本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
存取控制
您可以擁有有效的憑證來驗證您的請求,但除非您具有適當的許可,否則無法存取備份保存庫等 AWS Backup 資源。您也無法備份 AWS 資源,例如 Amazon Elastic Block Store (Amazon EBS) 磁碟區。
每個 AWS 資源都由 擁有 AWS 帳戶,而建立或存取資源的許可受許可政策的約束。帳戶管理員可以將許可政策連接至 AWS Identity and Access Management (IAM) 身分 (即使用者、群組和角色)。某些服務還支援將許可政策連接到資源。
帳戶管理員 (或管理員使用者) 是具有管理員許可的使用者。如需詳細資訊,請參閱 IAM 使用者指南 中的IAM最佳實務。
當您授予許可時,能夠決定取得許可的對象、這些對象取得許可的資源,以及可對上述資源進行的特定動作。
下列各節說明存取政策的運作方式,以及您可如何運用這些政策來保護備份。
資源和操作
資源是存在於 service 中的物件。 AWS Backup 資源包括備份計畫、備份保存庫和備份。備份是一般術語,是指存在於 中的各種類型的備份資源 AWS。例如,Amazon EBS快照、Amazon Relational Database Service (Amazon RDS) 快照和 Amazon DynamoDB 備份都是備份資源的類型。
在 中 AWS Backup,備份也稱為復原點 。使用 時 AWS Backup,您也可以使用其他您要保護之 AWS 服務的資源,例如 Amazon EBS磁碟區或 DynamoDB 資料表。這些資源具有與其相關聯的唯一 Amazon Resource Name (ARNs)。ARNs 唯一識別 AWS 資源。當您需要在整個 中明確指定資源ARN時 AWS,例如在IAM政策或API通話中,您必須擁有 。
下表列出資源、子資源、ARN格式和範例唯一 ID。
AWS Backup 資源 ARNs | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 資源類型 | ARN 格式 | 範例唯一 ID | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 備份計劃 | arn:aws:backup: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 備份文件庫 | arn:aws:backup: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon 的復原點 EBS | arn:aws:ec2: |
snapshot/snap-05f426fd8kdjb4224 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EC2映像的復原點 | arn:aws:ec2: |
image/ami-1a2b3e4f5e6f7g890 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon 的復原點 RDS | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Aurora 的復原點 | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Storage Gateway 的復原點 | arn:aws:ec2: |
snapshot/snap-0d40e49137e31d9e0 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| DynamoDB (不含進階 DynamoDB 備份) 的復原點 | arn:aws:dynamodb: |
table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| DynamoDB (已啟用進階 DynamoDB 備份) 的復原點 | arn:aws:backup: |
12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon 的復原點 EFS | arn:aws:backup: |
d99699e7-e183-477e-bfcd-ccb1c6e5455e |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon 的復原點 FSx | arn:aws:fsx: |
backup/backup-1a20e49137e31d9e0 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 虛擬機器的復原點 | arn:aws:backup: |
1801234a-5b6b-7dc8-8032-836f7ffc623b |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon S3 連續備份的復原點 | arn:aws:backup: |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| S3 定期備份的復原點 | arn:aws:backup: |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon DocumentDB 的復原點 | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Neptune 的復原點 | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Redshift 的復原點 | arn:aws:redshift: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Timestream 的復原點 | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS CloudFormation 範本的復原點 | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EC2執行個體上SAPHANA資料庫的復原點 | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
支援完整 AWS Backup 管理的資源都具有格式為 的復原點arn:aws:backup:。 可讓您更輕鬆地套用許可政策來保護這些復原點。若要查看哪些資源支援完整 AWS Backup 管理,請參閱各資源的功能可用性資料表的該區段。region:account-id::recovery-point:*
AWS Backup 提供一組操作來使用 AWS Backup 資源。如需可用操作的清單,請參閱 AWS Backup 動作。
資源擁有權
AWS 帳戶 擁有在帳戶中建立的資源,無論誰建立資源。具體而言,資源擁有者是驗證資源建立請求 AWS 帳戶 的主要實體 (即 AWS 帳戶 根使用者、IAM使用者或IAM角色) 的 。下列範例說明其如何運作:
-
如果您使用 的 AWS 帳戶 根使用者憑證 AWS 帳戶 來建立備份保存庫,則您的 AWS 帳戶 是保存庫的擁有者。
-
如果您在 中建立IAM使用者, AWS 帳戶 並將建立備份保存庫的許可授予該使用者,則使用者可以建立備份保存庫。不過,您的 AWS 帳戶 (即該使用者所屬的帳戶) 會擁有備份文件庫的資源。
-
如果您在 AWS 帳戶 具有建立備份保存庫許可的 中建立IAM角色,則任何可以擔任該角色的人都可以建立保存庫。 AWS 帳戶角色所屬的 擁有備份保存庫資源。
指定政策元素:動作、效果和主體
對於每個 AWS Backup 資源 (請參閱 資源和操作),服務會定義一組API操作 (請參閱 動作)。若要授予這些API操作的許可, AWS Backup 會定義一組您可以在政策中指定的動作。執行API操作可能需要多個動作的許可。
以下是最基本的政策元素:
-
資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別政策適用的資源。如需詳細資訊,請參閱資源和操作。
-
動作:使用動作關鍵字識別您要允許或拒絕的資源操作。
-
效果 - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
-
主體 – 在身分型政策 (IAM 政策) 中,附加政策的使用者是隱含主體。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。
若要進一步了解IAM政策語法和描述,請參閱 IAM 使用者指南 中的IAMJSON政策參考。
如需顯示所有動作的 AWS Backup API資料表,請參閱 API 許可:動作、資源和條件參考。
在政策中指定條件
當您授予許可時,您可以使用IAM政策語言來指定政策何時生效的條件。例如,建議只在特定日期之後套用政策。如需以政策語言指定條件的詳細資訊,請參閱 IAM 使用者指南 中的條件。
AWS 支援全域條件索引鍵和服務特定條件索引鍵。若要查看所有全域條件索引鍵,請參閱 IAM 使用者指南 中的AWS 全域條件內容索引鍵。
AWS Backup 會定義自己的條件索引鍵集。若要查看 AWS Backup 條件金鑰清單,請參閱服務授權參考 中的 的條件金鑰 AWS Backup。
API 許可:動作、資源和條件參考
當您設定存取控制和撰寫可連接至IAM身分的許可政策 (以身分為基礎的政策) 時,您可以使用下表做為參考。資料表清單每項 AWS Backup API操作、您可以授予執行動作許可的對應動作,以及您可以授予許可 AWS 的資源。您在政策的 Action 欄位中指定動作,然後在政策的 Resource 欄位中指定資源值。如果 Resource 欄位為空白,您可以使用萬用字元 (*) 來包含所有資源。
您可以在 AWS Backup 政策中使用 AWS-wide 條件索引鍵來表達條件。如需 AWS全 金鑰的完整清單,請參閱 IAM 使用者指南 中的可用金鑰。
使用捲軸查看資料表的其餘部分。
1 使用現有的保存庫存取政策。
2 如需資源特定的復原點AWS Backup 資源 ARNs,請參閱 ARNs。
3 StartRestoreJob 必須在資源的中繼資料中具有鍵值對。若要取得資源的中繼資料,請呼叫 GetRecoveryPointRestoreMetadata API。
4 backup:TagResource 如果您計劃在備份中包含原始資源標籤或將其他標籤新增至備份,某些資源類型需要執行備份的角色具有特定的標記許可。任何以 ARN開頭的備份arn:aws:backup:或連續備份都需要此許可。 region:account-id:recovery-point:backup:TagResource許可必須套用至 "resourcetype": "arn:aws:backup:region:account-id:recovery-point:*"
如需詳細資訊,請參閱服務授權參考中的 AWS Backup的動作、資源和條件索引鍵。
複製標籤許可
當 AWS Backup 執行備份或複製任務時,它會嘗試將標籤從來源資源 (或複製時的復原點) 複製到復原點。
注意
AWS Backup 在還原任務期間不會原生複製標籤。如需將在還原任務期間複製標籤的事件驅動架構,請參閱如何在 AWS Backup 還原任務 中保留資源標籤
在備份或複製任務期間, 會將您在備份計畫 (或複製計畫或隨需備份) 中指定的標籤與來源資源中的標籤 AWS Backup 彙總。不過, 會 AWS 強制執行每個資源 50 個標籤的限制, AWS Backup 不得超過 。當備份或複製任務彙總計畫和來源資源中的標籤時,可能會探索總計超過 50 個標籤,而無法完成任務,導致任務失敗。這與 AWS範圍的標記最佳實務一致。若要進一步了解,請參閱《AWS 一般參考指南》中的標籤限制。
您可以使用備份計畫,建立與來源資源標籤相衝突的標籤。當兩個標籤衝突時,會優先使用備份計畫中的標籤。如果您不想從來源資源複製標籤值,請使用此技巧。使用備份計畫指定相同的標籤金鑰,但不同或空白值。
將標籤指派給備份所需的許可 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 資源類型 | 所需的許可 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EFS 檔案系統 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon FSx 檔案系統 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon RDS 資料庫和 Amazon Aurora 叢集 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Storage Gateway 磁碟區 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EC2執行個體和 Amazon EBS磁碟區 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
除非先啟用 進階 DynamoDB 備份,否則 DynamoDB 不支援將標籤指派給備份。
當 Amazon EC2 備份建立 Image Recovery Point 和一組快照時, AWS Backup 會將標籤複製到產生的 AMI。 AWS Backup 也會將標籤從與 Amazon EC2執行個體相關聯的磁碟區複製到產生的快照。
存取政策
許可政策描述誰可以存取哪些資源。連接到IAM身分的政策稱為身分型政策 (IAM 政策)。連接至資源的政策稱為資源型政策。 AWS Backup 支援身分型政策和資源型政策。
注意
本節討論在 內容IAM中使用 AWS Backup。它不會提供有關 IAM服務的詳細資訊。如需完整IAM文件,請參閱 使用者指南 中的什麼是 IAM?。 IAM 如需IAM政策語法和描述的相關資訊,請參閱 IAM 使用者指南 中的IAMJSON政策參考。
身分型政策 (IAM 政策)
身分型政策是您可以連接到IAM身分的政策,例如使用者或角色。例如,您可以定義政策,允許使用者檢視和備份 AWS 資源,但無法還原備份。
如需使用者、群組、角色和許可的詳細資訊,請參閱 IAM 使用者指南 中的身分 (使用者、群組和角色)。
如需如何使用IAM政策來控制對備份的存取的資訊,請參閱 的受管政策 AWS Backup。
資源型政策
AWS Backup 支援備份保存庫的資源型存取政策。這可讓您定義存取政策,控管哪些使用者可以針對備份文件庫中所歸整的任何備份,進行何種存取。以資源為基礎的備份文件庫存取政策,提供了簡單的方法來控管對您備份的存取。
當您使用 時,備份保存庫存取政策會控制使用者存取 AWS Backup APIs。某些備份類型,例如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照,也可以使用這些服務的 存取APIs。您可以在 中建立單獨的存取政策IAM,以控制對這些政策的存取,APIs以完全控制對備份的存取。
若要了解如何建立備份文件庫的存取政策,請參閱 文件庫存取政策。
