本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的身分和存取管理 AWS Backup
存取 AWS Backup 需要登入資料。這些憑證必須具備許可才能存取 AWS 資源,例如 Amazon DynamoDB 資料庫或 Amazon EFS 檔案系統。此外,無法使用來源服務 (例如 Amazon EFS) 刪除 AWS Backup 為某些 AWS Backup支援的服務建立的復原點。您可以使用 刪除這些復原點 AWS Backup。
下列各節提供如何使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 和 的詳細資訊 AWS Backup ,以協助安全存取您的 資源。
**警告**
AWS Backup 使用您在指派資源以管理復原點生命週期時選擇的相同 IAM 角色。如果您刪除或修改該角色, AWS Backup 則 無法管理您的復原點生命週期。發生這種情況時,其會嘗試使用服務連結角色來管理您的生命週期。在少數情況下,這可能也無法運作,導致在儲存體上留下 `EXPIRED` 復原點,而可能造成不必要的成本。若要刪除 `EXPIRED` 復原點,請使用[刪除備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html)中的程序手動進行刪除。
**Topics**
+ [身分驗證](authentication.md)
+ [存取控制](access-control.md)
+ [IAM 服務角色](iam-service-roles.md)
+ [的受管政策 AWS Backup](security-iam-awsmanpol.md)
+ [使用 的服務連結角色 AWS Backup](using-service-linked-roles.md)
+ [預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)
# 身分驗證
存取 AWS Backup 或您要備份 AWS 的服務需要 AWS 登入資料,可用來驗證您的請求。您可以使用下列任一類型的身分 AWS 來存取 :
+ **AWS 帳戶 根使用者** – 當您註冊時 AWS,您會提供與 AWS 您的帳戶相關聯的電子郵件地址和密碼。這是您的「AWS 帳戶 根使用者」**。其登入資料可讓您完整存取所有 AWS 資源。
**重要**
基於安全理由,建議您只在建立*管理員*時使用根使用者,管理員是對您的 AWS 帳戶具有完整許可的「IAM 使用者」**。然後,您可以使用此管理員使用者建立其他 IAM 使用者和角色,並授予有限許可。如需詳細資訊,請參閱*IAM 使用者指南*中的 [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)和[建立您的第一個 IAM 管理員使用者和群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)。
+ **IAM 使用者** – [IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是您 AWS 帳戶 中的一種身分,具有特定的自訂許可 (例如,建立備份文件庫以儲存備份的許可)。您可以使用 IAM 使用者名稱和密碼登入安全 AWS 網頁,例如 [AWS 管理主控台](https://console.aws.amazon.com/)、[AWS 開發論壇](https://forums.aws.amazon.com/)或 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
除了使用者名稱和密碼之外,您也可以為每個使用者產生[存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。當您透過[其中一個 SDKs ](https://aws.amazon.com/developer/tools/)或使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/),以程式設計方式存取 AWS 服務時,您可以使用這些金鑰。此軟體開發套件和 AWS CLI 工具使用存取金鑰,以加密方式簽署您的請求。如果您不使用 AWS 工具,您必須自行簽署請求。如需有關驗證請求的詳細資訊,請參閱《AWS 一般參考》**中的 [Signature 第 4 版簽署程序](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)。
+ **IAM 角色** – [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。這類似 IAM 使用者,但不與特定的人關聯。IAM 角色可讓您取得可用來存取 AWS 服務和資源的臨時存取金鑰。使用臨時憑證的 IAM 角色在下列情況中非常有用:
+ 聯合身分使用者存取 – 您可以使用來自 Directory Service企業使用者目錄或 Web 身分提供者的預先存在使用者身分,而不是建立 IAM 使用者。這些稱為*聯合身分使用者*。透過身分提供者[身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)來請求存取時, AWS 會指派角色給聯合身分使用者。如需有關聯合身分使用者的詳細資訊,請參閱 *IAM 使用者指南*中的[聯合身分使用者和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)。
+ 跨帳戶管理 – 您可以使用帳戶中的 IAM 角色來授予管理您帳戶資源的另一個 AWS 帳戶 許可。如需範例,請參閱《[IAM 使用者指南》中的教學課程: AWS 帳戶 使用 IAM 角色委派存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)。 **
+ AWS 服務存取 – 您可以使用帳戶中的 IAM 角色來授予 AWS 服務存取您帳戶資源的許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
+ 在 Amazon Elastic Compute Cloud (Amazon EC2) 上執行的應用程式 – 您可以使用 IAM 角色來管理在 Amazon EC2 執行個體上執行之應用程式的臨時登入資料,並提出 AWS API 請求。這是在 EC2 執行個體內儲存存取金鑰的較好方式。若要將 AWS 角色指派給 EC2 執行個體並將其提供給其所有應用程式,您可以建立連接至執行個體的執行個體描述檔。執行個體描述檔包含該角色,並且可讓 EC2 執行個體上執行的程式取得臨時憑證。如需詳細資訊,請參閱《IAM 使用者指南》**中的[使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。
# 存取控制
您可以擁有有效的登入資料來驗證請求,但除非您有適當的許可,否則無法存取備份文件庫等 AWS Backup 資源。您也無法備份 AWS 資源,例如 Amazon Elastic Block Store (Amazon EBS) 磁碟區。
每個 AWS 資源都由 擁有 AWS 帳戶,而建立或存取資源的許可是由許可政策管理。帳戶管理員可以將許可政策連接到 AWS Identity and Access Management (IAM) 身分 (即使用者、群組和角色)。某些服務還支援將許可政策連接到資源。
*帳戶管理員* (或管理員使用者) 是具有管理員許可的使用者。如需詳細資訊,請參《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。
當您授予許可時,能夠決定取得許可的對象、這些對象取得許可的資源,以及可對上述資源進行的特定動作。
下列各節說明存取政策的運作方式,以及您可如何運用這些政策來保護備份。
**Topics**
+ [資源和操作](#access-control-resources)
+ [資源擁有權](#access-control-owner)
+ [指定政策元素:動作、效果和主體](#access-control-specify-backup-actions)
+ [在政策中指定條件](#specifying-conditions)
+ [API 許可:動作、資源和條件參考](#backup-api-permissions-ref)
+ [複製標籤許可](#copy-tags)
+ [存取政策](#access-policies)
## 資源和操作
資源是存在於服務內的物件。 AWS Backup 資源包括備份計劃、備份文件庫和備份。*備份*是一般術語,是指存在於 中的各種備份資源類型 AWS。例如,Amazon EBS 快照、Amazon Relational Database Service (Amazon RDS) 快照和 Amazon DynamoDB 備份都是備份資源類型。
在 中 AWS Backup,備份也稱為*復原點*。使用 時 AWS Backup,您也可以使用您 AWS 嘗試保護之其他服務的資源,例如 Amazon EBS 磁碟區或 DynamoDB 資料表。這些資源具有與其相關聯的唯一 Amazon Resource Name (ARN)。ARNs可唯一識別 AWS 資源。如果需要在 AWS各處明確地指定資源 (例如在 IAM 政策或 API 呼叫中),必須具有 ARN。
下表列出資源、子資源、ARN 格式和範例唯一 ID。
**AWS Backup 資源 ARNs**
| Resource Type (資源類型) | ARN 格式 | 範例唯一 ID |
| --- | --- | --- |
| 備份計劃 | arn:aws:backup:region:account-id:backup-plan:\$1 | |
| 備份文件庫 | arn:aws:backup:region:account-id:backup-vault:\$1 | |
| Amazon EBS 的復原點 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 |
| Amazon EC2 映像的復原點 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 |
| Amazon RDS 的復原點 | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora 的復原點 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora DSQL 的復原點 | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a |
| Storage Gateway 的復原點 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 |
| DynamoDB (不含[進階 DynamoDB 備份](advanced-ddb-backup.md)) 的復原點 | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| DynamoDB (已啟用[進階 DynamoDB 備份](advanced-ddb-backup.md)) 的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Amazon EFS 的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Amazon FSx 的復原點 | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 |
| 虛擬機器的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Amazon S3 連續備份的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 |
| S3 定期備份的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 |
| Amazon DocumentDB 的復原點 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Neptune 的復原點 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift 的復原點 | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift Serverless 的復原點 | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Timestream 的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta |
| AWS CloudFormation 範本的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Amazon EC2 執行個體上 SAP HANA 資料庫的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
支援完整 AWS Backup 管理的資源都有格式為 的復原點`arn:aws:backup:region:account-id::recovery-point:*`。 可讓您更輕鬆地套用許可政策來保護這些復原點。若要查看哪些資源支援完整 AWS Backup 管理,請參閱[各資源的功能可用性](backup-feature-availability.md#features-by-resource)資料表的該區段。
AWS Backup 提供一組操作來使用 AWS Backup 資源。如需可用操作的清單,請參閱 AWS Backup [動作](API_Operations.md)。
## 資源擁有權
無論誰建立資源, 都會 AWS 帳戶 擁有在帳戶中建立的資源。具體而言,資源擁有者是驗證資源建立請求 AWS 帳戶 的[委託人實體](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (即 AWS 帳戶 根使用者、IAM 使用者或 IAM 角色) 的 。下列範例說明其如何運作:
+ 如果您使用 的 AWS 帳戶 根使用者登入 AWS 帳戶 資料來建立備份保存庫,則您的 AWS 帳戶 是保存庫的擁有者。
+ 如果您在 中建立 IAM 使用者, AWS 帳戶 並將建立備份文件庫的許可授予該使用者,則使用者可以建立備份文件庫。不過,您的 AWS 帳戶 (即該使用者所屬的帳戶) 會擁有備份文件庫的資源。
+ 如果您在 中建立 AWS 帳戶 具有建立備份保存庫許可的 IAM 角色,則任何可以擔任該角色的人都可以建立保存庫。 AWS 帳戶角色所屬的 擁有備份保存庫資源。
## 指定政策元素:動作、效果和主體
對於每個 AWS Backup 資源 (請參閱 [資源和操作](#access-control-resources)),服務會定義一組 API 操作 (請參閱 [動作](API_Operations.md))。若要授予這些 API 操作的許可, AWS Backup 會定義一組您可以在政策中指定的動作。執行一項 API 操作可能需要多個動作的許可。
以下是最基本的政策元素:
+ 資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需詳細資訊,請參閱[資源和操作](#access-control-resources)。
+ 動作:使用動作關鍵字識別您要允許或拒絕的資源操作。
+ 效果 - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
+ 委託人:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。
如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱*《IAM 使用者指南》*中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
如需顯示所有 AWS Backup API 動作的資料表,請參閱 [API 許可:動作、資源和條件參考](#backup-api-permissions-ref)。
## 在政策中指定條件
當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
AWS 支援全域條件金鑰和服務特定的條件金鑰。若要查看所有全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
AWS Backup 會定義自己的一組條件索引鍵。若要查看 AWS Backup 條件索引鍵的清單,請參閱《*服務授權參考*》中的 [的條件索引鍵 AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys)。
## API 許可:動作、資源和條件參考
當您設定[存取控制](#access-control)並撰寫可連接至 IAM 身分 (身分類型政策) 的許可政策時,可以參考下列資料表。資料表清單每個 AWS Backup API 操作、您可以授予執行動作許可的對應動作,以及您可以授予許可 AWS 的資源。您在政策的 `Action` 欄位中指定動作,然後在政策的 `Resource` 欄位中指定資源值。如果 `Resource` 欄位為空白,您可以使用萬用字元 (`*`) 來包含所有資源。
您可以在 AWS Backup 政策中使用 AWS整個條件索引鍵來表達條件。如需 AWS全系列金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[可用金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
使用捲軸查看資料表的其餘部分。
**AWS Backup 動作的 API 和必要許可**
| AWS Backup API 操作 | 所需許可 (API 動作) | Resources |
| --- | --- | --- |
| [CreateBackupPlan](API_CreateBackupPlan.md) | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupSelection](API_CreateBackupSelection.md) | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupVault](API_CreateBackupVault.md) | `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey` | arn:aws:backup:region:account-id:backup-vault:\$1 用於 `backup-storage`:\$1 用於 `kms`:`arn:aws:kms:region:account-id:key/keystring` |
| [DeleteBackupPlan](API_DeleteBackupPlan.md) | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupSelection](API_DeleteBackupSelection.md) | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupVault](API_DeleteBackupVault.md) | backup:DeleteBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md) | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md) | backup:DeleteBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md) | backup:DeleteRecoveryPoint 1 | 2 |
| [DescribeBackupJob](API_DescribeBackupJob.md) | backup:DescribeBackupJob | |
| [DescribeBackupVault](API_DescribeBackupVault.md) | backup:DescribeBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DescribeProtectedResource](API_DescribeProtectedResource.md) | backup:DescribeProtectedResource | |
| [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md) | backup:DescribeRecoveryPoint 1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [DescribeRestoreJob](API_DescribeRestoreJob.md) | backup:DescribeRestoreJob | |
| [DescribeRegionSettings](API_DescribeRegionSettings.md) | backup:DescribeRegionSettings | |
| [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md) | backup:ExportBackupPlanTemplate | |
| [GetBackupPlan](API_GetBackupPlan.md) | backup:GetBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md) | backup:GetBackupPlanFromJSON | |
| [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md) | backup:GetBackupPlanFromTemplate | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupSelection](API_GetBackupSelection.md) | backup:GetBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md) | backup:GetBackupVaultAccessPolicy 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md) | backup:GetBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md) | backup:GetRecoveryPointRestoreMetadata 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md) | backup:GetSupportedResourceTypes | |
| [ListBackupJobs](API_ListBackupJobs.md) | backup:ListBackupJobs | |
| [ListBackupPlans](API_ListBackupPlans.md) | backup:ListBackupPlans | |
| [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md) | backup:ListBackupPlanTemplates | |
| [ListBackupPlanVersions](API_ListBackupPlanVersions.md) | backup:ListBackupPlanVersions | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupSelections](API_ListBackupSelections.md) | backup:ListBackupSelections | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupVaults](API_ListBackupVaults.md) | backup:ListBackupVaults | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListProtectedResources](API_ListProtectedResources.md) | backup:ListProtectedResources | |
| [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md) | backup:ListRecoveryPointsByBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md) | backup:ListRecoveryPointsByResource | |
| [ListRestoreJobs](API_ListRestoreJobs.md) | backup:ListRestoreJobs | |
| [ListTags](API_ListTags.md) | backup:ListTags | |
| [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md) | backup:PutBackupVaultAccessPolicy 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md) | backup:PutBackupVaultLockConfiguration 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md) | backup:PutBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartBackupJob](API_StartBackupJob.md) | backup:StartBackupJob | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartRestoreJob](API_StartRestoreJob.md) | backup:StartRestoreJob | `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3 |
| [StopBackupJob](API_StopBackupJob.md) | backup:StopBackupJob | |
| [TagResource](API_TagResource.md) | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 |
| [UntagResource](API_UntagResource.md) | backup:UntagResource | |
| [UpdateBackupPlan](API_UpdateBackupPlan.md) | backup:UpdateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md) | backup:UpdateRecoveryPointLifecycle 1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [UpdateRegionSettings](API_UpdateRegionSettings.md) | `backup:UpdateRegionSettings` `backup:DescribeRegionSettings` | |
1 使用現有的保存庫存取政策。
2 如需資源特定的復原點 ARNs[AWS Backup 資源 ARNs](#resource-arns-table),請參閱 。
3 `StartRestoreJob` 必須在資源的中繼資料中具有索引鍵/值對。若要取得資源的中繼資料,請呼叫 `GetRecoveryPointRestoreMetadata` API。
如需詳細資訊,請參閱*服務授權參考*中的 [AWS Backup的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)。
## 複製標籤許可
當 AWS Backup 執行備份或複製任務時,它會嘗試將標籤從來源資源 (或複製時的復原點) 複製到復原點。
**注意**
AWS Backup **不會**在還原任務期間原生複製標籤。如需將在還原任務期間複製標籤的事件驅動架構,請參閱[如何在 AWS Backup 還原任務中保留資源標籤](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/)。
在備份或複製任務期間, 會將您在備份計畫 (或複製計畫或隨需備份) 中指定的標籤與來源資源的標籤 AWS Backup 彙總。不過, 會 AWS 強制執行每個資源 50 個標籤的限制, AWS Backup 不可超過。當備份或複製任務彙總計畫和來源資源中的標籤時,可能會探索總計超過 50 個標籤,而無法完成任務,導致任務失敗。這與 AWS整體標記最佳實務一致。
+ 使用來源資源標籤彙總備份任務標籤後,您的資源有超過 50 個標籤。 每個資源最多 AWS 支援 50 個標籤。
+ 您提供給 的 IAM 角色 AWS Backup 缺少讀取來源標籤或設定目的地標籤的許可。如需詳細資訊和 IAM 角色政策範例,請參閱[受管政策](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies)。
您可以使用備份計畫 (新增至復原點的標籤) 來建立與來源資源標籤相衝突的標籤。當兩個標籤衝突時,會優先使用備份計畫中的標籤。如果您不想從來源資源複製標籤值,請使用此技巧。使用備份計畫指定相同的標籤金鑰,但不同或空白值。
**將標籤指派給備份所需的許可**
| Resource Type (資源類型) | 所需的許可 |
| --- | --- |
| Amazon EFS 檔案系統 | `elasticfilesystem:DescribeTags` |
| Amazon FSx 檔案系統 | `fsx:ListTagsForResource` |
| Amazon RDS 資料庫和 Amazon Aurora 叢集 | `rds:AddTagsToResource` `rds:ListTagsForResource` |
| Storage Gateway 磁碟區 | `storagegateway:ListTagsForResource` |
| Amazon EC2 執行個體和 Amazon EBS 磁碟區 | `EC2:CreateTags` `EC2:DescribeTags` |
除非先啟用 [進階 DynamoDB 備份](advanced-ddb-backup.md),否則 DynamoDB 不支援將標籤指派給備份。
當 Amazon EC2 備份建立映像復原點和一組快照時, AWS Backup 會將標籤複製到產生的 AMI。 AWS Backup 也會將標籤從與 Amazon EC2 執行個體相關聯的磁碟區複製到產生的快照。
## 存取政策
*許可政策*描述誰可以存取哪些資源。連接到 IAM 身分的政策稱為*身分類型*政策 (IAM 政策)。連接到資源的政策稱為以*資源為基礎的*政策。 同時 AWS Backup 支援以身分為基礎的政策和以資源為基礎的政策。
**注意**
本節討論在 內容中使用 IAM AWS Backup。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱 *IAM 使用者指南*中的[什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需 IAM 政策語法和說明的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
### 身分類型政策 (IAM 政策)
以身分為基礎的政策是您可以連接到 IAM 身分 (例如使用者或角色) 的政策。例如,您可以定義允許使用者檢視和備份 AWS 資源的政策,但防止它們還原備份。
如需使用者、群組、角色和許可的詳細資訊,請參閱《IAM 使用者指南》**中的[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
如需如何使用 IAM 政策控管備份存取的資訊,請參閱[的受管政策 AWS Backup](security-iam-awsmanpol.md)。
### 資源型政策
AWS Backup 支援備份保存庫的資源型存取政策。這可讓您定義存取政策,控管哪些使用者可以針對備份文件庫中所歸整的任何備份,進行何種存取。以資源為基礎的備份文件庫存取政策,提供了簡單的方法來控管對您備份的存取。
備份保存庫存取政策會在您使用 AWS Backup APIs時控制使用者存取。某些備份類型 (例如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照) 也可以使用這些服務的 API 進行存取。您可以在 IAM 中建立不同的存取政策來控管對這些 API 的存取,以便完全控管對備份的存取。
若要了解如何建立備份文件庫的存取政策,請參閱 [文件庫存取政策](create-a-vault-access-policy.md)。
# IAM 服務角色
AWS Identity and Access Management (IAM) 角色類似於使用者,因為它是具有許可政策的 AWS 身分,可決定身分可以和不可以執行的操作 AWS。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。服務角色是 AWS 服務擔任以代表您執行動作的角色。做為代表您執行備份操作的服務, AWS Backup 需要獲得您傳遞的角色,以在代表您進行備份操作時擔任該角色。如需 IAM 角色的更多相關資訊,請參閱 *IAM 使用者指南*中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。
您傳遞至 的角色 AWS Backup 必須具有 IAM 政策,其許可 AWS Backup 可讓 執行與備份操作相關的動作,例如建立、還原或即將過期的備份。每個 AWS Backup 支援的服務都需要 AWS 不同的許可。該角色也必須 AWS Backup 列為信任的實體,讓 AWS Backup 能夠擔任該角色。
當您將資源指派給備份計劃,或執行隨需備份、複製或還原時,您必須傳遞可存取 的服務角色,才能對指定的資源執行基礎操作。 AWS Backup 使用此角色來建立、標記和刪除帳戶中的資源。
## 使用 AWS 角色來控制對備份的存取
您可以使用角色,藉由定義狹義範圍的角色,和指定可以傳遞角色給 AWS Backup的人員,來控管對您備份的存取。例如,您可以建立一個角色,只授予備份 Amazon Relational Database Service (Amazon RDS) 資料庫的許可,並只授予 Amazon RDS 資料庫擁有者傳遞該角色的許可 AWS Backup。 為每個支援的服務 AWS Backup 提供數個預先定義的受管政策。您可以將這些受管政策連接至您建立的角色,這可讓您更輕鬆地建立具有 AWS Backup 所需正確許可的服務特定角色。
如需 AWS 受管政策的詳細資訊 AWS Backup,請參閱 [的受管政策 AWS Backup](security-iam-awsmanpol.md)。
## 的預設服務角色 AWS Backup
第一次使用 AWS Backup 主控台時,您可以選擇讓 為您 AWS Backup 建立預設服務角色。此角色具有代表您建立和還原備份 AWS Backup 所需的許可。
**注意**
當您使用 AWS 管理主控台時,系統會自動建立預設角色。您可以使用 AWS Command Line Interface (AWS CLI) 建立預設角色,但必須手動完成。
如果您偏好使用自訂角色 (例如針對不同資源類型使用不同角色),您也可以這麼做並將自訂角色傳遞給 AWS Backup。若要檢視為個別資源類型啟用備份和還原的角色範例,請參閱<[客戶管理政策](security-iam-awsmanpol.md#customer-managed-policies)>表格。
預設服務角色名為 `AWSBackupDefaultServiceRole`。此服務角色包含兩個受管政策:[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 和 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
`AWSBackupServiceRolePolicyForBackup` 包含 IAM 政策,授予 AWS Backup 許可來描述要備份的資源、建立、刪除、描述或新增標籤至備份的功能,無論其加密的 AWS KMS 金鑰為何。
`AWSBackupServiceRolePolicyForRestores` 包含 IAM 政策,授予 AWS Backup 許可來建立、刪除或描述從備份建立的新資源,無論其加密的 AWS KMS 金鑰為何。該政策還包含標記新建立資源的許可。
若要還原 Amazon EC2 執行個體,您必須啟動新的執行個體。
## 在主控台中建立預設服務角色
您在 AWS Backup 主控台中採取的特定動作會建立 AWS Backup 預設服務角色。
**在 AWS 帳戶中建立 AWS Backup 預設服務角色**
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 若要為您的帳戶建立角色,請將資源指派給備份計畫,或建立隨需備份。
1. 建立備份計畫,並將資源指派給備份。請參閱[建立備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)。
1. 或者,建立隨需備份。請參閱[建立隨需備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html)。
1. 依照下列步驟,確認您已在帳戶中建立 `AWSBackupDefaultServiceRole`:
1. 請等待數分鐘。如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》**中的[我所做的變更不一定都會立刻生效](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency)。
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側導覽選單中,選擇 **角色**。
1. 在搜尋列中,輸入 `AWSBackupDefaultServiceRole`。如果此選項存在,表示您已建立 AWS Backup 預設角色並完成此程序。
1. 如果 `AWSBackupDefaultServiceRole` 仍未顯示,請將下列許可新增至您用來存取主控台的 IAM 使用者或 IAM 角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
},
{
"Effect":"Allow",
"Action":[
"iam:ListRoles"
],
"Resource":"*"
}
]
}
```
------
若是中國區域,請以 *aws-cn* 取代 *aws*。對於 AWS GovCloud (US) 區域,請以 *aws**aws-us-gov*。
1. 如果您無法將許可新增至 IAM 使用者或 IAM 角色,請要求管理員使用 `AWSBackupDefaultServiceRole` 以外**的名稱手動建立角色,並將該角色連接到下列受管政策:
+ `AWSBackupServiceRolePolicyForBackup`
+ `AWSBackupServiceRolePolicyForRestores`
# 的受管政策 AWS Backup
受管政策是獨立的身分型政策,您可以連接到 中的多個使用者、群組和角色 AWS 帳戶。將政策連接到主體實體時,便向實體授予了政策中定義的許可。
*AWS 受管政策*由 建立和管理 AWS。您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。
*客戶受管政策*為您提供精細的控制,以設定對 中備份的存取 AWS Backup。例如,您可以使用這些政策為資料庫備份管理員提供 Amazon RDS 備份 (而非 Amazon EFS 備份) 的存取權限。
如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
## AWS 受管政策
AWS Backup 針對常見的使用案例提供下列 AWS 受管政策。這些政策可讓您更輕鬆地定義適當的許可,和控管對您備份的存取。受管政策有兩種。其中一種是設計用來指派給使用者,以控制這些使用者對 AWS Backup的存取。另一種受管政策是設計用來連接到您傳遞給 AWS Backup的角色。下表列出了 AWS Backup 提供的所有受管政策,並說明這些政策的定義。您可以在 IAM 主控台的 **政策** 區段中找到這些受管政策。
**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)
### AWSBackupAuditAccess
此政策授予許可,讓使用者建立控制和架構,以定義他們對 AWS Backup 資源和活動的期望,並根據其定義的控制和架構稽核 AWS Backup 資源和活動。此政策授予許可給 AWS Config 和類似的 服務,以描述使用者期望執行稽核。
此政策也授予提供稽核報告給 Amazon S3 和類似服務的許可,並可讓使用者尋找和開啟其稽核報告。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html)。
### AWSBackupDataTransferAccess
此政策提供 AWS Backup 儲存平面資料傳輸 APIs許可,允許 AWS Backint 代理程式使用 AWS Backup 儲存平面完成備份資料傳輸。您可以使用 Backint 代理程式,將此政策連接至執行 SAP HANA 的 Amazon EC2 執行個體所擔任的角色。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html)。
### AWSBackupFullAccess
備份管理員具有 AWS Backup 操作的完整存取權,包括建立或編輯備份計劃、將 AWS 資源指派給備份計劃,以及還原備份。備份管理員會負責制定符合其組織業務與法規要求的備份計劃,以判定和強制執行備份合規。備份管理員也會確保其組織的 AWS 資源已指派給適當的計劃。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)。
### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
此政策提供 Backup 閘道許可,以代表您同步虛擬機器的中繼資料
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html)。
### AWSBackupGuardDutyRolePolicyForScans
此政策必須新增至新的掃描角色,以授予 Amazon GuardDuty 讀取和掃描備份的許可。您需要在惡意軟體保護或掃描設定中將此掃描角色連接至備份計畫。 AWS 備份啟動掃描時,會將此掃描角色傳遞給 Amazon GuardDuty。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)。
### AWSBackupOperatorAccess
備份操作人員是使用者,負責確保所經手的資源能夠正確地備份。備份運算子具有將 AWS 資源指派給備份管理員建立之備份計畫的許可。他們也有權建立其 AWS 資源的隨需備份,以及設定隨需備份的保留期間。備份操作人員不具有許可,來建立或編輯備份計劃,或是在排程備份建立後刪除這些備份。備份操作人員可以還原備份。您可以限制備份操作人員能夠指派給備份計劃或從備份還原的資源類型。您可以只允許將特定服務角色傳遞至 AWS Backup 具有特定資源類型許可的 。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html)。
### AWSBackupOrganizationAdminAccess
組織管理員具有 AWS Organizations 操作的完整存取權,包括建立、編輯或刪除備份政策、將備份政策指派給帳戶和組織單位,以及監控組織內的備份活動。組織管理員負責定義和指派符合組織業務和法規要求的備份政策,以保護組織中的帳戶。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html)。
### AWSBackupRestoreAccessForSAPHANA
此政策提供在 Amazon EC2 上還原 SAP HANA 備份的 AWS Backup 許可。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html)。
### AWSBackupSearchOperatorAccess
搜尋運算子角色具有建立備份索引和建立索引備份中繼資料搜尋的存取權。
此政策包含這些函數的必要許可。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html)。
### AWSBackupServiceLinkedRolePolicyForBackup
此政策會連接到名為 的服務連結角色AWSServiceRoleforBackup,以允許 代表您 AWS Backup 呼叫 AWS 服務來管理您的備份。如需詳細資訊,請參閱[使用 角色來備份和複製](using-service-linked-roles-AWSServiceRoleForBackup.md)。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)。
### AWSBackupServiceLinkedRolePolicyForBackupTest
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html)。
### AWSBackupServiceRolePolicyForBackup
提供代表您建立所有支援資源類型備份的 AWS Backup 許可。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)。
### AWSBackupServiceRolePolicyForItemRestores
**Description**
此政策授予使用者許可,以將快照中的個別檔案和項目 (定期備份復原點) 還原至新的或現有的 Amazon S3 儲存貯體或新的 Amazon EBS 磁碟區。這些許可包括:Amazon EBS 的讀取許可,適用於由 Amazon S3 儲存貯體的 AWS Backup 讀取/寫入許可所管理的快照,以及產生和描述 AWS KMS 金鑰的許可。
**使用此政策**
您可以將 `AWSBackupServiceRolePolicyForItemRestores` 連接至使用者、群組與角色。
**政策詳細資訊**
+ **類型:** AWS 受管政策
+ **建立時間:**2024 年 11 月 21 日,UTC 22:45
+ **編輯時間:**第一個執行個體
+ **ARN**:`arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`
**政策版本:**v1 (預設)
此政策的版本定義政策的許可。當具有 政策的使用者或角色提出存取 AWS 資源的請求時, 會 AWS 檢查政策的預設版本,以決定是否允許請求。
**JSON 政策文件:**
#### AWSBackupServiceRolePolicyForItemRestores JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "S3ReadonlyPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "S3PermissionsForFileLevelRestore",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::*/*"
},
{
"Sid": "KMSDataKeyForS3AndEC2Permissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com",
"s3.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForIndexing
**Description**
此政策會授予使用者索引快照的許可,也稱為定期復原點。這些許可包括:Amazon EBS 的讀取許可,適用於由 Amazon S3 儲存貯體的 AWS Backup 讀取/寫入許可所管理的快照,以及產生和描述 AWS KMS 金鑰的許可。
**使用此政策**
您可以將 `AWSBackupServiceRolePolicyForIndexing` 連接至使用者、群組與角色。
**政策詳細資訊**
+ **類型:** AWS 受管政策
+ **編輯時間:**第一個執行個體
+ **ARN**:`arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`
**政策版本:**v1 (預設)
此政策的版本定義政策的許可。當具有 政策的使用者或角色提出存取 AWS 資源的請求時, 會 AWS 檢查政策的預設版本,以決定是否允許請求。
**JSON 政策文件:**
#### AWSBackupServiceRolePolicyForIndexing JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSDataKeyForEC2Permissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForRestores
提供代表您還原所有支援資源類型備份的 AWS Backup 許可。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
對於 EC2 執行個體還原,您還必須包含以下許可才能啟動 EC2 執行個體:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPassRole",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/role-name",
"Effect": "Allow"
}
]
}
```
------
### AWSBackupServiceRolePolicyForS3Backup
此政策包含 備份任何 S3 儲存貯 AWS Backup 體所需的許可。這包括存取儲存貯體中的所有物件和任何相關聯的 AWS KMS 金鑰。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)。
### AWSBackupServiceRolePolicyForS3Restore
此政策包含 AWS Backup 將 S3 備份還原至儲存貯體所需的許可。這包括對儲存貯體的讀取和寫入許可,以及有關 S3 操作的任何 AWS KMS 金鑰使用情況。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)。
### AWSBackupServiceRolePolicyForScans
政策應連接到您在備份計劃資源選擇中使用的 IAM 角色。此角色授予 AWS Backup 在 Amazon GuardDuty 中啟動掃描的許可。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)。
### AWSServiceRolePolicyForBackupReports
AWS Backup 會將此政策用於 [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html) 服務連結角色。此服務連結角色提供 AWS Backup 許可,以監控和報告備份設定、任務和資源與架構的合規性。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)。
### AWSServiceRolePolicyForBackupRestoreTesting
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)。
## 客戶管理政策
下列各節說明 支援之 AWS 服務和第三方應用程式的建議備份和還原許可 AWS Backup。您可以在建立自己的政策文件時,使用現有的 AWS 受管政策做為模型,然後自訂它們以進一步限制對 AWS 資源的存取。
**重要**
使用 的自訂 IAM 角色時 AWS Backup,除了許可之外,您還必須包含資源特定的 AWS Backup 許可。例如,在 Amazon RDS 資源`backup:ListTags`上呼叫 時,您的自訂 IAM 角色也必須包含 `rds:ListTagsForResource` 許可。雖然這些許可包含在預設 AWS Backup 服務角色中,但必須明確新增至客戶受管政策。所需的基礎資源許可取決於正在執行的特定 AWS 服務和操作。
### Amazon Aurora
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `RDSPermissions`陳述式開始。
### Amazon Aurora DSQL
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `DSQLRestorePermissions`陳述式開始。
### Amazon DynamoDB
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的下列陳述式開始:
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`
### Amazon EBS
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `EBSPermissions`陳述式開始。
添加以下陳述式。
```
{
"Effect":"Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource":"*"
},
```
### Amazon EC2
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的下列陳述式開始:
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`
添加以下陳述式。
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/role-name"
},
```
將 *role-name* 取代為將連接至還原之 EC2 執行個體的 EC2 執行個體描述檔角色名稱。這不是 AWS Backup 服務角色,而是為在 EC2 執行個體上執行的應用程式提供許可的 IAM 角色。
### Amazon EFS
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `EFSPermissions`陳述式開始。
### Amazon FSx
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的下列陳述式開始:
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`
### Amazon Neptune
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `RDSPermissions`陳述式開始。
### Amazon RDS
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `RDSPermissions`陳述式開始。
### Amazon S3
**備份**
從 [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) 開始。
如果您需要將備份複製到不同的帳戶,請新增 `BackupVaultPermissions`和 `BackupVaultCopyPermissions`陳述式。
**還原**
從 [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) 開始。
### AWS Storage Gateway
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
添加以下陳述式。
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource":"*"
},
```
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的下列陳述式開始:
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`
### 虛擬機器
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的 `BackupGatewayBackupPermissions`陳述式開始。
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `GatewayRestorePermissions`陳述式開始。
### 加密備份
**若要還原加密的備份,請執行下列其中一個動作**
+ 將您的角色新增至 AWS KMS 金鑰政策的允許清單
+ 從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 將下列陳述式新增至還原的 IAM 角色:
+ `KMSDescribePermissions`
+ `KMSPermissions`
+ `KMSCreateGrantPermissions`
## 的政策更新 AWS Backup
檢視自此服務開始追蹤這些變更 AWS Backup 以來, AWS 受管政策更新的詳細資訊。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 還原測試在還原測試完成後刪除 RDS 租戶資料庫。 | 2026 年 3 月 18 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 在您的復原點上 AWS Backup 啟動惡意軟體掃描。 | 2026 年 2 月 23 日 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – 新政策 | AWS Backup 新增了新的 AWS 受管政策,提供 Amazon GuardDuty 讀取和掃描客戶備份的許可。啟動操作 時, 會將具有此政策的角色 AWS Backup 傳遞給 GuardDuty`StartMalwareScan`。 這對於在 Amazon EC2、Amazon EBS 和 Amazon S3 資源的復原點上提供惡意軟體掃描所需的所有必要許可是必要的。 如需詳細資訊,請參閱 受管政策 [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)。 | 2025 年 11 月 19 日 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – 新政策 | AWS Backup 新增了新的 AWS 受管政策,提供在您的復原點啟動惡意軟體掃描的 AWS Backup 許可。 這對於在 Amazon EC2、Amazon EBS 和 Amazon S3 資源的復原點上提供惡意軟體掃描所需的所有必要許可是必要的。 如需詳細資訊,請參閱 受管政策 [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)。 | 2025 年 11 月 19 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 已`malware-protection.guardduty.amazonaws.com`新增至 `IamPassRolePermissions`,這是啟動惡意軟體掃描任務的必要項目。 | 2025 年 11 月 19 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是啟動惡意軟體掃描任務的必要許可。 | 2025 年 11 月 19 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 備份和還原 Amazon EKS 叢集。 | 2025 年 11 月 10 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 備份和還原 Amazon EKS 叢集。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可 AWS Backup 允許 代表客戶建立 Amazon EKS 叢集及其相關資源的備份。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可 AWS Backup 允許 代表客戶建立 Amazon EKS 叢集及其相關資源的備份。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 代表客戶 AWS Backup 執行 Amazon EKS 叢集及其相關資源的還原操作。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 此許可允許 AWS Backup 將委派管理員資訊與 Organizations 同步以進行跨帳戶管理功能。 | 2025 年 9 月 9 日 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – 新政策 | AWS Backup 新增了新的 AWS 受管政策,提供 Amazon GuardDuty 讀取和掃描客戶備份的許可。啟動操作 時, 會將具有此政策的角色 AWS Backup 傳遞給 GuardDuty`StartMalwareScan`。 這對於在 Amazon EC2、Amazon EBS 和 Amazon S3 資源的復原點上提供惡意軟體掃描所需的所有必要許可是必要的。 如需詳細資訊,請參閱 受管政策 [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)。 | 2025 年 11 月 24 日 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – 新政策 | AWS Backup 新增了新的 AWS 受管政策,提供在您的復原點啟動惡意軟體掃描的 AWS Backup 許可。 這對於在 Amazon EC2、Amazon EBS 和 Amazon S3 資源的復原點上提供惡意軟體掃描所需的所有必要許可是必要的。 如需詳細資訊,請參閱 受管政策 [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)。 | 2025 年 11 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 需要這些許可 AWS Backup ,才能代表客戶執行 DSQL 資源的協調多區域還原操作。 | 2025 年 7 月 17 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是與 AWS 帳戶管理 AWS Backup 整合的必要許可, AWS Organizations 因此客戶可以選擇多方核准 (MPA) 作為邏輯氣隙隔離保存庫的一部分。 | 2025 年 6 月 17 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新現有政策: | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是必要的,可讓客戶透過 還原 Amazon FSx for OpenZFS 多可用區域 (多可用區域) 快照 AWS Backup。 | 2025 年 5 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 備份和還原 Amazon Aurora DSQL 資源。 | 2025 年 5 月 21 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 備份和還原 Amazon Aurora DSQL 資源。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可 AWS Backup 允許 代表客戶建立、刪除、擷取和管理 Amazon Aurora DSQL 快照。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可 AWS Backup 允許 代表客戶建立、刪除、擷取、加密、解密和管理 Amazon Aurora DSQL 快照。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 以客戶指定的間隔來管理 Aurora DSQL 備份。 | 2025 年 5 月 21 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是指定客戶完整存取 Amazon Redshift Serverless 備份的必要許可,包括必要的讀取許可,以及刪除 Amazon Redshift Serverless 復原點 (快照備份) 的能力。 | 2025 年 3 月 31 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是指定客戶擁有 Amazon Redshift Serverless 所有必要備份許可的必要許可,包括必要的讀取許可。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 需要這些許可 AWS Backup ,才能以客戶指定的間隔管理 Amazon Redshift Serverless 快照。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是允許 代表客戶 AWS Backup 建立、刪除、擷取和管理 Amazon Redshift Serverless 快照的必要許可。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是允許 代表客戶 AWS Backup 還原 Amazon Redshift 和 Amazon Redshift Serverless 快照的必要許可。 | 2025 年 3 月 31 日 |
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess) – 新增了新的 AWS 受管政策 | AWS Backup 新增 AWSBackupSearchOperatorAccess AWS 受管政策。 | 2025 年 2 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | AWS Backup 新增`rds:AddTagsToResource`支援備份之 Amazon RDS 多租戶快照跨帳戶複本的許可。 當客戶選擇建立多租用戶 RDS 快照的跨帳戶複本時,需要此許可才能完成操作。 | 2025 年 1 月 8 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新現有政策 | AWS Backup 已將 許可`rds:CreateTenantDatabase`和 `rds:DeleteTenantDatabase` 新增至此政策,以支援 Amazon RDS 資源的還原程序。 這些許可是完成客戶操作以還原多租戶快照的必要許可。 | 2025 年 1 月 8 日 |
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores) – 新增了新的 AWS 受管政策 | AWS Backup 新增 AWSBackupServiceRolePolicyForItemRestores AWS 受管政策。 | 2024 年 11 月 26 日 |
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing) – 新增了新的 AWS 受管政策 | AWS Backup 新增 AWSBackupServiceRolePolicyForIndexing AWS 受管政策。 | 2024 年 11 月 26 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | AWS Backup 已將許可`backup:TagResource`新增至此政策。 在建立復原點期間取得標記許可時,需要 許可。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 更新至現有政策 | AWS Backup 已將許可`backup:TagResource`新增至此政策。 在建立復原點期間取得標記許可時,需要 許可。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將許可`backup:TagResource`新增至此政策。 在建立復原點期間取得標記許可時,需要 許可。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | 新增 許可`rds:DeleteDBInstanceAutomatedBackups`。 需要此許可 AWS Backup ,才能支援 Amazon RDS 執行個體的持續備份和point-in-time-restore。 | 2024 年 5 月 1 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | AWS Backup 將 許可中的 Amazon Resource Name (ARN) `storagegateway:ListVolumes` 從 更新`arn:aws:storagegateway:*:*:gateway/*`為 `*` ,以適應 Storage Gateway API 模型中的變更。 | 2024 年 5 月 1 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | AWS Backup 將 許可中的 Amazon Resource Name (ARN) `storagegateway:ListVolumes` 從 更新`arn:aws:storagegateway:*:*:gateway/*`為 `*` ,以適應 Storage Gateway API 模型中的變更。 | 2024 年 5 月 1 日 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – 更新至現有政策 | 新增下列許可來描述和列出復原點和受保護的資源,以執行還原測試計畫:`backup:DescribeRecoveryPoint`、`backup:ListProtectedResources`、 `backup:DescribeProtectedResource`和 `backup:ListRecoveryPointsByResource`。 新增`ec2:DescribeSnapshotTierStatus`支援 Amazon EBS 封存層儲存的許可。 新增`rds:DescribeDBClusterAutomatedBackups`支援 Amazon Aurora 連續備份的許可。 新增下列許可,以支援 Amazon Redshift 備份的還原測試: `redshift:DescribeClusters`和 `redshift:DeleteCluster`。 新增`timestream:DeleteTable`支援 Amazon Timestream 備份還原測試的許可。 | 2024 年 2 月 14 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增許可 `ec2:DescribeSnapshotTierStatus`和 `ec2:RestoreSnapshotTier`。 使用者必須具備這些許可,才能選擇 AWS Backup 從封存儲存還原與 一起存放的 Amazon EBS 資源。 對於 EC2 執行個體還原,您還必須包含以下政策陳述式中所示的許可才能啟動 EC2 執行個體: | 2023 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增 許可`ec2:DescribeSnapshotTierStatus``ec2:ModifySnapshotTier`,並支援將 Amazon EBS 資源備份到封存儲存層的額外儲存選項。 使用者必須具備這些許可,才能選擇將 存放的 Amazon EBS 資源轉換為 AWS Backup 封存儲存。 | 2023 年 11 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增 許可`ec2:DescribeSnapshotTierStatus``ec2:ModifySnapshotTier`,並支援將 Amazon EBS 資源備份到封存儲存層的額外儲存選項。 使用者必須具備這些許可,才能選擇將 存放的 Amazon EBS 資源轉換為 AWS Backup 封存儲存。 新增許可 `rds:DescribeDBClusterSnapshots`和 `rds:RestoreDBClusterToPointInTime`,這是 Aurora 叢集 PITR (point-in-time還原) 的必要項目。 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – 新政策 | 提供執行還原測試所需的許可。這些許可包括要在還原測試中包含之下列服務的動作 `list, read, and write`:Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、FSx for Lustre、FSx for Windows File Server、FSx for ONTAP、FSx for OpenZFS、Amazon Neptune、Amazon RDS 和 Amazon S3。 | 2023 年 11 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增 `restore-testing.backup.amazonaws.com` 至 `IamPassRolePermissions` 和 `IamCreateServiceLinkedRolePermissions`。此新增 AWS Backup 對於 代表客戶執行還原測試是必要的。 | 2023 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增許可 `rds:DescribeDBClusterSnapshots`和 `rds:RestoreDBClusterToPointInTime`,這是 Aurora 叢集 PITR (point-in-time還原) 的必要項目。 | 2023 年 9 月 6 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增許可 `rds:DescribeDBClusterAutomatedBackups`,這是 Aurora 叢集持續備份和point-in-time還原的必要許可。 | 2023 年 9 月 6 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增許可 `rds:DescribeDBClusterAutomatedBackups`,這是 Aurora 叢集持續備份和point-in-time還原的必要許可。 | 2023 年 9 月 6 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增 許可`rds:DescribeDBClusterAutomatedBackups`。此許可對於 AWS Backup 支援 Aurora 叢集的持續備份和point-in-time還原是必要的。 新增許可`rds:DeleteDBClusterAutomatedBackups`,允許 AWS Backup 生命週期在保留期間完成時刪除和取消 Amazon Aurora 持續復原點的關聯。Aurora 復原點需要此許可,才能避免轉換為 `EXIPIRED` 狀態。 新增`rds:ModifyDBCluster`允許 與 Aurora 叢集 AWS Backup 互動的許可。這項新增讓使用者能夠根據所需的組態啟用或停用連續備份。 | 2023 年 9 月 6 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增 動作`ram:GetResourceShareAssociations`,以授予使用者取得新保存庫類型資源共用關聯的許可。 | 2023 年 8 月 8 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增 動作`ram:GetResourceShareAssociations`,以授予使用者取得新保存庫類型資源共用關聯的許可。 | 2023 年 8 月 8 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 更新至現有政策 | 新增使用儲存貯體庫存`s3:PutInventoryConfiguration`增強備份效能速度的許可。 | 2023 年 8 月 1 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新現有政策 | 新增下列動作,以授予使用者新增標籤以還原資源的許可:`storagegateway:AddTagsToResource``elasticfilesystem:TagResource`、,`ec2:CreateTags`僅適用於`ec2:CreateAction`包含 `RunInstances`或 `CreateVolume`、 `fsx:TagResource`和 的 `cloudformation:TagResource`。 | 2023 年 5 月 22 日 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – 更新現有政策 | 將 API 中的資源選取項目取代`config:DescribeComplianceByConfigRule`為萬用字元資源,讓使用者更輕鬆地選取資源。 | 2023 年 4 月 11 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增下列使用客戶受管金鑰還原 Amazon EFS 的許可:`kms:GenerateDataKeyWithoutPlaintext`。這有助於確保使用者擁有還原 Amazon EFS 資源所需的許可。 | 2023 年 3 月 27 日 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – 更新現有政策 | 已更新 `config:DescribeConfigRules`和 `config:DescribeConfigRuleEvaluationStatus`動作,以允許 AWS Backup Audit Manager 存取 AWS Backup Audit Manager 受管 AWS Config 規則。 | 2023 年 3 月 9 日 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) – 更新至現有政策 | 已將下列許可:`kms:Decrypt`、 `s3:PutBucketOwnershipControls`和 `s3:GetBucketOwnershipControls`新增至政策 `AWSBackupServiceRolePolicyForS3Restore`。需要這些許可,才能在原始備份中使用 KMS 加密時支援還原物件,以及在原始儲存貯體 (而非 ACL) 上已設定物件擁有權時還原物件。 | 2023 年 2 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列許可,以使用虛擬機器的 VMware 標籤排程備份,並支援排程型頻寬限流:`backup-gateway:GetHypervisorPropertyMappings`、`backup-gateway:GetVirtualMachine`、`backup-gateway:PutHypervisorPropertyMappings`、`backup-gateway:GetHypervisor`、`backup-gateway:StartVirtualMachinesMetadataSync`、 `backup-gateway:GetBandwidthRateLimitSchedule`和 `backup-gateway:PutBandwidthRateLimitSchedule`。 | 2022 年 12 月 15 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列許可,以使用虛擬機器的 VMware 標籤排程備份,並支援排程型頻寬限流:`backup-gateway:GetHypervisorPropertyMappings`、`backup-gateway:GetHypervisor`、 `backup-gateway:GetVirtualMachine`和 `backup-gateway:GetBandwidthRateLimitSchedule`。 | 2022 年 12 月 15 日 |
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync) – 新政策 | 提供閘道使用 Backup AWS Backup Gateway 同步內部部署網路中虛擬機器中繼資料的許可。 | 2022 年 12 月 15 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | 新增下列許可以支援 Timestream 備份任務:`timestream:StartAwsBackupJob`、`timestream:GetAwsBackupStatus`、`timestream:ListTables``timestream:ListDatabases`、`timestream:ListTagsForResource`、、`timestream:DescribeTable`、 `timestream:DescribeDatabase`和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增下列許可以支援 Timestream 還原任務:`timestream:StartAwsRestoreJob`、`timestream:GetAwsRestoreStatus`、`timestream:ListTables``timestream:ListTagsForResource`、`timestream:ListDatabases`、`timestream:DescribeTable`、、`timestream:DescribeDatabase``s3:GetBucketAcl`、 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列許可以支援 Timestream 資源:`timestream:ListTables`、 `timestream:ListDatabases``s3:ListAllMyBuckets`和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列許可以支援 Timestream 資源:`timestream:ListDatabases`、`s3:ListAllMyBuckets`、 `timestream:ListTables`和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增下列許可以支援 Timestream 資源:`timestream:ListDatabases`、`timestream:ListTables`、`timestream:ListTagsForResource`、`timestream:DescribeDatabase``timestream:DescribeTable`、`timestream:GetAwsBackupStatus`、、 `timestream:GetAwsRestoreStatus`和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列許可以支援 Amazon Redshift 資源:`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups`、`redshift:DescribeClusterTracks`、 `redshift:DescribeSnapshotSchedules`和 `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列許可以支援 Amazon Redshift 資源:`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups,`、`redshift:DescribeClusterTracks`、 `redshift:DescribeSnapshotSchedules`和 `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新現有政策 | 新增下列許可以支援 Amazon Redshift 還原任務:`redshift:RestoreFromCluster Snapshot`、`redshift:DescribeClusters`、 `redshift:RestoreTableFromClusterSnapshot`和 `redshift:DescribeTableRestoreStatus`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增下列許可以支援 Amazon Redshift 備份任務:`redshift:CreateClusterSnapshot`、`redshift:DescribeClusterSnapshots`、`redshift:DescribeTags``redshift:DeleteClusterSnapshot`、、 `redshift:DescribeClusters`和 `redshift:CreateTags`。 | 2022 年 11 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列支援 CloudFormation 資源的許可:`cloudformation:ListStacks`。 | 2022 年 11 月 27 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列支援 CloudFormation 資源的許可:`cloudformation:ListStacks`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增下列許可以支援 CloudFormation 資源:`redshift:DescribeClusterSnapshots`、`redshift:DeleteClusterSnapshot`、 `redshift:DescribeTags`和 `redshift:DescribeClusters`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增下列許可以支援 CloudFormation 應用程式堆疊備份任務:`cloudformation:DescribeStacks`、 `cloudformation:GetTemplate`和 `cloudformation:ListStackResources`。 | 2022 年 11 月 16 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增下列許可以支援 CloudFormation 應用程式堆疊備份任務: `cloudformation:CreateChangeSet` 和 `cloudformation:DescribeChangeSet` | 2022 年 11 月 16 日 |
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess) – 更新至現有政策 | 新增下列許可至此政策,以允許組織管理員使用委派管理員功能:`organizations:RegisterDelegatedAdministrator`、 `organizations:ListDelegatedAdministrator`和 `organizations:DeregisterDelegatedAdministrator` | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增下列許可,以支援 Amazon EC2 執行個體上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:UpdateHanaBackupSettings`、 `ssm-sap:GetDatabase`和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列許可,以支援 Amazon EC2 執行個體上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:GetDatabase`、 `ssm-sap:ListDatabases`和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列許可,以支援 Amazon EC2 執行個體上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:GetDatabase`、 `ssm-sap:ListDatabases`和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增下列許可,以支援 Amazon EC2 執行個體上的 SAP HANA:`ssm-sap:GetOperation`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增下列許可,以支援備份閘道還原任務至 EC2 執行個體:`ec2:CreateTags`。 | 2022 年 11 月 20 日 |
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess) – 更新現有政策 | 新增下列許可,以支援 SAP HANA On Amazon EC2 資源的安全儲存資料傳輸:`backup-storage:StartObject`、`backup-storage:PutChunk`、`backup-storage:GetChunk`、`backup-storage:ListChunks``backup-storage:ListObjects`、`backup-storage:GetObjectMetadata`、 和 `backup-storage:NotifyObjectComplete`。 | 2022 年 11 月 20 日 |
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) – 更新至現有政策 | 新增下列資源擁有者許可,以執行 SAP HANA On Amazon EC2 資源的還原:`backup:Get*`、`backup:List*`、`backup:Describe*``backup:StartBackupJob`、`backup:StartRestoreJob`、`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:RestoreDatabase`、 `ssm-sap:UpdateHanaBackupSettings``ssm-sap:GetDatabase`和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 更新至現有政策 | 新增`s3:GetBucketAcl`支援 Amazon S3 備份操作 AWS Backup 的許可。 | 2022 年 8 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增下列動作,以授予建立資料庫執行個體的存取權,以支援多可用區域 (多可用區域) 功能:`rds:CreateDBInstance`。 | 2022 年 7 月 20 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增`s3:GetBucketTagging`許可,以授予使用者使用資源萬用字元選取要備份的儲存貯體的許可。如果沒有此許可,選擇使用資源萬用字元備份哪些儲存貯體的使用者會失敗。 | 2022 年 5 月 6 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | 在現有 `fsx:CreateBackup`和 `fsx:ListTagsForResource`動作的範圍內新增了磁碟區資源,並新增了`fsx:DescribeVolumes`支援 FSx 進行 ONTAP 磁碟區層級備份的新動作。 | 2022 年 4 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增了下列動作,以授予使用者針對 ONTAP 磁碟區 `fsx:DescribeVolumes`、`fsx:DeleteVolume`、 `fsx:CreateVolumeFromBackup`和 還原 FSx 的許可`fsx:UntagResource`。 | 2022 年 4 月 27 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 更新至現有政策 | 新增下列動作,以授予使用者在備份操作期間接收 Amazon S3 儲存貯體變更通知的許可: `s3:GetBucketNotification`和 `s3:PutBucketNotification`。 | 2022 年 2 月 25 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 新政策 | 新增下列動作,以授予使用者備份其 Amazon S3 儲存貯體的許可:`s3:GetInventoryConfiguration`、`s3:PutInventoryConfiguration`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketNotification``s3:GetBucketLocation`、、 `s3:GetBucketTagging` `s3:GetBucketVersioning`和 `s3:ListAllMyBuckets` 新增下列動作,以授予使用者備份其 Amazon S3 物件的許可:`s3:GetObject`、`s3GetObjectAcl`、`s3:GetObjectVersionTagging``s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、 和 `s3:GetObjectVersion`。 新增下列動作,授予使用者備份其加密 Amazon S3 資料的許可: `kms:Decrypt`和 `kms:DescribeKey`。 新增下列動作,以授予使用者使用 Amazon EventBridge 規則對其 Amazon S3 資料進行增量備份的許可:`events:DescribeRule`、`events:EnableRule`、`events:PutRule`、`events:DeleteRule`、`events:PutTargets`、`events:RemoveTargets``events:ListTargetsByRule`、、`events:DisableRule`、 `cloudwatch:GetMetricData`和 `events:ListRules`。 EventBridge | 2022 年 2 月 17 日 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) – 新政策 | 新增下列動作,授予使用者還原其 Amazon S3 儲存貯體的許可:`s3:CreateBucket`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketVersioning`、 `s3:GetBucketLocation`和 `s3:PutBucketVersioning`。 新增下列動作,以授予使用者還原其 Amazon S3 儲存貯體的許可:`s3:GetObject`、`s3:GetObjectVersion`、`s3:DeleteObject`、`s3:PutObjectVersionAcl``s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、`s3:PutObjectTagging`、`s3:GetObjectAcl`、`s3:PutObjectAcl`、 `s3:PutObject`和 `s3:ListMultipartUploadParts`。 新增下列動作,授予使用者加密其還原 Amazon S3 資料的許可:`kms:DescribeKey`、 `kms:Decrypt`和 `kms:GenerateDataKey`。 | 2022 年 2 月 17 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增`s3:ListAllMyBuckets`以授予使用者檢視其儲存貯體清單的許可,並選擇要指派給備份計畫的儲存貯體。 | 2022 年 2 月 14 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增 `backup-gateway:ListVirtualMachines` 以授予使用者檢視其虛擬機器清單的許可,並選擇要指派給備份計畫的虛擬機器。 新增 `backup-gateway:ListTagsForResource` 以授予使用者列出其虛擬機器標籤的許可。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增 `backup-gateway:Backup` 以授予使用者許可還原其虛擬機器備份。 AWS Backup 也新增 `backup-gateway:ListTagsForResource` 以授予使用者許可,以列出指派給其虛擬機器備份的標籤。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增 `backup-gateway:Restore` 以授予使用者還原其虛擬機器備份的許可。 | 2021 年 11 月 30 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列動作,以授予使用者使用 AWS Backup 閘道備份、還原和管理其虛擬機器的許可:`backup-gateway:AssociateGatewayToServer`、`backup-gateway:CreateGateway`、`backup-gateway:DeleteGateway`、`backup-gateway:DeleteHypervisor`、`backup-gateway:DisassociateGatewayFromServer``backup-gateway:ImportHypervisorConfiguration`、、`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors``backup-gateway:ListTagsForResource`、`backup-gateway:ListVirtualMachines``backup-gateway:PutMaintenanceStartTime`、、`backup-gateway:TagResource`、、`backup-gateway:TestHypervisorConfiguration``backup-gateway:UntagResource`、 `backup-gateway:UpdateGatewayInformation`和 `backup-gateway:UpdateHypervisor`。 | 2021 年 11 月 30 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列動作,以授予使用者備份其虛擬機器的許可:`backup-gateway:ListGateways`、`backup-gateway:ListTagsForResource`、 `backup-gateway:ListHypervisors`和 `backup-gateway:ListVirtualMachines`。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增 `dynamodb:ListTagsOfResource` 以授予使用者許可,以列出其 DynamoDB 資料表的標籤,以使用 AWS Backup進階 DynamoDB 備份功能進行備份。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增`dynamodb:StartAwsBackupJob`以授予使用者使用進階備份功能備份其 DynamoDB 資料表的許可。 新增`dynamodb:ListTagsOfResource`以授予使用者許可,將標籤從其來源 DynamoDB 資料表複製到其備份。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增`dynamodb:RestoreTableFromAwsBackup`以使用進階 DynamoDB 進階備份功能授予使用者還原其 DynamoDB 資料表備份 AWS Backup的許可。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增`dynamodb:RestoreTableFromAwsBackup`以使用進階 DynamoDB 進階備份功能授予使用者還原其 DynamoDB 資料表備份 AWS Backup的許可。 | 2021 年 11 月 23 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 移除動作 `backup:GetRecoveryPointRestoreMetadata`和 ,`rds:DescribeDBSnapshots`因為它們是多餘的。 AWS Backup 不需要 `backup:GetRecoveryPointRestoreMetadata`和 `backup:Get*` 作為 的一部分`AWSBackupOperatorAccess`。此外, AWS Backup 不需要 `rds:DescribeDBSnapshots`和 `rds:describeDBSnapshots` 作為 的一部分`AWSBackupOperatorAccess`。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增了 `elasticfilesystem:DescribeFileSystems`、`dynamodb:ListTables`、`storagegateway:ListVolumes`、`ec2:DescribeVolumes`、`ec2:DescribeInstances`、`rds:DescribeDBClusters`、、 和 `rds:DescribeDBInstances`動作`fsx:DescribeFileSystems`,以允許客戶在選擇要指派給備份計畫的資源時,從其 AWS Backup支援的資源清單中檢視和選擇。 | 2021 年 11 月 10 日 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – 新政策 | 新增`AWSBackupAuditAccess`以授予使用者使用 AWS Backup Audit Manager 的許可。這些許可包括設定合規架構及產生報告的能力。 | 2021 年 8 月 24 日 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – 新政策 | 新增 `AWSServiceRolePolicyForBackupReports` 以授予服務連結角色的許可,以自動監控備份設定、任務和資源,以符合使用者設定的架構。 | 2021 年 8 月 24 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增 `iam:CreateServiceLinkedRole` 以建立服務連結角色 (盡最大努力),自動刪除過期的復原點。如果沒有此服務連結角色,在客戶刪除用來建立復原點的原始 IAM 角色之後, AWS Backup 無法刪除過期的復原點。 | 2021 年 7 月 5 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增了新的動作`dynamodb:DeleteBackup`,以根據您的備份計劃生命週期設定,授予自動刪除過期 DynamoDB 復原點的`DeleteRecoveryPoint`許可。 | 2021 年 7 月 5 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 移除動作 `backup:GetRecoveryPointRestoreMetadata`和 ,`rds:DescribeDBSnapshots`因為它們是多餘的。 AWS Backup 不需要 `backup:GetRecoveryPointRestoreMetadata`和 `backup:Get*` 作為 的一部分,`AWSBackupOperatorAccess`也 AWS Backup 不需要 `rds:DescribeDBSnapshots`和 `rds:describeDBSnapshots`作為 的一部分 `AWSBackupOperatorAccess` | 2021 年 5 月 25 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 移除動作 `backup:GetRecoveryPointRestoreMetadata`和 ,`rds:DescribeDBSnapshots`因為它們是多餘的。 AWS Backup 不需要 `backup:GetRecoveryPointRestoreMetadata`和 `backup:Get*` 作為 的一部分`AWSBackupOperatorAccess`。此外, AWS Backup 不需要 `rds:DescribeDBSnapshots`和 `rds:describeDBSnapshots` 作為 的一部分`AWSBackupOperatorAccess`。 | 2021 年 5 月 25 日 |
| [AWSBackupServiceRolePolicyForRestores]() – 更新至現有政策 | 新增動作`fsx:TagResource`以授予`StartRestoreJob`許可,讓您在還原程序期間將標籤套用至 Amazon FSx 檔案系統。 | 2021 年 5 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增 動作`ec2:DescribeImages``ec2:DescribeInstances`並授予`StartRestoreJob`許可,讓您從復原點還原 Amazon EC2 執行個體。 | 2021 年 5 月 24 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增動作`fsx:CopyBackup`以授予`StartCopyJob`許可,讓您跨區域和帳戶複製 Amazon FSx 復原點。 | 2021 年 4 月 12 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增動作`fsx:CopyBackup`以授予`StartCopyJob`許可,讓您跨區域和帳戶複製 Amazon FSx 復原點。 | 2021 年 4 月 12 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | 更新以符合下列要求: 若要 AWS Backup 讓 建立加密 DynamoDB 資料表的備份,您必須將 許可`kms:Decrypt`和 `kms:GenerateDataKey` 新增至用於備份的 IAM 角色。 | 2021 年 3 月 10 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 更新以符合下列要求: 若要使用 AWS Backup 設定 Amazon RDS 資料庫的連續備份,請確認備份計劃組態所定義的 IAM 角色中`rds:ModifyDBInstance`存在 API 許可。 若要還原 Amazon RDS 連續備份,您必須將許可 `rds:RestoreDBInstanceToPointInTime` 新增至為還原任務提交的 IAM 角色。 在 AWS Backup 主控台中,若要描述point-in-time復原的時間範圍,您必須在 IAM 受管政策中包含 `rds:DescribeDBInstanceAutomatedBackups` API 許可。 | 2021 年 3 月 10 日 |
| AWS Backup 開始追蹤變更 | AWS Backup 已開始追蹤其 AWS受管政策的變更。 | 2021 年 3 月 10 日 |
# 使用 的服務連結角色 AWS Backup
AWS Backup use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Backup。服務連結角色由 預先定義, AWS Backup 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
**Topics**
+ [使用 角色來備份和複製](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [使用 AWS Backup Audit Manager 的角色](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [使用角色進行還原測試](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)
# 使用 角色來備份和複製
AWS Backup use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Backup。服務連結角色由 預先定義, AWS Backup 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS Backup 輕鬆地設定,因為您不必手動新增必要的許可。 AWS Backup 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS Backup 擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 AWS Backup 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 的服務連結角色許可 AWS Backup
AWS Backup 使用名為 **AWSServiceRoleForBackup** 的服務連結角色,代表您建立和刪除 AWS 資源的備份。
AWSServiceRoleForBackup 服務連結角色信任下列服務來擔任該角色:
+ `backup.amazonaws.com`
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。
## 為 建立服務連結角色 AWS Backup
您不需要手動建立服務連結角色,當您列出要備份、設定跨帳戶備份或在 AWS 管理主控台、 AWS CLI或 AWS API 中執行備份的資源時, AWS Backup 會為您建立服務連結角色。
**重要**
此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您列出要備份、設定跨帳戶備份或執行備份的資源時, 會再次為您 AWS Backup 建立服務連結角色。
## 編輯 的服務連結角色 AWS Backup
AWS Backup 不允許您編輯 AWSServiceRoleForBackup 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱 *IAM 使用者指南*中的[編輯服務連結角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。
## 刪除 的服務連結角色 AWS Backup
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除服務連結角色
在您使用 IAM 刪除服務連結角色之前,您必須先刪除該角色所使用的任何資源。首先,您必須刪除所有復原點。然後,您必須刪除所有備份保存庫。
**注意**
如果 AWS Backup 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘,然後再次嘗試操作。
**刪除 AWSServiceRoleForBackup 使用 AWS Backup 的資源 (主控台)**
1. 若要刪除所有復原點和備份保存庫 (預設保存庫除外),請遵循[刪除保存庫](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault)中的程序。
1. 若要刪除預設保存庫,請在 AWS CLI中使用下列指令:
```
aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
```
**刪除 AWSServiceRoleForBackup (AWS CLI) 使用 AWS Backup 的資源**
1. 若要刪除所有復原點,請使用 [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html)。
1. 若要刪除所有備份保存庫,請使用 [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html)。
**刪除 AWSServiceRoleForBackup (API) 使用 AWS Backup 的資源**
1. 若要刪除所有復原點,請使用 `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`。
1. 若要刪除所有備份保存庫,請使用 `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`。
### 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForBackup 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。
## AWS Backup 服務連結角色支援的區域
AWS Backup 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS Backup 支援的功能和區域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。
# 使用 AWS Backup Audit Manager 的角色
AWS Backup use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Backup。服務連結角色由 預先定義, AWS Backup 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS Backup 輕鬆地設定,因為您不必手動新增必要的許可。 AWS Backup 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS Backup 擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 AWS Backup 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 的服務連結角色許可 AWS Backup
AWS Backup 使用名為 **AWSServiceRoleForBackupReports** 的服務連結角色 – AWS Backup 提供建立控制項、架構和報告的許可。
AWSServiceRoleForBackupReports 服務連結角色信任下列服務擔任該角色:
+ `reports.backup.amazonaws.com`
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。
## 為 建立服務連結角色 AWS Backup
您不需要手動建立服務連結角色,當您在 AWS 管理主控台、 或 AWS API 中建立架構 AWS CLI或報告計畫時, AWS Backup 會為您建立服務連結角色。
**重要**
此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您建立架構或報告計畫時, 會再次為您 AWS Backup 建立服務連結角色。
## 編輯 的服務連結角色 AWS Backup
AWS Backup 不允許您編輯 AWSServiceRoleForBackupReports 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。
## 刪除 的服務連結角色 AWS Backup
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除服務連結角色
在您使用 IAM 刪除服務連結角色之前,您必須先刪除該角色所使用的任何資源。您必須刪除所有架構和報告計劃。
**注意**
如果 AWS Backup 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘,然後再次嘗試操作。
**刪除 AWSServiceRoleForBackupReports (主控台) 所使用的 AWS Backup 資源**
1. 若要刪除所有架構,請參閱[刪除架構](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html)。
1. 若要刪除所有報告計劃,請參閱[刪除報告計劃](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html)。
**刪除 AWSServiceRoleForBackupReports (AWS CLI) 使用 AWS Backup 的資源**
1. 若要刪除所有架構,請使用 [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html)。
1. 若要刪除所有報告計畫,請使用 [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html)。
**刪除 AWSServiceRoleForBackupReports (API) 使用 AWS Backup 的資源**
1. 若要刪除所有架構,請使用 [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html)。
1. 若要刪除所有報告計畫,請使用 [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html)。
### 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForBackupReports 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。
## AWS Backup 服務連結角色支援的區域
AWS Backup 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS Backup 支援的功能和區域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。
# 使用角色進行還原測試
AWS Backup use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Backup。服務連結角色由 預先定義, AWS Backup 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS Backup 輕鬆地設定,因為您不必手動新增必要的許可。 AWS Backup 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS Backup 擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 AWS Backup 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 的服務連結角色許可 AWS Backup
AWS Backup 使用名為 **AWSServiceRoleForBackupRestoreTesting** 的服務連結角色 – 提供執行還原測試的備份許可。
**AWSServiceRoleForBackupRestoreTesting** 服務連結角色信任下列服務擔任該角色:
+ `restore-testing.backup.amazonaws.com`
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。
## 為 建立服務連結角色 AWS Backup
您不需要手動建立服務連結角色,當您在 AWS 管理主控台、 AWS CLI或 AWS API 中執行還原測試時, AWS Backup 會為您建立服務連結角色。
**重要**
此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您執行還原測試時, 會再次為您 AWS Backup 建立服務連結角色。
## 編輯 的服務連結角色 AWS Backup
AWS Backup 不允許您編輯 AWSServiceRoleForBackupRestoreTesting 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱 *IAM 使用者指南*中的[編輯服務連結角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。
## 刪除 的服務連結角色 AWS Backup
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除服務連結角色
在您使用 IAM 刪除服務連結角色之前,您必須先刪除該角色所使用的任何資源。您必須刪除所有還原測試計畫。
**注意**
如果 AWS Backup 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘,然後再次嘗試操作。
**刪除 AWSServiceRoleForBackupRestoreTesting 使用 AWS Backup 的資源 (主控台)**
+ 若要刪除所有還原測試計畫,請參閱[還原測試](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html)。
**刪除 AWSServiceRoleForBackupRestoreTesting 使用 AWS Backup 的資源 (AWS CLI)**
+ 若要刪除還原測試計畫,請使用 `delete-restore-testing-plan`。
**刪除 AWSServiceRoleForBackupRestoreTesting (API) 使用 AWS Backup 的資源**
+ 若要刪除還原測試計畫,請使用 `DeleteRestoreTestingPlan`。
### 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 **AWSServiceRoleForBackupRestoreTesting** 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。
## AWS Backup 服務連結角色支援的區域
AWS Backup 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS Backup 支援的功能和區域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。
# 預防跨服務混淆代理人
混淆代理人問題屬於安全性問題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中 AWS,跨服務模擬可能會導致混淆代理人問題。在某個服務 (*呼叫服務*) 呼叫另一個服務 (*被呼叫服務*) 時,可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可,以其不應有存取許可的方式對其他客戶的資源採取動作。為了防止這種情況, AWS 提供工具,協助您保護所有 服務的資料,讓 服務主體能夠存取您帳戶中的資源。
我們建議在資源政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全域條件內容索引鍵,以限制將另一個 服務 AWS Backup 提供給資源的許可。如果同時使用全域條件內容金鑰,則在相同政策陳述式中使用 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的帳戶時,必須使用相同的帳戶 ID。
使用 代表您發佈 Amazon SNS AWS Backup 主題時, 的值`aws:SourceArn`必須是 AWS Backup 保存庫。
防範混淆代理人問題最有效的方法,是使用 `aws:SourceArn` 全域條件內容金鑰,以及資源的完整 ARN。如果不知道資源的完整 ARN,或者如果您指定了多個資源,請使用 `aws:SourceArn` 全域條件內容金鑰,同時使用萬用字元 (`*`) 表示 ARN 的未知部分。例如 `arn:aws::servicename::123456789012:*`。
下列範例政策示範如何在 中使用 `aws:SourceArn`和 `aws:SourceAccount`全域條件內容索引鍵 AWS Backup ,以防止混淆代理人問題。此政策授予服務委託人 backup-storage.amazonaws.com 僅在服務委託人代表 AWS 帳戶 123456789012 在備份文件庫上執行 KMS 動作的能力: