本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# IAM 服務角色
AWS Identity and Access Management (IAM) 角色類似於使用者,因為它是具有許可政策的 AWS 身分,可決定身分可以和不可以執行的操作 AWS。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。服務角色是 AWS 服務擔任的角色,可代表您執行動作。做為代表您執行備份操作的服務, AWS Backup 需要獲得您傳遞的角色,以在代表您進行備份操作時擔任該角色。如需 IAM 角色的更多相關資訊,請參閱 *IAM 使用者指南*中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。
您傳遞至 的角色 AWS Backup 必須具有 IAM 政策,其許可 AWS Backup 可讓 執行與備份操作相關的動作,例如建立、還原或即將過期的備份。每個 AWS Backup 支援的服務都需要 AWS 不同的許可。該角色也必須 AWS Backup 列為信任的實體,讓 AWS Backup 能夠擔任該角色。
當您將資源指派給備份計劃時,或執行隨需備份、複製或還原時,您必須傳遞可存取 的服務角色,才能對指定的資源執行基礎操作。 AWS Backup 使用此角色來建立、標記和刪除帳戶中的資源。
## 使用 AWS 角色來控制對備份的存取
您可以使用角色,藉由定義狹義範圍的角色,和指定可以傳遞角色給 AWS Backup的人員,來控管對您備份的存取。例如,您可以建立一個角色,只授予備份 Amazon Relational Database Service (Amazon RDS) 資料庫的許可,並只授予 Amazon RDS 資料庫擁有者傳遞該角色的許可 AWS Backup。 為每個支援的 服務 AWS Backup 提供數個預先定義的受管政策。您可以將這些受管政策連接至您建立的角色,這可讓您更輕鬆地建立具有 AWS Backup 所需正確許可的服務特定角色。
如需 AWS 受管政策的詳細資訊 AWS Backup,請參閱 [的受管政策 AWS Backup](security-iam-awsmanpol.md)。
## 的預設服務角色 AWS Backup
第一次使用 AWS Backup 主控台時,您可以選擇讓 為您 AWS Backup 建立預設服務角色。此角色具有代表您建立和還原備份 AWS Backup 所需的許可。
**注意**
當您使用 AWS 管理主控台時,系統會自動建立預設角色。您可以使用 AWS Command Line Interface (AWS CLI) 建立預設角色,但必須手動完成。
如果您偏好使用自訂角色 (例如針對不同資源類型使用不同角色),您也可以這麼做並將自訂角色傳遞給 AWS Backup。若要檢視為個別資源類型啟用備份和還原的角色範例,請參閱<[客戶管理政策](security-iam-awsmanpol.md#customer-managed-policies)>表格。
預設服務角色名為 `AWSBackupDefaultServiceRole`。此服務角色包含兩個受管政策:[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 和 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
`AWSBackupServiceRolePolicyForBackup` 包含 IAM 政策,授予 AWS Backup 許可來描述要備份的資源、建立、刪除、描述或新增標籤至備份的功能,無論其加密的 AWS KMS 金鑰為何。
`AWSBackupServiceRolePolicyForRestores` 包含 IAM 政策,授予建立、刪除或描述從備份建立之新資源的 AWS Backup 許可,無論其加密所用的 AWS KMS 金鑰為何。該政策還包含標記新建立資源的許可。
若要還原 Amazon EC2 執行個體,您必須啟動新的執行個體。
## 在主控台中建立預設服務角色
您在 AWS Backup 主控台中採取的特定動作會建立 AWS Backup 預設服務角色。
**在 AWS 帳戶中建立 AWS Backup 預設服務角色**
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 若要為您的帳戶建立角色,請將資源指派給備份計畫,或建立隨需備份。
1. 建立備份計畫,並將資源指派給備份。請參閱[建立備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)。
1. 或者,建立隨需備份。請參閱[建立隨需備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html)。
1. 依照下列步驟,確認您已在帳戶中建立 `AWSBackupDefaultServiceRole`:
1. 請等待數分鐘。如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》**中的[我所做的變更不一定都會立刻生效](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency)。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在左側導覽選單中,選擇 **角色**。
1. 在搜尋列中,輸入 `AWSBackupDefaultServiceRole`。如果此選項存在,表示您已建立 AWS Backup 預設角色並完成此程序。
1. 如果 `AWSBackupDefaultServiceRole` 仍未顯示,請將下列許可新增至您用來存取主控台的 IAM 使用者或 IAM 角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource":"arn:{{aws}}:iam::*:role/service-role/AWSBackupDefaultServiceRole"
},
{
"Effect":"Allow",
"Action":[
"iam:ListRoles"
],
"Resource":"*"
}
]
}
```
------
若是中國區域,請以 {{aws-cn}} 取代 {{aws}}。對於 AWS GovCloud (US) 區域,請以 {{aws}}{{aws-us-gov}}。
1. 如果您無法將許可新增至 IAM 使用者或 IAM 角色,請要求管理員使用 `AWSBackupDefaultServiceRole` 以外**的名稱手動建立角色,並將該角色連接到下列受管政策:
+ `AWSBackupServiceRolePolicyForBackup`
+ `AWSBackupServiceRolePolicyForRestores`