本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 存取控制
您可以擁有有效的登入資料來驗證請求,但除非您有適當的許可,否則無法存取備份文件庫等 AWS Backup 資源。您也無法備份 AWS 資源,例如 Amazon Elastic Block Store (Amazon EBS) 磁碟區。
每個 AWS 資源都由 擁有 AWS 帳戶,而建立或存取資源的許可是由許可政策管理。帳戶管理員可以將許可政策連接到 AWS Identity and Access Management (IAM) 身分 (即使用者、群組和角色)。某些服務還支援將許可政策連接到資源。
*帳戶管理員* (或管理員使用者) 是具有管理員許可的使用者。如需詳細資訊,請參《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。
當您授予許可時,能夠決定取得許可的對象、這些對象取得許可的資源,以及可對上述資源進行的特定動作。
下列各節說明存取政策的運作方式,以及您可如何運用這些政策來保護備份。
**Topics**
+ [資源和操作](#access-control-resources)
+ [資源擁有權](#access-control-owner)
+ [指定政策元素:動作、效果和主體](#access-control-specify-backup-actions)
+ [在政策中指定條件](#specifying-conditions)
+ [API 許可:動作、資源和條件參考](#backup-api-permissions-ref)
+ [複製標籤許可](#copy-tags)
+ [存取政策](#access-policies)
## 資源和操作
資源是存在於服務內的物件。 AWS Backup 資源包括備份計劃、備份文件庫和備份。*備份*是一般術語,是指存在於 中的各種備份資源類型 AWS。例如,Amazon EBS 快照、Amazon Relational Database Service (Amazon RDS) 快照和 Amazon DynamoDB 備份都是備份資源類型。
在 中 AWS Backup,備份也稱為*復原點*。使用 時 AWS Backup,您也可以使用您 AWS 嘗試保護之其他服務的資源,例如 Amazon EBS 磁碟區或 DynamoDB 資料表。這些資源具有與其相關聯的唯一 Amazon Resource Name (ARN)。ARNs可唯一識別 AWS 資源。如果需要在 AWS各處明確地指定資源 (例如在 IAM 政策或 API 呼叫中),必須具有 ARN。
下表列出資源、子資源、ARN 格式和範例唯一 ID。
**AWS Backup 資源 ARNs**
| Resource Type (資源類型) | ARN 格式 | 範例唯一 ID |
| --- | --- | --- |
| 備份計劃 | arn:aws:backup:region:account-id:backup-plan:\$1 | |
| 備份文件庫 | arn:aws:backup:region:account-id:backup-vault:\$1 | |
| Amazon EBS 的復原點 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 |
| Amazon EC2 映像的復原點 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 |
| Amazon RDS 的復原點 | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora 的復原點 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora DSQL 的復原點 | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a |
| Storage Gateway 的復原點 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 |
| DynamoDB (不含[進階 DynamoDB 備份](advanced-ddb-backup.md)) 的復原點 | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| DynamoDB (已啟用[進階 DynamoDB 備份](advanced-ddb-backup.md)) 的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Amazon EFS 的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Amazon FSx 的復原點 | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 |
| 虛擬機器的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Amazon S3 連續備份的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 |
| S3 定期備份的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 |
| Amazon DocumentDB 的復原點 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Neptune 的復原點 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift 的復原點 | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift Serverless 的復原點 | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Timestream 的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta |
| AWS CloudFormation 範本的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Amazon EC2 執行個體上 SAP HANA 資料庫的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
支援完整 AWS Backup 管理的資源都有格式為 的復原點`arn:aws:backup:region:account-id::recovery-point:*`。 可讓您更輕鬆地套用許可政策來保護這些復原點。若要查看哪些資源支援完整 AWS Backup 管理,請參閱[各資源的功能可用性](backup-feature-availability.md#features-by-resource)資料表的該區段。
AWS Backup 提供一組操作來使用 AWS Backup 資源。如需可用操作的清單,請參閱 AWS Backup [動作](API_Operations.md)。
## 資源擁有權
無論誰建立資源, 都會 AWS 帳戶 擁有在帳戶中建立的資源。具體而言,資源擁有者是驗證資源建立請求 AWS 帳戶 的[委託人實體](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (即 AWS 帳戶 根使用者、IAM 使用者或 IAM 角色) 的 。下列範例說明其如何運作:
+ 如果您使用 的 AWS 帳戶 根使用者登入 AWS 帳戶 資料來建立備份保存庫,則您的 AWS 帳戶 是保存庫的擁有者。
+ 如果您在 中建立 IAM 使用者, AWS 帳戶 並將建立備份文件庫的許可授予該使用者,則使用者可以建立備份文件庫。不過,您的 AWS 帳戶 (即該使用者所屬的帳戶) 會擁有備份文件庫的資源。
+ 如果您在 中建立 AWS 帳戶 具有建立備份保存庫許可的 IAM 角色,則任何可以擔任該角色的人都可以建立保存庫。 AWS 帳戶角色所屬的 擁有備份保存庫資源。
## 指定政策元素:動作、效果和主體
對於每個 AWS Backup 資源 (請參閱 [資源和操作](#access-control-resources)),服務會定義一組 API 操作 (請參閱 [動作](API_Operations.md))。若要授予這些 API 操作的許可, AWS Backup 會定義一組您可以在政策中指定的動作。執行一項 API 操作可能需要多個動作的許可。
以下是最基本的政策元素:
+ 資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需詳細資訊,請參閱[資源和操作](#access-control-resources)。
+ 動作:使用動作關鍵字識別您要允許或拒絕的資源操作。
+ 效果 - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
+ 委託人:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。
如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱*《IAM 使用者指南》*中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
如需顯示所有 AWS Backup API 動作的資料表,請參閱 [API 許可:動作、資源和條件參考](#backup-api-permissions-ref)。
## 在政策中指定條件
當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
AWS 支援全域條件金鑰和服務特定的條件金鑰。若要查看所有全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
AWS Backup 會定義自己的一組條件索引鍵。若要查看 AWS Backup 條件索引鍵的清單,請參閱《*服務授權參考*》中的 [的條件索引鍵 AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys)。
## API 許可:動作、資源和條件參考
當您設定[存取控制](#access-control)並撰寫可連接至 IAM 身分 (身分類型政策) 的許可政策時,可以參考下列資料表。資料表清單每個 AWS Backup API 操作、您可以授予執行動作許可的對應動作,以及您可以授予許可 AWS 的資源。您在政策的 `Action` 欄位中指定動作,然後在政策的 `Resource` 欄位中指定資源值。如果 `Resource` 欄位為空白,您可以使用萬用字元 (`*`) 來包含所有資源。
您可以在 AWS Backup 政策中使用 AWS整個條件索引鍵來表達條件。如需 AWS全系列金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[可用金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
使用捲軸查看資料表的其餘部分。
**AWS Backup 動作的 API 和必要許可**
| AWS Backup API 操作 | 所需許可 (API 動作) | Resources |
| --- | --- | --- |
| [CreateBackupPlan](API_CreateBackupPlan.md) | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupSelection](API_CreateBackupSelection.md) | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupVault](API_CreateBackupVault.md) | `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey` | arn:aws:backup:region:account-id:backup-vault:\$1 用於 `backup-storage`:\$1 用於 `kms`:`arn:aws:kms:region:account-id:key/keystring` |
| [DeleteBackupPlan](API_DeleteBackupPlan.md) | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupSelection](API_DeleteBackupSelection.md) | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupVault](API_DeleteBackupVault.md) | backup:DeleteBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md) | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md) | backup:DeleteBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md) | backup:DeleteRecoveryPoint 1 | 2 |
| [DescribeBackupJob](API_DescribeBackupJob.md) | backup:DescribeBackupJob | |
| [DescribeBackupVault](API_DescribeBackupVault.md) | backup:DescribeBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DescribeProtectedResource](API_DescribeProtectedResource.md) | backup:DescribeProtectedResource | |
| [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md) | backup:DescribeRecoveryPoint 1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [DescribeRestoreJob](API_DescribeRestoreJob.md) | backup:DescribeRestoreJob | |
| [DescribeRegionSettings](API_DescribeRegionSettings.md) | backup:DescribeRegionSettings | |
| [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md) | backup:ExportBackupPlanTemplate | |
| [GetBackupPlan](API_GetBackupPlan.md) | backup:GetBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md) | backup:GetBackupPlanFromJSON | |
| [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md) | backup:GetBackupPlanFromTemplate | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupSelection](API_GetBackupSelection.md) | backup:GetBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md) | backup:GetBackupVaultAccessPolicy 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md) | backup:GetBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md) | backup:GetRecoveryPointRestoreMetadata 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md) | backup:GetSupportedResourceTypes | |
| [ListBackupJobs](API_ListBackupJobs.md) | backup:ListBackupJobs | |
| [ListBackupPlans](API_ListBackupPlans.md) | backup:ListBackupPlans | |
| [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md) | backup:ListBackupPlanTemplates | |
| [ListBackupPlanVersions](API_ListBackupPlanVersions.md) | backup:ListBackupPlanVersions | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupSelections](API_ListBackupSelections.md) | backup:ListBackupSelections | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupVaults](API_ListBackupVaults.md) | backup:ListBackupVaults | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListProtectedResources](API_ListProtectedResources.md) | backup:ListProtectedResources | |
| [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md) | backup:ListRecoveryPointsByBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md) | backup:ListRecoveryPointsByResource | |
| [ListRestoreJobs](API_ListRestoreJobs.md) | backup:ListRestoreJobs | |
| [ListTags](API_ListTags.md) | backup:ListTags | |
| [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md) | backup:PutBackupVaultAccessPolicy 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md) | backup:PutBackupVaultLockConfiguration 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md) | backup:PutBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartBackupJob](API_StartBackupJob.md) | backup:StartBackupJob | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartRestoreJob](API_StartRestoreJob.md) | backup:StartRestoreJob | `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3 |
| [StopBackupJob](API_StopBackupJob.md) | backup:StopBackupJob | |
| [TagResource](API_TagResource.md) | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 |
| [UntagResource](API_UntagResource.md) | backup:UntagResource | |
| [UpdateBackupPlan](API_UpdateBackupPlan.md) | backup:UpdateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md) | backup:UpdateRecoveryPointLifecycle 1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [UpdateRegionSettings](API_UpdateRegionSettings.md) | `backup:UpdateRegionSettings` `backup:DescribeRegionSettings` | |
1 使用現有的保存庫存取政策。
2 如需資源特定的復原點 ARNs[AWS Backup 資源 ARNs](#resource-arns-table),請參閱 。
3 `StartRestoreJob` 必須在資源的中繼資料中具有索引鍵/值對。若要取得資源的中繼資料,請呼叫 `GetRecoveryPointRestoreMetadata` API。
如需詳細資訊,請參閱*服務授權參考*中的 [AWS Backup的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)。
## 複製標籤許可
當 AWS Backup 執行備份或複製任務時,它會嘗試將標籤從來源資源 (或複製時的復原點) 複製到復原點。
**注意**
AWS Backup **不會**在還原任務期間原生複製標籤。如需將在還原任務期間複製標籤的事件驅動架構,請參閱[如何在 AWS Backup 還原任務中保留資源標籤](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/)。
在備份或複製任務期間, 會將您在備份計畫 (或複製計畫或隨需備份) 中指定的標籤與來源資源的標籤 AWS Backup 彙總。不過, 會 AWS 強制執行每個資源 50 個標籤的限制, AWS Backup 不可超過。當備份或複製任務彙總計畫和來源資源中的標籤時,可能會探索總計超過 50 個標籤,而無法完成任務,導致任務失敗。這與 AWS整體標記最佳實務一致。
+ 使用來源資源標籤彙總備份任務標籤後,您的資源有超過 50 個標籤。 每個資源最多 AWS 支援 50 個標籤。
+ 您提供給 的 IAM 角色 AWS Backup 缺少讀取來源標籤或設定目的地標籤的許可。如需詳細資訊和 IAM 角色政策範例,請參閱[受管政策](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies)。
您可以使用備份計畫 (新增至復原點的標籤) 來建立與來源資源標籤相衝突的標籤。當兩個標籤衝突時,會優先使用備份計畫中的標籤。如果您不想從來源資源複製標籤值,請使用此技巧。使用備份計畫指定相同的標籤金鑰,但不同或空白值。
**將標籤指派給備份所需的許可**
| Resource Type (資源類型) | 所需的許可 |
| --- | --- |
| Amazon EFS 檔案系統 | `elasticfilesystem:DescribeTags` |
| Amazon FSx 檔案系統 | `fsx:ListTagsForResource` |
| Amazon RDS 資料庫和 Amazon Aurora 叢集 | `rds:AddTagsToResource` `rds:ListTagsForResource` |
| Storage Gateway 磁碟區 | `storagegateway:ListTagsForResource` |
| Amazon EC2 執行個體和 Amazon EBS 磁碟區 | `EC2:CreateTags` `EC2:DescribeTags` |
除非先啟用 [進階 DynamoDB 備份](advanced-ddb-backup.md),否則 DynamoDB 不支援將標籤指派給備份。
當 Amazon EC2 備份建立映像復原點和一組快照時, AWS Backup 會將標籤複製到產生的 AMI。 AWS Backup 也會將標籤從與 Amazon EC2 執行個體相關聯的磁碟區複製到產生的快照。
## 存取政策
*許可政策*描述誰可以存取哪些資源。連接到 IAM 身分的政策稱為*身分類型*政策 (IAM 政策)。連接到資源的政策稱為以*資源為基礎的*政策。 同時 AWS Backup 支援以身分為基礎的政策和以資源為基礎的政策。
**注意**
本節討論在 內容中使用 IAM AWS Backup。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱 *IAM 使用者指南*中的[什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需 IAM 政策語法和說明的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
### 身分類型政策 (IAM 政策)
以身分為基礎的政策是您可以連接到 IAM 身分 (例如使用者或角色) 的政策。例如,您可以定義允許使用者檢視和備份 AWS 資源的政策,但防止它們還原備份。
如需使用者、群組、角色和許可的詳細資訊,請參閱《IAM 使用者指南》**中的[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
如需如何使用 IAM 政策控管備份存取的資訊,請參閱[的受管政策 AWS Backup](security-iam-awsmanpol.md)。
### 資源型政策
AWS Backup 支援備份保存庫的資源型存取政策。這可讓您定義存取政策,控管哪些使用者可以針對備份文件庫中所歸整的任何備份,進行何種存取。以資源為基礎的備份文件庫存取政策,提供了簡單的方法來控管對您備份的存取。
備份保存庫存取政策會在您使用 AWS Backup APIs時控制使用者存取。某些備份類型 (例如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照) 也可以使用這些服務的 API 進行存取。您可以在 IAM 中建立不同的存取政策來控管對這些 API 的存取,以便完全控管對備份的存取。
若要了解如何建立備份文件庫的存取政策,請參閱 [文件庫存取政策](create-a-vault-access-policy.md)。