本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全性 AWS Backup
<a name="security-considerations"></a>

云安全 AWS 是重中之重。作为 AWS 客户，您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。

安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的* 安全性和云*中* 的安全性：
+ **云安全** — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)的一部分，第三方审核人员将定期测试和验证安全性的有效性。要了解适用的合规计划 AWS Backup，请参阅[按合规计划划分的范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云中的安全性** - 您对 AWS Backup 的责任包括但不限于以下各项。您还需要对其他因素负责，包括您的数据的敏感性、您组织的要求以及适用的法律法规。
  + 回复您收到的来信 AWS。
  + 管理您和您的团队使用的凭证。有关更多信息，请参阅[中的身份和访问管理 AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-iam.html)。
  + 配置您的备份计划和资源分配，以反映组织的数据保护策略。有关更多信息，请参阅[管理备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html)。
  + 定期测试您是否有能力找到某些恢复点并还原它们。有关更多信息，请参阅[使用备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/recovery-points.html)。
  + 将 AWS Backup 程序纳入贵组织的灾难恢复和业务连续性书面程序。首先，请参阅 [开始使用 AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html)。
  + 确保您的员工熟悉并练习在紧急情况下使用 AWS Backup 您的组织程序。有关更多信息，请参阅 [AWS 架构完善的框架](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html)。

本文档可帮助您了解在使用时如何应用分担责任模型 AWS Backup。以下主题向您介绍如何进行配置 AWS Backup 以满足您的安全和合规性目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 AWS Backup 资源。

**Topics**
+ [合规性验证](backup-compliance.md)
+ [数据保护](data-protection.md)
+ [Identity and access management](backup-iam.md)
+ [基础结构安全性](infrastructure-security.md)
+ [完整性](backup-integrity.md)
+ [法定保留](legalhold.md)
+ [恶意软件防护](malware-protection.md)
+ [恢复能力](disaster-recovery-resiliency.md)

# 合规性验证 AWS Backup
<a name="backup-compliance"></a>

要了解是否属于特定合规计划的范围，请参阅AWS 服务 “[按合规计划划分的范围](https://aws.amazon.com/compliance/services-in-scope/)” ”，然后选择您感兴趣的合规计划。 AWS 服务 有关一般信息，请参阅[AWS 合规计划AWS](https://aws.amazon.com/compliance/programs/)。

您可以使用下载第三方审计报告 AWS Artifact。有关更多信息，请参阅中的 “[下载报告” 中的 “ AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。

您在使用 AWS 服务 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。有关您在使用时的合规责任的更多信息 AWS 服务，请参阅[AWS 安全文档](https://docs.aws.amazon.com/security/)。

# 中的数据保护 AWS Backup
<a name="data-protection"></a>

AWS Backup 符合 AWS [分担责任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)，其中包括数据保护的法规和指导方针。 AWS 负责保护运行所有 AWS 服务的全球基础架构。 AWS 保持对托管在此基础架构上的数据的控制，包括用于处理客户内容和个人数据的安全配置控制。 AWS 作为数据控制者或数据处理者的客户和 AWS 合作伙伴网络 (APN) 合作伙伴应对他们输入的任何个人数据负责。 AWS 云

出于数据保护目的，我们建议您保护 AWS 账户 凭证并使用 AWS Identity and Access Management (IAM) 设置个人用户账户。这可帮助确保仅向每个用户授予履行其工作职责所需的权限。还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证 (MFA)。
+ 使用安全套接字层 (SSL)/传输层安全性 (TLS) 与 AWS 资源通信。
+ 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。

我们强烈建议您切勿将敏感的可识别信息（例如您客户的账号）放入自由格式字段（例如**名称**字段）。这包括您使用控制台、 AWS CLI API AWS Backup 或使用其他 AWS 服务时 AWS SDKs。您输入到 AWS Backup 或其他服务中的任何数据都可能被选取以包含在诊断日志中。当您向外部服务器提供网址时，请勿在网址中包含凭证信息来验证您对该服务器的请求。

有关数据保护的更多信息，请参阅*AWS 安全性博客* 上的[AWS 责任共担模式和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。

# 对中的备份进行加密 AWS Backup
<a name="encryption"></a>

## 独立 加密
<a name="independent-encryption"></a>

AWS Backup 为[支持完全 AWS Backup 管理的资源类型](backup-feature-availability.md#features-by-resource)提供独立加密。独立加密意味着您创建的恢复点（备份） AWS Backup 可以采用与源资源加密所决定的加密方法不同的加密方法。例如，您对 Amazon S3 存储桶的备份可以采用与使用 Amazon S3 加密选项加密的源存储桶不同的加密方法。这种加密通过存储备份的备份保管库中的 AWS KMS 密钥配置进行控制。

未完全由管理的资源类型的备份 AWS Backup 通常会从其源资源继承加密设置。您可以根据该服务的说明（例如《Amazon EBS 用户指南》**中的 [Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)）配置这些加密设置。

您的 IAM 角色必须能够访问用于备份和还原对象的 KMS 密钥。否则，作业虽然会成功，但不会备份或还原对象。IAM 策略和 KMS 密钥策略中的权限必须一致。有关更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的[在 IAM 策略声明中指定 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)。

下表列出了每种受支持的资源类型、如何为备份配置加密以及是否支持独立的备份加密。当 AWS Backup 独立加密备份时，它会使用行业标准的 AES-256 加密算法。有关加密的更多信息 AWS Backup，请参阅中的[跨区域和跨](cross-region-backup.md)[账户](create-cross-account-backup.md)备份。


| 资源类型 | 如何配置加密 | 独立 AWS Backup 加密 | 
| --- | --- | --- | 
| Amazon Simple Storage Service（Amazon S3） | Amazon S3 备份使用与备份库关联的 AWS KMS (AWS Key Management Service) 密钥进行加密。 AWS KMS 密钥可以是客户管理的密钥，也可以是与服务关联的 AWS托管密钥。 AWS Backup AWS Backup 即使源 Amazon S3 存储桶未加密，也会加密所有备份。 | 支持 | 
| VMware 虚拟机 | 虚拟机备份始终加密。虚拟机备份的 AWS KMS 加密密钥是在存储虚拟机备份的 AWS Backup 保管库中配置的。 | 支持 | 
| 启用[高级 DynamoDB 备份](advanced-ddb-backup.md)后的 Amazon DynamoDB |  DynamoDB 备份始终加密。DynamoDB 备份的 AWS KMS 加密密钥是在存储 DynamoDB 备份的文件库中 AWS Backup 配置的。  | 支持 | 
| 未启用[高级 DynamoDB 备份](advanced-ddb-backup.md)的 Amazon DynamoDB |  DynamoDB 备份使用与用于加密源 DynamoDB 表的相同加密密钥自动进行加密。未加密的 DynamoDB 表的快照也不会加密。  AWS Backup 要创建加密的 DynamoDB 表的备份，您必须向用于备份的 IAM 角色添加`kms:Decrypt`权限`kms:GenerateDataKey`和。或者，您可以使用 AWS Backup 默认服务角色。  | 不支持 | 
| Amazon Elastic File System (Amazon EFS) | Amazon EFS 备份始终加密。Amazon EFS 备份的 AWS KMS 加密密钥是在存储 Amazon EFS 备份 AWS Backup 的文件库中配置的。 | 支持 | 
| Amazon Elastic Block Store (Amazon EBS) | 默认情况下，Amazon EBS 备份要么使用用于加密源卷的密钥进行加密，要么未加密。在还原期间，您可以通过指定 KMS 密钥来选择覆盖默认加密方法。 | 不支持 | 
| 亚马逊 Elastic Compute Cloud (Amazon EC2) AMIs | AMIs 未加密。EBS 快照按照 EBS 备份的默认加密规则进行加密（参阅 EBS 条目）。可以将数据和根卷的 EBS 快照加密并附加到 AMI。 | 不支持 | 
| Amazon Relational Database Service (Amazon RDS) | Amazon RDS 快照使用与用于加密源 Amazon RDS 数据库相同的加密密钥自动进行加密。未加密的 Amazon RDS 数据库的快照也不会加密。 | 不支持 | 
| Amazon Aurora | Aurora 集群快照使用与用于加密源 Amazon Aurora 集群相同的加密密钥自动进行加密。未加密的 Aurora 集群的快照也不会加密。 | 不支持 | 
| AWS Storage Gateway | Storage Gateway 快照使用与用于加密源 Storage Gateway 卷相同的加密密钥自动进行加密。未加密的 Storage Gateway 卷的快照也不会加密。您无需在所有服务中使用客户托管密钥即可启用 Storage Gateway。您只需将 Storage Gateway 备份复制到已配置 KMS 密钥的保管库。这是因为 Storage Gateway 没有特定于服务的 AWS KMS 托管密钥。  | 不支持 | 
| Amazon FSx | Amazon FSx 文件系统的加密功能因底层文件系统而异。要详细了解您的特定 Amazon FSx 文件系统，请参阅相应的[FSx 用户指南](https://docs.aws.amazon.com/fsx/)。 | 不支持 | 
| Amazon DocumentDB | Amazon DocumentDB 集群快照使用与用于加密源 Amazon DocumentDB 集群相同的加密密钥自动进行加密。未加密的 Amazon DocumentDB 集群的快照也不会加密。 | 不支持 | 
| Amazon Neptune | Amazon Neptune 集群快照使用与用于加密源 Amazon Neptune 集群相同的加密密钥自动进行加密。未加密的 Amazon Neptune 集群的快照也不会加密。 | 不支持 | 
| Amazon Timestream | Amazon Timestream 表快照备份始终加密。Timestream 备份的 AWS KMS 加密密钥是在存储 Timestream 备份的备份保管库中配置的。 | 支持 | 
| Amazon Redshift | Amazon Redshift 集群快照使用与用于加密源 Amazon Redshift 集群相同的加密密钥自动进行加密。未加密的 Amazon Redshift 集群的快照也不会加密。 | 不支持 | 
| Amazon Redshift Serverless | Redshift Serverless 快照使用与加密源相同的加密密钥自动进行加密。 | 不支持 | 
| CloudFormation | CloudFormation 备份始终是加密的。备份的 CloudFormation 加密密钥是在存储 CloudFormation 备份的 CloudFormation 保管库中配置的。 CloudFormation | 支持 | 
| Amazon EC2 实例上的 SAP HANA 数据库 | SAP HANA 数据库备份始终加密。SAP HANA 数据库备份的 AWS KMS 加密密钥是在存储数据库备份的 AWS Backup 保管库中配置的。 | 支持 | 

**提示**  
AWS Backup A@@ [udit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) 可帮助您自动检测未加密的备份。

## 对不同账户的备份副本进行加密或 AWS 区域
<a name="copy-encryption"></a>

当您跨账户或区域复制备份时，即使原始备份未加密，也会 AWS Backup 自动加密大多数资源类型的副本。 AWS Backup 使用目标文件库的 KMS 密钥对副本进行加密。

在将备份从一个账户复制到另一个账户（跨账户复印作业）或将备份从一个区域复制到另一个区域（跨区域复印作业）之前，请注意以下条件，其中许多条件取决于备份（恢复点）中的资源类型是否[完全由管理 AWS Backup 或未完全](backup-feature-availability.md#features-by-resource)托管。
+ 使用目标保管库的密钥对备份到另一个 AWS 区域 副本进行加密。
+ 对于**完全由管理的资源的恢复点（备份）副本 AWS Backup，您可以选择使用客户托管**[密钥 (CMK) 或托管密钥 ()](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) 对其进行加密。 AWS Backup `aws/backup`

  对于**未完全由管理**的资源恢复点的副本 AWS Backup，与目标文件库关联的密钥必须是 CMK 或拥有底层资源的服务的托管密钥。例如，如果您要复制 EC2 实例，则无法使用 Backup 托管的密钥，而是必须使用 CMK 或 Amazon EBS KMS 密钥（`aws/ebs`）来避免复制作业失败。
+ 对于未完全 AWS 由管理的资源，不支持使用托管密钥进行跨账户复制。 AWS Backup AWS 托管式密钥的[密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)不可变，这可以防止跨账户复制密钥。如果您的资源使用 AWS 托管密钥加密，并且您想执行跨账户复制，则可以将[加密密钥更改为客户托管密钥](https://repost.aws/knowledge-center/update-encryption-key-rds)，该密钥可用于跨账户复制。或者，您可以按照使用[跨账户和跨区域备份保护加密的 Amazon RDS 实例](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/)中的说明继续使用 AWS 托管密钥。
+ 未加密的 Amazon Aurora、Amazon DocumentDB 和 Amazon Neptune 集群的副本也不会进行加密。

## AWS Backup 权限、授予和拒绝声明
<a name="backup-permissions-grants-deny-statements"></a>

为了帮助避免任务失败，您可以检查 AWS KMS 密钥策略以确保它具有所需的权限并且没有任何阻止成功操作的拒绝语句。

作业可能会因对 KMS 密钥应用一个或多个拒绝语句或者撤消对密钥的[授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)而失败。

在诸如此类的 AWS 托管访问策略中 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)，允许与之 AWS Backup 交互 AWS KMS 以代表客户对 KMS 密钥创建授权，作为备份、复制和存储操作的一部分。

密钥策略至少需要以下权限：
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`

如果需要使用拒绝策略，则需要将备份和还原操作所需的角色列入允许列表。

这些元素可能如下所示：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
          "Sid": "KmsPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:ListKeys",
              "kms:DescribeKey",
              "kms:GenerateDataKey",
              "kms:ListAliases"
          ],
          "Resource": "*"
      },
      {
          "Sid": "KmsCreateGrantPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:CreateGrant"
          ],
          "Resource": "*",
          "Condition": {
              "ForAnyValue:StringEquals": {
                  "kms:EncryptionContextKeys": "aws:backup:backup-vault"
              },
              "Bool": {
                  "kms:GrantIsForAWSResource": true
              },
              "StringLike": {
                  "kms:ViaService": "backup.*.amazonaws.com"
              }
          }
      }
    ]
}
```

------

无论是托管权限还是客户 AWS 管理权限，这些权限都必须是密钥的一部分。

1. 确保所需权限是 KMS 密钥策略的一部分

   1. 运行 KMS CLI `get-key-policy`（[https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)），查看附加到指定 KMS 密钥的密钥策略。

   1. 查看返回的权限。

1. 确保没有影响操作的拒绝语句

   1. 运行（或重新运行）CLI `get-key-policy`（[https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)），查看附加到指定 KMS 密钥的密钥策略。

   1. 查看策略。

   1. 从 KMS 密钥策略中删除相关的拒绝语句。

1. 如果需要，运行 [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 以使用修改后的权限和已删除的拒绝语句来替换或更新密钥策略。

此外，与启动跨区域复制作业的角色关联的密钥必须在 `DescribeKey` 权限中包含 `"kms:ResourcesAliases": "alias/aws/backup"`。

# 虚拟机管理程序凭证加密
<a name="bgw-hypervisor-encryption-page"></a>

由[管理程序管理](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html)的虚拟机使用 [AWS Backup 网关](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html)将本地系统连接到 AWS Backup。管理程序必须具有同样强大而可靠的安全性，这一点很重要。这种安全性可以通过使用 AWS 自有密钥或客户管理的密钥对虚拟机管理程序进行加密来实现。

## AWS 自有密钥和客户管理的密钥
<a name="bgw-encryption-keys"></a>

AWS Backup 为虚拟机管理程序凭据提供加密，以使用**AWS 自有的加密密钥**保护敏感的客户登录信息。您可以选择改用**客户托管密钥**。

默认情况下，用于在虚拟机管理程序中加密凭据的密钥是**AWS 自**有密钥。 AWS Backup 使用这些密钥自动加密虚拟机管理程序凭据。您既无法查看、管理或使用 AWS 拥有的密钥，也无法审核其使用情况。但是，无需采取任何措施或更改任何计划即可保护用于加密数据的密钥。有关更多信息，请参阅《[https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)中的 AWS 自有密钥。

或者，也可以使用*客户托管密钥*对凭证进行加密。 AWS Backup 支持使用由您创建、拥有和管理的对称客户托管密钥来执行加密。由于您可以完全控制此加密，因此可以执行以下任务：
+ 制定和维护密钥策略
+ 建立和维护 IAM 策略和授权
+ 启用和禁用密钥策略
+ 轮换加密材料
+ 添加 标签
+ 创建密钥别名
+ 安排密钥删除

当您使用客户托管密钥时，请 AWS Backup 验证您的角色是否有权使用此密钥进行解密（在运行备份或还原作业之前）。必须将 `kms:Decrypt` 操作添加到用于启动备份或还原作业的角色。

由于无法将 `kms:Decrypt` 操作添加到默认备份角色，因此必须使用默认备份角色以外的角色才能使用客户托管密钥。

有关更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的[客户托管密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。

## 使用客户托管密钥时需要的授权
<a name="encryption-grant"></a>

AWS KMS 需要获得[授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)才能使用您的客户托管密钥。当您导入使用客户托管密钥加密的[虚拟机管理程序配置](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html)时， AWS Backup 会通过向发送[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)请求来代表您创建授权。 AWS KMS AWS Backup 使用授权访问客户账户中的 KMS 密钥。

您可以随时撤销对授予的访问权限，也可以取消 AWS Backup对客户托管密钥的访问权限。如果这样做，与管理程序关联的所有网关都将无法再访问由客户托管密钥加密的管理程序的用户名和密码，这将影响您的备份和还原作业。具体而言，您在此管理程序中对虚拟机执行的备份和还原作业将失败。

当您删除管理程序时，Backup Gateway 将使用 `RetireGrant` 操作来删除授权。

## 监控加密密钥
<a name="monitoring-encryption-keys"></a>

当您对 AWS Backup 资源使用 AWS KMS 客户托管密钥时，您可以使用[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)或 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 来跟踪 AWS Backup 发送到的请求 AWS KMS。

查找具有以下`"eventName"`字段 AWS CloudTrail 的事件，以监控访问由 AWS Backup 您的客户托管密钥加密的数据所调用的 AWS KMS 操作：
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`

# 中的身份和访问管理 AWS Backup
<a name="backup-iam"></a>

访问 AWS Backup 需要凭证。这些凭证必须有权访问 AWS 资源，例如 Amazon DynamoDB 数据库或 Amazon EFS 文件系统。此外， AWS Backup 为某些 AWS Backup支持的服务创建的恢复点无法使用源服务（例如 Amazon EFS）删除。您可以使用删除这些恢复点 AWS Backup。

以下各节详细介绍了如何使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 以及 AWS Backup 如何帮助安全访问您的资源。

**警告**  
AWS Backup 使用您在分配资源来管理恢复点生命周期时选择的 IAM 角色。如果您删除或修改该角色，则 AWS Backup 无法管理您的恢复点生命周期。发生这种情况时，它将尝试使用服务相关角色来管理您的生命周期。在少数情况下，这也可能不起作用，从而在存储上留下 `EXPIRED` 恢复点，这可能会产生不必要的成本。要删除 `EXPIRED` 恢复点，请使用[删除备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html)中的步骤手动将其删除。

**Topics**
+ [身份验证](authentication.md)
+ [访问控制](access-control.md)
+ [IAM 服务角色](iam-service-roles.md)
+ [的托管策略 AWS Backup](security-iam-awsmanpol.md)
+ [将服务相关角色用于 AWS Backup](using-service-linked-roles.md)
+ [防止跨服务混淆座席](cross-service-confused-deputy-prevention.md)

# 身份验证
<a name="authentication"></a>

访问 AWS Backup 或正在备份的 AWS 服务需要 AWS 能够用来验证您的请求的证书。您可以 AWS 作为以下任何类型的身份进行访问：
+ **AWS 账户 root 用户** — 注册时 AWS，您需要提供与您的 AWS 帐户关联的电子邮件地址和密码。这就是您的 *AWS 账户 根用户*。其凭证可让您完全访问您的所有 AWS 资源。
**重要**  
出于安全原因，建议您仅使用根用户来创建*管理员*。管理员是对您的 AWS 账户拥有完全权限的 *IAM 用户*。随后，您可以使用此管理员用户来创建具有有限权限的其他 IAM 用户和角色。有关更多信息，请参阅《IAM 用户指南》**中的 [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)和[创建您的第一个 IAM 管理员用户和组](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)。
+ **IAM 用户** - [IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)用户是 AWS 账户 中的一种身份，它具有特定的自定义权限（例如，创建备份保管库以存储备份的权限）。您可以使用 IAM 用户名和密码登录安全 AWS 网页 [AWS 管理控制台](https://console.aws.amazon.com/)，例如[AWS 讨论论坛](https://forums.aws.amazon.com/)或[AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

  除了用户名和密码之外，您还可以为每个用户生成[访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。在以编程方式访问 AWS 服务时，您可以使用这些密钥，无论是通过[多个密钥中的一个 SDKs](https://aws.amazon.com/developer/tools/)还是使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)。SDK 和 AWS CLI 工具使用访问密钥对您的请求进行加密签名。如果您不使用 AWS 工具，则必须自行对请求签名。有关验证请求的更多信息，请参阅《AWS 一般参考》** 中的[签名版本 4 签名流程](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)。
+ **IAM 角色** – [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是可在账户中创建的另一种具有特定权限的 IAM 身份。它类似于 IAM 用户，但未与特定人员关联。IAM 角色使您能够获得可用于访问 AWS 服务和资源的临时访问密钥。具有临时凭证的 IAM 角色在以下情况下很有用：
  + 联合用户访问权限 — 您可以使用企业用户目录或 Web 身份提供商中预先存在的用户身份 Directory Service，而不是创建 IAM 用户。这些用户称为*联合用户*。在通过[身份提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)请求访问权限时， AWS 将为联合用户分配角色。有关联合用户的更多信息，请参阅《IAM 用户指南》**中的[联合用户和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)。
  + 跨账户管理 — 您可以使用账户中的 IAM 角色授予其他 AWS 账户 权限来管理您的账户的资源。有关示例，请参阅 IAM *用户指南中的教程： AWS 账户 使用 IAM* [角色委派访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)。
  + AWS 服务访问权限 — 您可以使用账户中的 IAM 角色向 AWS 服务授予访问您账户资源的权限。有关更多信息，请参阅 *IAM 用户指南*中的[创建角色以向 AWS 服务委派权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
  + 在亚马逊弹性计算云 (Amazon EC2) 上运行的应用程序 — 您可以使用 IAM 角色管理在亚马逊 EC2 实例上运行并发 AWS 出 API 请求的应用程序的临时证书。这优先于在 EC2 实例中存储访问密钥。要向 EC2 实例分配 AWS 角色并使其可供其所有应用程序使用，您需要创建附加到该实例的实例配置文件。实例配置文件包含角色，并使 EC2 实例上运行的程序能够获得临时凭证。有关更多信息，请参阅《IAM 用户指南》中的[使用 IAM 角色为在 Amazon EC2 实例上运行的应用程序授予权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)**。

    

# 访问控制
<a name="access-control"></a>

您可以拥有有效的凭证来验证您的请求，但是除非您拥有相应的权限，否则您无法访问备份文件库等 AWS Backup 资源。您也无法备份诸如亚马逊 Elastic Block Store (Amazon EBS) 卷之类的 AWS 资源。

每个 AWS 资源都归人所有 AWS 账户，创建或访问资源的权限受权限策略的约束。账户管理员可以向 AWS Identity and Access Management (IAM) 身份（即用户、群组和角色）附加权限策略。有些服务还支持向资源附加权限策略。

*账户管理员* (或管理员用户) 是具有管理员权限的用户。有关更多信息，请参阅*《IAM 用户指南》*中的 [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。

在授予权限时，您要决定谁获得权限，获得对哪些资源的权限，以及您允许对这些资源执行的具体操作。

以下各部分介绍了访问策略的工作原理以及如何使用它们来保护备份。

**Topics**
+ [资源和操作](#access-control-resources)
+ [资源所有权](#access-control-owner)
+ [指定策略元素：操作、效果和主体](#access-control-specify-backup-actions)
+ [在策略中指定条件](#specifying-conditions)
+ [API 权限：操作、资源和条件参考](#backup-api-permissions-ref)
+ [复制标签权限](#copy-tags)
+ [访问策略](#access-policies)

## 资源和操作
<a name="access-control-resources"></a>

资源是存在于服务中的对象。 AWS Backup 资源包括备份计划、备份存储库和备份。*Backup* 是一个通用术语，指的是中存在的各种类型的备份资源 AWS。例如，Amazon EBS 快照、Amazon Relational Database Service (Amazon RDS) 快照、Amazon DynamoDB 备份都是备份资源类型。

在中 AWS Backup，备份也称为*恢复点*。使用时 AWS Backup，您还可以使用您正在尝试保护的其他 AWS 服务的资源，例如 Amazon EBS 卷或 DynamoDB 表。这些资源具有与之关联的唯一 Amazon 资源名称 (ARNs)。 ARNs 唯一标识 AWS 资源。当您需要在 AWS全局环境中（例如在 IAM 策略或 API 调用中）明确指定一项资源时，您必须拥有 ARN。

下表列出了资源、子资源和 ARN 格式以及一个唯一 ID 示例。


**AWS Backup 资源 ARNs**  

| 资源类型 | ARN 格式 | 唯一 ID 示例 | 
| --- | --- | --- | 
| 备份计划 | arn:aws:backup:region:account-id:backup-plan:\$1 |  | 
| 备份保管库 | arn:aws:backup:region:account-id:backup-vault:\$1 |  | 
| Amazon EBS 恢复点 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 | 
| Amazon EC2 映像恢复点 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 | 
| Amazon RDS 恢复点 | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Aurora 恢复点 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Aurora DSQL 恢复点 | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a | 
| Storage Gateway 恢复点 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 | 
| 未启用[高级 DynamoDB 备份](advanced-ddb-backup.md)的 DynamoDB 恢复点 | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 | 
| 启用[高级 DynamoDB 备份](advanced-ddb-backup.md)的 DynamoDB 恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 | 
| Amazon EFS 恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e | 
| Amazon 的恢复点 FSx | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 | 
| 虚拟机恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b | 
| Amazon S3 连续备份恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 | 
| S3 定期备份恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 | 
| Amazon DocumentDB 恢复点 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Neptune 恢复点 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Amazon Redshift 恢复点 | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Amazon Redshift Serverless 恢复点 | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Amazon Timestream 恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta | 
|  AWS CloudFormation 模板的恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 
| Amazon EC2 实例上的 SAP HANA 数据库恢复点 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 

支持完全 AWS Backup 管理的资源都有格式的恢复点`arn:aws:backup:region:account-id::recovery-point:*`。这使您可以更轻松地应用权限策略来保护这些恢复点。要查看哪些资源支持完全 AWS Backup 管理，请参阅[按资源划分的功能可用性](backup-feature-availability.md#features-by-resource)表格的该部分。

AWS Backup 提供了一组使用 AWS Backup 资源的操作。有关可用操作的列表，请参阅 AWS Backup [操作](API_Operations.md)。

## 资源所有权
<a name="access-control-owner"></a>

 AWS 账户 拥有在账户中创建的资源，无论谁创建了这些资源。具体而言，资源所有者是 AWS 账户 对资源创建请求进行身份验证的[委托人实体](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)（即 AWS 账户 根用户、IAM 用户或 IAM 角色）。以下示例说明了它的工作原理：
+ 如果您使用您的 AWS 账户 root 用户凭证创建备份保管库，则您 AWS 账户 就是该文件库的所有者。 AWS 账户 
+ 如果您在中创建 IAM 用户 AWS 账户 并向该用户授予创建备份库的权限，则该用户可以创建备份保管库。但是，您的 AWS 账户（即该用户所属的账户）拥有备份保管库资源。
+ 如果您在中创建 AWS 账户 具有创建备份库权限的 IAM 角色，则任何能够担任该角色的人都可以创建文件库。角色 AWS 账户所属的您拥有备份库资源。

## 指定策略元素：操作、效果和主体
<a name="access-control-specify-backup-actions"></a>

对于每个 AWS Backup 资源（请参阅[资源和操作](#access-control-resources)），该服务定义了一组 API 操作（请参阅[操作](API_Operations.md)）。要授予这些 API 操作的权限，请 AWS Backup 定义一组可在策略中指定的操作。执行一个 API 操作可能需要多个操作的权限。

以下是最基本的策略元素：
+ 资源：在策略中，您可以使用 Amazon Resource Name（ARN）标识策略应用到的资源。有关更多信息，请参阅 [资源和操作](#access-control-resources)。
+ 操作 – 您可以使用操作关键字标识要允许或拒绝的资源操作。
+ 效果 - 您可以指定当用户请求特定操作（可以是允许或拒绝）时的效果。如果没有显式授予（允许）对资源的访问权限，则隐式拒绝访问。您也可显式拒绝对资源的访问，这样可确保用户无法访问该资源，即使有其他策略授予了访问权限的情况下也是如此。
+ 主体：在基于身份的策略（IAM 策略）中，附加了策略的用户是隐式主体。对于基于资源的策略，您可以指定要接收权限的用户、账户、服务或其他实体（仅适用于基于资源的策略）。

要了解 IAM 策略语法和描述的更多信息，请参阅《IAM 用户指南》**中的 [IAM JSON 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

有关显示所有 AWS Backup API 操作的表格，请参阅[API 权限：操作、资源和条件参考](#backup-api-permissions-ref)。

## 在策略中指定条件
<a name="specifying-conditions"></a>

当您授予权限时，可使用 IAM 策略语言来指定规定策略何时生效的条件。例如，您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息，请参阅《IAM 用户指南》**中的[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。

AWS 支持全局条件密钥和特定于服务的条件密钥。要查看所有全局条件键，请参阅《IAM 用户指南》**中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

AWS Backup 定义自己的一组条件键。要查看 AWS Backup 条件键列表，请参阅《*服务授权参考*》 AWS Backup中的[条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys)。

## API 权限：操作、资源和条件参考
<a name="backup-api-permissions-ref"></a>

在设置 [访问控制](#access-control) 和编写可附加到 IAM 身份的权限策略 (基于身份的策略) 时，可使用下面的表作为参考。表格列表每个 AWS Backup API 操作、您可以为其授予执行操作权限的相应操作以及您可以为其授予权限的 AWS 资源。您可以在策略的 `Action` 字段中指定这些操作，并在策略的 `Resource` 字段中指定资源值。如果 `Resource` 字段为空，则可以使用通配符 (`*`) 来包含所有资源。

您可以在 AWS Backup 策略中使用 AWS-wide 条件键来表达条件。有关 AWS范围密钥的完整列表，请参阅 *IAM 用户指南*中的[可用密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。

使用滚动条查看表的其余部分。


**AWS Backup API 和操作所需的权限**  

| AWS Backup API 操作 | 所需权限（API 操作） | 资源 | 
| --- | --- | --- | 
|  [CreateBackupPlan](API_CreateBackupPlan.md)  | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupSelection](API_CreateBackupSelection.md)  | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupVault](API_CreateBackupVault.md)  |  `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey`  |  arn:aws:backup:region:account-id:backup-vault:\$1 对于 `backup-storage`：\$1 对于 `kms`：`arn:aws:kms:region:account-id:key/keystring` | 
|  [DeleteBackupPlan](API_DeleteBackupPlan.md)  | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupSelection](API_DeleteBackupSelection.md)  | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupVault](API_DeleteBackupVault.md)  | backup:DeleteBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md)  | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md)  |  backup:DeleteBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md)  |  backup:DeleteRecoveryPoint1  | 2 | 
|  [DescribeBackupJob](API_DescribeBackupJob.md)  | backup:DescribeBackupJob |  | 
|  [DescribeBackupVault](API_DescribeBackupVault.md)  |  backup:DescribeBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DescribeProtectedResource](API_DescribeProtectedResource.md)  | backup:DescribeProtectedResource |  | 
|  [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md)  |  backup:DescribeRecoveryPoint1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [DescribeRestoreJob](API_DescribeRestoreJob.md)  | backup:DescribeRestoreJob |  | 
|  [DescribeRegionSettings](API_DescribeRegionSettings.md)  |  backup:DescribeRegionSettings  |  | 
|  [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md)  | backup:ExportBackupPlanTemplate |  | 
|  [GetBackupPlan](API_GetBackupPlan.md)  | backup:GetBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md)  | backup:GetBackupPlanFromJSON |  | 
|  [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md)  | backup:GetBackupPlanFromTemplate |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupSelection](API_GetBackupSelection.md)  | backup:GetBackupSelection |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md)  |  backup:GetBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md)  |  backup:GetBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md)  |  backup:GetRecoveryPointRestoreMetadata1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md)  | backup:GetSupportedResourceTypes |  | 
|  [ListBackupJobs](API_ListBackupJobs.md)  | backup:ListBackupJobs |  | 
|  [ListBackupPlans](API_ListBackupPlans.md)  | backup:ListBackupPlans |  | 
|  [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md)  | backup:ListBackupPlanTemplates |  | 
|  [ListBackupPlanVersions](API_ListBackupPlanVersions.md)  | backup:ListBackupPlanVersions |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupSelections](API_ListBackupSelections.md)  | backup:ListBackupSelections |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupVaults](API_ListBackupVaults.md)  | backup:ListBackupVaults |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListProtectedResources](API_ListProtectedResources.md)  | backup:ListProtectedResources |  | 
|  [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md)  |  backup:ListRecoveryPointsByBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md)  | backup:ListRecoveryPointsByResource |  | 
|  [ListRestoreJobs](API_ListRestoreJobs.md)  | backup:ListRestoreJobs |  | 
|  [ListTags](API_ListTags.md)  | backup:ListTags |  | 
|  [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md)  |  backup:PutBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md)  |  backup:PutBackupVaultLockConfiguration1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md)  |  backup:PutBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartBackupJob](API_StartBackupJob.md)  | backup:StartBackupJob |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartRestoreJob](API_StartRestoreJob.md)  | backup:StartRestoreJob |  `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3  | 
|  [StopBackupJob](API_StopBackupJob.md)  | backup:StopBackupJob |  | 
|  [TagResource](API_TagResource.md)  | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 | 
|  [UntagResource](API_UntagResource.md)  | backup:UntagResource |  | 
|  [UpdateBackupPlan](API_UpdateBackupPlan.md)  | backup:UpdateBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md)  |  backup:UpdateRecoveryPointLifecycle1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [UpdateRegionSettings](API_UpdateRegionSettings.md)  |  `backup:UpdateRegionSettings` `backup:DescribeRegionSettings`  |  | 

1 使用现有保管库访问策略。

2 [AWS Backup 资源 ARNs](#resource-arns-table) 有关特定资源的恢复点，请参阅。 ARNs

3 `StartRestoreJob` 必须在资源的元数据中具有键值对。要获取资源的元数据，请调用 `GetRecoveryPointRestoreMetadata` API。

有关更多信息，请参阅《*服务授权参考*》中的 [AWS Backup的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)。

## 复制标签权限
<a name="copy-tags"></a>

 AWS Backup 执行备份或复印作业时，它会尝试将标签从您的源资源（如果是复制，则为恢复点）复制到您的恢复点。

**注意**  
AWS Backup 在还原作业期间**不会**以本机方式复制标签。有关将在还原作业期间复制标签的事件驱动架构，请参阅[如何在还原作业中 AWS Backup 保留资源标签](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/)。

在备份或复印作业期间， AWS Backup 将您在备份计划（或复制计划或按需备份）中指定的标签与源资源中的标签聚合。但是，对每个资源 AWS 强制执行 50 个标签的限制，该限制 AWS Backup 不能超过。当备份或复制作业聚合计划和源资源中的标签时，它可能会发现总标签数超过 50 个，此时它将无法完成作业，并且会使作业失败。这与 AWS全域标记最佳实践一致。
+ 将备份任务标签与源资源标签聚合后，您的资源有超过 50 个标签。 AWS 每个资源最多支持 50 个标签。
+ 您提供的 IAM 角色 AWS Backup 缺乏读取源标签或设置目标标签的权限。有关更多信息和 IAM 角色策略示例，请参阅[托管策略](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies)。

您可以使用备份计划（添加到恢复点的标签）创建与源资源标签相矛盾的标签。当两者发生冲突时，您的备份计划中的标签优先。如果您不想从源资源中复制标签值，请使用此方法。使用备份计划指定相同的标签键，但使其值不同或为空。


**为备份分配标签所需的权限**  

| 资源类型 | 所需的权限 | 
| --- | --- | 
| Amazon EFS 文件系统 | `elasticfilesystem:DescribeTags` | 
| 亚马逊 FSx 文件系统 | `fsx:ListTagsForResource` | 
| Amazon RDS 数据库和 Amazon Aurora 集群 |  `rds:AddTagsToResource` `rds:ListTagsForResource`  | 
| Storage Gateway 卷 | `storagegateway:ListTagsForResource` | 
| Amazon EC2 实例和 Amazon EBS 卷 |  `EC2:CreateTags` `EC2:DescribeTags`  | 

除非先启用[高级 DynamoDB 备份](advanced-ddb-backup.md)，否则 DynamoDB 不支持为备份分配标签。

当 Amazon EC2 备份创建映像恢复点和一组快照时，会将标签 AWS Backup 复制到生成的 AMI。 AWS Backup 还将标签从与 Amazon EC2 实例关联的卷复制到生成的快照中。

## 访问策略
<a name="access-policies"></a>

*权限*策略规定谁可以访问哪些内容。附加到 IAM 身份的策略称为*基于身份*的策略（IAM 策略）。附加到资源的策略称为*基于资源的*策略。 AWS Backup 支持基于身份的策略和基于资源的策略。

**注意**  
本节讨论在的上下文中使用 IAM AWS Backup。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档，请参阅《IAM 用户指南》**中的[什么是 IAM？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM 策略语法和描述的信息，请参阅《IAM 用户指南》**中的[IAM JSON 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

### 基于身份的策略（IAM 策略）
<a name="identity-based-policies"></a>

基于身份的策略是可以附加到 IAM 身份（如用户或角色）的策略。例如，您可以定义一个策略，允许用户查看和备份 AWS 资源，但禁止他们恢复备份。

有关用户、组、角色和权限的更多信息，请参阅《IAM 用户指南》**中的[身份（用户、组和角色）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。

有关如何使用 IAM 策略控制对备份的访问的信息，请参阅[的托管策略 AWS Backup](security-iam-awsmanpol.md)。

### 基于资源的策略
<a name="resource-based-policies"></a>

AWS Backup 支持基于资源的备份存储库访问策略。这使您可以定义访问策略，用于控制哪些用户对于存储在备份保管库中的任何备份具有哪种类型的访问权限。备份保管库的基于资源的访问策略提供了一种控制备份访问的简便方法。

Backup Vault 访问策略控制您使用时的用户访问权限 AWS Backup APIs。某些备份类型，例如亚马逊弹性区块存储 (Amazon EBS) 和亚马逊关系数据库服务 (Amazon RDS) 快照，也可以使用这些服务进行访问。 APIs您可以在 IAM 中创建单独的访问策略来控制对这些策略 APIs 的访问权限，从而完全控制对备份的访问权限。

要了解如何创建备份保管库的访问策略，请参阅[文件库访问策略](create-a-vault-access-policy.md)。

# IAM 服务角色
<a name="iam-service-roles"></a>

 AWS Identity and Access Management (IAM) 角色与用户类似，因为它是一个具有权限策略的 AWS 身份，该策略决定了该身份可以做什么和不能做什么 AWS。但是，角色旨在让需要它的任何人代入，而不是唯一地与某个人员关联。服务角色是 AWS 服务代替您执行操作的角色。作为代表您执行备份操作的服务， AWS Backup 要求您在该服务代表您执行备份操作时将其传递给要代入的角色。有关 IAM 角色的更多信息，请参阅《IAM 用户指南》**中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。

您传递给的角色 AWS Backup 必须具有 IAM 策略，该策略具有执行与备份操作相关的操作的权限，例如创建、还原或过期备份。 AWS Backup AWS Backup 支持的每项 AWS 服务都需要不同的权限。该角色还必须 AWS Backup 列为可信实体，这样 AWS Backup 才能担任该角色。

在为备份计划分配资源或执行按需备份、复制或还原时，必须传递一个有权对指定资源执行底层操作的服务角色。 AWS Backup 使用此角色在您的账户中创建、标记和删除资源。

## 使用 AWS 角色控制对备份的访问权限
<a name="using-roles-to-control-access"></a>

您可以使用角色来控制对备份的访问，方法是定义范围狭窄的角色，并指定谁可以将该角色传递给 AWS Backup。例如，您可以创建一个角色，该角色仅授予备份亚马逊关系数据库服务 (Amazon RDS) 数据库的权限，而仅授予 Amazon RDS 数据库所有者将该角色传递给的权限 AWS Backup。 AWS Backup 为每种支持的服务提供了多个预定义的托管策略。您可以将这些托管策略附加到您创建的角色。这样可以更轻松地创建具有 AWS Backup 所需正确权限的服务特定角色。

有关 AWS 托管策略的更多信息 AWS Backup，请参阅[的托管策略 AWS Backup](security-iam-awsmanpol.md)。

## 的默认服务角色 AWS Backup
<a name="default-service-roles"></a>

首次使用 AWS Backup 控制台时，您可以选择为您 AWS Backup 创建默认服务角色。此角色具有代表您创建和恢复备份 AWS Backup 所需的权限。

**注意**  
默认角色是在您使用 AWS 管理控制台时自动创建的。您可以使用 AWS Command Line Interface (AWS CLI) 创建默认角色，但必须手动完成。

如果您更喜欢使用自定义角色，例如为不同的资源类型使用不同的角色，也可以这样做并将您的自定义角色传递给 AWS Backup。要查看为单个资源类型启用备份和还原的角色示例，请参阅[客户托管策略](security-iam-awsmanpol.md#customer-managed-policies)表。

默认服务角色名称为 `AWSBackupDefaultServiceRole`。此服务角色包含两个托管策略，[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)和[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。

`AWSBackupServiceRolePolicyForBackup`包括一个 IAM 策略，该策略授予描述正在备份的资源的 AWS Backup 权限，以及创建、删除、描述备份或向备份添加标签的能力，无论使用何种 AWS KMS 密钥对其进行加密。

`AWSBackupServiceRolePolicyForRestores`包括一个 IAM 策略，该策略授予创建、删除或描述从备份中创建的新资源的 AWS Backup 权限，无论使用何种 AWS KMS 密钥对其进行加密。它还包括权限来标记新创建的资源。

要还原 Amazon EC2 实例，您必须启动一个新实例。

## 在控制台中创建默认服务角色
<a name="creating-default-service-role-console"></a>

 您在 AWS Backup 控制台中执行的特定操作将创建 AWS Backup 默认服务角色。

**在您的 AWS 账户中创建 AWS Backup 默认服务角色**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 要为您的账户创建角色，请为备份计划分配资源或创建按需备份。

   1. 创建备份计划并为备份分配资源。请参阅[创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)。

   1. 或者，创建按需备份。请参阅[创建按需备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html)。

1.  按照以下步骤验证您是否已在账户中创建 `AWSBackupDefaultServiceRole`：

   1. 等待几分钟。有关更多信息，请参阅《AWS Identity and Access Management 用户指南》**中的[我所做的更改并不总是立即可见](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency)。

   1. 登录 AWS 管理控制台 并打开 IAM 控制台，网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

   1. 在左导航菜单中，选择**角色**。

   1. 在搜索栏中，键入 `AWSBackupDefaultServiceRole`。如果存在此选择，则表示您已经创建了 AWS Backup 默认角色并完成了此过程。

   1. 如果 `AWSBackupDefaultServiceRole` 仍未出现，请向用于访问控制台的 IAM 用户或 IAM 角色添加以下权限。

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement":[
          {
            "Effect":"Allow",
            "Action":[
              "iam:CreateRole",
              "iam:AttachRolePolicy",
              "iam:PassRole"
            ],
            "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
          },
          {
            "Effect":"Allow",
            "Action":[
              "iam:ListRoles"
            ],
            "Resource":"*"
          }
        ]
      }
      ```

------

      对于中国地区，*aws*请替换*aws-cn*为。对于 AWS GovCloud (US) 区域，请*aws*替换为*aws-us-gov*。

   1. 如果您无法向 IAM 用户或 IAM 角色添加权限，请让您的管理员手动创建一个名称*不为* `AWSBackupDefaultServiceRole` 的角色，并将该角色附加到以下托管策略：
      + `AWSBackupServiceRolePolicyForBackup`
      + `AWSBackupServiceRolePolicyForRestores`

# 的托管策略 AWS Backup
<a name="security-iam-awsmanpol"></a>

托管策略是基于身份的独立策略，您可以将其附加到中的多个用户、群组和角色。 AWS 账户将策略附加到主体实体时，便向实体授予了策略中定义的权限。

*AWS 托管策略*由创建和管理 AWS。您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。

*客户托管策略*为您提供了精细的控制来设置对备份的访问权限。 AWS Backup例如，您可以使用它们向数据库备份管理员授予对 Amazon RDS 备份，而不是 Amazon EFS 备份的访问权限。

有关更多信息，请参阅《IAM 用户指南》**中的[托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。

## AWS 托管策略
<a name="aws-managed-policies"></a>

AWS Backup 为常见用例提供了以下 AWS 托管策略。使用这些策略可以更轻松地定义正确的权限并控制对备份的访问。有两种托管策略。一种类型旨在分配给用户，以控制他们对 AWS Backup的访问。另一种托管策略旨在附加到您传递给 AWS Backup的角色。下表列出了 AWS Backup 提供的所有托管策略，并说明了它们的定义方式。您可以在 IAM 控制台的**策略**部分找到这些托管策略。

**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)

### AWSBackupAuditAccess
<a name="AWSBackupAuditAccess"></a>

该策略允许用户创建控制和框架，以定义他们对 AWS Backup 资源和活动的期望，并根据其定义的控制和框架对 AWS Backup 资源和活动进行审计。该政策授予权限 AWS Config 和类似的服务，以描述用户期望来执行审计。

此策略还向 Amazon S3 和类似服务授予提供审计报告的权限，并使用户能够查找和打开其审计报告。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html)**。

### AWSBackupDataTransferAccess
<a name="AWSBackupDataTransferAccess"></a>

此策略为 AWS Backup 存储平面数据传输提供权限 APIs，允许 AWS Backint 代理使用 AWS Backup 存储平面完成备份数据传输。您可以将此策略附加到使用 Backint Agent 运行 SAP HANA 的 Amazon EC2 实例所代入的角色。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html)**。

### AWSBackupFullAccess
<a name="AWSBackupFullAccess"></a>

备份管理员拥有 AWS Backup 操作的完全访问权限，包括创建或编辑备份计划、为备份计划分配 AWS 资源以及恢复备份。备份管理员负责通过定义满足其组织的业务和法规要求的备份计划来确定和强制实施备份合规性。Backup 管理员还要确保将其组织的 AWS 资源分配给相应的计划。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)**。

### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
<a name="AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync"></a>

此策略为 Backup 网关提供了代表您同步虚拟机元数据的权限

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html)**。

### AWSBackupGuardDutyRolePolicyForScans
<a name="AWSBackupGuardDutyRolePolicyForScans"></a>

必须将此策略添加到新的扫描角色中，该角色授予 Amazon 读取和扫描您的备份的 GuardDuty 权限。您需要在恶意软件防护或扫描设置中将此扫描角色附加到备份计划中。当 AWS Backup 启动扫描时，它会将此扫描角色传递给亚马逊 GuardDuty。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)**。

### AWSBackupOperatorAccess
<a name="AWSBackupOperatorAccess"></a>

备份操作员是这样的用户，他们负责确保正确备份自己负责的资源。Backup 操作员有权为备份管理员创建的备份计划分配 AWS 资源。他们还有权为其 AWS 资源创建按需备份，并有权配置按需备份的保留期。备份操作员无权创建或编辑备份计划，也无权在创建备份计划后删除计划备份。备份操作员可以还原备份。您可以限制备份操作员可分配给备份计划或从备份还原的资源类型。为此，您可以只允许向具有特定资源类型权限的某些服务角色传递。 AWS Backup 

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html)**。

### AWSBackupOrganizationAdminAccess
<a name="AWSBackupOrganizationAdminAccess"></a>

组织管理员拥有 AWS Organizations 操作的完全访问权限，包括创建、编辑或删除备份策略，为账户和组织单位分配备份策略，以及监控组织内的备份活动。组织管理员负责通过定义和分配满足其组织业务和管理法规要求的备份策略来保护其组织中的账户。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html)**。

### AWSBackupRestoreAccessForSAPHANA
<a name="AWSBackupRestoreAccessForSAPHANA"></a>

该策略 AWS Backup 允许在亚马逊 EC2 上恢复 SAP HANA 的备份。

要查看此策略的权限，请参阅《*AWS 托管策略参考*》中的 [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html)。

### AWSBackupSearchOperatorAccess
<a name="AWSBackupSearchOperatorAccess"></a>

搜索运算符角色有权创建备份索引，以及创建对已编制索引的备份元数据的搜索。

此策略包含这些功能所需的权限。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html)**。

### AWSBackupServiceLinkedRolePolicyForBackup
<a name="AWSBackupServiceLinkedRolePolicyForBackup"></a>

此策略附加到名为的服务相关角色AWSServiceRoleforBackup， AWS Backup 允许您代表您调用 AWS 服务来管理备份。有关更多信息，请参阅 [使用角色进行备份和复制](using-service-linked-roles-AWSServiceRoleForBackup.md)。

要查看此策略的权限，请参阅《*AWS 托管策略参考*》[ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)中的。

### AWSBackupServiceLinkedRolePolicyForBackupTest
<a name="AWSBackupServiceLinkedRolePolicyForBackupTest"></a>

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html)**。

### AWSBackupServiceRolePolicyForBackup
<a name="AWSBackupServiceRolePolicyForBackup"></a>

提供代表您创建所有受支持资源类型的备份的 AWS Backup 权限。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)**。

### AWSBackupServiceRolePolicyForItemRestores
<a name="AWSBackupServiceRolePolicyForItemRestores"></a>

**描述**

此策略授予用户将快照（定期备份恢复点）中的单个文件和项目还原到新的或现有的 Amazon S3 存储桶或新的 Amazon EBS 卷的权限。这些权限包括：对 Amazon EBS 快照的读取权限（由对 Amazon S3 存储桶的 AWS Backup 读/写权限管理），以及生成和描述 AWS KMS 密钥的权限。

**使用此政策**

您可以将 `AWSBackupServiceRolePolicyForItemRestores` 附加到您的用户、组和角色。

**策略详细信息**
+ **类型：** AWS 托管策略
+ **创建时间：**2024 年 11 月 21 日，22:45 UTC
+ **编辑时间：**第一个实例
+ **ARN**：`arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`

**策略版本：**v1（默认）

此策略的版本定义了策略的权限。当拥有该策略的用户或角色请求访问 AWS 资源时， AWS 会检查策略的默认版本以确定是否允许该请求。

**JSON 策略文档：**

#### AWSBackupServiceRolePolicyForItemRestores json
<a name="AWSBackupServiceRolePolicyForItemRestoresJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "S3ReadonlyPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "S3PermissionsForFileLevelRestore",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "KMSDataKeyForS3AndEC2Permissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com",
                        "s3.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForIndexing
<a name="AWSBackupServiceRolePolicyForIndexing"></a>

**描述**

此策略向用户授予为快照（也称为定期恢复点）编制索引的权限。这些权限包括：对 Amazon EBS 的快照的读取权限（由 Amazon S3 存储桶的 AWS Backup 读/写权限管理），以及生成和描述密钥的权限。 AWS KMS 

**使用此政策**

您可以将 `AWSBackupServiceRolePolicyForIndexing` 附加到您的用户、组和角色。

**策略详细信息**
+ **类型：** AWS 托管策略
+ **编辑时间：**第一个实例
+ **ARN**：`arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`

**策略版本：**v1（默认）

此策略的版本定义了策略的权限。当拥有该策略的用户或角色请求访问 AWS 资源时， AWS 会检查策略的默认版本以确定是否允许该请求。

**JSON 策略文档：**

#### AWSBackupServiceRolePolicyForIndexing json
<a name="AWSBackupServiceRolePolicyForIndexingJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSDataKeyForEC2Permissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForRestores
<a name="AWSBackupServiceRolePolicyForRestores"></a>

提供代表您恢复所有受支持资源类型的备份的 AWS Backup 权限。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)**。

对于 EC2 实例还原，还必须包括以下权限才能启动 EC2 实例：

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPassRole",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/role-name",
      "Effect": "Allow"
    }
  ]
}
```

------

### AWSBackupServiceRolePolicyForS3Backup
<a name="AWSBackupServiceRolePolicyForS3Backup"></a>

此策略包含备份任何 S3 存储桶所需的 AWS Backup 权限。这包括对存储桶中所有对象和任何关联 AWS KMS 密钥的访问权限。

要查看此策略的权限，请参阅《*AWS 托管策略*参考》中的 [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)。

### AWSBackupServiceRolePolicyForS3Restore
<a name="AWSBackupServiceRolePolicyForS3Restore"></a>

此策略包含将 S3 备份还原 AWS Backup 到存储桶所需的权限。这包括对存储桶的读写权限以及与 S3 操作有关的任何 AWS KMS 密钥的使用。

要查看此策略的权限，请参阅《*AWS 托管策略*参考》中的 [AWSBackupServiceRolePolicyForS3Restor](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) e。

### AWSBackupServiceRolePolicyForScans
<a name="AWSBackupServiceRolePolicyForScans"></a>

该策略应附加到您在备份计划的资源选择中使用的 IAM 角色。此角色授予 AWS Backup 在亚马逊中启动扫描的权限 GuardDuty。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)**。

### AWSServiceRolePolicyForBackupReports
<a name="AWSServiceRolePolicyForBackupReports"></a>

AWS Backup 将此策略用于[AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html)服务相关角色。此服务相关 AWS Backup 角色允许监控和报告您的备份设置、任务和资源与框架的合规性。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)**。

### AWSServiceRolePolicyForBackupRestoreTesting
<a name="AWSServiceRolePolicyForBackupRestoreTesting"></a>

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)**。

## 客户托管策略
<a name="customer-managed-policies"></a>

以下各节描述了所支持的 AWS 服务和第三方应用程序的推荐备份和还原权限 AWS Backup。在创建自己的策略文档时，您可以使用现有的 AWS 托管策略作为模型，然后对其进行自定义以进一步限制对 AWS 资源的访问。

**重要**  
在使用自定义 IAM 角色时 AWS Backup，除了权限外，您还必须包括特定于资源的权限。 AWS Backup 例如，在 Amazon RDS 资源上调用 `backup:ListTags` 时，自定义 IAM 角色还必须包含 `rds:ListTagsForResource` 权限。虽然这些权限包含在默认 AWS Backup 服务角色中，但必须将其明确添加到客户管理的策略中。所需的底层资源权限取决于所执行的特定 AWS 服务和操作。

### Amazon Aurora
<a name="aurora-customer-managed-policies"></a>

**备份**

从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)：
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restore**  
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。

### Amazon Aurora DSQL
<a name="aurora-dsql-customer-managed-policies"></a>

**备份**

从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)：
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restore**  
从中的`DSQLRestorePermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。

### Amazon DynamoDB
<a name="ddb-customer-managed-policies"></a>

**备份**

从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)：
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`

**Restore**

从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)：
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`

### Amazon EBS
<a name="ebs-customer-managed-policies"></a>

**备份**

从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)：
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restore**  
从中的`EBSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。

添加以下语句。

```
{
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
},
```

### Amazon EC2
<a name="ec2-customer-managed-policies"></a>

**备份**

从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)：
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restore**

从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)：
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`

添加以下语句。

```
{
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::account-id:role/role-name"
},
```

*role-name*替换为将附加到已恢复的 EC2 实例的 EC2 实例配置文件角色的名称。这不是 AWS Backup 服务角色，而是为 EC2 实例上运行的应用程序提供权限的 IAM 角色。

### Amazon EFS
<a name="efs-customer-managed-policies"></a>

**备份**

从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)：
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restore**  
从中的`EFSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。

### Amazon FSx
<a name="fsx-customer-managed-policies"></a>

**备份**

从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)：
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`

**Restore**

从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)：
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`

### Amazon Neptune
<a name="neptune-customer-managed-policies"></a>

**备份**

从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)：
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restore**  
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。

### Amazon RDS
<a name="rds-customer-managed-policies"></a>

**备份**

从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)：
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restore**  
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。

### Amazon S3
<a name="s3-customer-managed-policies"></a>

**备份**  
从 [AWSBackupServiceRolePolicyForS3](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) Backup 开始。

如果您需要将备份复制到其他账户，请添加 `BackupVaultPermissions` 和 `BackupVaultCopyPermissions` 语句。

**Restore**  
从 [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) 开始。

### AWS Storage Gateway
<a name="storage-gateway-customer-managed-policies"></a>

**备份**

从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)：
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

添加以下语句。

```
{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
},
```

**Restore**

从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)：
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`

### 虚拟机
<a name="vm-customer-managed-policies"></a>

**备份**  
从中的`BackupGatewayBackupPermissions`语句开始[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)。

**Restore**  
从中的`GatewayRestorePermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。

### 加密备份
<a name="customer-managed-policies-encrypted-backup"></a>

**要还原加密的备份，请执行以下操作之一：**
+ 将您的角色添加到 AWS KMS 密钥策略的许可名单
+ 将以下语句[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)添加到您的 IAM 角色中进行恢复：
  + `KMSDescribePermissions`
  + `KMSPermissions`
  + `KMSCreateGrantPermissions`

## 的政策更新 AWS Backup
<a name="policy-updates"></a>

查看 AWS Backup 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限允许 AWS Backup 还原测试在还原测试完成后删除 RDS 租户数据库。  | 2026 年 3 月 18 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许在恢复点上启动恶意软件扫描。  | 2026年2月23日 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)：新策略 |  AWS Backup 添加了新的 AWS 托管策略， GuardDuty 允许亚马逊读取和扫描客户备份。 AWS Backup 在启动操作 GuardDuty 时将具有此策略的角色传递给`StartMalwareScan`。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息，请参阅托管策略[AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)。  | 2025 年 11 月 19 日 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)：新策略 |  AWS Backup 添加了一个新的 AWS 托管策略， AWS Backup 允许在恢复点上启动恶意软件扫描。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息，请参阅托管策略[AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)。  | 2025 年 11 月 19 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 |  已添加`malware-protection.guardduty.amazonaws.com`到`IamPassRolePermissions`，这是启动恶意软件扫描任务所必需的。  | 2025 年 11 月 19 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是启动恶意软件扫描任务所必需的。  | 2025 年 11 月 19 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon EKS 集群。  | 2025 年 11 月 10 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon EKS 集群。  | 2025 年 11 月 10 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建 Amazon EKS 集群及其相关资源的备份。  | 2025 年 11 月 10 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建 Amazon EKS 集群及其相关资源的备份。  | 2025 年 11 月 10 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户对 Amazon EKS 集群及其关联资源执行恢复操作。  | 2025 年 11 月 10 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 此权限 AWS Backup 允许将委派的管理员信息与 Organizations 同步，以实现跨账户管理功能。  | 2025 年 9 月 9 日 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)：新策略 |  AWS Backup 添加了新的 AWS 托管策略， GuardDuty 允许亚马逊读取和扫描客户备份。 AWS Backup 在启动操作 GuardDuty 时将具有此策略的角色传递给`StartMalwareScan`。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息，请参阅托管策略[AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)。  | 2025 年 11 月 24 日 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)：新策略 |  AWS Backup 添加了一个新的 AWS 托管策略， AWS Backup 允许在恢复点上启动恶意软件扫描。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息，请参阅托管策略[AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)。  | 2025 年 11 月 24 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是代表客户对 DSQL 资源执行精心编排的多区域还原操作所必需的。 AWS Backup   | 2025 年 7 月 17 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是 AWS 账户管理 与 AWS Backup 集成所必需的， AWS Organizations 因此客户可以选择将多方批准 (MPA) 作为其逻辑气隙保管库的一部分。  | 2025 年 6 月 17 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— 更新现有政策： |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许客户通过还原 Amazon FSx for OpenZFS 多可用区（多可用区）快照所必需的。 AWS Backup  | 2025 年 5 月 27 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon Aurora DSQL 资源。  | 2025 年 5 月 21 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon Aurora DSQL 资源。  | 2025 年 5 月 21 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建、删除、检索和管理 Amazon Aurora DSQL 快照。  | 2025 年 5 月 21 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建、删除、检索、加密、解密和管理 Amazon Aurora DSQL 快照。  | 2025 年 5 月 21 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许按客户指定的时间间隔管理 Aurora DSQL 备份。  | 2025 年 5 月 21 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是指定客户拥有对 Amazon Redshift Serverless 备份的完全访问权限所需的权限，包括所需的读取权限以及删除 Amazon Redshift Serverless 恢复点（快照备份）的权限。  | 2025 年 3 月 31 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是指定客户拥有对 Amazon Redshift Serverless 的所有必要备份权限（包括所需的读取权限）所需的权限。  | 2025 年 3 月 31 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是按客户指定的时间间隔 AWS Backup 管理 Amazon Redshift 无服务器快照所必需的。  | 2025 年 3 月 31 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许 AWS Backup 代表客户创建、删除、检索和管理 Amazon Redshift Serverless 快照所必需的。  | 2025 年 3 月 31 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新 |  AWS Backup 为此策略添加了以下权限： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许 AWS Backup 代表客户恢复亚马逊 Redshift 和 Amazon Redshift Serverless 快照所必需的。  | 2025 年 3 月 31 日 | 
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— 添加了新的 AWS 托管策略 | AWS Backup 添加了AWSBackupSearchOperatorAccess AWS 托管策略。 | 2025 年 2 月 27 日 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新  |  AWS Backup 添加了支持 Amazon RDS 多租户快照跨账户备份副本的权限`rds:AddTagsToResource`。 当客户选择创建多租户 RDS 快照的跨账户副本时，此权限是完成操作所需的权限。  | 2025 年 1 月 8 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新 |  AWS Backup 在此策略中添加了权限`rds:CreateTenantDatabase`和`rds:DeleteTenantDatabase`，以支持 Amazon RDS 资源的还原过程。 这些权限是完成客户还原多租户快照的操作所需的权限。  | 2025 年 1 月 8 日 | 
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— 添加了新的 AWS 托管策略 | AWS Backup 添加了AWSBackupServiceRolePolicyForItemRestores AWS 托管策略。 | 2024 年 11 月 26 日 | 
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— 添加了新的 AWS 托管策略 | AWS Backup 添加了AWSBackupServiceRolePolicyForIndexing AWS 托管策略。 | 2024 年 11 月 26 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 |  AWS Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间，需要该权限才能获得标记权限。  | 2024 年 5 月 17 日 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略  |  AWS Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间，需要该权限才能获得标记权限。  | 2024 年 5 月 17 日 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新  |  AWS Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间，需要该权限才能获得标记权限。  | 2024 年 5 月 17 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 | 添加了权限 `rds:DeleteDBInstanceAutomatedBackups`。 此权限是支持持续备份和 Amazon RDS 实例 point-in-time-restore所必需的。 AWS Backup   | 2024 年 5 月 1 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 | AWS Backup 将亚马逊资源名称 (ARN) 的权限`storagegateway:ListVolumes`从更新为，`arn:aws:storagegateway:*:*:gateway/*`以`*`适应 Storage Gateway API 模型的变化。 | 2024 年 5 月 1 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 | AWS Backup 将亚马逊资源名称 (ARN) 的权限`storagegateway:ListVolumes`从更新为，`arn:aws:storagegateway:*:*:gateway/*`以`*`适应 Storage Gateway API 模型的变化。 | 2024 年 5 月 1 日 | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)：对现有策略的更新 |  添加了以下权限，用于描述和列出恢复点和受保护的资源，以便执行还原测试计划：`backup:DescribeRecoveryPoint`、`backup:DescribeProtectedResource`、`backup:ListProtectedResources` 和 `backup:ListRecoveryPointsByResource`。 添加了权限 `ec2:DescribeSnapshotTierStatus` 以支持 Amazon EBS 归档层存储。 添加了权限 `rds:DescribeDBClusterAutomatedBackups` 以支持 Amazon Aurora 连续备份。 添加了以下权限以支持对 Amazon Redshift 备份进行还原测试：`redshift:DescribeClusters` 和 `redshift:DeleteCluster`。 添加了权限 `timestream:DeleteTable` 以支持对 Amazon Timestream 备份进行还原测试。  | 2024 年 2 月 14 日 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新  |  添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:RestoreSnapshotTier`。 用户必须拥有这些权限，才能选择 AWS Backup 从存档存储中恢复存储的 Amazon EBS 资源。 对于 EC2 实例还原，还必须在以下策略语句中包括所示权限才能启动 EC2 实例：  | 2023 年 11 月 27 日 | 
|  [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新  |  添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:ModifySnapshotTier` 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。 用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 AWS Backup 到存档存储。  | 2023 年 11 月 27 日 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新  |  添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:ModifySnapshotTier` 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。 用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 AWS Backup 到存档存储。 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`，这是 Aurora 集群的 PITR（point-in-time 恢复）所必需的。  | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)：新策略 |  提供进行还原测试所需的权限。这些权限包括恢复测试中包含的以下服务的操作`list, read, and write`：Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、Lustre、Windows 文件服务器、 FSx ONTAP、 FSx OpenZFS、 FSx Amazon Neptune、Amazon RDS FSx 和亚马逊 S3。  | 2023 年 11 月 27 日 | 
|  [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新  |  已将 `restore-testing.backup.amazonaws.com` 添加到 `IamPassRolePermissions` 和 `IamCreateServiceLinkedRolePermissions`。为了代表客户 AWS Backup 进行恢复测试，必须添加此项。  | 2023 年 11 月 27 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新 | 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`，这是 Aurora 集群的 PITR（point-in-time 恢复）所必需的。 | 2023 年 9 月 6 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 | 添加了持续备份和 point-in-time恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。 | 2023 年 9 月 6 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 | 添加了持续备份和 point-in-time恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。 | 2023 年 9 月 6 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 |  添加了权限 `rds:DescribeDBClusterAutomatedBackups`。此权限是 AWS Backup 支持 Aurora 集群的持续备份和 point-in-time恢复所必需的。 添加了`rds:DeleteDBClusterAutomatedBackups`允许 AWS Backup 生命周期在保留期结束时删除和解除关联 Amazon Aurora 持续恢复点的权限。需要此权限才能让 Aurora 恢复点避免转换为 `EXIPIRED` 状态。 添加了权限 `rds:ModifyDBCluster`，它允许 AWS Backup 与 Aurora 集群进行交互。此新增权限使用户能够根据所需的配置启用或禁用连续备份。  | 2023 年 9 月 6 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 |  添加了操作 `ram:GetResourceShareAssociations`，以授予用户为新保管库类型获取资源共享关联的权限。  | 2023 年 8 月 8 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 |  添加了操作 `ram:GetResourceShareAssociations`，以授予用户为新保管库类型获取资源共享关联的权限。  | 2023 年 8 月 8 日 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略  |  添加了权限 `s3:PutInventoryConfiguration`，以通过使用存储桶清单提高备份性能。  | 2023 年 8 月 1 日 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新  |  添加了以下操作以授予用户向还原资源添加标签的权限：`storagegateway:AddTagsToResource`、`elasticfilesystem:TagResource` 和 `ec2:CreateTags`，仅适用于包括 `RunInstances` 或 `CreateVolume`、`fsx:TagResource` 和 `cloudformation:TagResource` 的 `ec2:CreateAction`。  | 2023 年 5 月 22 日 | 
|  [AWSBackupAuditAccess](#AWSBackupAuditAccess)：对现有策略的更新  |  将 API `config:DescribeComplianceByConfigRule` 中的资源选择替换为通配符资源，以便用户更轻松地选择资源。  | 2023 年 4 月 11 日 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新  |  添加了以下权限以使用客户托管密钥还原 Amazon EFS：`kms:GenerateDataKeyWithoutPlaintext`。这有助于确保用户拥有还原 Amazon EFS 资源所需的权限。  | 2023 年 3 月 27 日 | 
|  [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)：对现有策略的更新  |  更新了`config:DescribeConfigRules`和`config:DescribeConfigRuleEvaluationStatus`操作以允许 Audi AWS Backup t Manager 访问 AWS Backup 审计管理器管理 AWS Config 的规则。  | 2023 年 3 月 9 日 | 
|  [AWSBackupServiceRolePolicyForS3Restor](#AWSBackupServiceRolePolicyForS3Restore) e — 更新现有政策  |  已向策略 `AWSBackupServiceRolePolicyForS3Restore` 添加以下权限：`kms:Decrypt`、`s3:PutBucketOwnershipControls` 和 `s3:GetBucketOwnershipControls`。这些权限是支持在原始备份中使用 KMS 加密时还原对象，以及在原始存储桶而不是 ACL 上配置对象所有权时还原对象所必需的权限。  | 2023 年 2 月 13 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 | 添加了以下权限，以使用虚拟机的 VMware标签计划备份并支持基于计划的带宽限制：`backup-gateway:GetHypervisorPropertyMappings`、、、、、`backup-gateway:GetVirtualMachine``backup-gateway:PutHypervisorPropertyMappings`、`backup-gateway:GetHypervisor`和。`backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule`  | 2022 年 12 月 15 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 | 添加了以下权限，以使用虚拟机的 VMware标签计划备份并支持基于计划的带宽限制：`backup-gateway:GetHypervisorPropertyMappings`、、和。`backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule`  | 2022 年 12 月 15 日 | 
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)：新策略 |  允许 AWS Backup Gateway 将本地网络中虚拟机的元数据与 Backup Gateway 同步。  | 2022 年 12 月 15 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 | 添加了以下权限以支持 Timestream 备份作业：`timestream:StartAwsBackupJob`、`timestream:GetAwsBackupStatus`、`timestream:ListTables`、`timestream:ListDatabases`、`timestream:ListTagsForResource`、`timestream:DescribeTable`、`timestream:DescribeDatabase` 和 `timestream:DescribeEndpoints`。  | 2022 年 12 月 13 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新 | 添加了以下权限以支持 Timestream 还原作业：`timestream:StartAwsRestoreJob`、`timestream:GetAwsRestoreStatus`、`timestream:ListTables`、`timestream:ListTagsForResource`、`timestream:ListDatabases`、`timestream:DescribeTable`、`timestream:DescribeDatabase`、`s3:GetBucketAcl` 和 `timestream:DescribeEndpoints`。  | 2022 年 12 月 13 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 | 添加了以下权限以支持 Timestream 资源：`timestream:ListTables`、`timestream:ListDatabases`、`s3:ListAllMyBuckets` 和 `timestream:DescribeEndpoints`。  | 2022 年 12 月 13 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 | 添加了以下权限以支持 Timestream 资源：`timestream:ListDatabases`、`timestream:ListTables`、`s3:ListAllMyBuckets` 和 `timestream:DescribeEndpoints`。  | 2022 年 12 月 13 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新 | 添加了以下权限以支持 Timestream 资源：`timestream:ListDatabases`、`timestream:ListTables`、`timestream:ListTagsForResource`、`timestream:DescribeDatabase`、`timestream:DescribeTable`、`timestream:GetAwsBackupStatus`、`timestream:GetAwsRestoreStatus` 和 `timestream:DescribeEndpoints`。  | 2022 年 12 月 13 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 资源：`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules` 和 `ec2:DescribeAddresses`。  | 2022 年 11 月 27 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 资源：`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups,`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules` 和 `ec2:DescribeAddresses`。  | 2022 年 11 月 27 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新 |  添加了以下权限以支持 Amazon Redshift 还原作业：`redshift:RestoreFromCluster Snapshot`、`redshift:RestoreTableFromClusterSnapshot`、`redshift:DescribeClusters` 和 `redshift:DescribeTableRestoreStatus`。  | 2022 年 11 月 27 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 |  添加了以下权限以支持 Amazon Redshift 备份作业：`redshift:CreateClusterSnapshot`、`redshift:DescribeClusterSnapshots`、`redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、`redshift:DescribeClusters` 和 `redshift:CreateTags`。  | 2022 年 11 月 27 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 | 添加了以下权限来支持 CloudFormation 资源:`cloudformation:ListStacks`.  | 2022 年 11 月 27 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 | 添加了以下权限来支持 CloudFormation 资源:`cloudformation:ListStacks`. | 2022 年 11 月 27 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新 | 为支持 CloudFormation 资源添加了以下权限：`redshift:DescribeClusterSnapshots``redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、和`redshift:DescribeClusters`。  | 2022 年 11 月 27 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 | 添加了以下权限以支持 CloudFormation 应用程序堆栈备份作业：`cloudformation:GetTemplate``cloudformation:DescribeStacks`、和`cloudformation:ListStackResources`。  | 2022 年 11 月 16 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新 | 添加了以下权限以支持 CloudFormation 应用程序堆栈备份作业：`cloudformation:CreateChangeSet`和 `cloudformation:DescribeChangeSet`  | 2022 年 11 月 16 日 | 
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)：对现有策略的更新 | 为此策略添加了以下权限，以允许组织管理员使用“委派管理员”特征：`organizations:ListDelegatedAdministrator`、`organizations:RegisterDelegatedAdministrator` 和 `organizations:DeregisterDelegatedAdministrator`  | 2022 年 11 月 27 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA：`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:UpdateHanaBackupSettings`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。  | 2022 年 11 月 20 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA：`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。  | 2022 年 11 月 20 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA：`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。  | 2022 年 11 月 20 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA：`ssm-sap:GetOperation`。  | 2022 年 11 月 20 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新 | 添加了以下权限以支持 Backup Gateway 到 EC2 实例的还原作业：`ec2:CreateTags`。  | 2022 年 11 月 20 日 | 
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)：对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 上的 SAP HANA 资源的安全存储数据传输：`backup-storage:StartObject`、`backup-storage:PutChunk`、`backup-storage:GetChunk`、`backup-storage:ListChunks`、`backup-storage:ListObjects`、`backup-storage:GetObjectMetadata` 和 `backup-storage:NotifyObjectComplete`。  | 2022 年 11 月 20 日 | 
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) — 更新现有政策 | 为资源所有者添加了以下权限，使其能够还原 Amazon EC2 上的 SAP HANA 资源：`backup:Get*`、`backup:List*`、`backup:Describe*`、`backup:StartBackupJob`、`backup:StartRestoreJob`、`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:RestoreDatabase`、`ssm-sap:UpdateHanaBackupSettings`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。  | 2022 年 11 月 20 日 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略  |  添加了支持 Amazon S3 AWS Backup 的备份操作的权限`s3:GetBucketAcl`。  | 2022 年 8 月 24 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新  |  添加了以下操作以授予创建支持多可用区功能的数据库实例的权限：`rds:CreateDBInstance`。  | 2022 年 7 月 20 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新  |  添加了向用户授予使用资源通配符选择要备份的存储桶的 `s3:GetBucketTagging` 权限。如果没有此权限，使用资源通配符选择要备份的存储桶的用户将无法成功。  | 2022 年 5 月 6 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新  |  在现有`fsx:CreateBackup`和`fsx:ListTagsForResource`操作范围内添加了卷资源，并添加了支持 FSx ONTAP 卷级别备份的新操作`fsx:DescribeVolumes`。  | 2022 年 4 月 27 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新  |  添加了以下操作以授予用户恢复 FSx ONTAP 卷`fsx:DescribeVolumes`、`fsx:CreateVolumeFromBackup``fsx:DeleteVolume`、和`fsx:UntagResource`的权限。  | 2022 年 4 月 27 日 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略  |  添加了以下操作以授予用户在备份操作期间接收其 Amazon S3 存储桶更改通知的权限：`s3:GetBucketNotification` 和 `s3:PutBucketNotification`。  | 2022 年 2 月 25 日 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 新政策  |  添加了以下操作以授予用户备份其 Amazon S3 存储桶的权限：`s3:GetInventoryConfiguration`、`s3:PutInventoryConfiguration`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketTagging`、`s3:GetBucketVersioning`、`s3:GetBucketNotification`、`s3:GetBucketLocation` 和 `s3:ListAllMyBuckets`。 添加了以下操作以授予用户备份其 Amazon S3 对象的权限：`s3:GetObject`、`s3GetObjectAcl`、`s3:GetObjectVersionTagging`、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging` 和 `s3:GetObjectVersion`。 添加了以下操作以授予用户备份其加密 Amazon S3 数据的权限：`kms:Decrypt` 和 `kms:DescribeKey`。 添加了以下操作以授予用户使用 Amazon EventBridge 规则对其 Amazon S3 数据进行增量备份的权限：`events:DescribeRule``events:EnableRule`、`events:PutRule`、、`events:DeleteRule`、`events:PutTargets`、`events:RemoveTargets`、、`events:ListTargetsByRule`、`events:DisableRule`、`cloudwatch:GetMetricData`、、和`events:ListRules`。  | 2022 年 2 月 17 日 | 
| [AWSBackupServiceRolePolicyForS3Restor](#AWSBackupServiceRolePolicyForS3Restore) e — 新政策  |  添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限：`s3:CreateBucket`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketVersioning`、`s3:GetBucketLocation` 和 `s3:PutBucketVersioning`。 添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限：`s3:GetObject`、`s3:GetObjectVersion`、`s3:DeleteObject`、`s3:PutObjectVersionAcl`、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、`s3:PutObjectTagging`、`s3:GetObjectAcl`、`s3:PutObjectAcl`、`s3:PutObject` 和 `s3:ListMultipartUploadParts`。 添加了以下操作以授予用户加密其还原的 Amazon S3 数据的权限：`kms:Decrypt`、`kms:DescribeKey` 和 `kms:GenerateDataKey`。  | 2022 年 2 月 17 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新  |  添加了 `s3:ListAllMyBuckets` 以授予用户查看其存储桶列表和选择将哪些存储桶分配给备份计划的权限。  | 2022 年 2 月 14 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新  |  添加了 `backup-gateway:ListVirtualMachines` 以授予用户查看其虚拟机列表和选择将哪些虚拟机分配给备份计划的权限。 添加了 `backup-gateway:ListTagsForResource` 以授予用户列出其虚拟机标签的权限。  | 2021 年 11 月 30 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新  |  添加了`backup-gateway:Backup`向用户授予恢复其虚拟机备份的权限。 AWS Backup 还添加了`backup-gateway:ListTagsForResource`此项以授予用户列出分配给其虚拟机备份的标签的权限。  | 2021 年 11 月 30 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新  |  添加了 `backup-gateway:Restore` 以授予用户还原其虚拟机备份的权限。  | 2021 年 11 月 30 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新  |  添加了以下操作以授予用户使用 AWS Backup 网关备份、还原和管理其虚拟机的权限：`backup-gateway:AssociateGatewayToServer`、`backup-gateway:CreateGateway`、`backup-gateway:DeleteGateway`、`backup-gateway:DeleteHypervisor`、`backup-gateway:DisassociateGatewayFromServer`、`backup-gateway:ImportHypervisorConfiguration`、`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource`、`backup-gateway:ListVirtualMachines`、`backup-gateway:PutMaintenanceStartTime`、`backup-gateway:TagResource`、`backup-gateway:TestHypervisorConfiguration`、`backup-gateway:UntagResource`、`backup-gateway:UpdateGatewayInformation` 和 `backup-gateway:UpdateHypervisor`。  | 2021 年 11 月 30 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新  |  添加了以下操作以授予用户备份其虚拟机的权限：`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource` 和 `backup-gateway:ListVirtualMachines`。  | 2021 年 11 月 30 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新  |  添加的`dynamodb:ListTagsOfResource`目的是授予用户列出其 DynamoDB 表标签的权限，以便使用其高级 DynamoDB 备份 AWS Backup功能进行备份。  | 2021 年 11 月 23 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新  |  添加了 `dynamodb:StartAwsBackupJob` 以授予用户使用高级备份特征备份其 DynamoDB 表的权限。 添加了 `dynamodb:ListTagsOfResource` 以授予用户将标签从其源 DynamoDB 表复制到备份的权限。  | 2021 年 11 月 23 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新  |  添加`dynamodb:RestoreTableFromAwsBackup`此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 AWS Backup的 DynamoDB 表的权限。  | 2021 年 11 月 23 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新  |  添加`dynamodb:RestoreTableFromAwsBackup`此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 AWS Backup的 DynamoDB 表的权限。  | 2021 年 11 月 23 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新  |  删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`，因为它们是冗余操作。  AWS Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼`backup:Get*`而有之`AWSBackupOperatorAccess`。而且， AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼`rds:describeDBSnapshots`而有之`AWSBackupOperatorAccess`。  | 2021 年 11 月 23 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新  |  添加了新的操作`elasticfilesystem:DescribeFileSystems`、`dynamodb:ListTables`、`storagegateway:ListVolumes`、`ec2:DescribeVolumes`、`ec2:DescribeInstances``rds:DescribeDBInstances`、`rds:DescribeDBClusters`、、和`fsx:DescribeFileSystems`，允许客户在选择要分配给备份计划的资源时从其 AWS Backup支持的资源列表中进行查看和选择。  | 2021 年 11 月 10 日 | 
| [AWSBackupAuditAccess](#AWSBackupAuditAccess)：新策略  |  添加了授`AWSBackupAuditAccess`予用户使用 Audit Manag AWS Backup er 的权限。权限包括配置合规框架和生成报告的能力。  | 2021 年 8 月 24 日 | 
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)：新策略  |  添加了 `AWSServiceRolePolicyForBackupReports` 以授予服务相关角色自动监控备份设置、作业和资源是否符合用户配置的框架的权限。  | 2021 年 8 月 24 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新  |  添加了 `iam:CreateServiceLinkedRole` 以创建服务相关角色（尽力而为）自动为您删除过期的恢复点。如果没有此服务相关角色， AWS Backup 则无法在客户删除用于创建恢复点的原始 IAM 角色后删除过期的恢复点。  | 2021 年 7 月 5 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新  |  添加了新操作 `dynamodb:DeleteBackup`，以授予根据您的备份计划生命周期设置自动删除过期的 DynamoDB 恢复点的 `DeleteRecoveryPoint` 权限。  | 2021 年 7 月 5 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新  |  删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`，因为它们是冗余操作。 AWS Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼而有之，`backup:Get*`作为 `AWSBackupOperatorAccess` Also 的一部分， AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼而`rds:describeDBSnapshots`有之 `AWSBackupOperatorAccess`  | 2021 年 5 月 25 日 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)：对现有策略的更新  |  删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`，因为它们是冗余操作。 AWS Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼`backup:Get*`而有之`AWSBackupOperatorAccess`。而且， AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼`rds:describeDBSnapshots`而有之`AWSBackupOperatorAccess`。  | 2021 年 5 月 25 日 | 
| [AWSBackupServiceRolePolicyForRestores]()：对现有策略的更新  |  添加了授`fsx:TagResource`予`StartRestoreJob`权限的新操作，允许您在还原过程中向 Amazon FSx 文件系统应用标签。  | 2021 年 5 月 24 日 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)：对现有策略的更新  |  添加了新操作 `ec2:DescribeImages` 和 `ec2:DescribeInstances` 以授予允许您从恢复点还原 Amazon EC2 实例的 `StartRestoreJob` 权限。  | 2021 年 5 月 24 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新  |  添加了授`fsx:CopyBackup`予`StartCopyJob`权限的新操作，允许您跨地区和账户复制 Amazon FSx 恢复点。  | 2021 年 4 月 12 日 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)：对现有策略的更新  |  添加了授`fsx:CopyBackup`予`StartCopyJob`权限的新操作，允许您跨地区和账户复制 Amazon FSx 恢复点。  | 2021 年 4 月 12 日 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)：对现有策略的更新  |  进行了更新以符合以下要求：  AWS Backup 要创建加密的 DynamoDB 表的备份，您必须向用于备份的 IAM 角色添加`kms:Decrypt`权限`kms:GenerateDataKey`和。  | 2021 年 3 月 10 日 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess)：对现有策略的更新  |  进行了更新以符合以下要求：  AWS Backup 要使用为您的 Amazon RDS 数据库配置连续备份，请验证您的备份计划配置所定义的 IAM 角色中是否`rds:ModifyDBInstance`存在 API 权限。 要还原 Amazon RDS 连续备份，您必须向为还原作业提交的 IAM 角色添加权限 `rds:RestoreDBInstanceToPointInTime`。 在 AWS Backup 控制台中，要描述可用于 point-in-time恢复的时间范围，您必须在 IAM 管理的`rds:DescribeDBInstanceAutomatedBackups`策略中包含 API 权限。  | 2021 年 3 月 10 日 | 
|  AWS Backup 已开始跟踪更改  |  AWS Backup 开始跟踪其 AWS托管策略的更改。  | 2021 年 3 月 10 日 | 

# 将服务相关角色用于 AWS Backup
<a name="using-service-linked-roles"></a>

AWS Backup 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Backup服务相关角色由服务预定义 AWS Backup ，包括该服务代表您调用其他 AWS 服务所需的所有权限。

**Topics**
+ [使用角色进行备份和复制](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [为 Audit Manag AWS Backup er 使用角色](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [使用角色进行还原测试](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)

# 使用角色进行备份和复制
<a name="using-service-linked-roles-AWSServiceRoleForBackup"></a>

AWS Backup 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Backup服务相关角色由服务预定义 AWS Backup ，包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色使设置变得 AWS Backup 更加容易，因为您不必手动添加必要的权限。 AWS Backup 定义其服务相关角色的权限，除非另有定义，否则 AWS Backup 只能担任其角色。定义的权限包括信任策略和权限策略，而且权限策略不能附加到任何其它 IAM 实体。

只有在首先删除服务相关角色的相关资源后，才能删除该角色。这样可以保护您的 AWS Backup 资源，因为您不会无意中删除访问资源的权限。

有关支持服务相关角色的其他服务的信息，请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接，查看该服务的服务关联角色文档。

## 的服务相关角色权限 AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackup"></a>

AWS Backup 使用名**AWSServiceRoleForBackup**为的服务相关角色代表您创建和删除 AWS 资源备份。

 AWSServiceRoleForBackup 服务相关角色信任以下服务来代入该角色：
+ `backup.amazonaws.com`

要查看此策略的权限，请参阅《*AWS 托管策略参考*》[ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)中的。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。

## 为创建服务相关角色 AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackup"></a>

您无需手动创建服务关联角色。当您列出要备份的资源、设置跨账户备份或在、或 AWS API 中执行备份时， AWS Backup 会为您创建服务相关角色。 AWS 管理控制台 AWS CLI

**重要**  
 如果您在其他使用此角色支持的功能的服务中完成某个操作，此服务关联角色可以出现在您的账户中。要了解更多信息，请参阅[我的 IAM 账户中的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

如果您删除该服务关联角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。当您列出要备份的资源、设置跨账户备份或执行备份时， AWS Backup 会再次为您创建服务相关角色。

## 编辑的服务相关角色 AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackup"></a>

AWS Backup 不允许您编辑 AWSServiceRoleForBackup 服务相关角色。创建服务关联角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务相关角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。

## 删除的服务相关角色 AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackup"></a>

如果不再需要使用某个需要服务关联角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，您必须先清除您的服务相关角色，然后才能手动删除它。

### 清除服务相关角色
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackup"></a>

必须先删除服务相关角色使用的所有资源，然后才能使用 IAM 删除该角色。首先，您必须删除所有恢复点。然后，您必须删除所有备份保管库。

**注意**  
如果您尝试删除资源时 AWS Backup 服务正在使用该角色，则删除可能会失败。如果发生这种情况，请等待几分钟后重试。

**删除 AWSServiceRoleForBackup （控制台）使用的 AWS Backup 资源**

1. 要删除所有恢复点和备份保管库（默认保管库除外），请按照[删除保管库](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault)中的步骤操作。

1. 要删除默认保管库，请在 AWS CLI中使用以下命令：

   ```
   aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
   ```

**删除 AWSService RoleForBackup (AWS CLI) 使用的 AWS Backup 资源**

1. 要删除所有恢复点，请使用 [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html)。

1. 要删除所有备份保管库，请使用 [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html)。

**删除 AWSService RoleForBackup (API) 使用的 AWS Backup 资源**

1. 要删除所有恢复点，请使用 `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`。

1. 要删除所有备份保管库，请使用 `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`。

### 手动删除服务相关角色
<a name="slr-manual-delete-AWSServiceRoleForBackup"></a>

使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForBackup服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。

## AWS Backup 服务相关角色支持的区域
<a name="slr-regions-AWSServiceRoleForBackup"></a>

AWS Backup 支持在提供服务的所有区域中使用服务相关角色。有关更多信息，请参阅 [AWS Backup 支持的功能和区域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。

# 为 Audit Manag AWS Backup er 使用角色
<a name="using-service-linked-roles-AWSServiceRoleForBackupReports"></a>

AWS Backup 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Backup服务相关角色由服务预定义 AWS Backup ，包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色使设置变得 AWS Backup 更加容易，因为您不必手动添加必要的权限。 AWS Backup 定义其服务相关角色的权限，除非另有定义，否则 AWS Backup 只能担任其角色。定义的权限包括信任策略和权限策略，而且权限策略不能附加到任何其它 IAM 实体。

只有在首先删除服务相关角色的相关资源后，才能删除该角色。这样可以保护您的 AWS Backup 资源，因为您不会无意中删除访问资源的权限。

有关支持服务相关角色的其他服务的信息，请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接，查看该服务的服务关联角色文档。

## 的服务相关角色权限 AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupReports"></a>

AWS Backup 使用名为的服务相关角色 **AWSServiceRoleForBackupReports**— AWS Backup 提供创建控件、框架和报告的权限。

 AWSServiceRoleForBackupReports 服务相关角色信任以下服务来代入该角色：
+ `reports.backup.amazonaws.com`

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)**。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。

## 为创建服务相关角色 AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupReports"></a>

您无需手动创建服务关联角色。当您在 AWS 管理控制台、或 AWS API 中创建框架或报告计划时， AWS Backup 会为您创建服务相关角色。 AWS CLI

**重要**  
 如果您在其他使用此角色支持的功能的服务中完成某个操作，此服务关联角色可以出现在您的账户中。要了解更多信息，请参阅[我的 IAM 账户中的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

如果您删除该服务关联角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。创建框架或报告计划时， AWS Backup 会再次为您创建服务相关角色。

## 编辑的服务相关角色 AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupReports"></a>

AWS Backup 不允许您编辑 AWSServiceRoleForBackupReports 服务相关角色。创建服务关联角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务相关角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。

## 删除的服务相关角色 AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupReports"></a>

如果不再需要使用某个需要服务关联角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，您必须先清除您的服务相关角色，然后才能手动删除它。

### 清除服务相关角色
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupReports"></a>

必须先删除服务相关角色使用的所有资源，然后才能使用 IAM 删除该角色。您必须删除所有框架和报告计划。

**注意**  
如果您尝试删除资源时 AWS Backup 服务正在使用该角色，则删除可能会失败。如果发生这种情况，请等待几分钟后重试。

**删除 AWSServiceRoleForBackupReports （控制台）使用的 AWS Backup 资源**

1. 要删除所有框架，请参阅[删除框架](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html)。

1. 要删除所有报告计划，请参阅[删除报告计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html)。

**删除 AWSService RoleForBackupReports (AWS CLI) 使用的 AWS Backup 资源**

1. 要删除所有框架，请使用 [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html)。

1. 要删除所有报告计划，请使用 [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html)。

**删除 AWSService RoleForBackupReports (API) 使用的 AWS Backup 资源**

1. 要删除所有框架，请使用 [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html)。

1. 要删除所有报告计划，请使用 [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html)。

### 手动删除服务相关角色
<a name="slr-manual-delete-AWSServiceRoleForBackupReports"></a>

使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForBackupReports服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。

## AWS Backup 服务相关角色支持的区域
<a name="slr-regions-AWSServiceRoleForBackupReports"></a>

AWS Backup 支持在提供服务的所有区域中使用服务相关角色。有关更多信息，请参阅 [AWS Backup 支持的功能和区域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。

# 使用角色进行还原测试
<a name="using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Backup服务相关角色由服务预定义 AWS Backup ，包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色使设置变得 AWS Backup 更加容易，因为您不必手动添加必要的权限。 AWS Backup 定义其服务相关角色的权限，除非另有定义，否则 AWS Backup 只能担任其角色。定义的权限包括信任策略和权限策略，而且权限策略不能附加到任何其它 IAM 实体。

只有在首先删除服务相关角色的相关资源后，才能删除该角色。这样可以保护您的 AWS Backup 资源，因为您不会无意中删除访问资源的权限。

有关支持服务相关角色的其他服务的信息，请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接，查看该服务的服务关联角色文档。

## 的服务相关角色权限 AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup 使用名为的服务相关角色 **AWSServiceRoleForBackupRestoreTesting**— 提供备份权限以进行还原测试。

**AWSServiceRoleForBackupRestoreTesting** 服务相关角色信任以下服务代入该角色：
+ `restore-testing.backup.amazonaws.com`

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)**。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。

## 为创建服务相关角色 AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

您无需手动创建服务关联角色。当您在 AWS 管理控制台、或 AWS API 中进行恢复测试时， AWS Backup 会为您创建服务相关角色。 AWS CLI

**重要**  
 如果您在其他使用此角色支持的功能的服务中完成某个操作，此服务关联角色可以出现在您的账户中。要了解更多信息，请参阅[我的 IAM 账户中的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

如果您删除该服务关联角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。当您进行恢复测试时， AWS Backup 会再次为您创建服务相关角色。

## 编辑的服务相关角色 AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup 不允许您编辑 AWSServiceRoleForBackupRestoreTesting 服务相关角色。创建服务关联角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务相关角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。

## 删除的服务相关角色 AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

如果不再需要使用某个需要服务关联角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，您必须先清除您的服务相关角色，然后才能手动删除它。

### 清除服务相关角色
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupRestoreTesting"></a>

必须先删除服务相关角色使用的所有资源，然后才能使用 IAM 删除该角色。您必须删除所有还原测试计划。

**注意**  
如果您尝试删除资源时 AWS Backup 服务正在使用该角色，则删除可能会失败。如果发生这种情况，请等待几分钟后重试。

**删除 AWSServiceRoleForBackupRestoreTesting （控制台）使用的 AWS Backup 资源**
+ 要删除所有还原测试计划，请参阅[还原测试](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html)。

**删除 AWSService RoleForBackupRestoreTesting (AWS CLI) 使用的 AWS Backup 资源**
+ 要删除还原测试计划，请使用 `delete-restore-testing-plan`。

**删除 AWSService RoleForBackupRestoreTesting (API) 使用的 AWS Backup 资源**
+ 要删除还原测试计划，请使用 `DeleteRestoreTestingPlan`。

### 手动删除服务相关角色
<a name="slr-manual-delete-AWSServiceRoleForBackupRestoreTesting"></a>

使用 IAM 控制台 AWS CLI、或 AWS API 删除**AWSServiceRoleForBackupRestoreTesting**服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。

## AWS Backup 服务相关角色支持的区域
<a name="slr-regions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup 支持在提供服务的所有区域中使用服务相关角色。有关更多信息，请参阅 [AWS Backup 支持的功能和区域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。

# 防止跨服务混淆座席
<a name="cross-service-confused-deputy-prevention"></a>

混淆代理问题是一个安全性问题，即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS，跨服务模仿可能会导致混乱的副手问题。一个服务（*呼叫服务*）调用另一项服务（*所谓的服务*）时，可能会发生跨服务模拟。可以操纵调用服务以使用其权限对另一个客户的资源进行操作，否则该服务不应有访问权限。为了防止这种情况，我们 AWS 提供了一些工具，帮助您保护所有服务的数据，这些服务委托人已被授予访问您账户中资源的权限。

我们建议在资源策略中使用[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全局条件上下文密钥来限制为资源 AWS Backup 提供其他服务的权限。如果使用两个全局条件上下文键，在同一策略语句中使用时，`aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户必须使用相同的账户 ID。

 AWS Backup 用于代表您发布 Amazon SNS 主题时，的值`aws:SourceArn`必须是 AWS Backup 文件库。

防范混淆代理问题最有效的方法是使用 `aws:SourceArn` 全局条件上下文键和资源的完整 ARN。如果不知道资源的完整 ARN，或者正在指定多个资源，请针对 ARN 未知部分使用带有通配符（`*`）的 `aws:SourceArn` 全局上下文条件键。例如 `arn:aws::servicename::123456789012:*`。

以下示例策略显示了如何使用中的`aws:SourceArn`和`aws:SourceAccount`全局条件上下文密钥 AWS Backup 来防止出现混淆的副手问题。只有当服务主体代表账户 123456789012 对备份保管库采取行动时，该政策才允许服务主体 backup-storage.amazonaws.com 执行 KMS 操作： AWS 

# 中的基础设施安全 AWS Backup
<a name="infrastructure-security"></a>

作为一项托管服务 AWS Backup ，受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的更多信息，请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境，请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。

您可以使用 AWS 已发布的 API 调用 AWS Backup 通过网络进行访问。客户端必须支持传输层安全性协议（TLS）1.2 或更高版本。客户端还必须支持具有完全向前保密 (PFS) 的密码套件，例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE)。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。

此外，必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者，您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)（AWS STS）生成临时安全凭证来对请求进行签名。

# 中的数据完整性 AWS Backup
<a name="backup-integrity"></a>

## AWS Backup 数据完整性目标
<a name="backup-integrity-goal"></a>

AWS Backup 力求在传输、存储和处理您的数据期间保持完整性。 AWS Backup 将存储的资源数据视为与内容无关的关键信息，因为无论您存储的数据类型如何，我们都为客户提供同样高级别的安全性。我们对客户的安全保持警惕，并且采取了先进的技术和物理措施来防止未经授权的访问。您可以完全控制数据的分类方式、存储数据的区域，以及如何控制、存档和保护您的数据免遭泄露。

## AWS Backup 数据完整性实施
<a name="backup-integrity-implementation"></a>

AWS Backup 与其他服务 AWS 和 Amazon 服务协同工作，以保持其存储和与之交互的数据的完整性。使用的工具可能会有所不同，这些工具可能包括（但不限于）：
+ 根据校验和连续验证对象，以防止对象损坏
+ 内部校验和，以确认传输中数据和静态数据的完整性
+ 根据从主存储创建的备份中的数据计算的校验和
+ 在使用相应的数据之前，始终要验证校验和是否正确。如果我们发现与校验和不匹配的数据，我们会将其替换为正确的副本。如果我们无法替换正确的副本，相应的任务就会失败
+ 在磁盘损坏或检测到设备故障时，自动尝试还原正常级别的对象存储冗余
+ 跨多个物理位置的冗余数据存储
+ 在初始写入期间跨多个可用区增强对象持久性，并在设备不可用或检测到位损坏时进一步复制
+ 对所有网络流量的校验和，以在存储或检索数据时检测数据包损坏

AWS Backup 原生存储具有高级功能的 Amazon DynamoDB、Amazon EFS、Amazon S3、Amazon Timestream 以及通过备份网关连接运行 VMware 的虚拟机的数据。 AWS Backup 便于备份存储在其他服务中的数据，包括亚马逊 Aurora、Amazon DocumentDB、亚马逊 DynamoDB、亚马逊 EBS、亚马逊 EC2、亚马逊 Windows 文件服务器、亚马逊 Lustre、亚马逊 FSx OpenZFS、亚马逊 FSx FSx ONTAP NetApp 版、亚马 FSx 逊 Neptune、亚马逊 RDS 和亚马逊 Redshift。

## 客观地确认和审计 AWS Backup 数据完整性
<a name="backup-integrity-audit"></a>

由其他 AWS 服务直接存储的数据 AWS Backup 以及与之 AWS Backup 交互的服务合作存储的数据均受亚马逊简单存储服务 (Amazon S3) 的严格流程的约束，这支撑了这种数据完整性。独立的第三方审计师通过年度 SOC 审计报告来确认这种完整性，该报告可通过 [AWS Artifact](https://aws.amazon.com/artifact/) 获得。

# 合法封存和 AWS Backup
<a name="legalhold"></a>

## 法定保留
<a name="legalhold-overview"></a>

法定保留是一种管理工具，可帮助防止备份在保留状态下被删除。设置保留后，将无法删除处于保留状态的备份，并且会更改备份状态（例如转换为 `Deleted` 状态）的生命周期策略会延迟到法定保留被删除为止。

 AWS Backup 如果生命周期允许，可以将合法保全应用于由创建的一个或多个备份（也称为恢复点）。法定保留不适用于[连续备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)。

在创建合法封存时，可以考虑特定的筛选标准，例如资源类型和资源 IDs。此外，您可以定义要包含在法定保留中的备份的创建日期范围。

法定保留仅适用于存放这些保留的原始备份。当跨区域或账户复制备份时（如果资源支持），该备份不会保留或随之带着其法定保留。与其他资源相同，法定保留有唯一的 Amazon 资源名称 (ARN) 与它关联。只有由创建的恢复点 AWS Backup 才能成为合法保留的一部分。

请注意，虽然 [AWS Backup 保管库锁定](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)为保管库提供额外的保护和不可变性，但法定保留可以提供防止删除单个备份（恢复点）的额外保护。法定保留不会过期，并且会无限期地将数据保留在备份中。在拥有充足权限的用户释放保留之前，该保留将一直处于活动状态。

## 多个法定保留
<a name="legalhold-multiple"></a>

备份可以包含多个法定保留。法定保留和备份具有多对多关系，这意味着一个备份可以拥有多个法定保留，并且一个法定保留可以包括多个备份。

只要备份拥有至少一个法定保留，就无法删除该备份。删除备份上的所有法定保留后，该备份将受其保留生命周期属性的约束。维持至少一个法定保留，以防止备份被删除。法定保留可以应用于备份生命周期保留日期之后保留的一个恢复点（由于一个现有法定保留）。

每个账户一次最多可以有 50 个法定保留处于活动状态。

## 创建法定保留
<a name="legalhold-creation"></a>

可以将法定保留添加到现有备份（恢复点）中。

 状态为 `EXPIRED` 或 `DELETING` 的备份（恢复点）将不包含在法定保留中。状态为 `CREATING` 的恢复点（备份）可能不包含在法定保留中，具体取决于完成时间。

拥有所需 IAM 权限的用户可以添加法定保留。

### 使用 控制台创建法定保留
<a name="legalhold-console"></a>

**创建法定保留**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在控制台左侧的控制面板中，找到“我的账户”。选择**法定保留**。

1. 选择**添加法定保留**。

1. 此时将显示三个面板：**法定保留详细信息**、**法定保留范围**和**法定保留标签**。

   1. 在**法定保留详细信息**下，在提供的文本框中输入法定保留名称和保留描述。

   1. 在**法定保留范围**面板中，选择您希望如何选择要包含在法定保留中的资源。创建保留时，您选择相应的方法来选择将处于法定保留范围内的资源。您可以选择包含以下选项之一：
      + 特定资源类型和 IDs
      + 选择备份保管库
      + 您账户中的所有资源类型或所有备份保管库

   1. 指定您的法定保留的日期范围。以 YYYY: MM: DD 格式输入日期（包括日期）。

   1. 或者，您可以在**法定保留标签**下添加保留标签。标签可以帮助对法定保留进行分类，以备将来参考和整理。您最多可以添加 50 个标签。

1. 当您对新法定保留的配置感到满意时，请单击**添加新保留**按钮。

### 使用创建合法封存 AWS CLI
<a name="create-legalhold-api"></a>

您可以使用[create-legal-hold](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-legal-hold.html)命令创建合法保留。

```
aws backup create-legal-hold --title "my title" \
    --description "my description" \
    --recovery-point-selection "VaultNames=string,DateRange={FromDate=timestamp,ToDate=timestamp}"
```

## 查看法定保留
<a name="legalhold-view"></a>

您可以在 AWS Backup 控制台中或以编程方式查看合法保留的详细信息。

### 使用控制台查看法定保留
<a name="legalhold-view-console"></a>

要使用 Backup 控制台查看账户内的所有法定保留，请执行以下操作：

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在控制面板左侧的**我的账户**下，单击**法定保留**。

1. **法定保留**表显示现有保留的标题、状态、描述、ID 和创建日期。单击表标题旁边的向下箭头，以按所选列对表进行筛选。

### 以编程方式查看法定保留
<a name="legalhold-view-api"></a>

要以编程方式查看所有合法保留，您可以使用以下 API 调用：[ListLegalHolds](API_ListLegalHolds.md)和。[GetLegalHold](API_GetLegalHold.md)

以下 JSON 模板可用于 `GetLegalHold`。

```
GET /legal-holds/{legalHoldId} HTTP/1.1

Request

empty body

Response

{
    Title: string,
    Status: LegalHoldStatus, 
    Description: string, // 280 chars max
    CancelDescription: string, // this is provided during cancel // 280 chars max
    LegalHoldId: string,
    LegalHoldArn: string,
    CreatedTime: number,
    CanceledTime: number,
    
   ResourceSelection: {
        VaultArns: [ string ]
        Resources: [ string ]
   }, 
   ResourceFilters: {
        DateRange: {
          FromDate: number,
          ToDate: number
        }
   }
}
```

以下 JSON 模板可用于 `ListLegalHolds`。

```
GET /legal-holds/
  &maxResults=MaxResults
  &nextToken=NextToken


Request

empty body
url params: 
  MaxResults: number  // optional,
  NextToken: string  // optional

status: Valid values: CREATING | ACTIVE | CANCELED | CANCELING
maxResults: 1-1000



Response

{
  NextToken: token,
  LegalHolds: [
    Title: string,
    Status: string, 
    Description: string, // 280 chars max
    CancelDescription: string, // this is provided during cancel // 280 chars max
    LegalHoldId: string,
    LegalHoldArn: string,
    CreatedTime: number,
    CanceledTime: number,
  ]

}
```

以下是可能的状态值。


| Status | 说明 | 
| --- | --- | 
| CREATING | 请求的恢复点正在保留过程中，由于保留尚未完成创建，因此对这些恢复点的删除请求可能会成功。 | 
| ACTIVE | 法定保留已创建，此法定保留项下列出的所有恢复点均已保留。 | 
| CANCELLING | 正在删除法定保留，关于删除该保留下的恢复点的请求可能会成功。 | 
| CANCELED | 法定保留已完全释放，不再有任何效力。可以删除恢复点。 | 

## 释放法定保留
<a name="legalhold-release"></a>

法定保留在被具有足够权限的用户删除之前一直保持有效。删除法定保留也称为取消或释放法定保留。如果删除法定保留，会从将其附加到的所有备份中将其消除。删除法定保留后的 24 小时内将删除法定保留期间过期的所有备份。

### 使用 控制台释放法定保留
<a name="release-legalhold-console"></a>

**使用控制台释放保留**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 输入您想要与该释放关联的描述。

1. 查看详细信息，然后单击**释放保留**。

1. 当出现“释放保留”对话框时，在文本框中键入 `confirm` 以确认您打算释放保留。

   1. 选中复选框以确认您要取消保留。

在**法定保留**页面上，您可以看到您的所有保留。如果释放成功，则该保留状态将显示为 `Released`。

### 以编程方式释放法定保留
<a name="release-legalhold-api"></a>

要以编程方式删除保留，请使用 API 调用 [CancelLegalHold](API_CancelLegalHold.md)。

使用以下 JSON 模板。

```
DELETE /legal-holds/{legalHoldId}


Request

{
   CancelDescription: String
   DeleteAfterDays: number // optional
}


DeleteAfterDays: optional. 
  Defaults to 180 days. how long to keep legal hold record after canceled.
  This applies to the actual legal hold record only.
  Recovery points are unlocked as soon as cancelation processes and are not subject to this date.

Response 

Empty body

200 if successful
other standard codes
```

# 中的恶意软件防护 AWS Backup
<a name="malware-protection"></a>

Amazon 恶意软件防护会对您的备份进行 GuardDuty 恶意软件扫描。使用 Amaz GuardDuty on Malware Protection， AWS Backup 您可以通过现有备份工作流程自动扫描恢复点，或者启动对先前创建的备份的按需扫描。这种 AWS 原生解决方案有助于确保您的备份免受潜在恶意软件的侵害，从而使您能够满足合规性要求并通过确保恢复干净的数据来更快地应对恶意事件。

要查看支持的资源类型和区域列表，请访问[功能可用性页面](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html)。

**Topics**
+ [与亚马逊集成 GuardDuty](#malware-guardduty-integration)
+ [即时访问](backup-instant-access.md)
+ [如何使用恶意软件扫描](#malware-how-to-use)
+ [访问](#malware-access)
+ [增量扫描与完整扫描](#malware-scan-types)
+ [监控您的恶意软件扫描](#malware-monitoring)
+ [了解扫描结果](#malware-scan-results)
+ [扫描失败疑难解答](#malware-troubleshooting)
+ [计量](#malware-metering)
+ [配额](#malware-quotas)
+ [恶意软件扫描类型的控制台和 CLI 使用步骤](#malware-console-cli-usage)

## 与亚马逊集成 GuardDuty
<a name="malware-guardduty-integration"></a>

AWS Backup 与 Amazon GuardDuty 恶意软件防护集成，为您的恢复点提供威胁检测。当您开始恶意软件扫描时， AWS Backup 会在每次备份完成后自动调用 Amazon GuardDuty 的 `StartMalwareScan` API，传递恢复点详细信息和您的扫描器角色证书。 GuardDuty 然后，Amazon 开始读取、解密和扫描备份中的所有文件和对象。

当 Amazon GuardDuty 访问您的备份数据时，系统会登录该访问权限以 AWS CloudTrail 供查看。

有关此集成的更多信息，请参阅 [Amazon GuardDuty 恶意软件防护文档](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-backup.html)。

# Backup 即时访问权限
<a name="backup-instant-access"></a>

使用 Amazon Malw GuardDuty are Protection for AWS Backup 来处理 S3 备份时，Amazon GuardDuty 会通过 APIs以下三种方式访问您的 S3 备份： CreateBackupAccessPoint DescribeBackupAccessPoint、和 DeleteBackupAccessPoint。

Amazon GuardDuty 使用 CreateBackupAccessPoint 来访问您的加密备份数据。在扫描任务期间， GuardDuty 使用 DescribeBackupAccessPoint 来验证接入点是否成功创建。扫描完成后，会 GuardDuty 呼叫 DeleteBackupAccessPoint 删除其对备份的访问权限。

此工作流程适用于存储在逻辑气隙保管库中的 S3 备份和 EC2/EBS 备份。

## 如何使用恶意软件扫描
<a name="malware-how-to-use"></a>

当您将 Amazon GuardDuty 恶意软件防护与配合使用时 AWS Backup，可以自动扫描备份中是否存在恶意软件。此集成可帮助您检测备份中的恶意代码，并确定恢复操作的干净恢复点。

Amazon GuardDuty 恶意软件保护支持扫描备份的两个主要工作流程：
+ **通过备份计划自动扫描恶意软件 — 在备份计划**中启用恶意软件扫描，以自动检测恶意软件 AWS Backup。启用后，每次成功完成备份后都会 AWS Backup 自动启动 Amazon GuardDuty 扫描。您可以为特定的备份计划规则配置完全扫描或增量扫描，这些规则决定了扫描备份的频率。有关扫描类型的更多信息，请参见[增量扫描与完整扫描](#malware-scan-types)下文。 AWS Backup 建议在备份计划中启用自动恶意软件扫描，以便在创建备份后主动检测威胁。
+ **按需扫描**-运行按需扫描以手动扫描现有备份，可在完整扫描或增量扫描类型之间进行选择。 AWS Backup 建议使用按需扫描来识别上次干净的备份。在还原操作之前进行扫描时，请使用全盘扫描，使用最新的威胁检测模型检查整个备份。

## 访问
<a name="malware-access"></a>

在开始使用恶意软件防护之前，您的账户必须具有所需的操作权限。

AWS Backup 恶意软件扫描需要两个 IAM 角色来扫描恢复点中是否存在潜在的恶意软件：
+ 首先，必须将[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)或[AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)托管策略附加到您现有的或新的备份角色上。这与控制台中备份计划的资源分配中或通过 [BackupSelection API](API_CreateBackupSelection.md) 找到的角色相同。此托管策略 AWS Backup 允许通过 Amazon 启动恶意软件扫描 GuardDuty。
+ 其次，需要一个新的扫描器角色以及信任的[AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)托管策略`malware-protection.guardduty.amazonaws.com`。这与控制台中备份计划的恶意软件保护部分或 [BackupPlan API](API_CreateBackupPlan.md) 中的扫描设置中的角色相同。启动扫描 GuardDuty 时，此角色将传递 AWS Backup 给 Amazon，提供对备份的访问权限。

## 增量扫描与完整扫描
<a name="malware-scan-types"></a>

使用恶意软件扫描，您可以根据自己的安全要求和成本考虑在增量扫描和完整扫描之间进行选择。

**增量扫描**仅分析在目标恢复点和基本恢复点之间更改的数据。对于常规扫描来说，这些扫描速度更快、更具成本效益，因此非常适合频繁的定期备份，在这些备份中要扫描新备份的数据。

即使选择了增量扫描，也会在以下情况下 AWS Backup 执行完全扫描：
+ **首次扫描：**对资源的初始扫描始终是全面扫描，这样 Amazon GuardDuty 就可以确定潜在威胁的基准。随后的扫描将是增量扫描。
+ **基准已过期：**如果您的基准恢复点扫描时间超过 365 天，则会进行全面扫描。由于 Amazon 仅 GuardDuty 保留 365 天的查找信息，因此必须建立新的基准以确保扫描结果准确。
+ **已删除的基准：**如果在下一次增量扫描开始之前删除了基本恢复点，则会自动进行全面扫描。

无论之前的@@ **扫描如何，完整**扫描都会检查整个恢复点。虽然这些扫描提供了全面的覆盖范围，但它们需要更长的时间才能完成，并且会产生更高的成本。您可以按需运行全面扫描，也可以通过备份计划进行计划。 AWS Backup 建议在备份计划中配置定期进行全面扫描，确保使用最新的恶意软件特征码模型定期扫描整个备份数据。

为了实现最佳的安全性与成本管理，请在选择扫描类型时考虑备份频率。

**注意**  
Amazon S3 连续恢复点目前不支持恶意软件扫描。要扫描 Amazon S3 连续备份，请为您的 Amazon S3 资源配置定期备份，并对这些定期备份启用恶意软件扫描。您可以对 Amazon S3 存储桶使用[连续备份和定期备份的组合](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html)。

**注意**  
[逻辑气隙保管库](https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html)中的 Amazon EC2 恢复点或复制的 Amazon EC2 恢复点不支持增量恶意软件扫描。

## 监控您的恶意软件扫描
<a name="malware-monitoring"></a>

启用扫描后，两者 AWS Backup 和 Amazon 都 GuardDuty 提供了可用于跟踪结果的监控和通知机制：
+ **AWS Backup 主机：** AWS Backup 主机由`ListScanJobs`和提供支持`DescribeScanJob` APIs。您可以访问 “恶意软件防护” 部分查看扫描任务列表，其中包含任务状态和扫描结果。 AWS Backup 也支持 `ListScanJobSummaries` API，但控制台中不可用。
+ AWS Backup Audit **Manager：**您可以设置扫描报告以查看过去 24 小时内所有 AWS Backup 启动的恶意软件扫描任务。
+ **亚马逊 GuardDuty 控制台：**如果启用了 base Amazon GuardDuty ，则可以在恶意软件扫描结果中查看详细信息，并在亚马逊调查 GuardDuty 结果页面上调查恶意软件。您可以查看威胁和文件名、文件路径、 objects/files 已扫描、已扫描字节等信息。请注意，此详细的威胁信息无法通过获得 AWS Backup，您必须拥有相应的 Amazon GuardDuty 权限才能查看此信息。
+ **亚马逊 EventBridge：**两者都 AWS Backup 和 Amazon 都会 GuardDuty 发出 EventBridge 事件，允许备份管理员和安全管理员同步收到警报。您可以设置自定义规则，以便在扫描完成或检测到恶意软件时接收通知。
+ **AWS CloudTrail：**两者 AWS Backup 和 Amazon GuardDuty 都会发出 CloudTrail 事件，允许您监控 API 访问情况。

## 了解扫描结果
<a name="malware-scan-results"></a>

您的扫描任务 AWS Backup 将显示扫描状态和扫描结果。

### 扫描状态
<a name="malware-scan-states"></a>

扫描状态表示任务状态，其值可以为：`CREATED`、`COMPLETED`、`COMPLETED_WITH_ISSUES``RUNNING`、`FAILED`、或`CANCELED`。

在多种情况下，您的扫描任务将以状态结束`COMPLETED_WITH_ISSUES`：

对于 Amazon S3 备份，存在对象 size/type 限制，这会阻止对对象进行扫描。当扫描中至少跳过一个对象时，相应的扫描任务将被标记为`COMPLETED_WITH_ISSUES`。对于 Amazon EC2/Amazon EBS 备份，存在卷 size/quantity 限制，这会导致在扫描过程中跳过卷。这些情况将导致 Amazon EC2/Amazon EBS 备份任务产生。`COMPLETED_WITH_ISSUES`

如果您的任务以状态结束，`COMPLETED_WITH_ISSUES`并且您需要有关原因的更多信息，则需要通过 Amazon 从相应的扫描任务中获取这些详细信息 GuardDuty。

**注意**  
增量扫描任务仅扫描两个备份之间的数据差异。因此，如果增量扫描作业未遇到上述任何情况，则它将以状态完成，`COMPLETE`并且不会`COMPLETED_WITH_ISSUES`从基本恢复点继承。

在极少数情况下，Amazon 在扫描文件和对象时 GuardDuty 可能会遇到内部问题，并且重试尝试可能会用尽。发生这种情况时，扫描任务将显示为`FAILED`在 Amazon AWS Backup 和 Amazon `COMPLETED_WITH_ISSUES` 中 GuardDuty。这种状态差异允许您在 Amazon 中查看可用的扫描结果， GuardDuty 同时表明并非所有支持的文件和对象都已成功扫描。

### 扫描结果
<a name="malware-scan-results-detail"></a>

扫描结果表示来自 Amazon 的汇总结果 GuardDuty ，其值可以为：`THREATS_FOUND`、或`NO_THREATS_FOUND`。

扫描结果表明您的恢复点中是否检测到潜在的恶意软件。`NO_THREATS_FOUND`状态表示未检测到潜在的恶意软件，而`THREATS_FOUND`表示发现了潜在的恶意软件。要了解详细的威胁信息，请通过 Amazon GuardDuty 控制台或访问完整的亚马逊 GuardDuty 调查结果 APIs。扫描结果还可以通过 EventBridge 事件获得，这使您可以构建自动工作流程来响应受感染的备份。

Amazon GuardDuty 会将发现结果保留 365 天，通过增量扫描跟踪文件或对象，以监控威胁是否被删除或恶意软件签名是否发生变化。例如，如果在备份 2 中检测到恶意软件，则会显示扫描结果`THREATS_FOUND`。当您使用备份 2 作为基础对备份 3 执行增量扫描时，`THREATS_FOUND`除非威胁已从数据中删除，否则扫描结果将保持不变。

## 扫描失败疑难解答
<a name="malware-troubleshooting"></a>

常见的扫描失败包括 IAM 权限不足、服务限制和资源访问问题。

当备份角色缺少`AWSBackupServiceRolePolicyForScans`权限或扫描者角色没有适当的信任关系时，就会发生`AWSBackupGuardDutyRolePolicyForScans`权限@@ **错误**。

当您超过每个账户 150 次并发扫描或每种资源类型 5 次并发扫描时，就会发生@@ **服务限制错误** ——在容量可用之前，扫描任务将保持`CREATED`状态。

**访问被拒绝错误**可能表示没有适当 AWS KMS 权限的加密恢复点或删除了增量扫描的父恢复点。

恢复点过大或在 Amazon GuardDuty 负载较高时段可能会出现@@ **超时故障**。

要排除故障，请使用 `DescribeScanJob` API 检查扫描任务状态，验证 IAM 角色配置，确保恢复点存在且可访问，如果缺少增量扫描父引用，请考虑切换到完整扫描。

监控您的并发扫描使用情况，并在自动化工作流程中实现抖动，以避免达到服务限制。

## 计量
<a name="malware-metering"></a>

恶意软件保护由 Amazon GuardDuty 提供并收费。您不会看到与使用此功能相关的任何 AWS Backup 费用。所有使用情况均可在亚马逊 GuardDuty账单下查看。要了解更多信息，请访问 [Amazon GuardDuty 定价](https://aws.amazon.com/guardduty/pricing/)。

## 配额
<a name="malware-quotas"></a>

两者 AWS Backup GuardDuty 都有亚马逊 GuardDuty 恶意软件防护的配额限制 AWS Backup。

有关更多信息，请访问[AWS Backup 配额](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html)和 [Amazon GuardDuty 配额](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_limits.html)。

## 恶意软件扫描类型的控制台和 CLI 使用步骤
<a name="malware-console-cli-usage"></a>

以下各节显示了使用控制台和配置不同恶意软件扫描类型的步骤 AWS CLI。

### 如何设置恶意软件扫描
<a name="malware-setup-scans"></a>

**控制台**  


1. 导航到 AWS Backup 控制台 → Backup 计划

1. 创建新的备份计划或选择现有计划

1. 启用**恶意软件防护**开关

1. 选择**扫描仪角色**以选择新的扫描仪角色。确保备份角色和扫描者角色都具有相应的权限，如中所述[访问](#malware-access)。

1. 选择**可扫描的资源类型**。这将根据您选择的资源选择标准筛选恶意软件扫描。例如，如果您的可扫描资源类型选择是 Amazon EBS，但您的计划的资源选择包括亚马逊 EBS 和 Amazon S3，则只会进行 Amazon EBS 恶意软件扫描。

1. 为每条备份规则设置**扫描类型**。您可以在完整扫描、增量扫描和不扫描之间进行选择。扫描类型选择意味着扫描将按关联备份规则的计划频率进行。

1. 保存备份计划

**AWS CLI**  


**CreateBackupPlan**

您可以使用[create-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html)命令创建启用恶意软件扫描的备份计划。

```
aws backup create-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlan": {
                          "BackupPlanName": "scan-initial-test-demo",
                          "Rules": [
                            {
                              "RuleName": "full",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(0 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": {
                                "DeleteAfterDays": 3,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "FULL_SCAN"
                                }
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 100,
                              "CompletionWindowMinutes": 5000,
                              "Lifecycle": {
                                "DeleteAfterDays": 2,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                }
                              ]
                            }
                          ],
                          "ScanSettings": [
                            {
                              "MalwareScanner": "GUARDDUTY",
                              "ResourceTypes": ["EBS", "EC2", "S3"],
                              "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
```

**UpdateBackupPlan**

您可以使用[update-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)命令更新启用恶意软件扫描的备份计划。

```
aws backup update-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
                        "BackupPlan": {
                        "BackupPlanName": "scan-initial-test-demo",
                        "Rules": 
                          [
                            {"RuleName": "full",
                            "TargetBackupVaultName": "Default",
                            "ScheduleExpression": "cron(0 * * * ? *)",
                            "StartWindowMinutes": 60,
                            "CompletionWindowMinutes": 3000,
                            "Lifecycle": 
                              {
                              "DeleteAfterDays": 6,
                              "OptInToArchiveForSupportedResources": false},
                            "RecoveryPointTags": 
                              {"key1": "foo",
                              "key2": "foo"},
                            "EnableContinuousBackup": false,
                            "ScanActions": 
                              [
                                {"MalwareScanner": "GUARDDUTY",
                                "ScanMode": "FULL_SCAN"}
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": 
                                {
                                "DeleteAfterDays": 9,
                                "OptInToArchiveForSupportedResources": false},
                              "RecoveryPointTags": 
                                {"key1": "foo",
                                "key2": "foo"},
                              "EnableContinuousBackup": false,
                              "ScanActions": 
                                [
                                  {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                  }
                                ]
                            }
                          ],
                        "ScanSettings": 
                          [
                            {
                            "MalwareScanner": "GUARDDUTY",
                            "ResourceTypes": 
                              ["ALL", "EBS"],
                            "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
```

**关键笔记**  

+ 在启用扫描选项之前，需要输入目标 ARN（控制台）
+ 所有配置都需要备份 IAM 角色和扫描器 IAM 角色
+ 用于`aws backup list-scan-jobs`查看所有扫描作业 (AWS CLI)
+ 成本影响因扫描类型（增量扫描与完整扫描）和频率而异

**AWS CLI 关键笔记**  

+ 用于`aws backup list-scan-jobs`查看所有扫描作业 (AWS CLI)
+ 扫描结果可通过 `describe-recovery-point` API 和 ScanResults 字段获得
+ 所有配置都需要备份 IAM 角色和扫描器 IAM 角色
+ JSON 备份计划结构包括在计划 ScanSettings 级别和规则 ScanActions 中

# 韧性在 AWS Backup
<a name="disaster-recovery-resiliency"></a>

 AWS Backup 非常重视其弹性以及您的数据安全。

 AWS Backup 存储您的备份时，其弹性和耐久性*至少*与资源的原始 AWS 服务所能提供的相同（如果您在那里进行备份）。

AWS Backup 旨在使用 AWS 全球基础架构跨多个可用区复制备份，在任何给定年份内持久性均可达到 99.999999999%（11 9），前提是您必须遵守当前文档。 AWS Backup 

AWS Backup 对您的静态备份计划进行加密并持续对其进行备份。您还可以使用 AWS Identity and Access Management (IAM) 凭证和策略限制对备份计划的访问权限。有关更多信息，请参阅[身份验证](https://docs.aws.amazon.com/aws-backup/latest/devguide/authentication.html)、[访问控制](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html)和 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。

 AWS 全球基础设施是围绕 AWS 区域 可用区构建的。 AWS 区域 提供多个物理隔离和隔离的可用区，这些可用区通过低延迟、高吞吐量和高度冗余的网络连接。 AWS Backup 跨可用区存储您的备份。与传统的单个或多个数据中心基础设施相比，可用区具有更高的可用性、容错能力和可扩展性。有关更多信息，请参阅 [AWS Backup 服务水平协议 (SLA)](https://aws.amazon.com/backup/sla/)。

此外， AWS Backup 您还可以跨区域复制备份，以获得更大的弹性。有关 AWS Backup 跨区域复制功能的更多信息，请参阅[创建 Backup Copy](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html)。

有关 AWS 区域 和可用区的更多信息，请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。