本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以擁有有效的登入資料來驗證您的請求,但除非您具有適當的許可,否則無法存取備份保存庫等 AWS Backup 資源。您也無法備份 AWS 資源,例如 Amazon Elastic Block Store (Amazon EBS) 磁碟區。
每個 AWS 資源都由 擁有 AWS 帳戶,而建立或存取資源的許可則受許可政策的控管。帳戶管理員可以將許可政策連接至 AWS Identity and Access Management (IAM) 身分 (即使用者、群組和角色)。某些服務還支援將許可政策連接到資源。
帳戶管理員 (或管理員使用者) 是具有管理員許可的使用者。如需詳細資訊,請參《IAM 使用者指南》中的 IAM 最佳實務。
當您授予許可時,能夠決定取得許可的對象、這些對象取得許可的資源,以及可對上述資源進行的特定動作。
下列各節說明存取政策的運作方式,以及您可如何運用這些政策來保護備份。
資源和操作
資源是存在於服務內的物件。 AWS Backup 資源包括備份計劃、備份文件庫和備份。備份是一般術語,是指存在於 中的各種備份資源類型 AWS。例如,Amazon EBS 快照、Amazon Relational Database Service (Amazon RDS) 快照和 Amazon DynamoDB 備份都是備份資源類型。
在 中 AWS Backup,備份也稱為復原點。使用 時 AWS Backup,您也可以使用其他您嘗試保護之 AWS 服務的資源,例如 Amazon EBS 磁碟區或 DynamoDB 資料表。這些資源具有與其相關聯的唯一 Amazon Resource Name (ARN)。ARNs可唯一識別 AWS 資源。如果需要在 AWS各處明確地指定資源 (例如在 IAM 政策或 API 呼叫中),必須具有 ARN。
下表列出資源、子資源、ARN 格式和範例唯一 ID。
| 資源類型 | ARN 格式 | 範例唯一 ID |
|---|---|---|
| 備份計劃 | arn:aws:backup: |
|
| 備份文件庫 | arn:aws:backup: |
|
| Amazon EBS 的復原點 | arn:aws:ec2: |
snapshot/snap-05f426fd8kdjb4224 |
| Amazon EC2 映像的復原點 | arn:aws:ec2: |
image/ami-1a2b3e4f5e6f7g890 |
| Amazon RDS 的復原點 | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora 的復原點 | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Storage Gateway 的復原點 | arn:aws:ec2: |
snapshot/snap-0d40e49137e31d9e0 |
| DynamoDB (不含進階 DynamoDB 備份) 的復原點 | arn:aws:dynamodb: |
table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| DynamoDB (已啟用進階 DynamoDB 備份) 的復原點 | arn:aws:backup: |
12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Amazon EFS 的復原點 | arn:aws:backup: |
d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Amazon FSx 的復原點 | arn:aws:fsx: |
backup/backup-1a20e49137e31d9e0 |
| 虛擬機器的復原點 | arn:aws:backup: |
1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Amazon S3 連續備份的復原點 | arn:aws:backup: |
|
| S3 定期備份的復原點 | arn:aws:backup: |
|
| Amazon DocumentDB 的復原點 | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Neptune 的復原點 | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift 的復原點 | arn:aws:redshift: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Timestream 的復原點 | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta |
| AWS CloudFormation 範本的復原點 | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Amazon EC2 執行個體上 SAP HANA 資料庫的復原點 | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
支援完整 AWS Backup 管理的資源都有格式為 的復原點arn:aws:backup:。 可讓您更輕鬆地套用許可政策來保護這些復原點。若要查看哪些資源支援完整 AWS Backup 管理,請參閱各資源的功能可用性資料表的該區段。region:account-id::recovery-point:*
AWS Backup 提供一組操作來使用 AWS Backup 資源。如需可用操作的清單,請參閱 AWS Backup 動作。
資源擁有權
AWS 帳戶 擁有在帳戶中建立的資源,無論誰建立資源。具體而言,資源擁有者是驗證資源建立請求 AWS 帳戶 的委託人實體 (即 AWS 帳戶 根使用者、IAM 使用者或 IAM 角色) 的 。下列範例說明其如何運作:
-
如果您使用 的 AWS 帳戶 根使用者登入 AWS 帳戶 資料來建立備份保存庫,則您的 AWS 帳戶 是保存庫的擁有者。
-
如果您在 中建立 IAM 使用者, AWS 帳戶 並將建立備份文件庫的許可授予該使用者,則使用者可以建立備份文件庫。不過,您的 AWS 帳戶 (即該使用者所屬的帳戶) 會擁有備份文件庫的資源。
-
如果您在 中建立 AWS 帳戶 具有建立備份保存庫許可的 IAM 角色,則任何可以擔任該角色的人都可以建立保存庫。 AWS 帳戶角色所屬的 擁有備份保存庫資源。
指定政策元素:動作、效果和主體
對於每個 AWS Backup 資源 (請參閱 資源和操作),服務會定義一組 API 操作 (請參閱 動作)。若要授予這些 API 操作的許可, AWS Backup 會定義一組您可以在政策中指定的動作。執行一項 API 操作可能需要多個動作的許可。
以下是最基本的政策元素:
-
資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需詳細資訊,請參閱資源和操作。
-
動作:使用動作關鍵字識別您要允許或拒絕的資源操作。
-
效果 - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
-
委託人:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。
如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策參考。
如需顯示所有 AWS Backup API 動作的資料表,請參閱 API 許可:動作、資源和條件參考。
在政策中指定條件
當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱IAM 使用者指南中的條件。
AWS 支援全域條件金鑰和服務特定的條件金鑰。若要查看所有全域條件索引鍵,請參閱《IAM 使用者指南》中的AWS 全域條件內容索引鍵。
AWS Backup 會定義自己的一組條件索引鍵。若要查看 AWS Backup 條件索引鍵的清單,請參閱《服務授權參考》中的 的條件索引鍵 AWS Backup。
API 許可:動作、資源和條件參考
當您設定存取控制並撰寫可連接至 IAM 身分 (身分類型政策) 的許可政策時,可以參考下列資料表。資料表清單每個 AWS Backup API 操作、您可以授予執行動作許可的對應動作,以及您可以授予許可 AWS 的資源。您在政策的 Action 欄位中指定動作,然後在政策的 Resource 欄位中指定資源值。如果 Resource 欄位為空白,您可以使用萬用字元 (*) 來包含所有資源。
您可以在 AWS Backup 政策中使用 AWS全局條件索引鍵來表達條件。如需 AWS全系列金鑰的完整清單,請參閱《IAM 使用者指南》中的可用金鑰。
使用捲軸查看資料表的其餘部分。
1 使用現有的保存庫存取政策。
2 如需資源特定的復原點 ARNsAWS Backup 資源 ARNs,請參閱 。
3 在資源的中繼資料中StartRestoreJob必須有鍵值對。若要取得資源的中繼資料,請呼叫 GetRecoveryPointRestoreMetadata API。
4 backup:TagResource 如果您計劃在備份中包含原始資源標籤或將其他標籤新增至備份,某些資源類型需要執行備份的角色具有特定的標記許可。任何以 開頭的 ARN arn:aws:backup:或連續備份都需要此許可。 region:account-id:recovery-point:backup:TagResource許可必須套用至 "resourcetype": "arn:aws:backup:region:account-id:recovery-point:*"
如需詳細資訊,請參閱服務授權參考中的 AWS Backup的動作、資源和條件索引鍵。
複製標籤許可
當 AWS Backup 執行備份或複製任務時,它會嘗試將標籤從來源資源 (或複製時的復原點) 複製到復原點。
注意
AWS Backup 不會在還原任務期間原生複製標籤。如需將在還原任務期間複製標籤的事件驅動架構,請參閱如何在 AWS Backup 還原任務中保留資源標籤
在備份或複製任務期間, 會將您在備份計畫 (或複製計畫或隨需備份) 中指定的標籤,與來源資源中的標籤 AWS Backup 彙總。不過, 會 AWS 強制執行每個資源 50 個標籤的限制, AWS Backup 但不得超過 。當備份或複製任務彙總計畫和來源資源中的標籤時,可能會探索總計超過 50 個標籤,而無法完成任務,導致任務失敗。這與 AWS全局的標記最佳實務一致。
-
您的資源在將備份任務標籤與來源資源標籤彙總之後,有 50 個以上的標籤。 AWS 支援每個資源最多 50 個標籤。
-
您提供給 的 IAM 角色 AWS Backup 缺少讀取來源標籤或設定目的地標籤的許可。如需詳細資訊和 IAM 角色政策範例,請參閱受管政策。
您可以使用備份計畫,建立與來源資源標籤相衝突的標籤。當兩個標籤衝突時,會優先使用備份計畫中的標籤。如果您不想從來源資源複製標籤值,請使用此技巧。使用備份計畫指定相同的標籤金鑰,但不同或空白值。
| 資源類型 | 所需的許可 |
|---|---|
| Amazon EFS 檔案系統 |
|
| Amazon FSx 檔案系統 |
|
| Amazon RDS 資料庫和 Amazon Aurora 叢集 |
|
| Storage Gateway 磁碟區 |
|
| Amazon EC2 執行個體和 Amazon EBS 磁碟區 |
|
除非先啟用 進階 DynamoDB 備份,否則 DynamoDB 不支援將標籤指派給備份。
當 Amazon EC2 備份建立映像復原點和一組快照時, AWS Backup 會將標籤複製到產生的 AMI。 AWS Backup 也會將標籤從與 Amazon EC2 執行個體相關聯的磁碟區複製到產生的快照。
存取政策
許可政策描述誰可以存取哪些資源。連接到 IAM 身分的政策稱為身分類型政策 (IAM 政策)。連接到資源的政策稱為以資源為基礎的政策。 同時 AWS Backup 支援以身分為基礎的政策和以資源為基礎的政策。
注意
本節討論在 內容中使用 IAM AWS Backup。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱 IAM 使用者指南中的什麼是 IAM?。如需 IAM 政策語法和說明的詳細資訊,請參閱 IAM 使用者指南中的 IAM JSON 政策參考。
身分類型政策 (IAM 政策)
以身分為基礎的政策是您可以連接到 IAM 身分 (例如使用者或角色) 的政策。例如,您可以定義政策,允許使用者檢視和備份 AWS 資源,但防止它們還原備份。
如需使用者、群組、角色和許可的詳細資訊,請參閱《IAM 使用者指南》中的身分 (使用者、群組和角色)。
如需如何使用 IAM 政策控管備份存取的資訊,請參閱的受管政策 AWS Backup。
資源型政策
AWS Backup 支援備份保存庫的資源型存取政策。這可讓您定義存取政策,控管哪些使用者可以針對備份文件庫中所歸整的任何備份,進行何種存取。以資源為基礎的備份文件庫存取政策,提供了簡單的方法來控管對您備份的存取。
備份保存庫存取政策會在您使用 AWS Backup APIs時控制使用者存取。某些備份類型 (例如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照) 也可以使用這些服務的 API 進行存取。您可以在 IAM 中建立不同的存取政策來控管對這些 API 的存取,以便完全控管對備份的存取。
若要了解如何建立備份文件庫的存取政策,請參閱 文件庫存取政策。
