文件庫存取政策 - AWS Backup
拒絕對備份文件庫中某資源類型的存取拒絕對備份文件庫的存取拒絕對刪除備份文件庫中復原點的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

文件庫存取政策

透過 AWS Backup,您可以將政策指派給備份保存庫及其包含的資源。指派政策可讓您執行多項任務,例如授予使用者存取權限以建立備份計劃和隨需備份,但限制他們在復原點建立後將其刪除的能力。

如需使用政策來授予或限制資源存取權的相關資訊,請參閱 IAM 使用者指南 中的身分型政策和資源型政策。您也可以使用標籤控制存取。

您可以在使用 AWS Backup 保存庫時,使用下列範例政策做為限制資源存取權的指南。與其他 IAM型政策不同, AWS Backup 存取政策不支援Action金鑰中的萬用字元。

如需可用來識別不同資源類型的復原點的 Amazon Resource Names (ARNs) 清單,請參閱 AWS Backup 資源 ARNs 以取得資源特定的復原點ARNs。

保存庫存取政策只會控制使用者對 的存取 AWS Backup APIs。某些備份類型,例如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照,也可以使用這些服務APIs的 存取。您可以在 中建立個別的存取政策IAM,以控制對這些APIs備份類型的存取。

無論 AWS Backup 保存庫的存取政策為何,任何 以外的動作的跨帳戶存取backup:CopyIntoBackupVault都會遭到拒絕;也就是說, AWS Backup 會拒絕來自與參考資源帳戶不同的帳戶的任何其他請求。

拒絕對備份文件庫中某資源類型的存取

此政策拒絕對備份保存庫中所有 Amazon EBS快照的指定API操作進行存取。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::Account ID:role/MyRole"
            },
            "Action": [
                "backup:UpdateRecoveryPointLifecycle",
                "backup:DescribeRecoveryPoint",
                "backup:DeleteRecoveryPoint",
                "backup:GetRecoveryPointRestoreMetadata",
                "backup:StartRestoreJob"
            ],
            "Resource": ["arn:aws:ec2:Region::snapshot/*"]
        }
    ]
}

拒絕對備份文件庫的存取

此政策拒絕存取以備份保存庫為目標的指定API操作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::Account ID:role/MyRole"
            },
            "Action": [
                "backup:DescribeBackupVault",
                "backup:DeleteBackupVault",
                "backup:PutBackupVaultAccessPolicy",
                "backup:DeleteBackupVaultAccessPolicy",
                "backup:GetBackupVaultAccessPolicy",
                "backup:StartBackupJob",
                "backup:GetBackupVaultNotifications",
                "backup:PutBackupVaultNotifications",
                "backup:DeleteBackupVaultNotifications",
                "backup:ListRecoveryPointsByBackupVault"
            ],
            "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name"
        }
    ]
}

拒絕對刪除備份文件庫中復原點的存取

文件庫的存取權限及刪除當中所存放復原點的能力,都取決於您授予使用者的存取許可。

請遵循以下步驟在備份文件庫上建立以資源為基礎的存取政策,避免該備份文件庫中的任何備份遭到刪除。

在備份文件庫上建立以資源為基礎的存取政策

  1. 登入 AWS Management Console,然後在 https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在左側的導覽窗格中,選擇 Backup vaults (備份文件庫)

  3. 選擇清單中的備份文件庫。

  4. 存取政策區段中,貼上下列JSON範例。這個政策能防止任何不是委託人的使用者刪除目標備份文件庫中的復原點。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "backup:DeleteRecoveryPoint",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:userId": [
                       "AAAAAAAAAAAAAAAAAAAAA:",
                       "BBBBBBBBBBBBBBBBBBBBBB",
                       "112233445566"
                    ]
                }
            }
        }
    ]
}

    若要允許使用其 列出IAM身分ARN,請在下列範例中使用aws:PrincipalArn全域條件索引鍵。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "backup:DeleteRecoveryPoint",
            "Resource": "*",
            "Condition": {
                "ArnNotEquals": {
                    "aws:PrincipalArn": [
                       "arn:aws:iam::112233445566:role/mys3role",
                       "arn:aws:iam::112233445566:user/shaheer",
                       "112233445566"
                    ]
                }
            }
        }
    ]
}

    如需取得IAM實體唯一 ID 的相關資訊,請參閱 IAM 使用者指南 中的取得唯一識別碼

    如果您想將這個政策限制為特定資源類型,而不是 "Resource": "*",則可明確包含要拒絕的復原點類型。例如,對於 Amazon EBS快照,請將資源類型變更為下列類型。

    "Resource": ["arn:aws:ec2::Region::snapshot/*"]

  5. 選擇連接政策