本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 中的身份和访问管理 AWS Backup
访问 AWS Backup 需要凭证。这些凭证必须有权访问 AWS 资源,例如 Amazon DynamoDB 数据库或 Amazon EFS 文件系统。此外, AWS Backup 为某些 AWS Backup支持的服务创建的恢复点无法使用源服务(例如 Amazon EFS)删除。您可以使用删除这些恢复点 AWS Backup。
以下各节详细介绍了如何使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 以及 AWS Backup 如何帮助安全访问您的资源。
**警告**
AWS Backup 使用您在分配资源来管理恢复点生命周期时选择的 IAM 角色。如果您删除或修改该角色,则 AWS Backup 无法管理您的恢复点生命周期。发生这种情况时,它将尝试使用服务相关角色来管理您的生命周期。在少数情况下,这也可能不起作用,从而在存储上留下 `EXPIRED` 恢复点,这可能会产生不必要的成本。要删除 `EXPIRED` 恢复点,请使用[删除备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html)中的步骤手动将其删除。
**Topics**
+ [身份验证](authentication.md)
+ [访问控制](access-control.md)
+ [IAM 服务角色](iam-service-roles.md)
+ [的托管策略 AWS Backup](security-iam-awsmanpol.md)
+ [将服务相关角色用于 AWS Backup](using-service-linked-roles.md)
+ [防止跨服务混淆座席](cross-service-confused-deputy-prevention.md)
# 身份验证
访问 AWS Backup 或正在备份的 AWS 服务需要 AWS 能够用来验证您的请求的证书。您可以 AWS 作为以下任何类型的身份进行访问:
+ **AWS 账户 root 用户** — 注册时 AWS,您需要提供与您的 AWS 帐户关联的电子邮件地址和密码。这就是您的 *AWS 账户 根用户*。其凭证可让您完全访问您的所有 AWS 资源。
**重要**
出于安全原因,建议您仅使用根用户来创建*管理员*。管理员是对您的 AWS 账户拥有完全权限的 *IAM 用户*。随后,您可以使用此管理员用户来创建具有有限权限的其他 IAM 用户和角色。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)和[创建您的第一个 IAM 管理员用户和组](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)。
+ **IAM 用户** - [IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)用户是 AWS 账户 中的一种身份,它具有特定的自定义权限(例如,创建备份保管库以存储备份的权限)。您可以使用 IAM 用户名和密码登录安全 AWS 网页 [AWS 管理控制台](https://console.aws.amazon.com/),例如[AWS 讨论论坛](https://forums.aws.amazon.com/)或[AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
除了用户名和密码之外,您还可以为每个用户生成[访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。在以编程方式访问 AWS 服务时,您可以使用这些密钥,无论是通过[多个密钥中的一个 SDKs](https://aws.amazon.com/developer/tools/)还是使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)。SDK 和 AWS CLI 工具使用访问密钥对您的请求进行加密签名。如果您不使用 AWS 工具,则必须自行对请求签名。有关验证请求的更多信息,请参阅《AWS 一般参考》** 中的[签名版本 4 签名流程](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)。
+ **IAM 角色** – [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是可在账户中创建的另一种具有特定权限的 IAM 身份。它类似于 IAM 用户,但未与特定人员关联。IAM 角色使您能够获得可用于访问 AWS 服务和资源的临时访问密钥。具有临时凭证的 IAM 角色在以下情况下很有用:
+ 联合用户访问权限 — 您可以使用企业用户目录或 Web 身份提供商中预先存在的用户身份 Directory Service,而不是创建 IAM 用户。这些用户称为*联合用户*。在通过[身份提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)请求访问权限时, AWS 将为联合用户分配角色。有关联合用户的更多信息,请参阅《IAM 用户指南》**中的[联合用户和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)。
+ 跨账户管理 — 您可以使用账户中的 IAM 角色授予其他 AWS 账户 权限来管理您的账户的资源。有关示例,请参阅 IAM *用户指南中的教程: AWS 账户 使用 IAM* [角色委派访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)。
+ AWS 服务访问权限 — 您可以使用账户中的 IAM 角色向 AWS 服务授予访问您账户资源的权限。有关更多信息,请参阅 *IAM 用户指南*中的[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
+ 在亚马逊弹性计算云 (Amazon EC2) 上运行的应用程序 — 您可以使用 IAM 角色管理在亚马逊 EC2 实例上运行并发 AWS 出 API 请求的应用程序的临时证书。这优先于在 EC2 实例中存储访问密钥。要向 EC2 实例分配 AWS 角色并使其可供其所有应用程序使用,您需要创建附加到该实例的实例配置文件。实例配置文件包含角色,并使 EC2 实例上运行的程序能够获得临时凭证。有关更多信息,请参阅《IAM 用户指南》中的[使用 IAM 角色为在 Amazon EC2 实例上运行的应用程序授予权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)**。
# 访问控制
您可以拥有有效的凭证来验证您的请求,但是除非您拥有相应的权限,否则您无法访问备份文件库等 AWS Backup 资源。您也无法备份诸如亚马逊 Elastic Block Store (Amazon EBS) 卷之类的 AWS 资源。
每个 AWS 资源都归人所有 AWS 账户,创建或访问资源的权限受权限策略的约束。账户管理员可以向 AWS Identity and Access Management (IAM) 身份(即用户、群组和角色)附加权限策略。有些服务还支持向资源附加权限策略。
*账户管理员* (或管理员用户) 是具有管理员权限的用户。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
在授予权限时,您要决定谁获得权限,获得对哪些资源的权限,以及您允许对这些资源执行的具体操作。
以下各部分介绍了访问策略的工作原理以及如何使用它们来保护备份。
**Topics**
+ [资源和操作](#access-control-resources)
+ [资源所有权](#access-control-owner)
+ [指定策略元素:操作、效果和主体](#access-control-specify-backup-actions)
+ [在策略中指定条件](#specifying-conditions)
+ [API 权限:操作、资源和条件参考](#backup-api-permissions-ref)
+ [复制标签权限](#copy-tags)
+ [访问策略](#access-policies)
## 资源和操作
资源是存在于服务中的对象。 AWS Backup 资源包括备份计划、备份存储库和备份。*Backup* 是一个通用术语,指的是中存在的各种类型的备份资源 AWS。例如,Amazon EBS 快照、Amazon Relational Database Service (Amazon RDS) 快照、Amazon DynamoDB 备份都是备份资源类型。
在中 AWS Backup,备份也称为*恢复点*。使用时 AWS Backup,您还可以使用您正在尝试保护的其他 AWS 服务的资源,例如 Amazon EBS 卷或 DynamoDB 表。这些资源具有与之关联的唯一 Amazon 资源名称 (ARNs)。 ARNs 唯一标识 AWS 资源。当您需要在 AWS全局环境中(例如在 IAM 策略或 API 调用中)明确指定一项资源时,您必须拥有 ARN。
下表列出了资源、子资源和 ARN 格式以及一个唯一 ID 示例。
**AWS Backup 资源 ARNs**
| 资源类型 | ARN 格式 | 唯一 ID 示例 |
| --- | --- | --- |
| 备份计划 | arn:aws:backup:region:account-id:backup-plan:\$1 | |
| 备份保管库 | arn:aws:backup:region:account-id:backup-vault:\$1 | |
| Amazon EBS 恢复点 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 |
| Amazon EC2 映像恢复点 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 |
| Amazon RDS 恢复点 | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora 恢复点 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora DSQL 恢复点 | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a |
| Storage Gateway 恢复点 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 |
| 未启用[高级 DynamoDB 备份](advanced-ddb-backup.md)的 DynamoDB 恢复点 | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| 启用[高级 DynamoDB 备份](advanced-ddb-backup.md)的 DynamoDB 恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Amazon EFS 恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Amazon 的恢复点 FSx | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 |
| 虚拟机恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Amazon S3 连续备份恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 |
| S3 定期备份恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 |
| Amazon DocumentDB 恢复点 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Neptune 恢复点 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift 恢复点 | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift Serverless 恢复点 | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Timestream 恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta |
| AWS CloudFormation 模板的恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Amazon EC2 实例上的 SAP HANA 数据库恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
支持完全 AWS Backup 管理的资源都有格式的恢复点`arn:aws:backup:region:account-id::recovery-point:*`。这使您可以更轻松地应用权限策略来保护这些恢复点。要查看哪些资源支持完全 AWS Backup 管理,请参阅[按资源划分的功能可用性](backup-feature-availability.md#features-by-resource)表格的该部分。
AWS Backup 提供了一组使用 AWS Backup 资源的操作。有关可用操作的列表,请参阅 AWS Backup [操作](API_Operations.md)。
## 资源所有权
AWS 账户 拥有在账户中创建的资源,无论谁创建了这些资源。具体而言,资源所有者是 AWS 账户 对资源创建请求进行身份验证的[委托人实体](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)(即 AWS 账户 根用户、IAM 用户或 IAM 角色)。以下示例说明了它的工作原理:
+ 如果您使用您的 AWS 账户 root 用户凭证创建备份保管库,则您 AWS 账户 就是该文件库的所有者。 AWS 账户
+ 如果您在中创建 IAM 用户 AWS 账户 并向该用户授予创建备份库的权限,则该用户可以创建备份保管库。但是,您的 AWS 账户(即该用户所属的账户)拥有备份保管库资源。
+ 如果您在中创建 AWS 账户 具有创建备份库权限的 IAM 角色,则任何能够担任该角色的人都可以创建文件库。角色 AWS 账户所属的您拥有备份库资源。
## 指定策略元素:操作、效果和主体
对于每个 AWS Backup 资源(请参阅[资源和操作](#access-control-resources)),该服务定义了一组 API 操作(请参阅[操作](API_Operations.md))。要授予这些 API 操作的权限,请 AWS Backup 定义一组可在策略中指定的操作。执行一个 API 操作可能需要多个操作的权限。
以下是最基本的策略元素:
+ 资源:在策略中,您可以使用 Amazon Resource Name(ARN)标识策略应用到的资源。有关更多信息,请参阅 [资源和操作](#access-control-resources)。
+ 操作 – 您可以使用操作关键字标识要允许或拒绝的资源操作。
+ 效果 - 您可以指定当用户请求特定操作(可以是允许或拒绝)时的效果。如果没有显式授予(允许)对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问,这样可确保用户无法访问该资源,即使有其他策略授予了访问权限的情况下也是如此。
+ 主体:在基于身份的策略(IAM 策略)中,附加了策略的用户是隐式主体。对于基于资源的策略,您可以指定要接收权限的用户、账户、服务或其他实体(仅适用于基于资源的策略)。
要了解 IAM 策略语法和描述的更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
有关显示所有 AWS Backup API 操作的表格,请参阅[API 权限:操作、资源和条件参考](#backup-api-permissions-ref)。
## 在策略中指定条件
当您授予权限时,可使用 IAM 策略语言来指定规定策略何时生效的条件。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅《IAM 用户指南》**中的[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
AWS 支持全局条件密钥和特定于服务的条件密钥。要查看所有全局条件键,请参阅《IAM 用户指南》**中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
AWS Backup 定义自己的一组条件键。要查看 AWS Backup 条件键列表,请参阅《*服务授权参考*》 AWS Backup中的[条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys)。
## API 权限:操作、资源和条件参考
在设置 [访问控制](#access-control) 和编写可附加到 IAM 身份的权限策略 (基于身份的策略) 时,可使用下面的表作为参考。表格列表每个 AWS Backup API 操作、您可以为其授予执行操作权限的相应操作以及您可以为其授予权限的 AWS 资源。您可以在策略的 `Action` 字段中指定这些操作,并在策略的 `Resource` 字段中指定资源值。如果 `Resource` 字段为空,则可以使用通配符 (`*`) 来包含所有资源。
您可以在 AWS Backup 策略中使用 AWS-wide 条件键来表达条件。有关 AWS范围密钥的完整列表,请参阅 *IAM 用户指南*中的[可用密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
使用滚动条查看表的其余部分。
**AWS Backup API 和操作所需的权限**
| AWS Backup API 操作 | 所需权限(API 操作) | 资源 |
| --- | --- | --- |
| [CreateBackupPlan](API_CreateBackupPlan.md) | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupSelection](API_CreateBackupSelection.md) | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupVault](API_CreateBackupVault.md) | `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey` | arn:aws:backup:region:account-id:backup-vault:\$1 对于 `backup-storage`:\$1 对于 `kms`:`arn:aws:kms:region:account-id:key/keystring` |
| [DeleteBackupPlan](API_DeleteBackupPlan.md) | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupSelection](API_DeleteBackupSelection.md) | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupVault](API_DeleteBackupVault.md) | backup:DeleteBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md) | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md) | backup:DeleteBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md) | backup:DeleteRecoveryPoint1 | 2 |
| [DescribeBackupJob](API_DescribeBackupJob.md) | backup:DescribeBackupJob | |
| [DescribeBackupVault](API_DescribeBackupVault.md) | backup:DescribeBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DescribeProtectedResource](API_DescribeProtectedResource.md) | backup:DescribeProtectedResource | |
| [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md) | backup:DescribeRecoveryPoint1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [DescribeRestoreJob](API_DescribeRestoreJob.md) | backup:DescribeRestoreJob | |
| [DescribeRegionSettings](API_DescribeRegionSettings.md) | backup:DescribeRegionSettings | |
| [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md) | backup:ExportBackupPlanTemplate | |
| [GetBackupPlan](API_GetBackupPlan.md) | backup:GetBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md) | backup:GetBackupPlanFromJSON | |
| [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md) | backup:GetBackupPlanFromTemplate | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupSelection](API_GetBackupSelection.md) | backup:GetBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md) | backup:GetBackupVaultAccessPolicy1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md) | backup:GetBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md) | backup:GetRecoveryPointRestoreMetadata1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md) | backup:GetSupportedResourceTypes | |
| [ListBackupJobs](API_ListBackupJobs.md) | backup:ListBackupJobs | |
| [ListBackupPlans](API_ListBackupPlans.md) | backup:ListBackupPlans | |
| [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md) | backup:ListBackupPlanTemplates | |
| [ListBackupPlanVersions](API_ListBackupPlanVersions.md) | backup:ListBackupPlanVersions | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupSelections](API_ListBackupSelections.md) | backup:ListBackupSelections | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupVaults](API_ListBackupVaults.md) | backup:ListBackupVaults | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListProtectedResources](API_ListProtectedResources.md) | backup:ListProtectedResources | |
| [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md) | backup:ListRecoveryPointsByBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md) | backup:ListRecoveryPointsByResource | |
| [ListRestoreJobs](API_ListRestoreJobs.md) | backup:ListRestoreJobs | |
| [ListTags](API_ListTags.md) | backup:ListTags | |
| [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md) | backup:PutBackupVaultAccessPolicy1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md) | backup:PutBackupVaultLockConfiguration1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md) | backup:PutBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartBackupJob](API_StartBackupJob.md) | backup:StartBackupJob | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartRestoreJob](API_StartRestoreJob.md) | backup:StartRestoreJob | `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3 |
| [StopBackupJob](API_StopBackupJob.md) | backup:StopBackupJob | |
| [TagResource](API_TagResource.md) | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 |
| [UntagResource](API_UntagResource.md) | backup:UntagResource | |
| [UpdateBackupPlan](API_UpdateBackupPlan.md) | backup:UpdateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md) | backup:UpdateRecoveryPointLifecycle1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [UpdateRegionSettings](API_UpdateRegionSettings.md) | `backup:UpdateRegionSettings` `backup:DescribeRegionSettings` | |
1 使用现有保管库访问策略。
2 [AWS Backup 资源 ARNs](#resource-arns-table) 有关特定资源的恢复点,请参阅。 ARNs
3 `StartRestoreJob` 必须在资源的元数据中具有键值对。要获取资源的元数据,请调用 `GetRecoveryPointRestoreMetadata` API。
有关更多信息,请参阅《*服务授权参考*》中的 [AWS Backup的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)。
## 复制标签权限
AWS Backup 执行备份或复印作业时,它会尝试将标签从您的源资源(如果是复制,则为恢复点)复制到您的恢复点。
**注意**
AWS Backup 在还原作业期间**不会**以本机方式复制标签。有关将在还原作业期间复制标签的事件驱动架构,请参阅[如何在还原作业中 AWS Backup 保留资源标签](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/)。
在备份或复印作业期间, AWS Backup 将您在备份计划(或复制计划或按需备份)中指定的标签与源资源中的标签聚合。但是,对每个资源 AWS 强制执行 50 个标签的限制,该限制 AWS Backup 不能超过。当备份或复制作业聚合计划和源资源中的标签时,它可能会发现总标签数超过 50 个,此时它将无法完成作业,并且会使作业失败。这与 AWS全域标记最佳实践一致。
+ 将备份任务标签与源资源标签聚合后,您的资源有超过 50 个标签。 AWS 每个资源最多支持 50 个标签。
+ 您提供的 IAM 角色 AWS Backup 缺乏读取源标签或设置目标标签的权限。有关更多信息和 IAM 角色策略示例,请参阅[托管策略](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies)。
您可以使用备份计划(添加到恢复点的标签)创建与源资源标签相矛盾的标签。当两者发生冲突时,您的备份计划中的标签优先。如果您不想从源资源中复制标签值,请使用此方法。使用备份计划指定相同的标签键,但使其值不同或为空。
**为备份分配标签所需的权限**
| 资源类型 | 所需的权限 |
| --- | --- |
| Amazon EFS 文件系统 | `elasticfilesystem:DescribeTags` |
| 亚马逊 FSx 文件系统 | `fsx:ListTagsForResource` |
| Amazon RDS 数据库和 Amazon Aurora 集群 | `rds:AddTagsToResource` `rds:ListTagsForResource` |
| Storage Gateway 卷 | `storagegateway:ListTagsForResource` |
| Amazon EC2 实例和 Amazon EBS 卷 | `EC2:CreateTags` `EC2:DescribeTags` |
除非先启用[高级 DynamoDB 备份](advanced-ddb-backup.md),否则 DynamoDB 不支持为备份分配标签。
当 Amazon EC2 备份创建映像恢复点和一组快照时,会将标签 AWS Backup 复制到生成的 AMI。 AWS Backup 还将标签从与 Amazon EC2 实例关联的卷复制到生成的快照中。
## 访问策略
*权限*策略规定谁可以访问哪些内容。附加到 IAM 身份的策略称为*基于身份*的策略(IAM 策略)。附加到资源的策略称为*基于资源的*策略。 AWS Backup 支持基于身份的策略和基于资源的策略。
**注意**
本节讨论在的上下文中使用 IAM AWS Backup。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档,请参阅《IAM 用户指南》**中的[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM 策略语法和描述的信息,请参阅《IAM 用户指南》**中的[IAM JSON 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
### 基于身份的策略(IAM 策略)
基于身份的策略是可以附加到 IAM 身份(如用户或角色)的策略。例如,您可以定义一个策略,允许用户查看和备份 AWS 资源,但禁止他们恢复备份。
有关用户、组、角色和权限的更多信息,请参阅《IAM 用户指南》**中的[身份(用户、组和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
有关如何使用 IAM 策略控制对备份的访问的信息,请参阅[的托管策略 AWS Backup](security-iam-awsmanpol.md)。
### 基于资源的策略
AWS Backup 支持基于资源的备份存储库访问策略。这使您可以定义访问策略,用于控制哪些用户对于存储在备份保管库中的任何备份具有哪种类型的访问权限。备份保管库的基于资源的访问策略提供了一种控制备份访问的简便方法。
Backup Vault 访问策略控制您使用时的用户访问权限 AWS Backup APIs。某些备份类型,例如亚马逊弹性区块存储 (Amazon EBS) 和亚马逊关系数据库服务 (Amazon RDS) 快照,也可以使用这些服务进行访问。 APIs您可以在 IAM 中创建单独的访问策略来控制对这些策略 APIs 的访问权限,从而完全控制对备份的访问权限。
要了解如何创建备份保管库的访问策略,请参阅[文件库访问策略](create-a-vault-access-policy.md)。
# IAM 服务角色
AWS Identity and Access Management (IAM) 角色与用户类似,因为它是一个具有权限策略的 AWS 身份,该策略决定了该身份可以做什么和不能做什么 AWS。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。服务角色是 AWS 服务代替您执行操作的角色。作为代表您执行备份操作的服务, AWS Backup 要求您在该服务代表您执行备份操作时将其传递给要代入的角色。有关 IAM 角色的更多信息,请参阅《IAM 用户指南》**中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。
您传递给的角色 AWS Backup 必须具有 IAM 策略,该策略具有执行与备份操作相关的操作的权限,例如创建、还原或过期备份。 AWS Backup AWS Backup 支持的每项 AWS 服务都需要不同的权限。该角色还必须 AWS Backup 列为可信实体,这样 AWS Backup 才能担任该角色。
在为备份计划分配资源或执行按需备份、复制或还原时,必须传递一个有权对指定资源执行底层操作的服务角色。 AWS Backup 使用此角色在您的账户中创建、标记和删除资源。
## 使用 AWS 角色控制对备份的访问权限
您可以使用角色来控制对备份的访问,方法是定义范围狭窄的角色,并指定谁可以将该角色传递给 AWS Backup。例如,您可以创建一个角色,该角色仅授予备份亚马逊关系数据库服务 (Amazon RDS) 数据库的权限,而仅授予 Amazon RDS 数据库所有者将该角色传递给的权限 AWS Backup。 AWS Backup 为每种支持的服务提供了多个预定义的托管策略。您可以将这些托管策略附加到您创建的角色。这样可以更轻松地创建具有 AWS Backup 所需正确权限的服务特定角色。
有关 AWS 托管策略的更多信息 AWS Backup,请参阅[的托管策略 AWS Backup](security-iam-awsmanpol.md)。
## 的默认服务角色 AWS Backup
首次使用 AWS Backup 控制台时,您可以选择为您 AWS Backup 创建默认服务角色。此角色具有代表您创建和恢复备份 AWS Backup 所需的权限。
**注意**
默认角色是在您使用 AWS 管理控制台时自动创建的。您可以使用 AWS Command Line Interface (AWS CLI) 创建默认角色,但必须手动完成。
如果您更喜欢使用自定义角色,例如为不同的资源类型使用不同的角色,也可以这样做并将您的自定义角色传递给 AWS Backup。要查看为单个资源类型启用备份和还原的角色示例,请参阅[客户托管策略](security-iam-awsmanpol.md#customer-managed-policies)表。
默认服务角色名称为 `AWSBackupDefaultServiceRole`。此服务角色包含两个托管策略,[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)和[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
`AWSBackupServiceRolePolicyForBackup`包括一个 IAM 策略,该策略授予描述正在备份的资源的 AWS Backup 权限,以及创建、删除、描述备份或向备份添加标签的能力,无论使用何种 AWS KMS 密钥对其进行加密。
`AWSBackupServiceRolePolicyForRestores`包括一个 IAM 策略,该策略授予创建、删除或描述从备份中创建的新资源的 AWS Backup 权限,无论使用何种 AWS KMS 密钥对其进行加密。它还包括权限来标记新创建的资源。
要还原 Amazon EC2 实例,您必须启动一个新实例。
## 在控制台中创建默认服务角色
您在 AWS Backup 控制台中执行的特定操作将创建 AWS Backup 默认服务角色。
**在您的 AWS 账户中创建 AWS Backup 默认服务角色**
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 要为您的账户创建角色,请为备份计划分配资源或创建按需备份。
1. 创建备份计划并为备份分配资源。请参阅[创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)。
1. 或者,创建按需备份。请参阅[创建按需备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html)。
1. 按照以下步骤验证您是否已在账户中创建 `AWSBackupDefaultServiceRole`:
1. 等待几分钟。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[我所做的更改并不总是立即可见](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency)。
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左导航菜单中,选择**角色**。
1. 在搜索栏中,键入 `AWSBackupDefaultServiceRole`。如果存在此选择,则表示您已经创建了 AWS Backup 默认角色并完成了此过程。
1. 如果 `AWSBackupDefaultServiceRole` 仍未出现,请向用于访问控制台的 IAM 用户或 IAM 角色添加以下权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
},
{
"Effect":"Allow",
"Action":[
"iam:ListRoles"
],
"Resource":"*"
}
]
}
```
------
对于中国地区,*aws*请替换*aws-cn*为。对于 AWS GovCloud (US) 区域,请*aws*替换为*aws-us-gov*。
1. 如果您无法向 IAM 用户或 IAM 角色添加权限,请让您的管理员手动创建一个名称*不为* `AWSBackupDefaultServiceRole` 的角色,并将该角色附加到以下托管策略:
+ `AWSBackupServiceRolePolicyForBackup`
+ `AWSBackupServiceRolePolicyForRestores`
# 的托管策略 AWS Backup
托管策略是基于身份的独立策略,您可以将其附加到中的多个用户、群组和角色。 AWS 账户将策略附加到主体实体时,便向实体授予了策略中定义的权限。
*AWS 托管策略*由创建和管理 AWS。您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。
*客户托管策略*为您提供了精细的控制来设置对备份的访问权限。 AWS Backup例如,您可以使用它们向数据库备份管理员授予对 Amazon RDS 备份,而不是 Amazon EFS 备份的访问权限。
有关更多信息,请参阅《IAM 用户指南》**中的[托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
## AWS 托管策略
AWS Backup 为常见用例提供了以下 AWS 托管策略。使用这些策略可以更轻松地定义正确的权限并控制对备份的访问。有两种托管策略。一种类型旨在分配给用户,以控制他们对 AWS Backup的访问。另一种托管策略旨在附加到您传递给 AWS Backup的角色。下表列出了 AWS Backup 提供的所有托管策略,并说明了它们的定义方式。您可以在 IAM 控制台的**策略**部分找到这些托管策略。
**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)
### AWSBackupAuditAccess
该策略允许用户创建控制和框架,以定义他们对 AWS Backup 资源和活动的期望,并根据其定义的控制和框架对 AWS Backup 资源和活动进行审计。该政策授予权限 AWS Config 和类似的服务,以描述用户期望来执行审计。
此策略还向 Amazon S3 和类似服务授予提供审计报告的权限,并使用户能够查找和打开其审计报告。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html)**。
### AWSBackupDataTransferAccess
此策略为 AWS Backup 存储平面数据传输提供权限 APIs,允许 AWS Backint 代理使用 AWS Backup 存储平面完成备份数据传输。您可以将此策略附加到使用 Backint Agent 运行 SAP HANA 的 Amazon EC2 实例所代入的角色。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html)**。
### AWSBackupFullAccess
备份管理员拥有 AWS Backup 操作的完全访问权限,包括创建或编辑备份计划、为备份计划分配 AWS 资源以及恢复备份。备份管理员负责通过定义满足其组织的业务和法规要求的备份计划来确定和强制实施备份合规性。Backup 管理员还要确保将其组织的 AWS 资源分配给相应的计划。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)**。
### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
此策略为 Backup 网关提供了代表您同步虚拟机元数据的权限
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html)**。
### AWSBackupGuardDutyRolePolicyForScans
必须将此策略添加到新的扫描角色中,该角色授予 Amazon 读取和扫描您的备份的 GuardDuty 权限。您需要在恶意软件防护或扫描设置中将此扫描角色附加到备份计划中。当 AWS Backup 启动扫描时,它会将此扫描角色传递给亚马逊 GuardDuty。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)**。
### AWSBackupOperatorAccess
备份操作员是这样的用户,他们负责确保正确备份自己负责的资源。Backup 操作员有权为备份管理员创建的备份计划分配 AWS 资源。他们还有权为其 AWS 资源创建按需备份,并有权配置按需备份的保留期。备份操作员无权创建或编辑备份计划,也无权在创建备份计划后删除计划备份。备份操作员可以还原备份。您可以限制备份操作员可分配给备份计划或从备份还原的资源类型。为此,您可以只允许向具有特定资源类型权限的某些服务角色传递。 AWS Backup
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html)**。
### AWSBackupOrganizationAdminAccess
组织管理员拥有 AWS Organizations 操作的完全访问权限,包括创建、编辑或删除备份策略,为账户和组织单位分配备份策略,以及监控组织内的备份活动。组织管理员负责通过定义和分配满足其组织业务和管理法规要求的备份策略来保护其组织中的账户。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html)**。
### AWSBackupRestoreAccessForSAPHANA
该策略 AWS Backup 允许在亚马逊 EC2 上恢复 SAP HANA 的备份。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》中的 [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html)。
### AWSBackupSearchOperatorAccess
搜索运算符角色有权创建备份索引,以及创建对已编制索引的备份元数据的搜索。
此策略包含这些功能所需的权限。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html)**。
### AWSBackupServiceLinkedRolePolicyForBackup
此策略附加到名为的服务相关角色AWSServiceRoleforBackup, AWS Backup 允许您代表您调用 AWS 服务来管理备份。有关更多信息,请参阅 [使用角色进行备份和复制](using-service-linked-roles-AWSServiceRoleForBackup.md)。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》[ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)中的。
### AWSBackupServiceLinkedRolePolicyForBackupTest
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html)**。
### AWSBackupServiceRolePolicyForBackup
提供代表您创建所有受支持资源类型的备份的 AWS Backup 权限。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)**。
### AWSBackupServiceRolePolicyForItemRestores
**描述**
此策略授予用户将快照(定期备份恢复点)中的单个文件和项目还原到新的或现有的 Amazon S3 存储桶或新的 Amazon EBS 卷的权限。这些权限包括:对 Amazon EBS 快照的读取权限(由对 Amazon S3 存储桶的 AWS Backup 读/写权限管理),以及生成和描述 AWS KMS 密钥的权限。
**使用此政策**
您可以将 `AWSBackupServiceRolePolicyForItemRestores` 附加到您的用户、组和角色。
**策略详细信息**
+ **类型:** AWS 托管策略
+ **创建时间:**2024 年 11 月 21 日,22:45 UTC
+ **编辑时间:**第一个实例
+ **ARN**:`arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`
**策略版本:**v1(默认)
此策略的版本定义了策略的权限。当拥有该策略的用户或角色请求访问 AWS 资源时, AWS 会检查策略的默认版本以确定是否允许该请求。
**JSON 策略文档:**
#### AWSBackupServiceRolePolicyForItemRestores json
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "S3ReadonlyPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "S3PermissionsForFileLevelRestore",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::*/*"
},
{
"Sid": "KMSDataKeyForS3AndEC2Permissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com",
"s3.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForIndexing
**描述**
此策略向用户授予为快照(也称为定期恢复点)编制索引的权限。这些权限包括:对 Amazon EBS 的快照的读取权限(由 Amazon S3 存储桶的 AWS Backup 读/写权限管理),以及生成和描述密钥的权限。 AWS KMS
**使用此政策**
您可以将 `AWSBackupServiceRolePolicyForIndexing` 附加到您的用户、组和角色。
**策略详细信息**
+ **类型:** AWS 托管策略
+ **编辑时间:**第一个实例
+ **ARN**:`arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`
**策略版本:**v1(默认)
此策略的版本定义了策略的权限。当拥有该策略的用户或角色请求访问 AWS 资源时, AWS 会检查策略的默认版本以确定是否允许该请求。
**JSON 策略文档:**
#### AWSBackupServiceRolePolicyForIndexing json
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSDataKeyForEC2Permissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForRestores
提供代表您恢复所有受支持资源类型的备份的 AWS Backup 权限。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)**。
对于 EC2 实例还原,还必须包括以下权限才能启动 EC2 实例:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPassRole",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/role-name",
"Effect": "Allow"
}
]
}
```
------
### AWSBackupServiceRolePolicyForS3Backup
此策略包含备份任何 S3 存储桶所需的 AWS Backup 权限。这包括对存储桶中所有对象和任何关联 AWS KMS 密钥的访问权限。
要查看此策略的权限,请参阅《*AWS 托管策略*参考》中的 [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)。
### AWSBackupServiceRolePolicyForS3Restore
此策略包含将 S3 备份还原 AWS Backup 到存储桶所需的权限。这包括对存储桶的读写权限以及与 S3 操作有关的任何 AWS KMS 密钥的使用。
要查看此策略的权限,请参阅《*AWS 托管策略*参考》中的 [AWSBackupServiceRolePolicyForS3Restor](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) e。
### AWSBackupServiceRolePolicyForScans
该策略应附加到您在备份计划的资源选择中使用的 IAM 角色。此角色授予 AWS Backup 在亚马逊中启动扫描的权限 GuardDuty。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)**。
### AWSServiceRolePolicyForBackupReports
AWS Backup 将此策略用于[AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html)服务相关角色。此服务相关 AWS Backup 角色允许监控和报告您的备份设置、任务和资源与框架的合规性。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)**。
### AWSServiceRolePolicyForBackupRestoreTesting
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)**。
## 客户托管策略
以下各节描述了所支持的 AWS 服务和第三方应用程序的推荐备份和还原权限 AWS Backup。在创建自己的策略文档时,您可以使用现有的 AWS 托管策略作为模型,然后对其进行自定义以进一步限制对 AWS 资源的访问。
**重要**
在使用自定义 IAM 角色时 AWS Backup,除了权限外,您还必须包括特定于资源的权限。 AWS Backup 例如,在 Amazon RDS 资源上调用 `backup:ListTags` 时,自定义 IAM 角色还必须包含 `rds:ListTagsForResource` 权限。虽然这些权限包含在默认 AWS Backup 服务角色中,但必须将其明确添加到客户管理的策略中。所需的底层资源权限取决于所执行的特定 AWS 服务和操作。
### Amazon Aurora
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon Aurora DSQL
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`DSQLRestorePermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon DynamoDB
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`
### Amazon EBS
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
从中的`EBSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
添加以下语句。
```
{
"Effect":"Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource":"*"
},
```
### Amazon EC2
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`
添加以下语句。
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/role-name"
},
```
*role-name*替换为将附加到已恢复的 EC2 实例的 EC2 实例配置文件角色的名称。这不是 AWS Backup 服务角色,而是为 EC2 实例上运行的应用程序提供权限的 IAM 角色。
### Amazon EFS
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
从中的`EFSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon FSx
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`
### Amazon Neptune
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon RDS
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon S3
**备份**
从 [AWSBackupServiceRolePolicyForS3](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) Backup 开始。
如果您需要将备份复制到其他账户,请添加 `BackupVaultPermissions` 和 `BackupVaultCopyPermissions` 语句。
**Restore**
从 [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) 开始。
### AWS Storage Gateway
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
添加以下语句。
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource":"*"
},
```
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`
### 虚拟机
**备份**
从中的`BackupGatewayBackupPermissions`语句开始[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)。
**Restore**
从中的`GatewayRestorePermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### 加密备份
**要还原加密的备份,请执行以下操作之一:**
+ 将您的角色添加到 AWS KMS 密钥策略的许可名单
+ 将以下语句[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)添加到您的 IAM 角色中进行恢复:
+ `KMSDescribePermissions`
+ `KMSPermissions`
+ `KMSCreateGrantPermissions`
## 的政策更新 AWS Backup
查看 AWS Backup 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限允许 AWS Backup 还原测试在还原测试完成后删除 RDS 租户数据库。 | 2026 年 3 月 18 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许在恢复点上启动恶意软件扫描。 | 2026年2月23日 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans):新策略 | AWS Backup 添加了新的 AWS 托管策略, GuardDuty 允许亚马逊读取和扫描客户备份。 AWS Backup 在启动操作 GuardDuty 时将具有此策略的角色传递给`StartMalwareScan`。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略[AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)。 | 2025 年 11 月 19 日 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans):新策略 | AWS Backup 添加了一个新的 AWS 托管策略, AWS Backup 允许在恢复点上启动恶意软件扫描。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略[AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)。 | 2025 年 11 月 19 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 已添加`malware-protection.guardduty.amazonaws.com`到`IamPassRolePermissions`,这是启动恶意软件扫描任务所必需的。 | 2025 年 11 月 19 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是启动恶意软件扫描任务所必需的。 | 2025 年 11 月 19 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon EKS 集群。 | 2025 年 11 月 10 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon EKS 集群。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建 Amazon EKS 集群及其相关资源的备份。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建 Amazon EKS 集群及其相关资源的备份。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户对 Amazon EKS 集群及其关联资源执行恢复操作。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 此权限 AWS Backup 允许将委派的管理员信息与 Organizations 同步,以实现跨账户管理功能。 | 2025 年 9 月 9 日 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans):新策略 | AWS Backup 添加了新的 AWS 托管策略, GuardDuty 允许亚马逊读取和扫描客户备份。 AWS Backup 在启动操作 GuardDuty 时将具有此策略的角色传递给`StartMalwareScan`。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略[AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)。 | 2025 年 11 月 24 日 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans):新策略 | AWS Backup 添加了一个新的 AWS 托管策略, AWS Backup 允许在恢复点上启动恶意软件扫描。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略[AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)。 | 2025 年 11 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是代表客户对 DSQL 资源执行精心编排的多区域还原操作所必需的。 AWS Backup | 2025 年 7 月 17 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是 AWS 账户管理 与 AWS Backup 集成所必需的, AWS Organizations 因此客户可以选择将多方批准 (MPA) 作为其逻辑气隙保管库的一部分。 | 2025 年 6 月 17 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— 更新现有政策: | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许客户通过还原 Amazon FSx for OpenZFS 多可用区(多可用区)快照所必需的。 AWS Backup | 2025 年 5 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon Aurora DSQL 资源。 | 2025 年 5 月 21 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon Aurora DSQL 资源。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建、删除、检索和管理 Amazon Aurora DSQL 快照。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建、删除、检索、加密、解密和管理 Amazon Aurora DSQL 快照。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许按客户指定的时间间隔管理 Aurora DSQL 备份。 | 2025 年 5 月 21 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是指定客户拥有对 Amazon Redshift Serverless 备份的完全访问权限所需的权限,包括所需的读取权限以及删除 Amazon Redshift Serverless 恢复点(快照备份)的权限。 | 2025 年 3 月 31 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是指定客户拥有对 Amazon Redshift Serverless 的所有必要备份权限(包括所需的读取权限)所需的权限。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是按客户指定的时间间隔 AWS Backup 管理 Amazon Redshift 无服务器快照所必需的。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许 AWS Backup 代表客户创建、删除、检索和管理 Amazon Redshift Serverless 快照所必需的。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许 AWS Backup 代表客户恢复亚马逊 Redshift 和 Amazon Redshift Serverless 快照所必需的。 | 2025 年 3 月 31 日 |
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— 添加了新的 AWS 托管策略 | AWS Backup 添加了AWSBackupSearchOperatorAccess AWS 托管策略。 | 2025 年 2 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | AWS Backup 添加了支持 Amazon RDS 多租户快照跨账户备份副本的权限`rds:AddTagsToResource`。 当客户选择创建多租户 RDS 快照的跨账户副本时,此权限是完成操作所需的权限。 | 2025 年 1 月 8 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | AWS Backup 在此策略中添加了权限`rds:CreateTenantDatabase`和`rds:DeleteTenantDatabase`,以支持 Amazon RDS 资源的还原过程。 这些权限是完成客户还原多租户快照的操作所需的权限。 | 2025 年 1 月 8 日 |
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— 添加了新的 AWS 托管策略 | AWS Backup 添加了AWSBackupServiceRolePolicyForItemRestores AWS 托管策略。 | 2024 年 11 月 26 日 |
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— 添加了新的 AWS 托管策略 | AWS Backup 添加了AWSBackupServiceRolePolicyForIndexing AWS 托管策略。 | 2024 年 11 月 26 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间,需要该权限才能获得标记权限。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略 | AWS Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间,需要该权限才能获得标记权限。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间,需要该权限才能获得标记权限。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了权限 `rds:DeleteDBInstanceAutomatedBackups`。 此权限是支持持续备份和 Amazon RDS 实例 point-in-time-restore所必需的。 AWS Backup | 2024 年 5 月 1 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | AWS Backup 将亚马逊资源名称 (ARN) 的权限`storagegateway:ListVolumes`从更新为,`arn:aws:storagegateway:*:*:gateway/*`以`*`适应 Storage Gateway API 模型的变化。 | 2024 年 5 月 1 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | AWS Backup 将亚马逊资源名称 (ARN) 的权限`storagegateway:ListVolumes`从更新为,`arn:aws:storagegateway:*:*:gateway/*`以`*`适应 Storage Gateway API 模型的变化。 | 2024 年 5 月 1 日 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting):对现有策略的更新 | 添加了以下权限,用于描述和列出恢复点和受保护的资源,以便执行还原测试计划:`backup:DescribeRecoveryPoint`、`backup:DescribeProtectedResource`、`backup:ListProtectedResources` 和 `backup:ListRecoveryPointsByResource`。 添加了权限 `ec2:DescribeSnapshotTierStatus` 以支持 Amazon EBS 归档层存储。 添加了权限 `rds:DescribeDBClusterAutomatedBackups` 以支持 Amazon Aurora 连续备份。 添加了以下权限以支持对 Amazon Redshift 备份进行还原测试:`redshift:DescribeClusters` 和 `redshift:DeleteCluster`。 添加了权限 `timestream:DeleteTable` 以支持对 Amazon Timestream 备份进行还原测试。 | 2024 年 2 月 14 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:RestoreSnapshotTier`。 用户必须拥有这些权限,才能选择 AWS Backup 从存档存储中恢复存储的 Amazon EBS 资源。 对于 EC2 实例还原,还必须在以下策略语句中包括所示权限才能启动 EC2 实例: | 2023 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:ModifySnapshotTier` 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。 用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 AWS Backup 到存档存储。 | 2023 年 11 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:ModifySnapshotTier` 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。 用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 AWS Backup 到存档存储。 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`,这是 Aurora 集群的 PITR(point-in-time 恢复)所必需的。 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting):新策略 | 提供进行还原测试所需的权限。这些权限包括恢复测试中包含的以下服务的操作`list, read, and write`:Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、Lustre、Windows 文件服务器、 FSx ONTAP、 FSx OpenZFS、 FSx Amazon Neptune、Amazon RDS FSx 和亚马逊 S3。 | 2023 年 11 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 已将 `restore-testing.backup.amazonaws.com` 添加到 `IamPassRolePermissions` 和 `IamCreateServiceLinkedRolePermissions`。为了代表客户 AWS Backup 进行恢复测试,必须添加此项。 | 2023 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`,这是 Aurora 集群的 PITR(point-in-time 恢复)所必需的。 | 2023 年 9 月 6 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了持续备份和 point-in-time恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。 | 2023 年 9 月 6 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了持续备份和 point-in-time恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。 | 2023 年 9 月 6 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了权限 `rds:DescribeDBClusterAutomatedBackups`。此权限是 AWS Backup 支持 Aurora 集群的持续备份和 point-in-time恢复所必需的。 添加了`rds:DeleteDBClusterAutomatedBackups`允许 AWS Backup 生命周期在保留期结束时删除和解除关联 Amazon Aurora 持续恢复点的权限。需要此权限才能让 Aurora 恢复点避免转换为 `EXIPIRED` 状态。 添加了权限 `rds:ModifyDBCluster`,它允许 AWS Backup 与 Aurora 集群进行交互。此新增权限使用户能够根据所需的配置启用或禁用连续备份。 | 2023 年 9 月 6 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了操作 `ram:GetResourceShareAssociations`,以授予用户为新保管库类型获取资源共享关联的权限。 | 2023 年 8 月 8 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了操作 `ram:GetResourceShareAssociations`,以授予用户为新保管库类型获取资源共享关联的权限。 | 2023 年 8 月 8 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略 | 添加了权限 `s3:PutInventoryConfiguration`,以通过使用存储桶清单提高备份性能。 | 2023 年 8 月 1 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下操作以授予用户向还原资源添加标签的权限:`storagegateway:AddTagsToResource`、`elasticfilesystem:TagResource` 和 `ec2:CreateTags`,仅适用于包括 `RunInstances` 或 `CreateVolume`、`fsx:TagResource` 和 `cloudformation:TagResource` 的 `ec2:CreateAction`。 | 2023 年 5 月 22 日 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess):对现有策略的更新 | 将 API `config:DescribeComplianceByConfigRule` 中的资源选择替换为通配符资源,以便用户更轻松地选择资源。 | 2023 年 4 月 11 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下权限以使用客户托管密钥还原 Amazon EFS:`kms:GenerateDataKeyWithoutPlaintext`。这有助于确保用户拥有还原 Amazon EFS 资源所需的权限。 | 2023 年 3 月 27 日 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports):对现有策略的更新 | 更新了`config:DescribeConfigRules`和`config:DescribeConfigRuleEvaluationStatus`操作以允许 Audi AWS Backup t Manager 访问 AWS Backup 审计管理器管理 AWS Config 的规则。 | 2023 年 3 月 9 日 |
| [AWSBackupServiceRolePolicyForS3Restor](#AWSBackupServiceRolePolicyForS3Restore) e — 更新现有政策 | 已向策略 `AWSBackupServiceRolePolicyForS3Restore` 添加以下权限:`kms:Decrypt`、`s3:PutBucketOwnershipControls` 和 `s3:GetBucketOwnershipControls`。这些权限是支持在原始备份中使用 KMS 加密时还原对象,以及在原始存储桶而不是 ACL 上配置对象所有权时还原对象所必需的权限。 | 2023 年 2 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下权限,以使用虚拟机的 VMware标签计划备份并支持基于计划的带宽限制:`backup-gateway:GetHypervisorPropertyMappings`、、、、、`backup-gateway:GetVirtualMachine``backup-gateway:PutHypervisorPropertyMappings`、`backup-gateway:GetHypervisor`和。`backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule` | 2022 年 12 月 15 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下权限,以使用虚拟机的 VMware标签计划备份并支持基于计划的带宽限制:`backup-gateway:GetHypervisorPropertyMappings`、、和。`backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule` | 2022 年 12 月 15 日 |
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync):新策略 | 允许 AWS Backup Gateway 将本地网络中虚拟机的元数据与 Backup Gateway 同步。 | 2022 年 12 月 15 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 Timestream 备份作业:`timestream:StartAwsBackupJob`、`timestream:GetAwsBackupStatus`、`timestream:ListTables`、`timestream:ListDatabases`、`timestream:ListTagsForResource`、`timestream:DescribeTable`、`timestream:DescribeDatabase` 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下权限以支持 Timestream 还原作业:`timestream:StartAwsRestoreJob`、`timestream:GetAwsRestoreStatus`、`timestream:ListTables`、`timestream:ListTagsForResource`、`timestream:ListDatabases`、`timestream:DescribeTable`、`timestream:DescribeDatabase`、`s3:GetBucketAcl` 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下权限以支持 Timestream 资源:`timestream:ListTables`、`timestream:ListDatabases`、`s3:ListAllMyBuckets` 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下权限以支持 Timestream 资源:`timestream:ListDatabases`、`timestream:ListTables`、`s3:ListAllMyBuckets` 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 Timestream 资源:`timestream:ListDatabases`、`timestream:ListTables`、`timestream:ListTagsForResource`、`timestream:DescribeDatabase`、`timestream:DescribeTable`、`timestream:GetAwsBackupStatus`、`timestream:GetAwsRestoreStatus` 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 资源:`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules` 和 `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 资源:`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups,`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules` 和 `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 还原作业:`redshift:RestoreFromCluster Snapshot`、`redshift:RestoreTableFromClusterSnapshot`、`redshift:DescribeClusters` 和 `redshift:DescribeTableRestoreStatus`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 备份作业:`redshift:CreateClusterSnapshot`、`redshift:DescribeClusterSnapshots`、`redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、`redshift:DescribeClusters` 和 `redshift:CreateTags`。 | 2022 年 11 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下权限来支持 CloudFormation 资源:`cloudformation:ListStacks`. | 2022 年 11 月 27 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下权限来支持 CloudFormation 资源:`cloudformation:ListStacks`. | 2022 年 11 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 为支持 CloudFormation 资源添加了以下权限:`redshift:DescribeClusterSnapshots``redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、和`redshift:DescribeClusters`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 CloudFormation 应用程序堆栈备份作业:`cloudformation:GetTemplate``cloudformation:DescribeStacks`、和`cloudformation:ListStackResources`。 | 2022 年 11 月 16 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下权限以支持 CloudFormation 应用程序堆栈备份作业:`cloudformation:CreateChangeSet`和 `cloudformation:DescribeChangeSet` | 2022 年 11 月 16 日 |
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess):对现有策略的更新 | 为此策略添加了以下权限,以允许组织管理员使用“委派管理员”特征:`organizations:ListDelegatedAdministrator`、`organizations:RegisterDelegatedAdministrator` 和 `organizations:DeregisterDelegatedAdministrator` | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:UpdateHanaBackupSettings`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA:`ssm-sap:GetOperation`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下权限以支持 Backup Gateway 到 EC2 实例的还原作业:`ec2:CreateTags`。 | 2022 年 11 月 20 日 |
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess):对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 上的 SAP HANA 资源的安全存储数据传输:`backup-storage:StartObject`、`backup-storage:PutChunk`、`backup-storage:GetChunk`、`backup-storage:ListChunks`、`backup-storage:ListObjects`、`backup-storage:GetObjectMetadata` 和 `backup-storage:NotifyObjectComplete`。 | 2022 年 11 月 20 日 |
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) — 更新现有政策 | 为资源所有者添加了以下权限,使其能够还原 Amazon EC2 上的 SAP HANA 资源:`backup:Get*`、`backup:List*`、`backup:Describe*`、`backup:StartBackupJob`、`backup:StartRestoreJob`、`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:RestoreDatabase`、`ssm-sap:UpdateHanaBackupSettings`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略 | 添加了支持 Amazon S3 AWS Backup 的备份操作的权限`s3:GetBucketAcl`。 | 2022 年 8 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下操作以授予创建支持多可用区功能的数据库实例的权限:`rds:CreateDBInstance`。 | 2022 年 7 月 20 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了向用户授予使用资源通配符选择要备份的存储桶的 `s3:GetBucketTagging` 权限。如果没有此权限,使用资源通配符选择要备份的存储桶的用户将无法成功。 | 2022 年 5 月 6 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 在现有`fsx:CreateBackup`和`fsx:ListTagsForResource`操作范围内添加了卷资源,并添加了支持 FSx ONTAP 卷级别备份的新操作`fsx:DescribeVolumes`。 | 2022 年 4 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下操作以授予用户恢复 FSx ONTAP 卷`fsx:DescribeVolumes`、`fsx:CreateVolumeFromBackup``fsx:DeleteVolume`、和`fsx:UntagResource`的权限。 | 2022 年 4 月 27 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略 | 添加了以下操作以授予用户在备份操作期间接收其 Amazon S3 存储桶更改通知的权限:`s3:GetBucketNotification` 和 `s3:PutBucketNotification`。 | 2022 年 2 月 25 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 新政策 | 添加了以下操作以授予用户备份其 Amazon S3 存储桶的权限:`s3:GetInventoryConfiguration`、`s3:PutInventoryConfiguration`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketTagging`、`s3:GetBucketVersioning`、`s3:GetBucketNotification`、`s3:GetBucketLocation` 和 `s3:ListAllMyBuckets`。 添加了以下操作以授予用户备份其 Amazon S3 对象的权限:`s3:GetObject`、`s3GetObjectAcl`、`s3:GetObjectVersionTagging`、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging` 和 `s3:GetObjectVersion`。 添加了以下操作以授予用户备份其加密 Amazon S3 数据的权限:`kms:Decrypt` 和 `kms:DescribeKey`。 添加了以下操作以授予用户使用 Amazon EventBridge 规则对其 Amazon S3 数据进行增量备份的权限:`events:DescribeRule``events:EnableRule`、`events:PutRule`、、`events:DeleteRule`、`events:PutTargets`、`events:RemoveTargets`、、`events:ListTargetsByRule`、`events:DisableRule`、`cloudwatch:GetMetricData`、、和`events:ListRules`。 | 2022 年 2 月 17 日 |
| [AWSBackupServiceRolePolicyForS3Restor](#AWSBackupServiceRolePolicyForS3Restore) e — 新政策 | 添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限:`s3:CreateBucket`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketVersioning`、`s3:GetBucketLocation` 和 `s3:PutBucketVersioning`。 添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限:`s3:GetObject`、`s3:GetObjectVersion`、`s3:DeleteObject`、`s3:PutObjectVersionAcl`、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、`s3:PutObjectTagging`、`s3:GetObjectAcl`、`s3:PutObjectAcl`、`s3:PutObject` 和 `s3:ListMultipartUploadParts`。 添加了以下操作以授予用户加密其还原的 Amazon S3 数据的权限:`kms:Decrypt`、`kms:DescribeKey` 和 `kms:GenerateDataKey`。 | 2022 年 2 月 17 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了 `s3:ListAllMyBuckets` 以授予用户查看其存储桶列表和选择将哪些存储桶分配给备份计划的权限。 | 2022 年 2 月 14 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了 `backup-gateway:ListVirtualMachines` 以授予用户查看其虚拟机列表和选择将哪些虚拟机分配给备份计划的权限。 添加了 `backup-gateway:ListTagsForResource` 以授予用户列出其虚拟机标签的权限。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了`backup-gateway:Backup`向用户授予恢复其虚拟机备份的权限。 AWS Backup 还添加了`backup-gateway:ListTagsForResource`此项以授予用户列出分配给其虚拟机备份的标签的权限。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了 `backup-gateway:Restore` 以授予用户还原其虚拟机备份的权限。 | 2021 年 11 月 30 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下操作以授予用户使用 AWS Backup 网关备份、还原和管理其虚拟机的权限:`backup-gateway:AssociateGatewayToServer`、`backup-gateway:CreateGateway`、`backup-gateway:DeleteGateway`、`backup-gateway:DeleteHypervisor`、`backup-gateway:DisassociateGatewayFromServer`、`backup-gateway:ImportHypervisorConfiguration`、`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource`、`backup-gateway:ListVirtualMachines`、`backup-gateway:PutMaintenanceStartTime`、`backup-gateway:TagResource`、`backup-gateway:TestHypervisorConfiguration`、`backup-gateway:UntagResource`、`backup-gateway:UpdateGatewayInformation` 和 `backup-gateway:UpdateHypervisor`。 | 2021 年 11 月 30 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下操作以授予用户备份其虚拟机的权限:`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource` 和 `backup-gateway:ListVirtualMachines`。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加的`dynamodb:ListTagsOfResource`目的是授予用户列出其 DynamoDB 表标签的权限,以便使用其高级 DynamoDB 备份 AWS Backup功能进行备份。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了 `dynamodb:StartAwsBackupJob` 以授予用户使用高级备份特征备份其 DynamoDB 表的权限。 添加了 `dynamodb:ListTagsOfResource` 以授予用户将标签从其源 DynamoDB 表复制到备份的权限。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加`dynamodb:RestoreTableFromAwsBackup`此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 AWS Backup的 DynamoDB 表的权限。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加`dynamodb:RestoreTableFromAwsBackup`此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 AWS Backup的 DynamoDB 表的权限。 | 2021 年 11 月 23 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`,因为它们是冗余操作。 AWS Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼`backup:Get*`而有之`AWSBackupOperatorAccess`。而且, AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼`rds:describeDBSnapshots`而有之`AWSBackupOperatorAccess`。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了新的操作`elasticfilesystem:DescribeFileSystems`、`dynamodb:ListTables`、`storagegateway:ListVolumes`、`ec2:DescribeVolumes`、`ec2:DescribeInstances``rds:DescribeDBInstances`、`rds:DescribeDBClusters`、、和`fsx:DescribeFileSystems`,允许客户在选择要分配给备份计划的资源时从其 AWS Backup支持的资源列表中进行查看和选择。 | 2021 年 11 月 10 日 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess):新策略 | 添加了授`AWSBackupAuditAccess`予用户使用 Audit Manag AWS Backup er 的权限。权限包括配置合规框架和生成报告的能力。 | 2021 年 8 月 24 日 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports):新策略 | 添加了 `AWSServiceRolePolicyForBackupReports` 以授予服务相关角色自动监控备份设置、作业和资源是否符合用户配置的框架的权限。 | 2021 年 8 月 24 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了 `iam:CreateServiceLinkedRole` 以创建服务相关角色(尽力而为)自动为您删除过期的恢复点。如果没有此服务相关角色, AWS Backup 则无法在客户删除用于创建恢复点的原始 IAM 角色后删除过期的恢复点。 | 2021 年 7 月 5 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了新操作 `dynamodb:DeleteBackup`,以授予根据您的备份计划生命周期设置自动删除过期的 DynamoDB 恢复点的 `DeleteRecoveryPoint` 权限。 | 2021 年 7 月 5 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`,因为它们是冗余操作。 AWS Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼而有之,`backup:Get*`作为 `AWSBackupOperatorAccess` Also 的一部分, AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼而`rds:describeDBSnapshots`有之 `AWSBackupOperatorAccess` | 2021 年 5 月 25 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`,因为它们是冗余操作。 AWS Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼`backup:Get*`而有之`AWSBackupOperatorAccess`。而且, AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼`rds:describeDBSnapshots`而有之`AWSBackupOperatorAccess`。 | 2021 年 5 月 25 日 |
| [AWSBackupServiceRolePolicyForRestores]():对现有策略的更新 | 添加了授`fsx:TagResource`予`StartRestoreJob`权限的新操作,允许您在还原过程中向 Amazon FSx 文件系统应用标签。 | 2021 年 5 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了新操作 `ec2:DescribeImages` 和 `ec2:DescribeInstances` 以授予允许您从恢复点还原 Amazon EC2 实例的 `StartRestoreJob` 权限。 | 2021 年 5 月 24 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了授`fsx:CopyBackup`予`StartCopyJob`权限的新操作,允许您跨地区和账户复制 Amazon FSx 恢复点。 | 2021 年 4 月 12 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了授`fsx:CopyBackup`予`StartCopyJob`权限的新操作,允许您跨地区和账户复制 Amazon FSx 恢复点。 | 2021 年 4 月 12 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 进行了更新以符合以下要求: AWS Backup 要创建加密的 DynamoDB 表的备份,您必须向用于备份的 IAM 角色添加`kms:Decrypt`权限`kms:GenerateDataKey`和。 | 2021 年 3 月 10 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 进行了更新以符合以下要求: AWS Backup 要使用为您的 Amazon RDS 数据库配置连续备份,请验证您的备份计划配置所定义的 IAM 角色中是否`rds:ModifyDBInstance`存在 API 权限。 要还原 Amazon RDS 连续备份,您必须向为还原作业提交的 IAM 角色添加权限 `rds:RestoreDBInstanceToPointInTime`。 在 AWS Backup 控制台中,要描述可用于 point-in-time恢复的时间范围,您必须在 IAM 管理的`rds:DescribeDBInstanceAutomatedBackups`策略中包含 API 权限。 | 2021 年 3 月 10 日 |
| AWS Backup 已开始跟踪更改 | AWS Backup 开始跟踪其 AWS托管策略的更改。 | 2021 年 3 月 10 日 |
# 将服务相关角色用于 AWS Backup
AWS Backup 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Backup服务相关角色由服务预定义 AWS Backup ,包括该服务代表您调用其他 AWS 服务所需的所有权限。
**Topics**
+ [使用角色进行备份和复制](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [为 Audit Manag AWS Backup er 使用角色](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [使用角色进行还原测试](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)
# 使用角色进行备份和复制
AWS Backup 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Backup服务相关角色由服务预定义 AWS Backup ,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置变得 AWS Backup 更加容易,因为您不必手动添加必要的权限。 AWS Backup 定义其服务相关角色的权限,除非另有定义,否则 AWS Backup 只能担任其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其它 IAM 实体。
只有在首先删除服务相关角色的相关资源后,才能删除该角色。这样可以保护您的 AWS Backup 资源,因为您不会无意中删除访问资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 的服务相关角色权限 AWS Backup
AWS Backup 使用名**AWSServiceRoleForBackup**为的服务相关角色代表您创建和删除 AWS 资源备份。
AWSServiceRoleForBackup 服务相关角色信任以下服务来代入该角色:
+ `backup.amazonaws.com`
要查看此策略的权限,请参阅《*AWS 托管策略参考*》[ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)中的。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。
## 为创建服务相关角色 AWS Backup
您无需手动创建服务关联角色。当您列出要备份的资源、设置跨账户备份或在、或 AWS API 中执行备份时, AWS Backup 会为您创建服务相关角色。 AWS 管理控制台 AWS CLI
**重要**
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。要了解更多信息,请参阅[我的 IAM 账户中的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您列出要备份的资源、设置跨账户备份或执行备份时, AWS Backup 会再次为您创建服务相关角色。
## 编辑的服务相关角色 AWS Backup
AWS Backup 不允许您编辑 AWSServiceRoleForBackup 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。
## 删除的服务相关角色 AWS Backup
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
### 清除服务相关角色
必须先删除服务相关角色使用的所有资源,然后才能使用 IAM 删除该角色。首先,您必须删除所有恢复点。然后,您必须删除所有备份保管库。
**注意**
如果您尝试删除资源时 AWS Backup 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWSServiceRoleForBackup (控制台)使用的 AWS Backup 资源**
1. 要删除所有恢复点和备份保管库(默认保管库除外),请按照[删除保管库](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault)中的步骤操作。
1. 要删除默认保管库,请在 AWS CLI中使用以下命令:
```
aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
```
**删除 AWSService RoleForBackup (AWS CLI) 使用的 AWS Backup 资源**
1. 要删除所有恢复点,请使用 [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html)。
1. 要删除所有备份保管库,请使用 [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html)。
**删除 AWSService RoleForBackup (API) 使用的 AWS Backup 资源**
1. 要删除所有恢复点,请使用 `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`。
1. 要删除所有备份保管库,请使用 `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`。
### 手动删除服务相关角色
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForBackup服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。
## AWS Backup 服务相关角色支持的区域
AWS Backup 支持在提供服务的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS Backup 支持的功能和区域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。
# 为 Audit Manag AWS Backup er 使用角色
AWS Backup 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Backup服务相关角色由服务预定义 AWS Backup ,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置变得 AWS Backup 更加容易,因为您不必手动添加必要的权限。 AWS Backup 定义其服务相关角色的权限,除非另有定义,否则 AWS Backup 只能担任其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其它 IAM 实体。
只有在首先删除服务相关角色的相关资源后,才能删除该角色。这样可以保护您的 AWS Backup 资源,因为您不会无意中删除访问资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 的服务相关角色权限 AWS Backup
AWS Backup 使用名为的服务相关角色 **AWSServiceRoleForBackupReports**— AWS Backup 提供创建控件、框架和报告的权限。
AWSServiceRoleForBackupReports 服务相关角色信任以下服务来代入该角色:
+ `reports.backup.amazonaws.com`
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)**。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。
## 为创建服务相关角色 AWS Backup
您无需手动创建服务关联角色。当您在 AWS 管理控制台、或 AWS API 中创建框架或报告计划时, AWS Backup 会为您创建服务相关角色。 AWS CLI
**重要**
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。要了解更多信息,请参阅[我的 IAM 账户中的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。创建框架或报告计划时, AWS Backup 会再次为您创建服务相关角色。
## 编辑的服务相关角色 AWS Backup
AWS Backup 不允许您编辑 AWSServiceRoleForBackupReports 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。
## 删除的服务相关角色 AWS Backup
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
### 清除服务相关角色
必须先删除服务相关角色使用的所有资源,然后才能使用 IAM 删除该角色。您必须删除所有框架和报告计划。
**注意**
如果您尝试删除资源时 AWS Backup 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWSServiceRoleForBackupReports (控制台)使用的 AWS Backup 资源**
1. 要删除所有框架,请参阅[删除框架](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html)。
1. 要删除所有报告计划,请参阅[删除报告计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html)。
**删除 AWSService RoleForBackupReports (AWS CLI) 使用的 AWS Backup 资源**
1. 要删除所有框架,请使用 [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html)。
1. 要删除所有报告计划,请使用 [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html)。
**删除 AWSService RoleForBackupReports (API) 使用的 AWS Backup 资源**
1. 要删除所有框架,请使用 [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html)。
1. 要删除所有报告计划,请使用 [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html)。
### 手动删除服务相关角色
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForBackupReports服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。
## AWS Backup 服务相关角色支持的区域
AWS Backup 支持在提供服务的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS Backup 支持的功能和区域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。
# 使用角色进行还原测试
AWS Backup 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Backup服务相关角色由服务预定义 AWS Backup ,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置变得 AWS Backup 更加容易,因为您不必手动添加必要的权限。 AWS Backup 定义其服务相关角色的权限,除非另有定义,否则 AWS Backup 只能担任其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其它 IAM 实体。
只有在首先删除服务相关角色的相关资源后,才能删除该角色。这样可以保护您的 AWS Backup 资源,因为您不会无意中删除访问资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 的服务相关角色权限 AWS Backup
AWS Backup 使用名为的服务相关角色 **AWSServiceRoleForBackupRestoreTesting**— 提供备份权限以进行还原测试。
**AWSServiceRoleForBackupRestoreTesting** 服务相关角色信任以下服务代入该角色:
+ `restore-testing.backup.amazonaws.com`
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)**。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。
## 为创建服务相关角色 AWS Backup
您无需手动创建服务关联角色。当您在 AWS 管理控制台、或 AWS API 中进行恢复测试时, AWS Backup 会为您创建服务相关角色。 AWS CLI
**重要**
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。要了解更多信息,请参阅[我的 IAM 账户中的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您进行恢复测试时, AWS Backup 会再次为您创建服务相关角色。
## 编辑的服务相关角色 AWS Backup
AWS Backup 不允许您编辑 AWSServiceRoleForBackupRestoreTesting 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。
## 删除的服务相关角色 AWS Backup
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
### 清除服务相关角色
必须先删除服务相关角色使用的所有资源,然后才能使用 IAM 删除该角色。您必须删除所有还原测试计划。
**注意**
如果您尝试删除资源时 AWS Backup 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 AWSServiceRoleForBackupRestoreTesting (控制台)使用的 AWS Backup 资源**
+ 要删除所有还原测试计划,请参阅[还原测试](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html)。
**删除 AWSService RoleForBackupRestoreTesting (AWS CLI) 使用的 AWS Backup 资源**
+ 要删除还原测试计划,请使用 `delete-restore-testing-plan`。
**删除 AWSService RoleForBackupRestoreTesting (API) 使用的 AWS Backup 资源**
+ 要删除还原测试计划,请使用 `DeleteRestoreTestingPlan`。
### 手动删除服务相关角色
使用 IAM 控制台 AWS CLI、或 AWS API 删除**AWSServiceRoleForBackupRestoreTesting**服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。
## AWS Backup 服务相关角色支持的区域
AWS Backup 支持在提供服务的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS Backup 支持的功能和区域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。
# 防止跨服务混淆座席
混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。一个服务(*呼叫服务*)调用另一项服务(*所谓的服务*)时,可能会发生跨服务模拟。可以操纵调用服务以使用其权限对另一个客户的资源进行操作,否则该服务不应有访问权限。为了防止这种情况,我们 AWS 提供了一些工具,帮助您保护所有服务的数据,这些服务委托人已被授予访问您账户中资源的权限。
我们建议在资源策略中使用[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全局条件上下文密钥来限制为资源 AWS Backup 提供其他服务的权限。如果使用两个全局条件上下文键,在同一策略语句中使用时,`aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户必须使用相同的账户 ID。
AWS Backup 用于代表您发布 Amazon SNS 主题时,的值`aws:SourceArn`必须是 AWS Backup 文件库。
防范混淆代理问题最有效的方法是使用 `aws:SourceArn` 全局条件上下文键和资源的完整 ARN。如果不知道资源的完整 ARN,或者正在指定多个资源,请针对 ARN 未知部分使用带有通配符(`*`)的 `aws:SourceArn` 全局上下文条件键。例如 `arn:aws::servicename::123456789012:*`。
以下示例策略显示了如何使用中的`aws:SourceArn`和`aws:SourceAccount`全局条件上下文密钥 AWS Backup 来防止出现混淆的副手问题。只有当服务主体代表账户 123456789012 对备份保管库采取行动时,该政策才允许服务主体 backup-storage.amazonaws.com 执行 KMS 操作: AWS