文件庫存取政策 - AWS Backup
拒絕對備份文件庫中某資源類型的存取拒絕對備份文件庫的存取拒絕對刪除備份文件庫中復原點的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

文件庫存取政策

使用 AWS Backup,您可以將政策指派給備份文件庫及其包含的資源。指派政策可讓您執行多項任務,例如授予使用者存取權限以建立備份計劃和隨需備份,但限制他們在復原點建立後將其刪除的能力。

如需使用政策授予或限制資源存取許可的相關資訊,請參閱《IAM 使用者指南》中的<身分型政策和資源型政策>。您也可以使用標籤控制存取。

您可以使用下列範例政策做為指南,在處理 AWS Backup 保存庫時限制對 資源的存取。與其他 IAM 型政策不同, AWS Backup 存取政策不支援Action金鑰中的萬用字元。

如需可用來識別不同資源類型復原點的 Amazon Resource Name (ARN) 清單,請參閱 AWS Backup 資源 ARNs 中的資源特定復原點 ARN。

保存庫存取政策只會控制使用者對 AWS Backup APIs存取。有些備份類型,例如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照,也可以使用這些服務的 API 存取。您可以在 IAM 中建立不同的存取政策,控制對這些 API 的存取,以完全控制對備份類型的存取。

無論 AWS Backup 文件庫的存取政策為何,任何 動作的跨帳戶存取backup:CopyIntoBackupVault都會遭到拒絕;也就是說, AWS Backup 會拒絕來自與參考資源帳戶不同的帳戶的任何其他請求。

拒絕對備份文件庫中某資源類型的存取

這項政策會拒絕對備份文件庫中所有 Amazon EBS 快照之指定 API 作業的存取。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::Account ID:role/MyRole"
            },
            "Action": [
                "backup:UpdateRecoveryPointLifecycle",
                "backup:DescribeRecoveryPoint",
                "backup:DeleteRecoveryPoint",
                "backup:GetRecoveryPointRestoreMetadata",
                "backup:StartRestoreJob"
            ],
            "Resource": ["arn:aws:ec2:Region::snapshot/*"]
        }
    ]
}

拒絕對備份文件庫的存取

這個政策可針對以備份文件庫為目標的指定 API 操作拒絕存取。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::Account ID:role/MyRole"
            },
            "Action": [
                "backup:DescribeBackupVault",
                "backup:DeleteBackupVault",
                "backup:PutBackupVaultAccessPolicy",
                "backup:DeleteBackupVaultAccessPolicy",
                "backup:GetBackupVaultAccessPolicy",
                "backup:StartBackupJob",
                "backup:GetBackupVaultNotifications",
                "backup:PutBackupVaultNotifications",
                "backup:DeleteBackupVaultNotifications",
                "backup:ListRecoveryPointsByBackupVault"
            ],
            "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name"
        }
    ]
}

拒絕對刪除備份文件庫中復原點的存取

文件庫的存取權限及刪除當中所存放復原點的能力,都取決於您授予使用者的存取許可。

請遵循以下步驟在備份文件庫上建立以資源為基礎的存取政策,避免該備份文件庫中的任何備份遭到刪除。

在備份文件庫上建立以資源為基礎的存取政策

  1. 登入 AWS Management Console,並在 https://https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在左側的導覽窗格中,選擇 Backup vaults (備份文件庫)

  3. 選擇清單中的備份文件庫。

  4. Access policy (存取政策) 區段中,貼上下列 JSON 範例。這個政策能防止任何不是委託人的使用者刪除目標備份文件庫中的復原點。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "backup:DeleteRecoveryPoint",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:userId": [
                       "AAAAAAAAAAAAAAAAAAAAA:",
                       "BBBBBBBBBBBBBBBBBBBBBB",
                       "112233445566"
                    ]
                }
            }
        }
    ]
}

    若要允許使用其 ARN 列出 IAM 身分,請在下列範例中使用 aws:PrincipalArn 全域條件金鑰。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "backup:DeleteRecoveryPoint",
            "Resource": "*",
            "Condition": {
                "ArnNotEquals": {
                    "aws:PrincipalArn": [
                       "arn:aws:iam::112233445566:role/mys3role",
                       "arn:aws:iam::112233445566:user/shaheer",
                       "112233445566"
                    ]
                }
            }
        }
    ]
}

    如需取得 IAM 實體唯一 ID 的相關資訊,請參閱《IAM 使用者指南》中的<取得唯一識別符>

    如果您想將這個政策限制為特定資源類型,而不是 "Resource": "*",則可明確包含要拒絕的復原點類型。例如,將 Amazon EBS 快照變更為以下資源類型。

    "Resource": ["arn:aws:ec2::Region::snapshot/*"]

  5. 選擇連接政策