` 작업을 추가했습니다.  | 2023년 8월 8일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 |  새 저장소 유형에 대한 리소스 공유 연결을 가져올 수 있는 권한을 사용자에게 부여하기 위해, `ram:GetResourceShareAssociations` 작업을 추가했습니다.  | 2023년 8월 8일 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 기존 정책에 대한 업데이트  |  버킷 인벤토리를 사용하여 백업 성능 속도를 향상시키기 위해 `s3:PutInventoryConfiguration` 권한을 추가했습니다.  | 2023년 8월 1일 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트  |  리소스를 복원하기 위한 태그를 추가할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `storagegateway:AddTagsToResource`, `elasticfilesystem:TagResource`, `ec2:CreateTags`(`RunInstances` 또는 `CreateVolume` 중 하나만 포함하는 `ec2:CreateAction` 전용), `fsx:TagResource` 및 `cloudformation:TagResource`입니다.  | 2023년 5월 22일 | 
|  [AWSBackupAuditAccess](#AWSBackupAuditAccess) – 기존 정책에 대한 업데이트  |  사용자가 리소스를 더 쉽게 선택할 수 있도록 `config:DescribeComplianceByConfigRule` API 내에서 리소스 선택을 와일드카드 리소스로 대체했습니다.  | 2023년 4월 11일 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트  |  고객 관리형 키를 사용하여 Amazon EFS를 복원할 수 있는 `kms:GenerateDataKeyWithoutPlaintext` 권한을 추가했습니다. 이렇게 하면 사용자에게 Amazon EFS 리소스를 복원하는 데 필요한 권한이 있도록 보장하는 데 도움이 됩니다.  | 2023년 3월 27일 | 
|  [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) - 기존 정책에 대한 업데이트  |  Audit Manager가 AWS Backup Audit Manager 관리형 AWS Config 규칙에 액세스할 수 있도록 `config:DescribeConfigRules` AWS Backup 및 `config:DescribeConfigRuleEvaluationStatus` 작업을 업데이트했습니다.  | 2023년 3월 9일 | 
|  [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) - 기존 정책에 대한 업데이트  |  `AWSBackupServiceRolePolicyForS3Restore` 정책에 다음 권한을 추가했습니다. 해당 권한은 `kms:Decrypt`, `s3:PutBucketOwnershipControls` 및 `s3:GetBucketOwnershipControls`입니다. 이러한 권한은 원본 백업에서 KMS 암호화를 사용하는 경우 객체 복원을 지원하는 데 필요하고 원본 버킷에 ACL 대신 객체 소유권이 구성된 경우 객체 복원에 필요합니다.  | 2023년 2월 13일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | 가상 머신의 VMware 태그를 사용하여 백업을 예약하고 일정 기반 대역폭 스로틀링을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `backup-gateway:GetHypervisorPropertyMappings`, `backup-gateway:GetVirtualMachine`, `backup-gateway:PutHypervisorPropertyMappings`, `backup-gateway:GetHypervisor`, `backup-gateway:StartVirtualMachinesMetadataSync`, `backup-gateway:GetBandwidthRateLimitSchedule` 및 `backup-gateway:PutBandwidthRateLimitSchedule`입니다.  | 2022년 12월 15일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | 가상 머신의 VMware 태그를 사용하여 백업을 예약하고 일정 기반 대역폭 스로틀링을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `backup-gateway:GetHypervisorPropertyMappings`, `backup-gateway:GetVirtualMachine`, `backup-gateway:GetHypervisor` 및 `backup-gateway:GetBandwidthRateLimitSchedule`입니다.  | 2022년 12월 15일 | 
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync) – 새 정책 |   AWS Backup Gateway가 온프레미스 네트워크의 가상 머신 메타데이터를 Backup Gateway와 동기화할 수 있는 권한을 제공합니다.  | 2022년 12월 15일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | Timestream 백업 작업을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `timestream:StartAwsBackupJob`, `timestream:GetAwsBackupStatus`, `timestream:ListTables`, `timestream:ListDatabases`, `timestream:ListTagsForResource`, `timestream:DescribeTable`, `timestream:DescribeDatabase` 및 `timestream:DescribeEndpoints`입니다.  | 2022년 12월 13일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | Timestream 복원 작업을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `timestream:StartAwsRestoreJob`, `timestream:GetAwsRestoreStatus`, `timestream:ListTables`, `timestream:ListTagsForResource`, `timestream:ListDatabases`, `timestream:DescribeTable`, `timestream:DescribeDatabase`, `s3:GetBucketAcl` 및 `timestream:DescribeEndpoints`입니다.  | 2022년 12월 13일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | Timestream 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `timestream:ListTables`, `timestream:ListDatabases`, `s3:ListAllMyBuckets` 및 `timestream:DescribeEndpoints`입니다.  | 2022년 12월 13일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | Timestream 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `timestream:ListDatabases`, `timestream:ListTables`, `s3:ListAllMyBuckets` 및 `timestream:DescribeEndpoints`입니다.  | 2022년 12월 13일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | Timestream 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `timestream:ListDatabases`, `timestream:ListTables`, `timestream:ListTagsForResource`, `timestream:DescribeDatabase`, `timestream:DescribeTable`, `timestream:GetAwsBackupStatus`, `timestream:GetAwsRestoreStatus` 및 `timestream:DescribeEndpoints`입니다.  | 2022년 12월 13일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | Amazon Redshift 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `redshift:DescribeClusters`, `redshift:DescribeClusterSubnetGroups`, `redshift:DescribeNodeConfigurationOptions`, `redshift:DescribeOrderableClusterOptions`, `redshift:DescribeClusterParameterGroups`, `redshift:DescribeClusterTracks`, `redshift:DescribeSnapshotSchedules` 및 `ec2:DescribeAddresses`입니다.  | 2022년 11월 27일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | Amazon Redshift 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `redshift:DescribeClusters`, `redshift:DescribeClusterSubnetGroups`, `redshift:DescribeNodeConfigurationOptions`, `redshift:DescribeOrderableClusterOptions`, `redshift:DescribeClusterParameterGroups,`, `redshift:DescribeClusterTracks`, `redshift:DescribeSnapshotSchedules` 및 `ec2:DescribeAddresses`입니다.  | 2022년 11월 27일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 |  Amazon Redshift 복원 작업을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `redshift:RestoreFromCluster Snapshot`, `redshift:RestoreTableFromClusterSnapshot`, `redshift:DescribeClusters` 및 `redshift:DescribeTableRestoreStatus`입니다.  | 2022년 11월 27일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 |  Amazon Redshift 백업 작업을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `redshift:CreateClusterSnapshot`, `redshift:DescribeClusterSnapshots`, `redshift:DescribeTags`, `redshift:DeleteClusterSnapshot`, `redshift:DescribeClusters` 및 `redshift:CreateTags`입니다.  | 2022년 11월 27일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | CloudFormation 리소스를 지원하는 `cloudformation:ListStacks` 권한을 추가했습니다.  | 2022년 11월 27일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | CloudFormation 리소스를 지원하는 `cloudformation:ListStacks` 권한을 추가했습니다. | 2022년 11월 27일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | CloudFormation 리소스를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `redshift:DescribeClusterSnapshots`, `redshift:DescribeTags`, `redshift:DeleteClusterSnapshot` 및 `redshift:DescribeClusters`입니다.  | 2022년 11월 27일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 |  CloudFormation 애플리케이션 스택 백업 작업을 지원하기 위해 `cloudformation:GetTemplate`, `cloudformation:DescribeStacks`및 권한을 추가했습니다`cloudformation:ListStackResources`.  | 2022년 11월 16일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 |  CloudFormation 애플리케이션 스택 백업 작업을 지원하기 위해 및 권한을 추가했습니다. `cloudformation:CreateChangeSet` `cloudformation:DescribeChangeSet`   | 2022년 11월 16일 | 
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess) – 기존 정책에 대한 업데이트 | 조직 관리자가 위임된 관리자 기능을 사용할 수 있도록 하는 다음 권한을 이 정책에 추가했습니다. 해당 권한은 `organizations:ListDelegatedAdministrator`, `organizations:RegisterDelegatedAdministrator` 및 `organizations:DeregisterDelegatedAdministrator`입니다.  | 2022년 11월 27일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트 | Amazon EC2 인스턴스에서 SAP HANA를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:BackupDatabase`, `ssm-sap:UpdateHanaBackupSettings`, `ssm-sap:GetDatabase` 및 `ssm-sap:ListTagsForResource`입니다.  | 2022년 11월 20일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트 | Amazon EC2 인스턴스에서 SAP HANA를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:GetDatabase` 및 `ssm-sap:ListTagsForResource`입니다.  | 2022년 11월 20일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트 | Amazon EC2 인스턴스에서 SAP HANA를 지원하는 다음 권한을 추가했습니다. 해당 권한은 `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:GetDatabase` 및 `ssm-sap:ListTagsForResource`입니다.  | 2022년 11월 20일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트 | Amazon EC2 인스턴스에서 SAP HANA를 지원하는 `ssm-sap:GetOperation` 권한을 추가했습니다.  | 2022년 11월 20일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트 | EC2 인스턴스에 대한 Backup 게이트웨이 복원 작업을 지원하는 `ec2:CreateTags` 권한을 추가했습니다.  | 2022년 11월 20일 | 
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess) – 기존 정책에 대한 업데이트 | SAP HANA On Amazon EC2 리소스에 대한 안전한 스토리지 데이터 전송을 지원하는 다음 권한을 추가했습니다. 해당 권한은 `backup-storage:StartObject`, `backup-storage:PutChunk`, `backup-storage:GetChunk`, `backup-storage:ListChunks`, `backup-storage:ListObjects`, `backup-storage:GetObjectMetadata` 및 `backup-storage:NotifyObjectComplete`입니다.  | 2022년 11월 20일 | 
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) – 기존 정책에 대한 업데이트 | 리소스 소유자가 SAP HANA On Amazon EC2 리소스의 복원을 수행하는 다음 권한을 추가했습니다. 해당 권한은 `backup:Get*`, `backup:List*`, `backup:Describe*`, `backup:StartBackupJob`, `backup:StartRestoreJob`, `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:BackupDatabase`, `ssm-sap:RestoreDatabase`, `ssm-sap:UpdateHanaBackupSettings`, `ssm-sap:GetDatabase` 및 `ssm-sap:ListTagsForResource`입니다.  | 2022년 11월 20일 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 기존 정책에 대한 업데이트  |   AWS Backup Amazon S3용의 백업 작업을 지원하는 권한을 추가`s3:GetBucketAcl`했습니다.  | 2022년 8월 24일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트  |  다중 가용 영역(다중 AZ) 기능을 지원하기 위해 데이터베이스 인스턴스를 생성할 수 있는 액세스 권한을 부여하기 위해 `rds:CreateDBInstance` 작업을 추가했습니다.  | 2022년 7월 20일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트  |  리소스 와일드카드로 백업할 버킷을 선택할 수 있는 권한을 사용자에게 부여하기 위해 `s3:GetBucketTagging` 권한을 추가했습니다. 이 권한이 없으면 사용자가 리소스 와일드카드로 백업할 버킷을 선택하는 작업이 실패합니다.  | 2022년 5월 6일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트  |  기존 `fsx:CreateBackup` 및 `fsx:ListTagsForResource` 작업의 범위에 볼륨 리소스를 추가했고, FSx for ONTAP 볼륨 수준 백업을 지원하기 위해 `fsx:DescribeVolumes` 작업을 새로 추가했습니다.  | 2022년 4월 27일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트  |  FSx for ONTAP 볼륨을 복원할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `fsx:DescribeVolumes`, `fsx:CreateVolumeFromBackup`, `fsx:DeleteVolume` 및 `fsx:UntagResource`입니다.  | 2022년 4월 27일 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 기존 정책에 대한 업데이트  |  백업 작업 중에 Amazon S3 버킷에 대한 변경 알림을 수신할 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `s3:GetBucketNotification` 및 `s3:PutBucketNotification`입니다.  | 2022년 2월 25일 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 새 정책  |  Amazon S3 버킷을 백업할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `s3:GetInventoryConfiguration`, `s3:PutInventoryConfiguration`, `s3:ListBucketVersions`, `s3:ListBucket`, `s3:GetBucketTagging`, `s3:GetBucketVersioning`, `s3:GetBucketNotification`, `s3:GetBucketLocation` 및 `s3:ListAllMyBuckets`입니다. Amazon S3 객체를 백업할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `s3:GetObject`, `s3GetObjectAcl`, `s3:GetObjectVersionTagging`, `s3:GetObjectVersionAcl`, `s3:GetObjectTagging` 및 `s3:GetObjectVersion`입니다. 암호화된 Amazon S3 데이터를 백업할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `kms:Decrypt` 및 `kms:DescribeKey`입니다. Amazon EventBridge 규칙을 사용하여 Amazon S3 데이터를 증분 백업할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `events:DescribeRule`, `events:EnableRule`, `events:PutRule`, `events:DeleteRule`, `events:PutTargets`, `events:RemoveTargets`, `events:ListTargetsByRule`, `events:DisableRule`, `cloudwatch:GetMetricData` 및 `events:ListRules`입니다.  | 2022년 2월 17일 | 
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) – 새 정책  |  Amazon S3 버킷을 복원할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `s3:CreateBucket`, `s3:ListBucketVersions`, `s3:ListBucket`, `s3:GetBucketVersioning`, `s3:GetBucketLocation` 및 `s3:PutBucketVersioning`입니다. Amazon S3 버킷을 복원할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `s3:GetObject`, `s3:GetObjectVersion`, `s3:DeleteObject`, `s3:PutObjectVersionAcl`, `s3:GetObjectVersionAcl`, `s3:GetObjectTagging`, `s3:PutObjectTagging`, `s3:GetObjectAcl`, `s3:PutObjectAcl`, `s3:PutObject` 및 `s3:ListMultipartUploadParts`입니다. 복원된 Amazon S3 데이터를 암호화할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `kms:Decrypt`, `kms:DescribeKey` 및 `kms:GenerateDataKey`입니다.  | 2022년 2월 17일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트  |  버킷 목록을 보고 백업 계획에 할당할 버킷을 선택할 수 있는 권한을 사용자에게 부여하기 위해 `s3:ListAllMyBuckets`를 추가했습니다.  | 2022년 2월 14일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트  |  가상 머신 목록을 보고 백업 계획에 할당할 가상 머신을 선택할 수 있는 권한을 사용자에게 부여하기 위해 `backup-gateway:ListVirtualMachines`를 추가했습니다. 가상 머신의 태그를 나열할 수 있는 권한을 사용자에게 부여하기 위해 `backup-gateway:ListTagsForResource`를 추가했습니다.  | 2021년 11월 30일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트  |  사용자에게 가상 머신 백업을 복원`backup-gateway:Backup`할 수 있는 권한을 부여`backup-gateway:ListTagsForResource`하기 위해가 추가되었습니다. AWS Backup 또한 사용자에게 가상 머신 백업에 할당된 태그를 나열할 수 있는 권한을 부여하기 위해가 추가되었습니다.  | 2021년 11월 30일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트  |  가상 머신 백업을 복원할 수 있는 권한을 사용자에게 부여하기 위해 `backup-gateway:Restore`를 추가했습니다.  | 2021년 11월 30일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트  |   AWS Backup 게이트웨이를 사용하여 가상 머신을 백업, 복원, 관리할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `backup-gateway:AssociateGatewayToServer`, `backup-gateway:CreateGateway`, `backup-gateway:DeleteGateway`, `backup-gateway:DeleteHypervisor`, `backup-gateway:DisassociateGatewayFromServer`, `backup-gateway:ImportHypervisorConfiguration`, `backup-gateway:ListGateways`, `backup-gateway:ListHypervisors`, `backup-gateway:ListTagsForResource`, `backup-gateway:ListVirtualMachines`, `backup-gateway:PutMaintenanceStartTime`, `backup-gateway:TagResource`, `backup-gateway:TestHypervisorConfiguration`, `backup-gateway:UntagResource`, `backup-gateway:UpdateGatewayInformation` 및 `backup-gateway:UpdateHypervisor`입니다.  | 2021년 11월 30일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트  |  가상 머신을 백업할 수 있는 권한을 사용자에게 부여하기 위해 다음 작업을 추가했습니다. 해당 작업은 `backup-gateway:ListGateways`, `backup-gateway:ListHypervisors`, `backup-gateway:ListTagsForResource` 및 `backup-gateway:ListVirtualMachines`입니다.  | 2021년 11월 30일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트  |  사용자에게의 고급 DynamoDB 백업 기능을 사용하여 백업할 DynamoDB 테이블의 태그를 나열할 수 있는 권한을 부여`dynamodb:ListTagsOfResource`하기 위해 AWS Backup가 추가되었습니다.  | 2021년 11월 23일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트  |  고급 백업 기능을 사용하여 DynamoDB 테이블을 백업할 수 있는 권한을 사용자에게 부여하기 위해 `dynamodb:StartAwsBackupJob`을 추가했습니다. 소스 DynamoDB 테이블의 태그를 백업으로 복사할 수 있는 권한을 사용자에게 부여하기 위해 `dynamodb:ListTagsOfResource`를 추가했습니다.  | 2021년 11월 23일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트  |  사용자에게 고급 DynamoDB 고급 백업 기능을 사용하여 백업된 DynamoDB 테이블을 복원할 수 있는 권한을 부여`dynamodb:RestoreTableFromAwsBackup`하기 위해 AWS Backup가 추가되었습니다.  | 2021년 11월 23일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트  |  사용자에게 고급 DynamoDB 고급 백업 기능을 사용하여 백업된 DynamoDB 테이블을 복원할 수 있는 권한을 부여`dynamodb:RestoreTableFromAwsBackup`하기 위해 AWS Backup가 추가되었습니다.  | 2021년 11월 23일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트  |  중복되던 `backup:GetRecoveryPointRestoreMetadata` 및 `rds:DescribeDBSnapshots` 작업을 제거했습니다.  AWS Backup 에는의 `backup:Get*` 일부로 `backup:GetRecoveryPointRestoreMetadata` 및가 모두 필요하지 않았습니다`AWSBackupOperatorAccess`. 또한의 `rds:describeDBSnapshots` 일부로 `rds:DescribeDBSnapshots` 및가 모두 필요하지 AWS Backup 않았습니다`AWSBackupOperatorAccess`.  | 2021년 11월 23일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트  |  고객이 백업 계획에 할당할 리소스를 선택할 때 AWS Backup지원되는 리소스 목록을 보고 선택할 수 `fsx:DescribeFileSystems` 있도록 새 작업 , `rds:DescribeDBClusters`, , , , `elasticfilesystem:DescribeFileSystems``dynamodb:ListTables``storagegateway:ListVolumes``ec2:DescribeVolumes``ec2:DescribeInstances``rds:DescribeDBInstances`,가 추가되었습니다.  | 2021년 11월 10일 | 
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – 새 정책  |  사용자에게 AWS Backup Audit Manager를 사용할 수 있는 권한을 부여`AWSBackupAuditAccess`하기 위해를 추가했습니다. 권한에는 규정 준수 프레임워크를 구성하고 보고서를 생성하는 기능이 포함됩니다.  | 2021년 8월 24일 | 
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – 새 정책  |  사용자가 구성한 프레임워크를 준수하기 위해 서비스 연결 역할이 백업 설정, 작업 및 리소스에 대한 모니터링을 자동화할 수 있는 권한을 부여하기 위해 `AWSServiceRolePolicyForBackupReports`를 추가했습니다.  | 2021년 8월 24일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트  |  만료된 복구 시점의 삭제를 자동화하는 서비스 연결 역할(최선의 노력 기준)을 생성하기 위해 `iam:CreateServiceLinkedRole`을 추가했습니다. 이 서비스 연결 역할 AWS Backup 이 없으면 고객이 복구 시점을 생성하는 데 사용한 원래 IAM 역할을 삭제한 후에는 만료된 복구 시점을 삭제할 수 없습니다.  | 2021년 7월 5일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트  |  백업 계획 수명 주기 설정을 기반으로 만료된 DynamoDB 복구 시점의 삭제를 자동화할 수 있는 `DeleteRecoveryPoint` 권한을 부여하기 위해 새로운 `dynamodb:DeleteBackup` 작업을 추가했습니다.  | 2021년 7월 5일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트  |  중복되던 `backup:GetRecoveryPointRestoreMetadata` 및 `rds:DescribeDBSnapshots` 작업을 제거했습니다. AWS Backup 에는의 `backup:Get*` 일부로 `backup:GetRecoveryPointRestoreMetadata` 및가 모두 필요하지 않음 `AWSBackupOperatorAccess` 또한 에는의 `rds:describeDBSnapshots` 일부로 `rds:DescribeDBSnapshots` 및가 모두 필요하지 AWS Backup 않음 `AWSBackupOperatorAccess`  | 2021년 5월 25일 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) - 기존 정책에 대한 업데이트  |  중복되던 `backup:GetRecoveryPointRestoreMetadata` 및 `rds:DescribeDBSnapshots` 작업을 제거했습니다. AWS Backup 에는의 `backup:Get*` 일부로 `backup:GetRecoveryPointRestoreMetadata` 및가 모두 필요하지 않았습니다`AWSBackupOperatorAccess`. 또한의 `rds:describeDBSnapshots` 일부로 `rds:DescribeDBSnapshots` 및가 모두 필요하지 AWS Backup 않았습니다`AWSBackupOperatorAccess`.  | 2021년 5월 25일 | 
| [AWSBackupServiceRolePolicyForRestores]() - 기존 정책에 대한 업데이트  |  사용자가 복원 프로세스 중에 Amazon FSx 파일 시스템에 태그를 적용할 수 있는 `StartRestoreJob` 권한을 부여하기 위해 새로운 `fsx:TagResource` 작업을 추가했습니다.  | 2021년 5월 24일 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) - 기존 정책에 대한 업데이트  |  사용자가 복구 시점에서 Amazon EC2 인스턴스를 복원할 수 있는 `StartRestoreJob` 권한을 부여하기 위해 새로운 `ec2:DescribeImages` 및 `ec2:DescribeInstances` 작업을 추가했습니다.  | 2021년 5월 24일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트  |  사용자가 리전 및 계정 간에 Amazon FSx 복구 시점을 복사할 수 있는 `StartCopyJob` 권한을 부여하기 위해 새로운 `fsx:CopyBackup` 작업을 추가했습니다.  | 2021년 4월 12일 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) - 기존 정책에 대한 업데이트  |  사용자가 리전 및 계정 간에 Amazon FSx 복구 시점을 복사할 수 있는 `StartCopyJob` 권한을 부여하기 위해 새로운 `fsx:CopyBackup` 작업을 추가했습니다.  | 2021년 4월 12일 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 기존 정책에 대한 업데이트  |  다음 요구 사항을 준수하도록 업데이트했습니다. 가 암호화된 DynamoDB 테이블의 백업을 생성 AWS Backup 하려면 백업에 사용되는 `kms:GenerateDataKey` IAM 역할에 `kms:Decrypt` 및 권한을 추가해야 합니다.  | 2021년 3월 10일 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 기존 정책에 대한 업데이트  |  다음 요구 사항을 준수하도록 업데이트했습니다.  AWS Backup 를 사용하여 Amazon RDS 데이터베이스에 대한 연속 백업을 구성하려면 백업 계획 구성에서 정의한 IAM 역할에 API 권한이 `rds:ModifyDBInstance` 있는지 확인합니다. Amazon RDS 연속 백업을 복원하려면 복원 작업을 위해 제출한 IAM 역할에 `rds:RestoreDBInstanceToPointInTime` 권한을 추가해야 합니다.  AWS Backup 콘솔에서 point-in-time으로 복구에 사용할 수 있는 시간 범위를 설명하려면 IAM 관리형 정책에 `rds:DescribeDBInstanceAutomatedBackups` API 권한을 포함해야 합니다.  | 2021년 3월 10일 | 
|  AWS Backup 에서 변경 내용 추적 시작  |  AWS Backup 가 AWS관리형 정책에 대한 변경 내용 추적을 시작했습니다.  | 2021년 3월 10일 | 

# 에 대한 서비스 연결 역할 사용 AWS Backup
<a name="using-service-linked-roles"></a>

AWS Backup 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS Backup. 서비스 연결 역할은에서 사전 정의 AWS Backup 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

**Topics**
+ [역할을 사용하여 백업 및 복사](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [AWS Backup Audit Manager에 역할 사용](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [복원 테스트를 위한 역할 사용](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)

# 역할을 사용하여 백업 및 복사
<a name="using-service-linked-roles-AWSServiceRoleForBackup"></a>

AWS Backup 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS Backup. 서비스 연결 역할은에서 사전 정의 AWS Backup 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 AWS Backup 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS Backup 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS Backup 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔티티에 연결할 수 없습니다.

먼저 관련 리소스를 삭제해야만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 AWS Backup 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조해 **서비스 연결 역할** 열이 **예(Yes)**인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.

## 에 대한 서비스 연결 역할 권한 AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackup"></a>

AWS Backup 는 **AWSServiceRoleForBackup**이라는 서비스 연결 역할을 사용하여 사용자를 대신하여 AWS 리소스의 백업을 생성하고 삭제합니다.

AWSServiceRoleForBackup 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `backup.amazonaws.com`

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)을 참조하세요.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)을 참조하세요.

## 에 대한 서비스 연결 역할 생성 AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackup"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. 백업할 리소스를 나열하거나, 교차 계정 백업을 설정하거나, AWS CLI또는 AWS API에서 백업 AWS Management Console을 수행하면 AWS Backup 가 서비스 연결 역할을 생성합니다.

**중요**  
 이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 백업할 리소스를 나열하거나, 교차 계정 백업을 설정하거나, 백업을 수행하면가 서비스 연결 역할을 다시 AWS Backup 생성합니다.

## 에 대한 서비스 연결 역할 편집 AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackup"></a>

AWS Backup 에서는 AWSServiceRoleForBackup 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 설명 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)을 참조하세요.

## 에 대한 서비스 연결 역할 삭제 AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackup"></a>

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.

### 서비스 연결 역할을 정리
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackup"></a>

IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 역할에서 사용되는 리소스를 삭제해야 합니다. 먼저 모든 복구 시점을 삭제해야 합니다. 그런 다음, 모든 백업 저장소를 삭제해야 합니다.

**참고**  
리소스를 삭제하려고 할 때 AWS Backup 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**AWSServiceRoleForBackup에서 사용하는 AWS Backup 리소스를 삭제하려면(콘솔)**

1. 모든 복구 시점 및 백업 저장소(기본 저장소 제외)를 삭제하려면 [저장소 삭제](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault)의 절차를 따릅니다.

1. 기본 저장소를 삭제하려면 AWS CLI에서 다음 명령을 사용합니다.

   ```
   aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
   ```

**AWSServiceRoleForBackup에서 사용하는 AWS Backup 리소스를 삭제하려면(AWS CLI)**

1. 모든 복구 시점을 삭제하려면 [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html)를 사용합니다.

1. 모든 백업 저장소를 삭제하려면 [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html)를 사용합니다.

**AWSServiceRoleForBackup(API)에서 사용하는 AWS Backup 리소스를 삭제하려면**

1. 모든 복구 시점을 삭제하려면 `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`를 사용합니다.

1. 모든 백업 저장소를 삭제하려면 `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`를 사용합니다.

### 수동으로 서비스 연결 역할 삭제
<a name="slr-manual-delete-AWSServiceRoleForBackup"></a>

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForBackup 서비스 연결 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)를 참조하세요.

## AWS Backup 서비스 연결 역할에 지원되는 리전
<a name="slr-regions-AWSServiceRoleForBackup"></a>

AWS Backup 는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [AWS Backup 지원되는 기능 및 리전](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)을 참조하세요.

# AWS Backup Audit Manager에 역할 사용
<a name="using-service-linked-roles-AWSServiceRoleForBackupReports"></a>

AWS Backup 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS Backup. 서비스 연결 역할은에서 사전 정의 AWS Backup 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 AWS Backup 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS Backup 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS Backup 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔티티에 연결할 수 없습니다.

먼저 관련 리소스를 삭제해야만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 AWS Backup 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조해 **서비스 연결 역할** 열이 **예(Yes)**인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.

## 에 대한 서비스 연결 역할 권한 AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupReports"></a>

AWS Backup 는 **AWSServiceRoleForBackupReports**라는 서비스 연결 역할을 사용합니다.는 제어, 프레임워크 및 보고서를 생성할 수 AWS Backup 있는 권한을 제공합니다.

AWSServiceRoleForBackupReports 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `reports.backup.amazonaws.com`

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)를 참조하세요.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)을 참조하세요.

## 에 대한 서비스 연결 역할 생성 AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupReports"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API AWS Backup 에서 프레임워크 또는 보고서 계획을 생성하면가 서비스 연결 역할을 생성합니다.

**중요**  
 이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 프레임워크 또는 보고서 계획을 생성하면가 서비스 연결 역할을 다시 AWS Backup 생성합니다.

## 에 대한 서비스 연결 역할 편집 AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupReports"></a>

AWS Backup 에서는 AWSServiceRoleForBackupReports 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 설명 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)을 참조하세요.

## 에 대한 서비스 연결 역할 삭제 AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupReports"></a>

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.

### 서비스 연결 역할을 정리
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupReports"></a>

IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 역할에서 사용되는 리소스를 삭제해야 합니다. 모든 프레임워크와 보고서 계획을 삭제해야 합니다.

**참고**  
리소스를 삭제하려고 할 때 AWS Backup 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**AWSServiceRoleForBackupReports에서 사용하는 AWS Backup 리소스를 삭제하려면(콘솔)**

1. 모든 프레임워크를 삭제하려면 [프레임워크 삭제](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html)를 참조하세요.

1. 모든 보고서 계획을 삭제하려면 [보고서 계획 삭제](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html)를 참조하세요.

**AWSServiceRoleForBackupReports에서 사용하는 AWS Backup 리소스를 삭제하려면(AWS CLI)**

1. 모든 프레임워크를 삭제하려면 [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html)를 사용합니다.

1. 모든 보고서 계획을 삭제하려면 [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html)을 사용합니다.

**AWSServiceRoleForBackupReports(API)에서 사용하는 AWS Backup 리소스를 삭제하려면**

1. 모든 프레임워크를 삭제하려면 [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html)를 사용합니다.

1. 모든 보고서 계획을 삭제하려면 [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html)을 사용합니다.

### 수동으로 서비스 연결 역할 삭제
<a name="slr-manual-delete-AWSServiceRoleForBackupReports"></a>

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForBackupReports 서비스 연결 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)를 참조하세요.

## AWS Backup 서비스 연결 역할에 지원되는 리전
<a name="slr-regions-AWSServiceRoleForBackupReports"></a>

AWS Backup 는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [AWS Backup 지원되는 기능 및 리전](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)을 참조하세요.

# 복원 테스트를 위한 역할 사용
<a name="using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) 사용합니다. 서비스 연결 역할은 직접 연결된 고유한 유형의 IAM 역할입니다 AWS Backup. 서비스 연결 역할은에서 사전 정의 AWS Backup 하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 더 AWS Backup 쉽게 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS Backup 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS Backup 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔티티에 연결할 수 없습니다.

먼저 관련 리소스를 삭제해야만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 AWS Backup 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조해 **서비스 연결 역할** 열이 **예(Yes)**인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.

## 에 대한 서비스 연결 역할 권한 AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup 는 **AWSServiceRoleForBackupRestoreTesting**이라는 서비스 연결 역할을 사용합니다. 복원 테스트를 수행할 수 있는 백업 권한을 제공합니다.

**AWSServiceRoleForBackupRestoreTesting** 서비스 연결 역할은 다음 서비스가 역할을 수임할 것을 신뢰합니다.
+ `restore-testing.backup.amazonaws.com`

이 정책의 권한을 보려면 *AWS 관리형 정책 참조*에서 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)을 참조하세요.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)을 참조하세요.

## 에 대한 서비스 연결 역할 생성 AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console, AWS CLI또는 AWS API에서 복원 테스트를 수행하면 AWS Backup 가 서비스 연결 역할을 생성합니다.

**중요**  
 이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 복원 테스트를 수행하면가 서비스 연결 역할을 다시 AWS Backup 생성합니다.

## 에 대한 서비스 연결 역할 편집 AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup 에서는 AWSServiceRoleForBackupRestoreTesting 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 설명 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)을 참조하세요.

## 에 대한 서비스 연결 역할 삭제 AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할을 정리해야 수동으로 삭제할 수 있습니다.

### 서비스 연결 역할을 정리
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupRestoreTesting"></a>

IAM을 사용하여 서비스 연결 역할을 삭제하기 전에 먼저 역할에서 사용되는 리소스를 삭제해야 합니다. 복원 테스트 계획을 모두 삭제해야 합니다.

**참고**  
리소스를 삭제하려고 할 때 AWS Backup 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**AWSServiceRoleForBackupRestoreTesting에서 사용하는 AWS Backup 리소스를 삭제하려면(콘솔)**
+ 모든 복원 테스트 계획을 삭제하려면 [복원 테스트](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html)를 참조하세요.

**AWSServiceRoleForBackupRestoreTesting에서 사용하는 AWS Backup 리소스를 삭제하려면(AWS CLI)**
+ 복원 테스트 계획을 삭제하려면 `delete-restore-testing-plan`을 사용하세요.

**AWSServiceRoleForBackupRestoreTesting(API)에서 사용하는 AWS Backup 리소스를 삭제하려면**
+ 복원 테스트 계획을 삭제하려면 `DeleteRestoreTestingPlan`을 사용하세요.

### 수동으로 서비스 연결 역할 삭제
<a name="slr-manual-delete-AWSServiceRoleForBackupRestoreTesting"></a>

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 **AWSServiceRoleForBackupRestoreTesting** 서비스 연결 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)를 참조하세요.

## AWS Backup 서비스 연결 역할에 지원되는 리전
<a name="slr-regions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup 는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [AWS Backup 지원되는 기능 및 리전](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)을 참조하세요.

# 교차 서비스 혼동된 대리인 방지
<a name="cross-service-confused-deputy-prevention"></a>

혼동된 대리자 문제는 작업을 수행할 권한이 없는 엔터티가 권한이 더 많은 엔터티에게 작업을 수행하도록 강요할 수 있는 보안 문제입니다. 에서 AWS교차 서비스 가장은 혼동된 대리자 문제를 초래할 수 있습니다. 교차 서비스 가장은 한 서비스(*직접 호출하는 서비스*)가 다른 서비스(*직접 호출되는 서비스*)를 직접 호출할 때 발생할 수 있습니다. 직접 호출하는 서비스는 다른 고객의 리소스에 대해 액세스 권한이 없는 방식으로 작동하게 권한을 사용하도록 조작될 수 있습니다. 이를 방지하기 위해는 계정의 리소스에 대한 액세스 권한이 부여된 서비스 보안 주체를 사용하여 모든 서비스에 대한 데이터를 보호하는 데 도움이 되는 도구를 AWS 제공합니다.

리소스 정책에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 전역 조건 컨텍스트 키를 사용하여 리소스에 다른 서비스를 AWS Backup 제공하는 권한을 제한하는 것이 좋습니다. 두 전역 조건 컨텍스트 키를 모두 사용하는 경우 `aws:SourceAccount` 값과 `aws:SourceArn` 값의 계정은 동일한 정책 문에서 사용할 경우 동일한 계정 ID를 사용해야 합니다.

를 사용하여 사용자를 대신하여 Amazon SNS 주제를 게시 AWS Backup 할 때 AWS Backup 의 값은 볼트여야 `aws:SourceArn` 합니다.

혼동된 대리인 문제로부터 보호하는 가장 효과적인 방법은 리소스의 전체 ARN이 포함된 `aws:SourceArn`글로벌 조건 컨텍스트 키를 사용하는 것입니다. 리소스의 전체 ARN을 모를 경우 또는 여러 리소스를 지정하는 경우, ARN의 알 수 없는 부분에 대해 와일드카드(`*`)를 포함한 `aws:SourceArn`전역 조건 컨텍스트 키를 사용합니다. 예제: `arn:aws::servicename::123456789012:*`.

다음 예제 정책은에서 `aws:SourceArn` 및 `aws:SourceAccount` 전역 조건 컨텍스트 키를 사용하여 혼동된 대리자 문제를 AWS Backup 방지하는 방법을 보여줍니다. 이 정책은 서비스 보안 주체가 백업 볼트에서 AWS 계정 123456789012을 대신하여 작업하는 경우에만 서비스 보안 주체 backup-storage.amazonaws.com KMS 작업을 수행할 수 있는 권한을 부여합니다.

# 의 인프라 보안 AWS Backup
<a name="infrastructure-security"></a>

관리형 서비스인는 AWS 글로벌 네트워크 보안으로 보호 AWS Backup 됩니다. AWS 보안 서비스 및가 인프라를 AWS 보호하는 방법에 대한 자세한 내용은 [AWS 클라우드 보안을](https://aws.amazon.com/security/) 참조하세요. 인프라 보안 모범 사례를 사용하여 AWS 환경을 설계하려면 *Security Pillar AWS Well‐Architected Framework*의 [인프라 보호를](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) 참조하세요.

 AWS 게시된 API 호출을 사용하여 네트워크를 AWS Backup 통해에 액세스합니다. 클라이언트가 전송 계층 보안(TLS) 1.2 이상을 지원해야 합니다. 클라이언트는 DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Diffie-Hellman Ephemeral)와 같은 PFS(전달 완전 보안)가 포함된 암호 제품군도 지원해야 합니다. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

또한 요청은 액세스 키 ID 및 IAM 위탁자와 관련된 시크릿 액세스 키를 사용하여 서명해야 합니다. 또는 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)(AWS STS)를 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.

# 의 데이터 무결성 AWS Backup
<a name="backup-integrity"></a>

## AWS Backup 데이터 무결성 목표
<a name="backup-integrity-goal"></a>

AWS Backup 는 데이터의 전송, 저장 및 처리 중에 무결성을 유지하기 위해 노력합니다.는 저장된 리소스 데이터를 콘텐츠에 구애받지 않는 중요한 정보로 AWS Backup 취급합니다. 즉, 저장하는 데이터 유형에 관계없이 고객에게 동일한 수준의 보안을 제공합니다. AWS는 고객의 보안에 만전을 기하고 있으며 무단 액세스에 대해 정교한 기술적 및 물리적 조치를 취했습니다. 귀하는 귀하의 데이터가 분류되는 방식, 데이터를 저장하는 리전, 데이터를 제어, 보관 및 공개되지 않도록 보호하는 방법에 대한 완전한 통제권을 보유합니다.

## AWS Backup 데이터 무결성 구현
<a name="backup-integrity-implementation"></a>

AWS Backup 는 다른 AWS 및 Amazon 서비스와 협력하여 저장하고 상호 작용하는 데이터의 무결성을 유지합니다. 사용되는 도구는 다양하며 다음을 포함할 수 있습니다(이에 국한되지는 않음).
+ 객체 손상을 방지하기 위해 지속적으로 객체 체크섬 검증
+ 전송 중 데이터 및 유휴 시 데이터의 무결성을 확인하기 위한 내부 체크섬
+ 프라이머리 저장소에서 생성된 백업의 데이터를 기반으로 체크섬 계산
+ 체크섬은 해당 데이터를 사용하기 전에 항상 올바른 것으로 확인됩니다. 체크섬과 일치하지 않는 데이터를 찾으면 올바른 사본으로 대체합니다. 올바른 사본을 교체하지 못하면 해당 작업이 실패합니다.
+ 디스크 손상 또는 디바이스 장애 감지 시 자동으로 객체 스토리지 중복성을 정상 수준으로 복원하기 위해 시도
+ 여러 물리적 위치에 데이터를 중복 저장
+ 디바이스를 사용할 수 없거나 비트 로트가 감지되는 경우 추가 복제와 결합하여 초기 쓰기 중 여러 가용 영역에 걸쳐 객체 내구성 향상
+ 데이터를 저장 또는 검색할 때 데이터 패킷 손상을 감지하기 위해 모든 네트워크 트래픽에서 체크섬 계산

AWS Backup 는 기본적으로 고급 기능, Amazon EFS, Amazon S3, Amazon Timestream 및 백업 게이트웨이를 통해 연결된 VMware로 실행되는 가상 머신을 사용하여 Amazon DynamoDB에 대한 데이터를 저장합니다. AWS Backup 는 Amazon Aurora, Amazon DocumentDB, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon FSx for Windows File Server, Amazon FSx for Lustre, Amazon FSx for OpenZFS, Amazon FSx for NetApp ONTAP, Amazon Neptune, Amazon RDS 및 Amazon Redshift를 비롯한 다른 서비스에 저장된 데이터의 백업을 용이하게 합니다.

## AWS Backup 데이터 무결성에 대한 객관적 확인 및 감사
<a name="backup-integrity-audit"></a>

에서 직접 저장 AWS Backup 한 데이터와 상호 AWS Backup 작용하는 다른 AWS 서비스와 협력하여 저장한 데이터는 이러한 데이터 무결성을 뒷받침하는 Amazon Simple Storage Service(Amazon S3)의 엄격한 프로세스를 거칩니다. 이러한 무결성은 독립적인 외부 감사자가 [AWS Artifact](https://aws.amazon.com/artifact/)를 통해 제공되는 연간 SOC 감사 보고서를 통해 확인합니다.

# 법적 보존 및 AWS Backup
<a name="legalhold"></a>

## 법적 보존의 개요
<a name="legalhold-overview"></a>

법적 보존은 보존 기간 중에 백업이 삭제되는 것을 방지하는 데 도움이 되는 관리 도구입니다. 보존이 적용되는 동안에는 보존 상태의 백업을 삭제할 수 없으며, 백업 상태를 변경하는 수명 주기 정책(예: `Deleted` 상태로의 전환)은 법적 보존이 제거될 때까지 연기됩니다.

법적 보존은 수명 주기에서 허용하는 AWS Backup 경우에서 생성한 하나 이상의 백업(복구 시점이라고도 함)에 적용할 수 있습니다. 법적 보존은 [연속 백업](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)에는 적용되지 않습니다.

법적 보존이 생성되면 리소스 유형 및 리소스 ID와 같은 특정 필터링 기준을 고려할 수 있습니다. 또한 법적 보존에 포함하려는 백업의 생성 날짜 범위를 정의할 수 있습니다.

법적 보존은 해당 법적 보존이 적용된 원본 백업에만 적용됩니다. 백업이 여러 리전 또는 계정 간에 복사되는 경우(리소스에서 지원하는 경우) 백업은 법적 보존은 유지하지 않습니다. 법적 보전은 다른 리소스와 마찬가지로 고유한 ARN(Amazon 리소스 이름)이 연결되어 있습니다. 에서 생성된 복구 시점만 법적 보존의 일부가 될 AWS Backup 수 있습니다.

[AWS Backup 저장소 잠금](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)은 저장소에 추가 보호 및 불변성을 제공하지만, 법적 보존은 개별 백업(복구 시점)의 삭제를 방지하는 추가 보호를 제공한다는 점에 유의하세요. 법적 보존은 만료되지 않으며 백업 내의 데이터를 무기한 유지합니다. 법적 보존은 충분한 권한이 있는 사용자가 해제할 때까지 계속 유효합니다.

## 복수의 법적 보존
<a name="legalhold-multiple"></a>

백업은 둘 이상의 법적 보존을 보유할 수 있습니다. 법적 보존 및 백업은 다대다 관계를 가집니다. 즉, 백업에는 법적 보존 이상의 자료가 있을 수 있고 법적 보존에는 두 개 이상의 백업이 포함될 수 있습니다.

하나 이상의 법적 보존이 있는 백업은 삭제할 수 없습니다. 백업에 대한 모든 법적 보존이 제거되면 해당 백업은 보존 수명 주기 속성의 적용을 받습니다. 백업 삭제를 방지하려면 하나 이상의 법적 보존을 유지하세요. 법적 보존은 백업 수명 주기 보존 날짜가 지난 후에도 (기존 법적 보존으로 인해) 유지된 복구 시점에 적용할 수 있습니다.

각 계정은 한 번에 최대 50개의 법적 보존을 활성화할 수 있습니다.

## 법적 보존 생성
<a name="legalhold-creation"></a>

기존 백업(복구 시점)에 법적 보존을 추가할 수 있습니다.

 상태가 `EXPIRED` 또는 `DELETING`인 백업(복구 시점)은 법적 보존에 포함되지 않습니다. 상태가 `CREATING`인 복구 시점(백업)은 완료 시점에 따라 법적 보존에 포함되지 않을 수 있습니다.

법적 보존은 필수 IAM 권한이 있는 사용자가 추가할 수 있습니다.

### 콘솔을 사용하여 법적 보존 생성
<a name="legalhold-console"></a>

**법적 보존을 생성하려면 다음과 같이 하세요.**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.

1. 콘솔 왼쪽의 대시보드에서 내 계정을 찾습니다. **법적 보존**을 선택합니다.

1. **법적 보존 추가**를 선택합니다.

1. **법적 보존 세부 정보**, **법적 보존 범위**, **법적 보존 태그**라는 세 가지 패널이 표시됩니다.

   1. **법적 보존 세부 정보**에서 제공된 텍스트 상자에 법적 보존 제목 및 해당 보존에 대한 설명을 입력합니다.

   1. **법적 보존 범위** 패널에서 보존에 포함할 리소스를 선택하는 방법을 선택합니다. 법적 보존을 생성할 때는, 법적 보존 내에 있는 리소스를 선택하는 데 사용할 방법을 선택합니다. 다음 중 하나를 포함하도록 선택할 수 있습니다.
      + 특정 리소스 유형 및 ID
      + 백업 저장소 선택
      + 계정 내의 모든 리소스 유형 또는 모든 백업 저장소

   1. 법적 보존의 날짜 범위를 지정합니다. 날짜를 YYYY:MM:DD 형식(포함)으로 입력합니다.

   1. 선택 사항으로 **법적 보존 태그** 아래에서 법적 보존을 위한 태그를 추가할 수 있습니다. 태그는 향후 참조 및 정리를 위해 법적 보존을 분류하는 데 도움이 될 수 있습니다. 총 50개까지 태그를 추가할 수 있습니다.

1. 새 법적 보존의 구성에 만족하면 **새 보존 추가** 버튼을 클릭합니다.

### 를 사용하여 법적 보존 생성 AWS CLI
<a name="create-legalhold-api"></a>

[create-legal-hold](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-legal-hold.html) 명령을 사용하여 법적 보존을 생성할 수 있습니다.

```
aws backup create-legal-hold --title "my title" \
    --description "my description" \
    --recovery-point-selection "VaultNames=string,DateRange={FromDate=timestamp,ToDate=timestamp}"
```

## 법적 보존 보기
<a name="legalhold-view"></a>

 AWS Backup 콘솔에서 또는 프로그래밍 방식으로 법적 보존 세부 정보를 볼 수 있습니다.

### 콘솔을 사용하여 법적 보존 보기
<a name="legalhold-view-console"></a>

Backup 콘솔을 사용하여 계정 내의 모든 법적 보존을 보려면

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.

1. 대시보드의 왼쪽 부분에 있는 **내 계정**에서 **법적 보존**을 클릭합니다.

1. **법적 보존** 표에는 기존 보존의 제목, 상태, 설명, ID 및 생성 날짜가 표시됩니다. 선택한 열을 기준으로 테이블을 필터링하려면 테이블 헤더 옆에 있는 캐럿(아래쪽 화살표)을 클릭합니다.

### 프로그래밍 방식으로 법적 보존 보기
<a name="legalhold-view-api"></a>

모든 법적 보존을 프로그래밍 방식으로 보려면 [ListLegalHolds](API_ListLegalHolds.md) 및 [GetLegalHold](API_GetLegalHold.md)라는 두 가지 API 직접 호출을 사용할 수 있습니다.

`GetLegalHold`에 사용할 수 있는 JSON 템플릿은 다음과 같습니다.

```
GET /legal-holds/{legalHoldId} HTTP/1.1

Request

empty body

Response

{
    Title: string,
    Status: LegalHoldStatus, 
    Description: string, // 280 chars max
    CancelDescription: string, // this is provided during cancel // 280 chars max
    LegalHoldId: string,
    LegalHoldArn: string,
    CreatedTime: number,
    CanceledTime: number,
    
   ResourceSelection: {
        VaultArns: [ string ]
        Resources: [ string ]
   }, 
   ResourceFilters: {
        DateRange: {
          FromDate: number,
          ToDate: number
        }
   }
}
```

`ListLegalHolds`에 사용할 수 있는 JSON 템플릿은 다음과 같습니다.

```
GET /legal-holds/
  &maxResults=MaxResults
  &nextToken=NextToken


Request

empty body
url params: 
  MaxResults: number  // optional,
  NextToken: string  // optional

status: Valid values: CREATING | ACTIVE | CANCELED | CANCELING
maxResults: 1-1000



Response

{
  NextToken: token,
  LegalHolds: [
    Title: string,
    Status: string, 
    Description: string, // 280 chars max
    CancelDescription: string, // this is provided during cancel // 280 chars max
    LegalHoldId: string,
    LegalHoldArn: string,
    CreatedTime: number,
    CanceledTime: number,
  ]

}
```

가능한 상태 값은 다음과 같습니다.


| Status | 설명 | 
| --- | --- | 
| 생성 | 요청된 복구 시점은 보존 처리 중이며, 보존 생성이 완료되지 않았으므로 해당 복구 시점의 삭제 요청이 성공할 수 있습니다. | 
| ACTIVE | 법적 보존이 생성되었으며, 이 법적 보존에 나열된 모든 복구 시점은 보류됩니다. | 
| 취소 중 | 법적 보존 조치가 제거되는 중이며, 보존 중인 복구 시점에 대한 삭제 요청이 성공할 수 있습니다. | 
| CANCELED | 법적 보존이 완전히 해제되어 더 이상 효력이 없습니다. 복구 시점을 삭제할 수 있습니다. | 

## 법적 보존 해제
<a name="legalhold-release"></a>

법적 보존은 충분한 권한이 있는 사용자가 제거할 때까지 계속 유효합니다. 법적 보존을 제거하는 것을 법적 보존 취소, 삭제 또는 해제라고도 합니다. 법적 보존을 제거하면 연결된 모든 백업에서 삭제됩니다. 법적 보존 기간 중에 만료된 모든 백업은 법적 보존이 제거된 후 24시간 이내에 삭제됩니다.

### 콘솔을 사용하여 법적 보존 해제
<a name="release-legalhold-console"></a>

**콘솔을 사용하여 법적 보존을 해제하려면 다음과 같이 하세요.**

1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.

1. 해제와 연결하려는 설명을 입력합니다.

1. 세부 정보를 검토한 다음 **보존 해제**를 클릭합니다.

1. 보존 해제 대화 상자가 나타나면 텍스트 상자에 `confirm`을 입력하여 보존 해제 의사를 확인합니다.

   1. 보존을 취소함을 확인하는 상자를 선택합니다.

**법적 보존** 페이지에서 모든 보존을 확인할 수 있습니다. 해제가 성공하면 해당 보존의 상태가 `Released`로 표시됩니다.

### 프로그래밍 방식으로 법적 보존 해제
<a name="release-legalhold-api"></a>

프로그래밍 방식으로 법적 보존을 제거하려면 [CancelLegalHold](API_CancelLegalHold.md)라는 API 직접 호출을 사용합니다.

다음 JSON 템플릿을 사용합니다.

```
DELETE /legal-holds/{legalHoldId}


Request

{
   CancelDescription: String
   DeleteAfterDays: number // optional
}


DeleteAfterDays: optional. 
  Defaults to 180 days. how long to keep legal hold record after canceled.
  This applies to the actual legal hold record only.
  Recovery points are unlocked as soon as cancelation processes and are not subject to this date.

Response 

Empty body

200 if successful
other standard codes
```

# 의 맬웨어 보호 AWS Backup
<a name="malware-protection"></a>

백업의 맬웨어 스캔은 Amazon GuardDuty 맬웨어 보호에서 제공합니다. 에 Amazon GuardDuty 맬웨어 보호를 사용하면 기존 백업 워크플로 AWS Backup 를 통해 복구 시점 스캔을 자동화하거나 이전에 생성한 백업의 온디맨드 스캔을 시작할 수 있습니다. 이 AWS 네이티브 솔루션은 잠재적 맬웨어로부터 백업을 정리하여 규정 준수 요구 사항을 충족하고 클린 데이터 복구를 보장하여 악의적인 인시던트에 더 빠르게 대응할 수 있도록 합니다.

지원되는 리소스 유형 및 리전 목록을 보려면 [기능 가용성 페이지를](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html) 방문하세요.

**Topics**
+ [Amazon GuardDuty와 통합](#malware-guardduty-integration)
+ [즉각적인 액세스](backup-instant-access.md)
+ [맬웨어 스캔을 사용하는 방법](#malware-how-to-use)
+ [액세스](#malware-access)
+ [증분 스캔과 전체 스캔](#malware-scan-types)
+ [맬웨어 스캔 모니터링](#malware-monitoring)
+ [스캔 결과 이해](#malware-scan-results)
+ [스캔 실패 문제 해결](#malware-troubleshooting)
+ [측정](#malware-metering)
+ [할당량](#malware-quotas)
+ [맬웨어 스캔 유형에 대한 콘솔 및 CLI 사용 단계](#malware-console-cli-usage)

## Amazon GuardDuty와 통합
<a name="malware-guardduty-integration"></a>

AWS Backup 는 Amazon GuardDuty 맬웨어 보호와 통합되어 복구 시점에 대한 위협 탐지를 제공합니다. 맬웨어 스캔을 시작하면는 각 백업이 완료된 후 Amazon GuardDuty의 `StartMalwareScan` API를 AWS Backup 자동으로 호출하여 복구 시점 세부 정보와 스캐너 역할 자격 증명을 전달합니다. 그런 다음 Amazon GuardDuty는 백업 내의 모든 파일과 객체를 읽고, 해독하고, 스캔하기 시작합니다.

Amazon GuardDuty가 백업 데이터에 액세스하면 해당 액세스가 가시성을 AWS CloudTrail 위해 로그인됩니다.

이 통합에 대한 자세한 내용은 [Amazon GuardDuty 맬웨어 보호 설명서를](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-backup.html) 참조하세요.

# 백업 인스턴트 액세스 권한
<a name="backup-instant-access"></a>

S3 백업과 함께 AWS 백업용 Amazon GuardDuty 맬웨어 보호를 사용하는 경우 Amazon GuardDuty는 CreateBackupAccessPoint, DescribeBackupAccessPoint, DeleteBackupAccessPoint의 세 가지 APIs를 통해 S3 백업에 액세스합니다.

Amazon GuardDuty는 CreateBackupAccessPoint를 사용하여 암호화된 백업 데이터에 액세스합니다. 스캔 작업 중에 GuardDuty는 DescribeBackupAccessPoint를 사용하여 액세스 포인트 생성 성공을 확인합니다. 스캔이 완료되면 GuardDuty는 DeleteBackupAccessPoint를 호출하여 백업에 대한 액세스를 제거합니다.

이 워크플로는 논리적 에어 갭 저장소에 저장된 S3 백업과 EC2/EBS 백업 모두에 적용됩니다.

## 맬웨어 스캔을 사용하는 방법
<a name="malware-how-to-use"></a>

Amazon GuardDuty 맬웨어 보호를와 함께 사용하면 백업에서 맬웨어를 자동으로 스캔 AWS Backup할 수 있습니다. 이 통합을 통해 백업에서 악성 코드를 감지하고 복원 작업을 위한 클린 복구 시점을 식별할 수 있습니다.

Amazon GuardDuty 맬웨어 보호는 백업 스캔을 위한 두 가지 기본 워크플로를 지원합니다.
+ **백업 계획을 통한 자동 맬웨어 스캔** - 백업 계획에서 맬웨어 스캔을 활성화하여 맬웨어 감지를 자동화합니다 AWS Backup. 활성화하면 백업이 완료될 때마다 Amazon GuardDuty 스캔이 AWS Backup 자동으로 시작됩니다. 백업 스캔 빈도를 결정하는 특정 백업 계획 규칙에 대한 전체 스캔 또는 증분 스캔을 구성할 수 있습니다. 스캔 유형에 대한 자세한 내용은 [증분 스캔과 전체 스캔](#malware-scan-types) 아래를 참조하세요. AWS Backup 백업 생성 후 사전 위협 탐지를 위해 백업 계획에서 자동 맬웨어 스캔을 활성화하는 것이 좋습니다.
+ **온디맨드 스캔** - 온디맨드 스캔을 실행하여 기존 백업을 수동으로 스캔하고 전체 스캔 유형 또는 증분 스캔 유형 중에서 선택합니다. 온디맨드 스캔을 사용하여 마지막 정리 백업을 식별하는 것이 AWS Backup 좋습니다. 복원 작업 전에 스캔할 때는 전체 스캔을 사용하여 최신 위협 탐지 모델로 전체 백업을 검사합니다.

## 액세스
<a name="malware-access"></a>

맬웨어 보호를 시작하기 전에 계정에 작업에 필요한 권한이 있어야 합니다.

AWS Backup 맬웨어 스캔을 수행하려면 복구 시점에 잠재적 맬웨어가 있는지 검사하는 데 두 가지 IAM 역할이 필요합니다.
+ 먼저 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 또는 [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) 관리형 정책을 기존 또는 새 백업 역할에 연결해야 합니다. 이는 콘솔의 백업 계획에 대한 리소스 할당 또는 [BackupSelection API](API_CreateBackupSelection.md)를 통해 찾을 수 있는 것과 동일한 역할입니다. 이 관리형 정책은가 Amazon GuardDuty에서 맬웨어 스캔을 시작 AWS Backup 하도록 허용합니다.
+ 둘째,를 신뢰하는 [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) 관리형 정책에는 새 스캐너 역할이 필요합니다`malware-protection.guardduty.amazonaws.com`. 이는 콘솔의 백업 계획의 맬웨어 보호 부분 또는 [BackupPlan API](API_CreateBackupPlan.md)의 스캔 설정을 통해 찾을 수 있는 것과 동일한 역할입니다. 이 역할은 스캔이 시작되면 AWS Backup 에서 Amazon GuardDuty로 전달되어 백업에 대한 액세스를 제공합니다.

## 증분 스캔과 전체 스캔
<a name="malware-scan-types"></a>

맬웨어 스캔을 사용하면 보안 요구 사항 및 비용 고려 사항에 따라 증분 스캔과 전체 스캔 중에서 선택할 수 있습니다.

**증분 스캔**은 대상과 기본 복구 시점 간에 변경된 데이터만 분석합니다. 이러한 스캔은 정기적인 스캔에 더 빠르고 비용 효율적이므로 새로 백업된 데이터를 스캔하려는 정기 백업에 적합합니다.

증분 스캔을 선택한 경우에도는 다음과 같은 상황에서 전체 스캔을 AWS Backup 수행합니다.
+ **최초 스캔:** 리소스의 초기 스캔은 항상 전체 스캔이므로 Amazon GuardDuty는 잠재적 위협의 기준을 설정할 수 있습니다. 이후 스캔은 증분식입니다.
+ **만료된 기준:** 기준 복구 시점을 365일 이상 전에 스캔한 경우 전체 스캔이 발생합니다. Amazon GuardDuty는 조사 결과 정보를 365일 동안만 보관하므로 정확한 스캔 결과를 보장하기 위해 새 기준을 설정해야 합니다.
+ **삭제된 기준:** 다음 증분 스캔이 시작되기 전에 기본 복구 시점이 삭제되면 전체 스캔이 자동으로 수행됩니다.

**전체 스캔**은 이전 스캔과 관계없이 전체 복구 시점을 검사합니다. 이러한 스캔은 포괄적인 적용 범위를 제공하지만 완료하는 데 시간이 더 오래 걸리고 비용이 더 많이 발생합니다. 온디맨드 방식으로 전체 스캔을 실행하거나 백업 계획을 통해 예약할 수 있습니다.는 백업 계획에서 정기적으로 전체 스캔을 구성하여 전체 백업 데이터가 최신 맬웨어 서명 모델로 정기적으로 스캔되도록 할 것을 AWS Backup 권장합니다.

최적의 보안과 비용 관리를 위해 스캔 유형을 선택할 때 백업 빈도를 고려하세요.

**참고**  
Amazon S3 연속 복구 시점에는 현재 맬웨어 스캔이 지원되지 않습니다. Amazon S3 연속 백업을 스캔하려면 Amazon S3 리소스에 대한 정기 백업을 구성하고 해당 정기 백업에서 맬웨어 스캔을 활성화합니다. Amazon S3 버킷에 연속 백업[과 정기 백업을 조합하여](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html) 사용할 수 있습니다.

**참고**  
[논리적 에어 갭 저장소](https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html) 또는 복사된 Amazon EC2 복구 시점의 Amazon EC2 복구 시점에는 증분 맬웨어 스캔이 지원되지 않습니다.

## 맬웨어 스캔 모니터링
<a name="malware-monitoring"></a>

스캔이 활성화된 후 AWS Backup 및 Amazon GuardDuty 모두 결과를 추적하는 데 사용할 수 있는 모니터링 및 알림 메커니즘을 제공합니다.
+ **AWS Backup 콘솔:** AWS Backup 콘솔은 `ListScanJobs` 및 `DescribeScanJob` APIs. 맬웨어 보호 섹션을 방문하여 작업 상태 및 스캔 결과를 나타내는 스캔 작업 목록을 볼 수 있습니다.는 콘솔에서 사용할 수 없지만 `ListScanJobSummaries` API AWS Backup 도 지원합니다.
+ **AWS Backup Audit Manager:** 지난 24시간 동안 AWS Backup 시작된 모든 맬웨어 스캔 작업을 볼 수 있도록 스캔 보고서를 설정할 수 있습니다.
+ **Amazon GuardDuty 콘솔:** 기본 Amazon GuardDuty가 활성화된 경우 맬웨어 스캔 결과에서 세부 정보를 보고 Amazon GuardDuty 조사 결과 페이지에서 맬웨어를 조사할 수 있습니다. 위협 및 파일 이름, 파일 경로, 스캔한 객체/파일, 스캔한 바이트 등과 같은 정보를 볼 수 있습니다. 이 세부 위협 정보는를 통해 사용할 수 없으며이 정보를 보려면 적절한 Amazon GuardDuty 권한이 AWS Backup있어야 합니다.
+ **Amazon EventBridge:** AWS Backup 및 Amazon GuardDuty 모두 EventBridge 이벤트를 내보내 백업 및 보안 관리자에게 동기식으로 알림을 보낼 수 있습니다. 스캔이 완료되거나 맬웨어가 감지되면 알림을 받도록 사용자 지정 규칙을 설정할 수 있습니다.
+ **AWS CloudTrail:** AWS Backup 및 Amazon GuardDuty 모두 CloudTrail 이벤트를 내보내 API 액세스를 모니터링할 수 있습니다.

## 스캔 결과 이해
<a name="malware-scan-results"></a>

의 스캔 작업에는 스캔 상태와 스캔 결과가 AWS Backup 있습니다.

### 스캔 상태
<a name="malware-scan-states"></a>

스캔 상태는 작업 상태를 나타내며 , `CREATED`, `COMPLETED`, `COMPLETED_WITH_ISSUES`, `RUNNING` `FAILED`또는 값을 가질 수 있습니다`CANCELED`.

스캔 작업이 상태로 완료되는 여러 상황이 있습니다. `COMPLETED_WITH_ISSUES` 

Amazon S3 백업의 경우 객체를 스캔하지 못하게 하는 객체 크기/유형 제한이 있습니다. 스캔 내에서 하나 이상의 객체를 건너뛰면 해당 스캔 작업이 로 표시됩니다`COMPLETED_WITH_ISSUES`. Amazon EC2/Amazon EBS 백업의 경우 볼륨 크기/수량 제한이 있어 스캔 중에 볼륨을 건너뛰게 됩니다. 이러한 상황에서는 Amazon EC2/Amazon EBS 백업 작업이 로 이어집니다`COMPLETED_WITH_ISSUES`.

작업이 상태로 완료`COMPLETED_WITH_ISSUES`되고 이유에 대한 추가 정보가 필요한 경우 Amazon GuardDuty를 통해 해당 스캔 작업에서 해당 세부 정보를 가져와야 합니다.

**참고**  
증분 스캔 작업은 두 백업 간의 데이터 차이만 스캔합니다. 따라서 증분 스캔 작업에서 위에 설명된 상황이 발생하지 않으면 상태가 완료`COMPLETE`되고 기본 복구 시점에서 `COMPLETED_WITH_ISSUES`를 상속하지 않습니다.

드문 경우지만 파일 및 객체를 스캔할 때 Amazon GuardDuty에서 내부 문제가 발생할 수 있으며 재시도 횟수가 소진될 수 있습니다. 이 경우 스캔 작업은 `FAILED` AWS Backup 및 Amazon GuardDuty`COMPLETED_WITH_ISSUES`에 로 표시됩니다. 이 상태 차이를 사용하면 지원되는 모든 파일 및 객체가 성공적으로 스캔되지 않았음을 나타내는 동시에 Amazon GuardDuty에서 사용 가능한 스캔 결과를 볼 수 있습니다.

### 스캔 결과
<a name="malware-scan-results-detail"></a>

스캔 결과는 Amazon GuardDuty의 집계된 결과를 나타내며 `THREATS_FOUND`, 또는 값을 가질 수 있습니다`NO_THREATS_FOUND`.

스캔 결과는 복구 시점에서 잠재적 맬웨어가 탐지되었는지 여부를 나타냅니다. `NO_THREATS_FOUND` 상태는 잠재적 맬웨어가 탐지되지 않았음을 의미하고,는 잠재적 맬웨어가 발견되었음을 `THREATS_FOUND` 나타냅니다. 자세한 위협 정보는 Amazon GuardDuty 콘솔 또는 API를 통해 전체 Amazon GuardDuty 조사 결과에 액세스하세요. APIs 또한 EventBridge 이벤트를 통해 스캔 결과를 사용할 수 있으므로 감염된 백업에 응답하는 자동화된 워크플로를 구축할 수 있습니다.

Amazon GuardDuty는 365일 동안 결과를 보존하여 증분 스캔에서 파일 또는 객체를 추적하여 위협이 제거되거나 맬웨어 서명이 변경되는지 모니터링합니다. 예를 들어 백업 2에서 맬웨어가 감지되면 스캔 결과에가 표시됩니다`THREATS_FOUND`. 백업 2를 기본으로 사용하여 백업 3에서 증분 스캔을 수행하면 데이터에서 위협이 제거되지 `THREATS_FOUND` 않는 한 스캔 결과가 유지됩니다.

## 스캔 실패 문제 해결
<a name="malware-troubleshooting"></a>

일반적인 스캔 실패에는 IAM 권한 부족, 서비스 제한 및 리소스 액세스 문제가 포함됩니다.

**권한 오류**는 백업 역할에 `AWSBackupServiceRolePolicyForScans` 권한이 없거나 스캐너 역할에 `AWSBackupGuardDutyRolePolicyForScans` 적절한 신뢰 관계가 없는 경우에 발생합니다.

**서비스 제한 오류**는 계정당 동시 스캔 150개 또는 리소스 유형당 동시 스캔 5개를 초과할 때 발생합니다. 스캔 작업은 용량을 사용할 수 있을 때까지 `CREATED` 상태로 유지됩니다.

**액세스 거부 오류**는 적절한 AWS KMS 권한이 없는 암호화된 복구 시점 또는 증분 스캔을 위한 삭제된 상위 복구 시점을 나타낼 수 있습니다.

**제한 시간 실패는** 복구 시점이 매우 크거나 Amazon GuardDuty 로드 기간이 긴 경우에 발생할 수 있습니다.

문제를 해결하려면 `DescribeScanJob` API를 사용하여 스캔 작업 상태를 확인하고, IAM 역할 구성을 확인하고, 복구 시점이 존재하고 액세스할 수 있는지 확인하고, 증분 스캔 상위 참조가 누락된 경우 전체 스캔으로 전환하는 것이 좋습니다.

동시 스캔 사용량을 모니터링하고 자동화된 워크플로에서 지터링을 구현하여 서비스 제한에 도달하지 않도록 합니다.

## 측정
<a name="malware-metering"></a>

맬웨어 보호는 Amazon GuardDuty에서 제공하고 청구합니다. 이 기능 사용과 관련된 AWS Backup 요금은 표시되지 않습니다. 모든 사용량은 Amazon GuardDuty의 결제에서 확인할 수 있습니다. 자세한 내용은 [Amazon GuardDuty 요금을](https://aws.amazon.com/guardduty/pricing/) 참조하세요.

## 할당량
<a name="malware-quotas"></a>

 AWS Backup 및 Amazon GuardDuty 모두 Amazon GuardDuty 맬웨어 보호에 대한 할당량 제한이 있습니다 AWS Backup.

자세한 내용은 [AWS Backup 할당량](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html) 및 [Amazon GuardDuty 할당량을 참조하세요](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_limits.html).

## 맬웨어 스캔 유형에 대한 콘솔 및 CLI 사용 단계
<a name="malware-console-cli-usage"></a>

다음 섹션에서는 콘솔과를 모두 사용하여 다양한 맬웨어 스캔 유형을 구성하는 단계를 보여줍니다 AWS CLI.

### 맬웨어 스캔을 설정하는 방법
<a name="malware-setup-scans"></a>

**콘솔**  


1.  AWS Backup 콘솔 → 백업 계획으로 이동

1. 새 백업 계획 생성 또는 기존 계획 선택

1. **맬웨어 보호** 토글 활성화

1. **스캐너 역할을** 선택하여 새 스캐너 역할을 선택합니다. 에 설명된 대로 백업 역할과 스캐너 역할 모두에 적절한 권한이 있는지 확인합니다[액세스](#malware-access).

1. **스캔 가능한 리소스 유형을** 선택합니다. 그러면 선택한 리소스 선택 기준으로 맬웨어 스캔이 필터링됩니다. 예를 들어 스캔 가능한 리소스 유형 선택이 Amazon EBS이지만 플랜의 리소스 선택에 Amazon EBS 및 Amazon S3가 포함된 경우 Amazon EBS 맬웨어 스캔만 수행됩니다.

1. 각 백업 규칙에 대해 **스캔 유형을** 설정합니다. 전체 스캔, 증분 스캔, 스캔 없음 중에서 선택할 수 있습니다. 스캔 유형 선택은 연결된 백업 규칙의 일정 빈도에 따라 스캔이 수행됨을 의미합니다.

1. 백업 계획 저장

**AWS CLI**  


**CreateBackupPlan**

[create-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) 명령을 사용하여 맬웨어 스캔이 활성화된 백업 계획을 생성할 수 있습니다.

```
aws backup create-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlan": {
                          "BackupPlanName": "scan-initial-test-demo",
                          "Rules": [
                            {
                              "RuleName": "full",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(0 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": {
                                "DeleteAfterDays": 3,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "FULL_SCAN"
                                }
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 100,
                              "CompletionWindowMinutes": 5000,
                              "Lifecycle": {
                                "DeleteAfterDays": 2,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                }
                              ]
                            }
                          ],
                          "ScanSettings": [
                            {
                              "MalwareScanner": "GUARDDUTY",
                              "ResourceTypes": ["EBS", "EC2", "S3"],
                              "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
```

**UpdateBackupPlan**

[update-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html) 명령을 사용하여 맬웨어 스캔을 활성화하여 백업 계획을 업데이트할 수 있습니다.

```
aws backup update-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
                        "BackupPlan": {
                        "BackupPlanName": "scan-initial-test-demo",
                        "Rules": 
                          [
                            {"RuleName": "full",
                            "TargetBackupVaultName": "Default",
                            "ScheduleExpression": "cron(0 * * * ? *)",
                            "StartWindowMinutes": 60,
                            "CompletionWindowMinutes": 3000,
                            "Lifecycle": 
                              {
                              "DeleteAfterDays": 6,
                              "OptInToArchiveForSupportedResources": false},
                            "RecoveryPointTags": 
                              {"key1": "foo",
                              "key2": "foo"},
                            "EnableContinuousBackup": false,
                            "ScanActions": 
                              [
                                {"MalwareScanner": "GUARDDUTY",
                                "ScanMode": "FULL_SCAN"}
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": 
                                {
                                "DeleteAfterDays": 9,
                                "OptInToArchiveForSupportedResources": false},
                              "RecoveryPointTags": 
                                {"key1": "foo",
                                "key2": "foo"},
                              "EnableContinuousBackup": false,
                              "ScanActions": 
                                [
                                  {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                  }
                                ]
                            }
                          ],
                        "ScanSettings": 
                          [
                            {
                            "MalwareScanner": "GUARDDUTY",
                            "ResourceTypes": 
                              ["ALL", "EBS"],
                            "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
```

**주요 참고 사항**  

+ 스캔 옵션을 활성화하려면 대상 ARN 항목이 필요합니다(콘솔).
+ 모든 구성에 필요한 백업 IAM 역할과 스캐너 IAM 역할 모두
+ `aws backup list-scan-jobs`를 사용하여 모든 스캔 작업 보기(AWS CLI)
+ 비용 영향은 스캔 유형(증분 대 전체) 및 빈도에 따라 다릅니다.

**AWS CLI 주요 참고 사항**  

+ `aws backup list-scan-jobs`를 사용하여 모든 스캔 작업 보기(AWS CLI)
+ ScanResults 필드가 있는 `describe-recovery-point` API를 통해 사용 가능한 스캔 결과
+ 모든 구성에 필요한 백업 IAM 역할과 스캐너 IAM 역할 모두
+ JSON 백업 계획 구조에는 계획 수준의 ScanSettings와 규칙에 ScanActions가 포함됩니다.

# 의 복원력 AWS Backup
<a name="disaster-recovery-resiliency"></a>

 AWS Backup 는 복원력과 데이터 보안을 매우 중요하게 생각합니다.

 AWS Backup 는 백업을 백업한 경우 최소한 리소스의 원래 AWS 서비스에서 제공하는 ** 것보다 많은 복원력과 내구성으로 백업을 저장합니다.

AWS Backup 는 현재 AWS Backup 설명서를 준수하는 경우 특정 연도에 99.999999999%(119)의 내구성을 위해 AWS 글로벌 인프라를 사용하여 여러 가용 영역에 백업을 복제하도록 설계되었습니다.

AWS Backup 는 저장된 백업 계획을 암호화하고 지속적으로 백업합니다. AWS Identity and Access Management (IAM) 자격 증명 및 정책을 사용하여 백업 계획에 대한 액세스를 제한할 수도 있습니다. 자세한 내용은 [인증](https://docs.aws.amazon.com/aws-backup/latest/devguide/authentication.html), [액세스 제어](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html) 및 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.

 AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다.는 지연 시간이 짧고 처리량이 많으며 중복성이 높은 네트워킹과 연결된 물리적으로 분리되고 격리된 여러 가용 영역을 AWS 리전 제공합니다.는 가용 영역 전체에 백업을 AWS Backup 저장합니다. 가용 영역은 기존의 단일 또는 복수 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다. 자세한 내용은 [AWS Backup 서비스 수준에 관한 계약(SLA)](https://aws.amazon.com/backup/sla/)을 참조하세요.

또한 AWS Backup 를 사용하면 리전 간에 백업을 복사하여 복원력을 높일 수 있습니다. 리전 AWS Backup 간 복사 기능에 대한 자세한 내용은 [백업 복사본 생성을 참조하세요](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html).

 AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라를](https://aws.amazon.com/about-aws/global-infrastructure/) 참조하세요.