本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的安全性 AWS Backup
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構是為了滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/) 將此描述為雲端*的*安全和雲端*內*的安全:
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在 [AWS 合規計畫](https://aws.amazon.com/compliance/programs/)中,第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用的合規計劃 AWS Backup,請參閱[AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端內部的安全** — 您對 AWS Backup 的責任包括但不限於以下各項。您也必須對其他因素負責,包括資料的敏感度、您組織的需求和適用的法律及法規。
+ 回應您收到的通訊 AWS。
+ 管理您和您的團隊使用的憑證。如需詳細資訊,請參閱 [中的身分和存取管理 AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-iam.html)。
+ 設定您的備份計畫和資源指派,以反映您組織的資料保護政策。如需詳細資訊,請參閱[管理備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html)。
+ 定期測試您找到某些復原點並將其還原的能力。如需詳細資訊,請參閱[使用備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/recovery-points.html)。
+ 在 AWS Backup 組織的災難復原和業務持續性書面程序中整合程序。如需起始點,請參閱 [AWS Backup入門](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html)。
+ 確保您的員工熟悉並練習在緊急情況下使用 AWS Backup 與您的組織程序。如需詳細資訊,請參閱 [AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html)。
本文件可協助您了解如何在使用 時套用共同責任模型 AWS Backup。下列主題說明如何設定 AWS Backup 以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 AWS Backup 資源。
**Topics**
+ [法規遵循驗證](backup-compliance.md)
+ [資料保護](data-protection.md)
+ [身分與存取管理](backup-iam.md)
+ [基礎設施安全性](infrastructure-security.md)
+ [完整性](backup-integrity.md)
+ [法務保存](legalhold.md)
+ [惡意軟體防護](malware-protection.md)
+ [恢復能力](disaster-recovery-resiliency.md)
# 的合規驗證 AWS Backup
若要了解 是否 AWS 服務 在特定合規計劃的範圍內,請參閱[AWS 服務 合規計劃範圍內](https://aws.amazon.com/compliance/services-in-scope/)然後選擇您感興趣的合規計劃。如需一般資訊,請參閱[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。
您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱[下載報告 in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)
您使用 時的合規責任 AWS 服務 取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。如需使用 時合規責任的詳細資訊 AWS 服務,請參閱 [AWS 安全文件](https://docs.aws.amazon.com/security/)。
# 中的資料保護 AWS Backup
AWS Backup 遵循 AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),其中包括資料保護的法規和指導方針。 AWS 負責保護執行所有 AWS 服務的全球基礎設施。 AWS 會維持對在此基礎設施上託管資料的控制,包括處理客戶內容和個人資料的安全組態控制。 AWS 客戶和 AWS 合作夥伴網路 (APN) 合作夥伴作為資料控制者或資料處理者,負責處理他們在 中放置的任何個人資料 AWS 雲端。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS Identity and Access Management (IAM) 設定個別使用者帳戶。這有助於確保每個使用者都只獲得完成其任務所需的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用安全通訊端層 (SSL)/傳輸層安全性 (TLS) 來與 AWS 資源通訊。
+ 使用 AWS 加密解決方案,以及 服務中的所有 AWS 預設安全控制。
我們強烈建議您絕對不要將客戶帳戶號碼等敏感的識別資訊,放在自由格式的欄位中,例如**Name (名稱)** 欄位。這包括當您使用 或其他 AWS 使用主控台、API AWS CLI AWS Backup 或 AWS SDKs的服務時。您輸入 AWS Backup 或其他服務的任何資料都可能被選入診斷日誌中。當您提供外部伺服器的 URL 時,請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
如需關於資料保護的詳細資訊,請參閱 *AWS 安全部落格*上的 [AWS 共同責任模型和歐盟《一般資料保護規範》(GDPR)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
# 中的備份加密 AWS Backup
## 獨立 加密
AWS Backup 為[支援完整 AWS Backup 管理的資源類型](backup-feature-availability.md#features-by-resource)提供獨立加密。獨立加密表示您透過 建立的復原點 (備份) AWS Backup 可以具有由來源資源加密決定的加密方法以外的加密方法。例如,您的 Amazon S3 儲存貯體備份可以有與您使用 Amazon S3 加密加密的來源儲存貯體不同的加密方法。此加密是透過儲存備份的備份文件庫中的 AWS KMS 金鑰組態來控制。
未完全受 管理的資源類型備份 AWS Backup 通常會繼承其來源資源的加密設定。您可以根據該服務的指示來設定這些加密設定,例如 [Amazon EBS 使用者指南中的 Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。 **
您的 IAM 角色必須能夠存取用來備份和還原物件的 KMS 金鑰。否則任務會成功,但物件不會備份或還原。IAM 政策和 KMS 金鑰政策中的許可必須一致。如需詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》[中的在 IAM 政策陳述式中指定 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)。
下表列出了每個支援的資源類型、如何設定備份的加密,以及是否支援備份獨立的加密。當 AWS Backup 獨立加密備份時,會使用業界標準的 AES-256 加密演算法。如需 加密的詳細資訊 AWS Backup,請參閱[跨區域](cross-region-backup.md)和[跨帳戶](create-cross-account-backup.md)備份。
| Resource Type (資源類型) | 設定加密的方法 | 獨立 AWS Backup 加密 |
| --- | --- | --- |
| Amazon Simple Storage Service (Amazon S3) | Amazon S3 備份會使用與備份保存庫相關聯的 a AWS KMS (AWS Key Management Service) 金鑰進行加密。 AWS KMS 金鑰可以是客戶受管金鑰或與 AWS Backup 服務相關聯的 AWS受管金鑰。即使來源 Amazon S3 儲存貯體未加密, 也會 AWS Backup 加密所有備份。 | 支援 |
| VMware 虛擬機器 | VM 備份一律會加密。虛擬機器備份的 AWS KMS 加密金鑰是在儲存虛擬機器備份的保存 AWS Backup 庫中設定。 | 支援 |
| 啟用[進階 DynamoDB 備份](advanced-ddb-backup.md)後的 Amazon DynamoDB | DynamoDB 備份一律會加密。DynamoDB 備份的 AWS KMS 加密金鑰是在 DynamoDB 備份存放所在的 AWS Backup 保存庫中設定。 | 支援 |
| 不啟用[進階 DynamoDB 備份](advanced-ddb-backup.md)的 Amazon DynamoDB | DynamoDB 備份會自動加密 (使用和加密來源 DynamoDB 資料表時所用的同一個加密金鑰)。未加密 DynamoDB 資料表的快照也不會加密。 若要 AWS Backup 讓 建立加密 DynamoDB 資料表的備份,您必須將 許可`kms:Decrypt`和 `kms:GenerateDataKey` 新增至用於備份的 IAM 角色。或者,您可以使用 AWS Backup 預設的服務角色。 | 不支援 |
| Amazon Elastic File System (Amazon EFS) | Amazon EFS 備份一律會加密。Amazon EFS 備份的 AWS KMS 加密金鑰是在存放 Amazon EFS 備份的 AWS Backup 保存庫中設定。 | 支援 |
| Amazon Elastic Block Store (Amazon EBS) | 根據預設,Amazon EBS 備份會使用加密來源磁碟區時所用的金鑰加密,或者不會加密。在還原期間,您可以選擇指定 KMS 金鑰來覆寫預設加密方法。 | 不支援 |
| Amazon Elastic Compute Cloud (Amazon EC2) AMI | AMIs未加密。EBS 快照由 EBS 備份的預設加密規則加密 (請參閱 EBS 的項目)。資料和根磁碟區的 EBS 快照可以加密並連接到 AMI。 | 不支援 |
| Amazon Relational Database Service (Amazon RDS) | Amazon RDS 快照會自動加密 (使用和加密來源 Amazon RDS 資料庫時所用的同一個加密金鑰)。未加密 Amazon RDS 資料庫的快照也不會加密。 | 不支援 |
| Amazon Aurora | Aurora 叢集快照會自動加密 (使用和加密來源 Amazon Aurora 叢集時所用的同一個加密金鑰)。未加密 Aurora 叢集的快照也不會加密。 | 不支援 |
| AWS Storage Gateway | Storage Gateway 快照會自動加密 (使用和加密來源 Storage Gateway 磁碟區時所用的同一個加密金鑰)。未加密 Storage Gateway 磁碟區的快照也不會加密。您不需要跨所有服務使用一個客戶自管金鑰來啟用 Storage Gateway。您只需要將 Storage Gateway 備份複製到已設定 KMS 金鑰的文件庫。這是因為 Storage Gateway 沒有服務特定的 AWS KMS 受管金鑰。 | 不支援 |
| Amazon FSx | Amazon FSx 檔案系統的加密功能會因基礎檔案系統而有所不同。若要進一步了解特定 Amazon FSx 檔案系統,請參閱適當的《[FSx 使用者指南](https://docs.aws.amazon.com/fsx/)》。 | 不支援 |
| Amazon DocumentDB | Amazon DocumentDB 叢集快照會自動加密 (使用和加密來源 Amazon DocumentDB 叢集時所用的同一個加密金鑰)。未加密 Amazon DocumentDB 叢集的快照也不會加密。 | 不支援 |
| Amazon Neptune | Neptune 叢集快照會自動加密 (使用和加密來源 Neptune 叢集時所用的同一個加密金鑰)。未加密 Neptune 叢集的快照也不會加密。 | 不支援 |
| Amazon Timestream | Timestream 資料表快照備份一律會加密。Timestream 備份的 AWS KMS 加密金鑰是在存放 Timestream 備份的備份文件庫中設定。 | 支援 |
| Amazon Redshift | Amazon Redshift 叢集會自動加密 (使用和加密來源 Amazon Redshift 叢集時所用的同一個加密金鑰)。未加密 Amazon Redshift 叢集的快照也不會加密。 | 不支援 |
| Amazon Redshift Serverless | Redshift Serverless 快照會使用用來加密來源的相同加密金鑰自動加密。 | 不支援 |
| CloudFormation | CloudFormation 備份一律會加密。CloudFormation 備份的 CloudFormation 加密金鑰,會在儲存 CloudFormation 備份的 CloudFormation 文件庫中設定。 | 支援 |
| Amazon EC2 執行個體上的 SAP HANA 資料庫 | SAP HANA 資料庫備份一律會加密。SAP HANA 資料庫備份的 AWS KMS 加密金鑰是在儲存資料庫備份的保存 AWS Backup 庫中設定。 | 支援 |
**提示**
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) 可協助您自動偵測未加密的備份。
## 加密備份到不同 帳戶或 的複本 AWS 區域
當您跨帳戶或區域複製備份時, AWS Backup 會自動加密大多數資源類型的這些複本,即使原始備份未加密。 AWS Backup 會使用目標保存庫的 KMS 金鑰來加密複本。
在您將備份從一個帳戶複製到另一個帳戶 (跨帳戶複製任務) 或將備份從一個區域複製到另一個區域 (跨區域複製任務) 之前,請注意以下條件,其中許多條件取決於備份中的資源類型 (復原點) 是否[完全受管 AWS Backup](backup-feature-availability.md#features-by-resource)。
+ 備份到另一個 的複本 AWS 區域 會使用目的地保存庫的 金鑰加密。
+ 對於**完全受管 AWS Backup**資源的復原點 (備份) 副本,您可以選擇使用[客戶受管金鑰 (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) 或 AWS Backup 受管金鑰 () 進行加密`aws/backup`。
對於**未完全受管**資源的復原點副本 AWS Backup,與目的地保存庫相關聯的金鑰必須是 CMK 或擁有基礎資源之服務的受管金鑰。例如,如果您複製 EC2 執行個體,則無法使用 Backup 受管金鑰。相反地,必須使用 CMK 或 Amazon EBS KMS 金鑰 (`aws/ebs`) 來避免複製任務失敗。
+ 未完全受管資源不支援具有 AWS 受管金鑰的跨帳戶複製 AWS Backup。受管金鑰的 AWS [金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)不可變,可防止跨帳戶複製金鑰。如果您的資源使用 AWS 受管金鑰加密,而且您想要執行跨帳戶複製,您可以將[加密金鑰變更為](https://repost.aws/knowledge-center/update-encryption-key-rds)客戶受管金鑰,可用於跨帳戶複製。或者,您可以遵循[使用跨帳戶和跨區域備份保護加密的 Amazon RDS 執行個體](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/)中的指示,以繼續使用 AWS 受管金鑰。
+ 未加密 Amazon Aurora、Amazon DocumentDB 和 Amazon Neptune 叢集的副本也會未加密。
## AWS Backup 許可、授予和拒絕陳述式
為了協助避免任務失敗,您可以檢查 AWS KMS 金鑰政策,以確保其具有必要的許可,且沒有任何拒絕陳述式會阻止操作成功。
由於套用到 KMS 金鑰的一或多個拒絕陳述式,或由於金鑰的[授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)遭到撤銷,可能會發生任務失敗。
在 等 AWS 受管存取政策中[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html),有允許 動作 AWS Backup 與 互動 AWS KMS ,以代表客戶在 KMS 金鑰上建立授予,做為組件備份、複製和儲存操作。
金鑰政策至少需要下列許可:
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`
如果需要拒絕政策,您將需要允許列出備份和還原操作所需的角色。
這些元素看起來會如下所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KmsPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "KmsCreateGrantPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:backup:backup-vault"
},
"Bool": {
"kms:GrantIsForAWSResource": true
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
------
這些許可必須是金鑰的一部分,無論是 AWS 受管還是客戶受管。
1. 確保必要的許可是 KMS 金鑰政策的一部分
1. 執行 KMS CLI `get-key-policy`([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) 以檢視連接到指定 KMS 金鑰的金鑰政策。
1. 檢閱傳回的許可。
1. 確保沒有會影響操作的拒絕陳述式
1. 執行 (或重新執行) CLI `get-key-policy`([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) 以檢視連接到指定 KMS 金鑰的金鑰政策。
1. 檢閱政策。
1. 從 KMS 金鑰政策中移除相關的拒絕陳述式。
1. 如有需要,請執行 [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) 以使用修訂的許可取代或更新金鑰政策,並移除拒絕陳述式。
此外,與啟動跨區域複製任務之角色相關聯的金鑰,必須在 `DescribeKey`許可`"kms:ResourcesAliases": "alias/aws/backup"`中具有 。
# 虛擬機器 Hypervisor 憑證加密
[由 Hypervisor 管理](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html)的虛擬機器使用 [AWS Backup 閘道](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html)將內部部署系統連線到 AWS Backup。所有 Hypervisor 都必須擁有同樣強大且可靠的安全性。這種安全可以透過加密 Hypervisor 來實現,無論是透過 AWS 擁有的金鑰還是客戶受管的金鑰。
## AWS 擁有和客戶受管金鑰
AWS Backup 為 Hypervisor 登入資料提供加密,以使用**AWS 擁有的加密**金鑰保護敏感的客戶登入資訊。您可以選擇改用**客戶自管金鑰**。
根據預設,用於加密 Hypervisor 中登入資料的金鑰為**AWS 擁有的金鑰**。 AWS Backup 使用這些金鑰自動加密 Hypervisor 登入資料。您無法檢視、管理或使用 AWS 擁有的金鑰,也無法稽核其使用方式。不過,您不需要採取任何動作或變更任何程式,即可保護加密您資料的金鑰。如需詳細資訊,請參閱《 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)》中的 AWS 擁有的金鑰。
或者,您也可以使用「客戶自管金鑰」**來加密憑證。 AWS Backup 支援使用您建立、擁有和管理的對稱客戶自管金鑰來執行加密。由於您可以完全控管此加密,因此能執行以下任務:
+ 建立和維護金鑰政策
+ 建立和維護 IAM 政策和授予操作
+ 啟用和停用金鑰政策
+ 輪換金鑰密碼編譯資料
+ 新增 標籤
+ 建立金鑰別名
+ 安排金鑰供刪除
當您使用客戶受管金鑰時, 會 AWS Backup 驗證您的角色是否具有使用此金鑰解密的許可 (在執行備份或還原任務之前)。您必須將 `kms:Decrypt` 動作新增至用於啟動備份或還原任務的角色。
由於 `kms:Decrypt` 動作無法新增至預設備份角色,因此您必須使用預設備份角色以外的角色才能使用客戶自管金鑰。
如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[客戶自管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。
## 使用客戶自管金鑰時需要授予
AWS KMS 需要[授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)才能使用您的客戶受管金鑰。當您匯入以客戶受管金鑰加密的 [ Hypervisor 組態](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html)時, 會透過傳送[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)請求至 來代表您 AWS Backup 建立授予 AWS KMS。 AWS Backup 使用授予來存取客戶帳戶中的 KMS 金鑰。
您可以隨時撤銷授予的存取權,或移除對客戶受管金鑰的 AWS Backup存取權。如果這樣做,所有與 Hypervisor 相關的閘道將無法再存取由客戶自管金鑰加密的 Hypervisor 使用者名稱和密碼,這會影響您的備份和還原任務。具體而言,您在此 Hypervisor 中的虛擬機器上執行的備份和還原任務將會失敗。
當您刪除 Hypervisor 時,Backup 閘道會使用 `RetireGrant` 操作來移除授予。
## 監控加密金鑰
當您搭配 AWS Backup 資源使用 AWS KMS 客戶受管金鑰時,您可以使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)或 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 來追蹤 AWS Backup 傳送的請求 AWS KMS。
尋找具有下列`"eventName"`欄位 AWS CloudTrail 的事件,以監控 呼叫 AWS KMS 的操作 AWS Backup ,以存取客戶受管金鑰加密的資料:
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`
# 中的身分和存取管理 AWS Backup
存取 AWS Backup 需要登入資料。這些憑證必須具備許可才能存取 AWS 資源,例如 Amazon DynamoDB 資料庫或 Amazon EFS 檔案系統。此外,無法使用來源服務 (例如 Amazon EFS) 刪除 AWS Backup 為某些 AWS Backup支援的服務建立的復原點。您可以使用 刪除這些復原點 AWS Backup。
下列各節提供如何使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 和 的詳細資訊 AWS Backup ,以協助安全存取您的 資源。
**警告**
AWS Backup 使用您在指派資源以管理復原點生命週期時選擇的相同 IAM 角色。如果您刪除或修改該角色, AWS Backup 則 無法管理您的復原點生命週期。發生這種情況時,其會嘗試使用服務連結角色來管理您的生命週期。在少數情況下,這可能也無法運作,導致在儲存體上留下 `EXPIRED` 復原點,而可能造成不必要的成本。若要刪除 `EXPIRED` 復原點,請使用[刪除備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html)中的程序手動進行刪除。
**Topics**
+ [身分驗證](authentication.md)
+ [存取控制](access-control.md)
+ [IAM 服務角色](iam-service-roles.md)
+ [的受管政策 AWS Backup](security-iam-awsmanpol.md)
+ [使用 的服務連結角色 AWS Backup](using-service-linked-roles.md)
+ [預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)
# 身分驗證
存取 AWS Backup 或您要備份 AWS 的服務需要 AWS 登入資料,可用來驗證您的請求。您可以使用下列任一類型的身分 AWS 來存取 :
+ **AWS 帳戶 根使用者** – 當您註冊時 AWS,您會提供與 AWS 您的帳戶相關聯的電子郵件地址和密碼。這是您的「AWS 帳戶 根使用者」**。其登入資料可讓您完整存取所有 AWS 資源。
**重要**
基於安全理由,建議您只在建立*管理員*時使用根使用者,管理員是對您的 AWS 帳戶具有完整許可的「IAM 使用者」**。然後,您可以使用此管理員使用者建立其他 IAM 使用者和角色,並授予有限許可。如需詳細資訊,請參閱*IAM 使用者指南*中的 [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users)和[建立您的第一個 IAM 管理員使用者和群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)。
+ **IAM 使用者** – [IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是您 AWS 帳戶 中的一種身分,具有特定的自訂許可 (例如,建立備份文件庫以儲存備份的許可)。您可以使用 IAM 使用者名稱和密碼登入安全 AWS 網頁,例如 [AWS 管理主控台](https://console.aws.amazon.com/)、[AWS 開發論壇](https://forums.aws.amazon.com/)或 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
除了使用者名稱和密碼之外,您也可以為每個使用者產生[存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。當您透過[其中一個 SDKs ](https://aws.amazon.com/developer/tools/)或使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/),以程式設計方式存取 AWS 服務時,您可以使用這些金鑰。此軟體開發套件和 AWS CLI 工具使用存取金鑰,以加密方式簽署您的請求。如果您不使用 AWS 工具,您必須自行簽署請求。如需有關驗證請求的詳細資訊,請參閱《AWS 一般參考》**中的 [Signature 第 4 版簽署程序](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)。
+ **IAM 角色** – [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。這類似 IAM 使用者,但不與特定的人關聯。IAM 角色可讓您取得可用來存取 AWS 服務和資源的臨時存取金鑰。使用臨時憑證的 IAM 角色在下列情況中非常有用:
+ 聯合身分使用者存取 – 您可以使用來自 Directory Service企業使用者目錄或 Web 身分提供者的預先存在使用者身分,而不是建立 IAM 使用者。這些稱為*聯合身分使用者*。透過身分提供者[身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)來請求存取時, AWS 會指派角色給聯合身分使用者。如需有關聯合身分使用者的詳細資訊,請參閱 *IAM 使用者指南*中的[聯合身分使用者和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)。
+ 跨帳戶管理 – 您可以使用帳戶中的 IAM 角色來授予管理您帳戶資源的另一個 AWS 帳戶 許可。如需範例,請參閱《[IAM 使用者指南》中的教學課程: AWS 帳戶 使用 IAM 角色委派存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)。 **
+ AWS 服務存取 – 您可以使用帳戶中的 IAM 角色來授予 AWS 服務存取您帳戶資源的許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
+ 在 Amazon Elastic Compute Cloud (Amazon EC2) 上執行的應用程式 – 您可以使用 IAM 角色來管理在 Amazon EC2 執行個體上執行之應用程式的臨時登入資料,並提出 AWS API 請求。這是在 EC2 執行個體內儲存存取金鑰的較好方式。若要將 AWS 角色指派給 EC2 執行個體並將其提供給其所有應用程式,您可以建立連接至執行個體的執行個體描述檔。執行個體描述檔包含該角色,並且可讓 EC2 執行個體上執行的程式取得臨時憑證。如需詳細資訊,請參閱《IAM 使用者指南》**中的[使用 IAM 角色為在 Amazon EC2 執行個體上執行的應用程式授予許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。
# 存取控制
您可以擁有有效的登入資料來驗證請求,但除非您有適當的許可,否則無法存取備份文件庫等 AWS Backup 資源。您也無法備份 AWS 資源,例如 Amazon Elastic Block Store (Amazon EBS) 磁碟區。
每個 AWS 資源都由 擁有 AWS 帳戶,而建立或存取資源的許可是由許可政策管理。帳戶管理員可以將許可政策連接到 AWS Identity and Access Management (IAM) 身分 (即使用者、群組和角色)。某些服務還支援將許可政策連接到資源。
*帳戶管理員* (或管理員使用者) 是具有管理員許可的使用者。如需詳細資訊,請參《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。
當您授予許可時,能夠決定取得許可的對象、這些對象取得許可的資源,以及可對上述資源進行的特定動作。
下列各節說明存取政策的運作方式,以及您可如何運用這些政策來保護備份。
**Topics**
+ [資源和操作](#access-control-resources)
+ [資源擁有權](#access-control-owner)
+ [指定政策元素:動作、效果和主體](#access-control-specify-backup-actions)
+ [在政策中指定條件](#specifying-conditions)
+ [API 許可:動作、資源和條件參考](#backup-api-permissions-ref)
+ [複製標籤許可](#copy-tags)
+ [存取政策](#access-policies)
## 資源和操作
資源是存在於服務內的物件。 AWS Backup 資源包括備份計劃、備份文件庫和備份。*備份*是一般術語,是指存在於 中的各種備份資源類型 AWS。例如,Amazon EBS 快照、Amazon Relational Database Service (Amazon RDS) 快照和 Amazon DynamoDB 備份都是備份資源類型。
在 中 AWS Backup,備份也稱為*復原點*。使用 時 AWS Backup,您也可以使用您 AWS 嘗試保護之其他服務的資源,例如 Amazon EBS 磁碟區或 DynamoDB 資料表。這些資源具有與其相關聯的唯一 Amazon Resource Name (ARN)。ARNs可唯一識別 AWS 資源。如果需要在 AWS各處明確地指定資源 (例如在 IAM 政策或 API 呼叫中),必須具有 ARN。
下表列出資源、子資源、ARN 格式和範例唯一 ID。
**AWS Backup 資源 ARNs**
| Resource Type (資源類型) | ARN 格式 | 範例唯一 ID |
| --- | --- | --- |
| 備份計劃 | arn:aws:backup:region:account-id:backup-plan:\$1 | |
| 備份文件庫 | arn:aws:backup:region:account-id:backup-vault:\$1 | |
| Amazon EBS 的復原點 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 |
| Amazon EC2 映像的復原點 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 |
| Amazon RDS 的復原點 | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora 的復原點 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Aurora DSQL 的復原點 | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a |
| Storage Gateway 的復原點 | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 |
| DynamoDB (不含[進階 DynamoDB 備份](advanced-ddb-backup.md)) 的復原點 | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| DynamoDB (已啟用[進階 DynamoDB 備份](advanced-ddb-backup.md)) 的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Amazon EFS 的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Amazon FSx 的復原點 | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 |
| 虛擬機器的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Amazon S3 連續備份的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 |
| S3 定期備份的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 |
| Amazon DocumentDB 的復原點 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Neptune 的復原點 | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift 的復原點 | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Redshift Serverless 的復原點 | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Amazon Timestream 的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta |
| AWS CloudFormation 範本的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Amazon EC2 執行個體上 SAP HANA 資料庫的復原點 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
支援完整 AWS Backup 管理的資源都有格式為 的復原點`arn:aws:backup:region:account-id::recovery-point:*`。 可讓您更輕鬆地套用許可政策來保護這些復原點。若要查看哪些資源支援完整 AWS Backup 管理,請參閱[各資源的功能可用性](backup-feature-availability.md#features-by-resource)資料表的該區段。
AWS Backup 提供一組操作來使用 AWS Backup 資源。如需可用操作的清單,請參閱 AWS Backup [動作](API_Operations.md)。
## 資源擁有權
無論誰建立資源, 都會 AWS 帳戶 擁有在帳戶中建立的資源。具體而言,資源擁有者是驗證資源建立請求 AWS 帳戶 的[委託人實體](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (即 AWS 帳戶 根使用者、IAM 使用者或 IAM 角色) 的 。下列範例說明其如何運作:
+ 如果您使用 的 AWS 帳戶 根使用者登入 AWS 帳戶 資料來建立備份保存庫,則您的 AWS 帳戶 是保存庫的擁有者。
+ 如果您在 中建立 IAM 使用者, AWS 帳戶 並將建立備份文件庫的許可授予該使用者,則使用者可以建立備份文件庫。不過,您的 AWS 帳戶 (即該使用者所屬的帳戶) 會擁有備份文件庫的資源。
+ 如果您在 中建立 AWS 帳戶 具有建立備份保存庫許可的 IAM 角色,則任何可以擔任該角色的人都可以建立保存庫。 AWS 帳戶角色所屬的 擁有備份保存庫資源。
## 指定政策元素:動作、效果和主體
對於每個 AWS Backup 資源 (請參閱 [資源和操作](#access-control-resources)),服務會定義一組 API 操作 (請參閱 [動作](API_Operations.md))。若要授予這些 API 操作的許可, AWS Backup 會定義一組您可以在政策中指定的動作。執行一項 API 操作可能需要多個動作的許可。
以下是最基本的政策元素:
+ 資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需詳細資訊,請參閱[資源和操作](#access-control-resources)。
+ 動作:使用動作關鍵字識別您要允許或拒絕的資源操作。
+ 效果 - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
+ 委託人:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。
如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱*《IAM 使用者指南》*中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
如需顯示所有 AWS Backup API 動作的資料表,請參閱 [API 許可:動作、資源和條件參考](#backup-api-permissions-ref)。
## 在政策中指定條件
當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
AWS 支援全域條件金鑰和服務特定的條件金鑰。若要查看所有全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
AWS Backup 會定義自己的一組條件索引鍵。若要查看 AWS Backup 條件索引鍵的清單,請參閱《*服務授權參考*》中的 [的條件索引鍵 AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys)。
## API 許可:動作、資源和條件參考
當您設定[存取控制](#access-control)並撰寫可連接至 IAM 身分 (身分類型政策) 的許可政策時,可以參考下列資料表。資料表清單每個 AWS Backup API 操作、您可以授予執行動作許可的對應動作,以及您可以授予許可 AWS 的資源。您在政策的 `Action` 欄位中指定動作,然後在政策的 `Resource` 欄位中指定資源值。如果 `Resource` 欄位為空白,您可以使用萬用字元 (`*`) 來包含所有資源。
您可以在 AWS Backup 政策中使用 AWS整個條件索引鍵來表達條件。如需 AWS全系列金鑰的完整清單,請參閱《*IAM 使用者指南*》中的[可用金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。
使用捲軸查看資料表的其餘部分。
**AWS Backup 動作的 API 和必要許可**
| AWS Backup API 操作 | 所需許可 (API 動作) | Resources |
| --- | --- | --- |
| [CreateBackupPlan](API_CreateBackupPlan.md) | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupSelection](API_CreateBackupSelection.md) | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupVault](API_CreateBackupVault.md) | `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey` | arn:aws:backup:region:account-id:backup-vault:\$1 用於 `backup-storage`:\$1 用於 `kms`:`arn:aws:kms:region:account-id:key/keystring` |
| [DeleteBackupPlan](API_DeleteBackupPlan.md) | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupSelection](API_DeleteBackupSelection.md) | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupVault](API_DeleteBackupVault.md) | backup:DeleteBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md) | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md) | backup:DeleteBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md) | backup:DeleteRecoveryPoint 1 | 2 |
| [DescribeBackupJob](API_DescribeBackupJob.md) | backup:DescribeBackupJob | |
| [DescribeBackupVault](API_DescribeBackupVault.md) | backup:DescribeBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DescribeProtectedResource](API_DescribeProtectedResource.md) | backup:DescribeProtectedResource | |
| [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md) | backup:DescribeRecoveryPoint 1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [DescribeRestoreJob](API_DescribeRestoreJob.md) | backup:DescribeRestoreJob | |
| [DescribeRegionSettings](API_DescribeRegionSettings.md) | backup:DescribeRegionSettings | |
| [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md) | backup:ExportBackupPlanTemplate | |
| [GetBackupPlan](API_GetBackupPlan.md) | backup:GetBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md) | backup:GetBackupPlanFromJSON | |
| [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md) | backup:GetBackupPlanFromTemplate | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupSelection](API_GetBackupSelection.md) | backup:GetBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md) | backup:GetBackupVaultAccessPolicy 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md) | backup:GetBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md) | backup:GetRecoveryPointRestoreMetadata 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md) | backup:GetSupportedResourceTypes | |
| [ListBackupJobs](API_ListBackupJobs.md) | backup:ListBackupJobs | |
| [ListBackupPlans](API_ListBackupPlans.md) | backup:ListBackupPlans | |
| [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md) | backup:ListBackupPlanTemplates | |
| [ListBackupPlanVersions](API_ListBackupPlanVersions.md) | backup:ListBackupPlanVersions | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupSelections](API_ListBackupSelections.md) | backup:ListBackupSelections | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupVaults](API_ListBackupVaults.md) | backup:ListBackupVaults | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListProtectedResources](API_ListProtectedResources.md) | backup:ListProtectedResources | |
| [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md) | backup:ListRecoveryPointsByBackupVault 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md) | backup:ListRecoveryPointsByResource | |
| [ListRestoreJobs](API_ListRestoreJobs.md) | backup:ListRestoreJobs | |
| [ListTags](API_ListTags.md) | backup:ListTags | |
| [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md) | backup:PutBackupVaultAccessPolicy 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md) | backup:PutBackupVaultLockConfiguration 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md) | backup:PutBackupVaultNotifications 1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartBackupJob](API_StartBackupJob.md) | backup:StartBackupJob | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartRestoreJob](API_StartRestoreJob.md) | backup:StartRestoreJob | `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3 |
| [StopBackupJob](API_StopBackupJob.md) | backup:StopBackupJob | |
| [TagResource](API_TagResource.md) | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 |
| [UntagResource](API_UntagResource.md) | backup:UntagResource | |
| [UpdateBackupPlan](API_UpdateBackupPlan.md) | backup:UpdateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md) | backup:UpdateRecoveryPointLifecycle 1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [UpdateRegionSettings](API_UpdateRegionSettings.md) | `backup:UpdateRegionSettings` `backup:DescribeRegionSettings` | |
1 使用現有的保存庫存取政策。
2 如需資源特定的復原點 ARNs[AWS Backup 資源 ARNs](#resource-arns-table),請參閱 。
3 `StartRestoreJob` 必須在資源的中繼資料中具有索引鍵/值對。若要取得資源的中繼資料,請呼叫 `GetRecoveryPointRestoreMetadata` API。
如需詳細資訊,請參閱*服務授權參考*中的 [AWS Backup的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html)。
## 複製標籤許可
當 AWS Backup 執行備份或複製任務時,它會嘗試將標籤從來源資源 (或複製時的復原點) 複製到復原點。
**注意**
AWS Backup **不會**在還原任務期間原生複製標籤。如需將在還原任務期間複製標籤的事件驅動架構,請參閱[如何在 AWS Backup 還原任務中保留資源標籤](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/)。
在備份或複製任務期間, 會將您在備份計畫 (或複製計畫或隨需備份) 中指定的標籤與來源資源的標籤 AWS Backup 彙總。不過, 會 AWS 強制執行每個資源 50 個標籤的限制, AWS Backup 不可超過。當備份或複製任務彙總計畫和來源資源中的標籤時,可能會探索總計超過 50 個標籤,而無法完成任務,導致任務失敗。這與 AWS整體標記最佳實務一致。
+ 使用來源資源標籤彙總備份任務標籤後,您的資源有超過 50 個標籤。 每個資源最多 AWS 支援 50 個標籤。
+ 您提供給 的 IAM 角色 AWS Backup 缺少讀取來源標籤或設定目的地標籤的許可。如需詳細資訊和 IAM 角色政策範例,請參閱[受管政策](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies)。
您可以使用備份計畫 (新增至復原點的標籤) 來建立與來源資源標籤相衝突的標籤。當兩個標籤衝突時,會優先使用備份計畫中的標籤。如果您不想從來源資源複製標籤值,請使用此技巧。使用備份計畫指定相同的標籤金鑰,但不同或空白值。
**將標籤指派給備份所需的許可**
| Resource Type (資源類型) | 所需的許可 |
| --- | --- |
| Amazon EFS 檔案系統 | `elasticfilesystem:DescribeTags` |
| Amazon FSx 檔案系統 | `fsx:ListTagsForResource` |
| Amazon RDS 資料庫和 Amazon Aurora 叢集 | `rds:AddTagsToResource` `rds:ListTagsForResource` |
| Storage Gateway 磁碟區 | `storagegateway:ListTagsForResource` |
| Amazon EC2 執行個體和 Amazon EBS 磁碟區 | `EC2:CreateTags` `EC2:DescribeTags` |
除非先啟用 [進階 DynamoDB 備份](advanced-ddb-backup.md),否則 DynamoDB 不支援將標籤指派給備份。
當 Amazon EC2 備份建立映像復原點和一組快照時, AWS Backup 會將標籤複製到產生的 AMI。 AWS Backup 也會將標籤從與 Amazon EC2 執行個體相關聯的磁碟區複製到產生的快照。
## 存取政策
*許可政策*描述誰可以存取哪些資源。連接到 IAM 身分的政策稱為*身分類型*政策 (IAM 政策)。連接到資源的政策稱為以*資源為基礎的*政策。 同時 AWS Backup 支援以身分為基礎的政策和以資源為基礎的政策。
**注意**
本節討論在 內容中使用 IAM AWS Backup。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱 *IAM 使用者指南*中的[什麼是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需 IAM 政策語法和說明的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
### 身分類型政策 (IAM 政策)
以身分為基礎的政策是您可以連接到 IAM 身分 (例如使用者或角色) 的政策。例如,您可以定義允許使用者檢視和備份 AWS 資源的政策,但防止它們還原備份。
如需使用者、群組、角色和許可的詳細資訊,請參閱《IAM 使用者指南》**中的[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
如需如何使用 IAM 政策控管備份存取的資訊,請參閱[的受管政策 AWS Backup](security-iam-awsmanpol.md)。
### 資源型政策
AWS Backup 支援備份保存庫的資源型存取政策。這可讓您定義存取政策,控管哪些使用者可以針對備份文件庫中所歸整的任何備份,進行何種存取。以資源為基礎的備份文件庫存取政策,提供了簡單的方法來控管對您備份的存取。
備份保存庫存取政策會在您使用 AWS Backup APIs時控制使用者存取。某些備份類型 (例如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照) 也可以使用這些服務的 API 進行存取。您可以在 IAM 中建立不同的存取政策來控管對這些 API 的存取,以便完全控管對備份的存取。
若要了解如何建立備份文件庫的存取政策,請參閱 [文件庫存取政策](create-a-vault-access-policy.md)。
# IAM 服務角色
AWS Identity and Access Management (IAM) 角色類似於使用者,因為它是具有許可政策的 AWS 身分,可決定身分可以和不可以執行的操作 AWS。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。服務角色是 AWS 服務擔任以代表您執行動作的角色。做為代表您執行備份操作的服務, AWS Backup 需要獲得您傳遞的角色,以在代表您進行備份操作時擔任該角色。如需 IAM 角色的更多相關資訊,請參閱 *IAM 使用者指南*中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。
您傳遞至 的角色 AWS Backup 必須具有 IAM 政策,其許可 AWS Backup 可讓 執行與備份操作相關的動作,例如建立、還原或即將過期的備份。每個 AWS Backup 支援的服務都需要 AWS 不同的許可。該角色也必須 AWS Backup 列為信任的實體,讓 AWS Backup 能夠擔任該角色。
當您將資源指派給備份計劃,或執行隨需備份、複製或還原時,您必須傳遞可存取 的服務角色,才能對指定的資源執行基礎操作。 AWS Backup 使用此角色來建立、標記和刪除帳戶中的資源。
## 使用 AWS 角色來控制對備份的存取
您可以使用角色,藉由定義狹義範圍的角色,和指定可以傳遞角色給 AWS Backup的人員,來控管對您備份的存取。例如,您可以建立一個角色,只授予備份 Amazon Relational Database Service (Amazon RDS) 資料庫的許可,並只授予 Amazon RDS 資料庫擁有者傳遞該角色的許可 AWS Backup。 為每個支援的服務 AWS Backup 提供數個預先定義的受管政策。您可以將這些受管政策連接至您建立的角色,這可讓您更輕鬆地建立具有 AWS Backup 所需正確許可的服務特定角色。
如需 AWS 受管政策的詳細資訊 AWS Backup,請參閱 [的受管政策 AWS Backup](security-iam-awsmanpol.md)。
## 的預設服務角色 AWS Backup
第一次使用 AWS Backup 主控台時,您可以選擇讓 為您 AWS Backup 建立預設服務角色。此角色具有代表您建立和還原備份 AWS Backup 所需的許可。
**注意**
當您使用 AWS 管理主控台時,系統會自動建立預設角色。您可以使用 AWS Command Line Interface (AWS CLI) 建立預設角色,但必須手動完成。
如果您偏好使用自訂角色 (例如針對不同資源類型使用不同角色),您也可以這麼做並將自訂角色傳遞給 AWS Backup。若要檢視為個別資源類型啟用備份和還原的角色範例,請參閱<[客戶管理政策](security-iam-awsmanpol.md#customer-managed-policies)>表格。
預設服務角色名為 `AWSBackupDefaultServiceRole`。此服務角色包含兩個受管政策:[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 和 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
`AWSBackupServiceRolePolicyForBackup` 包含 IAM 政策,授予 AWS Backup 許可來描述要備份的資源、建立、刪除、描述或新增標籤至備份的功能,無論其加密的 AWS KMS 金鑰為何。
`AWSBackupServiceRolePolicyForRestores` 包含 IAM 政策,授予 AWS Backup 許可來建立、刪除或描述從備份建立的新資源,無論其加密的 AWS KMS 金鑰為何。該政策還包含標記新建立資源的許可。
若要還原 Amazon EC2 執行個體,您必須啟動新的執行個體。
## 在主控台中建立預設服務角色
您在 AWS Backup 主控台中採取的特定動作會建立 AWS Backup 預設服務角色。
**在 AWS 帳戶中建立 AWS Backup 預設服務角色**
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 若要為您的帳戶建立角色,請將資源指派給備份計畫,或建立隨需備份。
1. 建立備份計畫,並將資源指派給備份。請參閱[建立備份計畫](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)。
1. 或者,建立隨需備份。請參閱[建立隨需備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html)。
1. 依照下列步驟,確認您已在帳戶中建立 `AWSBackupDefaultServiceRole`:
1. 請等待數分鐘。如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》**中的[我所做的變更不一定都會立刻生效](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency)。
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側導覽選單中,選擇 **角色**。
1. 在搜尋列中,輸入 `AWSBackupDefaultServiceRole`。如果此選項存在,表示您已建立 AWS Backup 預設角色並完成此程序。
1. 如果 `AWSBackupDefaultServiceRole` 仍未顯示,請將下列許可新增至您用來存取主控台的 IAM 使用者或 IAM 角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
},
{
"Effect":"Allow",
"Action":[
"iam:ListRoles"
],
"Resource":"*"
}
]
}
```
------
若是中國區域,請以 *aws-cn* 取代 *aws*。對於 AWS GovCloud (US) 區域,請以 *aws**aws-us-gov*。
1. 如果您無法將許可新增至 IAM 使用者或 IAM 角色,請要求管理員使用 `AWSBackupDefaultServiceRole` 以外**的名稱手動建立角色,並將該角色連接到下列受管政策:
+ `AWSBackupServiceRolePolicyForBackup`
+ `AWSBackupServiceRolePolicyForRestores`
# 的受管政策 AWS Backup
受管政策是獨立的身分型政策,您可以連接到 中的多個使用者、群組和角色 AWS 帳戶。將政策連接到主體實體時,便向實體授予了政策中定義的許可。
*AWS 受管政策*由 建立和管理 AWS。您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。
*客戶受管政策*為您提供精細的控制,以設定對 中備份的存取 AWS Backup。例如,您可以使用這些政策為資料庫備份管理員提供 Amazon RDS 備份 (而非 Amazon EFS 備份) 的存取權限。
如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
## AWS 受管政策
AWS Backup 針對常見的使用案例提供下列 AWS 受管政策。這些政策可讓您更輕鬆地定義適當的許可,和控管對您備份的存取。受管政策有兩種。其中一種是設計用來指派給使用者,以控制這些使用者對 AWS Backup的存取。另一種受管政策是設計用來連接到您傳遞給 AWS Backup的角色。下表列出了 AWS Backup 提供的所有受管政策,並說明這些政策的定義。您可以在 IAM 主控台的 **政策** 區段中找到這些受管政策。
**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)
### AWSBackupAuditAccess
此政策授予許可,讓使用者建立控制和架構,以定義他們對 AWS Backup 資源和活動的期望,並根據其定義的控制和架構稽核 AWS Backup 資源和活動。此政策授予許可給 AWS Config 和類似的 服務,以描述使用者期望執行稽核。
此政策也授予提供稽核報告給 Amazon S3 和類似服務的許可,並可讓使用者尋找和開啟其稽核報告。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html)。
### AWSBackupDataTransferAccess
此政策提供 AWS Backup 儲存平面資料傳輸 APIs許可,允許 AWS Backint 代理程式使用 AWS Backup 儲存平面完成備份資料傳輸。您可以使用 Backint 代理程式,將此政策連接至執行 SAP HANA 的 Amazon EC2 執行個體所擔任的角色。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html)。
### AWSBackupFullAccess
備份管理員具有 AWS Backup 操作的完整存取權,包括建立或編輯備份計劃、將 AWS 資源指派給備份計劃,以及還原備份。備份管理員會負責制定符合其組織業務與法規要求的備份計劃,以判定和強制執行備份合規。備份管理員也會確保其組織的 AWS 資源已指派給適當的計劃。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)。
### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
此政策提供 Backup 閘道許可,以代表您同步虛擬機器的中繼資料
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html)。
### AWSBackupGuardDutyRolePolicyForScans
此政策必須新增至新的掃描角色,以授予 Amazon GuardDuty 讀取和掃描備份的許可。您需要在惡意軟體保護或掃描設定中將此掃描角色連接至備份計畫。 AWS 備份啟動掃描時,會將此掃描角色傳遞給 Amazon GuardDuty。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)。
### AWSBackupOperatorAccess
備份操作人員是使用者,負責確保所經手的資源能夠正確地備份。備份運算子具有將 AWS 資源指派給備份管理員建立之備份計畫的許可。他們也有權建立其 AWS 資源的隨需備份,以及設定隨需備份的保留期間。備份操作人員不具有許可,來建立或編輯備份計劃,或是在排程備份建立後刪除這些備份。備份操作人員可以還原備份。您可以限制備份操作人員能夠指派給備份計劃或從備份還原的資源類型。您可以只允許將特定服務角色傳遞至 AWS Backup 具有特定資源類型許可的 。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html)。
### AWSBackupOrganizationAdminAccess
組織管理員具有 AWS Organizations 操作的完整存取權,包括建立、編輯或刪除備份政策、將備份政策指派給帳戶和組織單位,以及監控組織內的備份活動。組織管理員負責定義和指派符合組織業務和法規要求的備份政策,以保護組織中的帳戶。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html)。
### AWSBackupRestoreAccessForSAPHANA
此政策提供在 Amazon EC2 上還原 SAP HANA 備份的 AWS Backup 許可。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html)。
### AWSBackupSearchOperatorAccess
搜尋運算子角色具有建立備份索引和建立索引備份中繼資料搜尋的存取權。
此政策包含這些函數的必要許可。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html)。
### AWSBackupServiceLinkedRolePolicyForBackup
此政策會連接到名為 的服務連結角色AWSServiceRoleforBackup,以允許 代表您 AWS Backup 呼叫 AWS 服務來管理您的備份。如需詳細資訊,請參閱[使用 角色來備份和複製](using-service-linked-roles-AWSServiceRoleForBackup.md)。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)。
### AWSBackupServiceLinkedRolePolicyForBackupTest
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html)。
### AWSBackupServiceRolePolicyForBackup
提供代表您建立所有支援資源類型備份的 AWS Backup 許可。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)。
### AWSBackupServiceRolePolicyForItemRestores
**Description**
此政策授予使用者許可,以將快照中的個別檔案和項目 (定期備份復原點) 還原至新的或現有的 Amazon S3 儲存貯體或新的 Amazon EBS 磁碟區。這些許可包括:Amazon EBS 的讀取許可,適用於由 Amazon S3 儲存貯體的 AWS Backup 讀取/寫入許可所管理的快照,以及產生和描述 AWS KMS 金鑰的許可。
**使用此政策**
您可以將 `AWSBackupServiceRolePolicyForItemRestores` 連接至使用者、群組與角色。
**政策詳細資訊**
+ **類型:** AWS 受管政策
+ **建立時間:**2024 年 11 月 21 日,UTC 22:45
+ **編輯時間:**第一個執行個體
+ **ARN**:`arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`
**政策版本:**v1 (預設)
此政策的版本定義政策的許可。當具有 政策的使用者或角色提出存取 AWS 資源的請求時, 會 AWS 檢查政策的預設版本,以決定是否允許請求。
**JSON 政策文件:**
#### AWSBackupServiceRolePolicyForItemRestores JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "S3ReadonlyPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "S3PermissionsForFileLevelRestore",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::*/*"
},
{
"Sid": "KMSDataKeyForS3AndEC2Permissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com",
"s3.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForIndexing
**Description**
此政策會授予使用者索引快照的許可,也稱為定期復原點。這些許可包括:Amazon EBS 的讀取許可,適用於由 Amazon S3 儲存貯體的 AWS Backup 讀取/寫入許可所管理的快照,以及產生和描述 AWS KMS 金鑰的許可。
**使用此政策**
您可以將 `AWSBackupServiceRolePolicyForIndexing` 連接至使用者、群組與角色。
**政策詳細資訊**
+ **類型:** AWS 受管政策
+ **編輯時間:**第一個執行個體
+ **ARN**:`arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`
**政策版本:**v1 (預設)
此政策的版本定義政策的許可。當具有 政策的使用者或角色提出存取 AWS 資源的請求時, 會 AWS 檢查政策的預設版本,以決定是否允許請求。
**JSON 政策文件:**
#### AWSBackupServiceRolePolicyForIndexing JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSDataKeyForEC2Permissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForRestores
提供代表您還原所有支援資源類型備份的 AWS Backup 許可。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
對於 EC2 執行個體還原,您還必須包含以下許可才能啟動 EC2 執行個體:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPassRole",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/role-name",
"Effect": "Allow"
}
]
}
```
------
### AWSBackupServiceRolePolicyForS3Backup
此政策包含 備份任何 S3 儲存貯 AWS Backup 體所需的許可。這包括存取儲存貯體中的所有物件和任何相關聯的 AWS KMS 金鑰。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)。
### AWSBackupServiceRolePolicyForS3Restore
此政策包含 AWS Backup 將 S3 備份還原至儲存貯體所需的許可。這包括對儲存貯體的讀取和寫入許可,以及有關 S3 操作的任何 AWS KMS 金鑰使用情況。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)。
### AWSBackupServiceRolePolicyForScans
政策應連接到您在備份計劃資源選擇中使用的 IAM 角色。此角色授予 AWS Backup 在 Amazon GuardDuty 中啟動掃描的許可。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)。
### AWSServiceRolePolicyForBackupReports
AWS Backup 會將此政策用於 [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html) 服務連結角色。此服務連結角色提供 AWS Backup 許可,以監控和報告備份設定、任務和資源與架構的合規性。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)。
### AWSServiceRolePolicyForBackupRestoreTesting
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)。
## 客戶管理政策
下列各節說明 支援之 AWS 服務和第三方應用程式的建議備份和還原許可 AWS Backup。您可以在建立自己的政策文件時,使用現有的 AWS 受管政策做為模型,然後自訂它們以進一步限制對 AWS 資源的存取。
**重要**
使用 的自訂 IAM 角色時 AWS Backup,除了許可之外,您還必須包含資源特定的 AWS Backup 許可。例如,在 Amazon RDS 資源`backup:ListTags`上呼叫 時,您的自訂 IAM 角色也必須包含 `rds:ListTagsForResource` 許可。雖然這些許可包含在預設 AWS Backup 服務角色中,但必須明確新增至客戶受管政策。所需的基礎資源許可取決於正在執行的特定 AWS 服務和操作。
### Amazon Aurora
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `RDSPermissions`陳述式開始。
### Amazon Aurora DSQL
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `DSQLRestorePermissions`陳述式開始。
### Amazon DynamoDB
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的下列陳述式開始:
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`
### Amazon EBS
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `EBSPermissions`陳述式開始。
添加以下陳述式。
```
{
"Effect":"Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource":"*"
},
```
### Amazon EC2
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的下列陳述式開始:
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`
添加以下陳述式。
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/role-name"
},
```
將 *role-name* 取代為將連接至還原之 EC2 執行個體的 EC2 執行個體描述檔角色名稱。這不是 AWS Backup 服務角色,而是為在 EC2 執行個體上執行的應用程式提供許可的 IAM 角色。
### Amazon EFS
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `EFSPermissions`陳述式開始。
### Amazon FSx
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的下列陳述式開始:
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`
### Amazon Neptune
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `RDSPermissions`陳述式開始。
### Amazon RDS
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `RDSPermissions`陳述式開始。
### Amazon S3
**備份**
從 [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) 開始。
如果您需要將備份複製到不同的帳戶,請新增 `BackupVaultPermissions`和 `BackupVaultCopyPermissions`陳述式。
**還原**
從 [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) 開始。
### AWS Storage Gateway
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的下列陳述式開始:
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
添加以下陳述式。
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource":"*"
},
```
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的下列陳述式開始:
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`
### 虛擬機器
**備份**
從 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 的 `BackupGatewayBackupPermissions`陳述式開始。
**還原**
從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 的 `GatewayRestorePermissions`陳述式開始。
### 加密備份
**若要還原加密的備份,請執行下列其中一個動作**
+ 將您的角色新增至 AWS KMS 金鑰政策的允許清單
+ 從 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) 將下列陳述式新增至還原的 IAM 角色:
+ `KMSDescribePermissions`
+ `KMSPermissions`
+ `KMSCreateGrantPermissions`
## 的政策更新 AWS Backup
檢視自此服務開始追蹤這些變更 AWS Backup 以來, AWS 受管政策更新的詳細資訊。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 還原測試在還原測試完成後刪除 RDS 租戶資料庫。 | 2026 年 3 月 18 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 在您的復原點上 AWS Backup 啟動惡意軟體掃描。 | 2026 年 2 月 23 日 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – 新政策 | AWS Backup 新增了新的 AWS 受管政策,提供 Amazon GuardDuty 讀取和掃描客戶備份的許可。啟動操作 時, 會將具有此政策的角色 AWS Backup 傳遞給 GuardDuty`StartMalwareScan`。 這對於在 Amazon EC2、Amazon EBS 和 Amazon S3 資源的復原點上提供惡意軟體掃描所需的所有必要許可是必要的。 如需詳細資訊,請參閱 受管政策 [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)。 | 2025 年 11 月 19 日 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – 新政策 | AWS Backup 新增了新的 AWS 受管政策,提供在您的復原點啟動惡意軟體掃描的 AWS Backup 許可。 這對於在 Amazon EC2、Amazon EBS 和 Amazon S3 資源的復原點上提供惡意軟體掃描所需的所有必要許可是必要的。 如需詳細資訊,請參閱 受管政策 [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)。 | 2025 年 11 月 19 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 已`malware-protection.guardduty.amazonaws.com`新增至 `IamPassRolePermissions`,這是啟動惡意軟體掃描任務的必要項目。 | 2025 年 11 月 19 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是啟動惡意軟體掃描任務的必要許可。 | 2025 年 11 月 19 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 備份和還原 Amazon EKS 叢集。 | 2025 年 11 月 10 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 備份和還原 Amazon EKS 叢集。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可 AWS Backup 允許 代表客戶建立 Amazon EKS 叢集及其相關資源的備份。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可 AWS Backup 允許 代表客戶建立 Amazon EKS 叢集及其相關資源的備份。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 代表客戶 AWS Backup 執行 Amazon EKS 叢集及其相關資源的還原操作。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 此許可允許 AWS Backup 將委派管理員資訊與 Organizations 同步以進行跨帳戶管理功能。 | 2025 年 9 月 9 日 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – 新政策 | AWS Backup 新增了新的 AWS 受管政策,提供 Amazon GuardDuty 讀取和掃描客戶備份的許可。啟動操作 時, 會將具有此政策的角色 AWS Backup 傳遞給 GuardDuty`StartMalwareScan`。 這對於在 Amazon EC2、Amazon EBS 和 Amazon S3 資源的復原點上提供惡意軟體掃描所需的所有必要許可是必要的。 如需詳細資訊,請參閱 受管政策 [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)。 | 2025 年 11 月 24 日 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – 新政策 | AWS Backup 新增了新的 AWS 受管政策,提供在您的復原點啟動惡意軟體掃描的 AWS Backup 許可。 這對於在 Amazon EC2、Amazon EBS 和 Amazon S3 資源的復原點上提供惡意軟體掃描所需的所有必要許可是必要的。 如需詳細資訊,請參閱 受管政策 [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)。 | 2025 年 11 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 需要這些許可 AWS Backup ,才能代表客戶執行 DSQL 資源的協調多區域還原操作。 | 2025 年 7 月 17 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是與 AWS 帳戶管理 AWS Backup 整合的必要許可, AWS Organizations 因此客戶可以選擇多方核准 (MPA) 作為邏輯氣隙隔離保存庫的一部分。 | 2025 年 6 月 17 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新現有政策: | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是必要的,可讓客戶透過 還原 Amazon FSx for OpenZFS 多可用區域 (多可用區域) 快照 AWS Backup。 | 2025 年 5 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 備份和還原 Amazon Aurora DSQL 資源。 | 2025 年 5 月 21 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 備份和還原 Amazon Aurora DSQL 資源。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可 AWS Backup 允許 代表客戶建立、刪除、擷取和管理 Amazon Aurora DSQL 快照。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可 AWS Backup 允許 代表客戶建立、刪除、擷取、加密、解密和管理 Amazon Aurora DSQL 快照。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可允許 AWS Backup 以客戶指定的間隔來管理 Aurora DSQL 備份。 | 2025 年 5 月 21 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是指定客戶完整存取 Amazon Redshift Serverless 備份的必要許可,包括必要的讀取許可,以及刪除 Amazon Redshift Serverless 復原點 (快照備份) 的能力。 | 2025 年 3 月 31 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是指定客戶擁有 Amazon Redshift Serverless 所有必要備份許可的必要許可,包括必要的讀取許可。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 需要這些許可 AWS Backup ,才能以客戶指定的間隔管理 Amazon Redshift Serverless 快照。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是允許 代表客戶 AWS Backup 建立、刪除、擷取和管理 Amazon Redshift Serverless 快照的必要許可。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新現有政策 | AWS Backup 已將下列許可新增至此政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/aws-backup/latest/devguide/security-iam-awsmanpol.html) 這些許可是允許 代表客戶 AWS Backup 還原 Amazon Redshift 和 Amazon Redshift Serverless 快照的必要許可。 | 2025 年 3 月 31 日 |
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess) – 新增了新的 AWS 受管政策 | AWS Backup 新增 AWSBackupSearchOperatorAccess AWS 受管政策。 | 2025 年 2 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | AWS Backup 新增`rds:AddTagsToResource`支援備份之 Amazon RDS 多租戶快照跨帳戶複本的許可。 當客戶選擇建立多租用戶 RDS 快照的跨帳戶複本時,需要此許可才能完成操作。 | 2025 年 1 月 8 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新現有政策 | AWS Backup 已將 許可`rds:CreateTenantDatabase`和 `rds:DeleteTenantDatabase` 新增至此政策,以支援 Amazon RDS 資源的還原程序。 這些許可是完成客戶操作以還原多租戶快照的必要許可。 | 2025 年 1 月 8 日 |
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores) – 新增了新的 AWS 受管政策 | AWS Backup 新增 AWSBackupServiceRolePolicyForItemRestores AWS 受管政策。 | 2024 年 11 月 26 日 |
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing) – 新增了新的 AWS 受管政策 | AWS Backup 新增 AWSBackupServiceRolePolicyForIndexing AWS 受管政策。 | 2024 年 11 月 26 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | AWS Backup 已將許可`backup:TagResource`新增至此政策。 在建立復原點期間取得標記許可時,需要 許可。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 更新至現有政策 | AWS Backup 已將許可`backup:TagResource`新增至此政策。 在建立復原點期間取得標記許可時,需要 許可。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | AWS Backup 已將許可`backup:TagResource`新增至此政策。 在建立復原點期間取得標記許可時,需要 許可。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | 新增 許可`rds:DeleteDBInstanceAutomatedBackups`。 需要此許可 AWS Backup ,才能支援 Amazon RDS 執行個體的持續備份和point-in-time-restore。 | 2024 年 5 月 1 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | AWS Backup 將 許可中的 Amazon Resource Name (ARN) `storagegateway:ListVolumes` 從 更新`arn:aws:storagegateway:*:*:gateway/*`為 `*` ,以適應 Storage Gateway API 模型中的變更。 | 2024 年 5 月 1 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | AWS Backup 將 許可中的 Amazon Resource Name (ARN) `storagegateway:ListVolumes` 從 更新`arn:aws:storagegateway:*:*:gateway/*`為 `*` ,以適應 Storage Gateway API 模型中的變更。 | 2024 年 5 月 1 日 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – 更新至現有政策 | 新增下列許可來描述和列出復原點和受保護的資源,以執行還原測試計畫:`backup:DescribeRecoveryPoint`、`backup:ListProtectedResources`、 `backup:DescribeProtectedResource`和 `backup:ListRecoveryPointsByResource`。 新增`ec2:DescribeSnapshotTierStatus`支援 Amazon EBS 封存層儲存的許可。 新增`rds:DescribeDBClusterAutomatedBackups`支援 Amazon Aurora 連續備份的許可。 新增下列許可,以支援 Amazon Redshift 備份的還原測試: `redshift:DescribeClusters`和 `redshift:DeleteCluster`。 新增`timestream:DeleteTable`支援 Amazon Timestream 備份還原測試的許可。 | 2024 年 2 月 14 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增許可 `ec2:DescribeSnapshotTierStatus`和 `ec2:RestoreSnapshotTier`。 使用者必須具備這些許可,才能選擇 AWS Backup 從封存儲存還原與 一起存放的 Amazon EBS 資源。 對於 EC2 執行個體還原,您還必須包含以下政策陳述式中所示的許可才能啟動 EC2 執行個體: | 2023 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增 許可`ec2:DescribeSnapshotTierStatus``ec2:ModifySnapshotTier`,並支援將 Amazon EBS 資源備份到封存儲存層的額外儲存選項。 使用者必須具備這些許可,才能選擇將 存放的 Amazon EBS 資源轉換為 AWS Backup 封存儲存。 | 2023 年 11 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增 許可`ec2:DescribeSnapshotTierStatus``ec2:ModifySnapshotTier`,並支援將 Amazon EBS 資源備份到封存儲存層的額外儲存選項。 使用者必須具備這些許可,才能選擇將 存放的 Amazon EBS 資源轉換為 AWS Backup 封存儲存。 新增許可 `rds:DescribeDBClusterSnapshots`和 `rds:RestoreDBClusterToPointInTime`,這是 Aurora 叢集 PITR (point-in-time還原) 的必要項目。 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – 新政策 | 提供執行還原測試所需的許可。這些許可包括要在還原測試中包含之下列服務的動作 `list, read, and write`:Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、FSx for Lustre、FSx for Windows File Server、FSx for ONTAP、FSx for OpenZFS、Amazon Neptune、Amazon RDS 和 Amazon S3。 | 2023 年 11 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增 `restore-testing.backup.amazonaws.com` 至 `IamPassRolePermissions` 和 `IamCreateServiceLinkedRolePermissions`。此新增 AWS Backup 對於 代表客戶執行還原測試是必要的。 | 2023 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增許可 `rds:DescribeDBClusterSnapshots`和 `rds:RestoreDBClusterToPointInTime`,這是 Aurora 叢集 PITR (point-in-time還原) 的必要項目。 | 2023 年 9 月 6 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增許可 `rds:DescribeDBClusterAutomatedBackups`,這是 Aurora 叢集持續備份和point-in-time還原的必要許可。 | 2023 年 9 月 6 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增許可 `rds:DescribeDBClusterAutomatedBackups`,這是 Aurora 叢集持續備份和point-in-time還原的必要許可。 | 2023 年 9 月 6 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增 許可`rds:DescribeDBClusterAutomatedBackups`。此許可對於 AWS Backup 支援 Aurora 叢集的持續備份和point-in-time還原是必要的。 新增許可`rds:DeleteDBClusterAutomatedBackups`,允許 AWS Backup 生命週期在保留期間完成時刪除和取消 Amazon Aurora 持續復原點的關聯。Aurora 復原點需要此許可,才能避免轉換為 `EXIPIRED` 狀態。 新增`rds:ModifyDBCluster`允許 與 Aurora 叢集 AWS Backup 互動的許可。這項新增讓使用者能夠根據所需的組態啟用或停用連續備份。 | 2023 年 9 月 6 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增 動作`ram:GetResourceShareAssociations`,以授予使用者取得新保存庫類型資源共用關聯的許可。 | 2023 年 8 月 8 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增 動作`ram:GetResourceShareAssociations`,以授予使用者取得新保存庫類型資源共用關聯的許可。 | 2023 年 8 月 8 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 更新至現有政策 | 新增使用儲存貯體庫存`s3:PutInventoryConfiguration`增強備份效能速度的許可。 | 2023 年 8 月 1 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新現有政策 | 新增下列動作,以授予使用者新增標籤以還原資源的許可:`storagegateway:AddTagsToResource``elasticfilesystem:TagResource`、,`ec2:CreateTags`僅適用於`ec2:CreateAction`包含 `RunInstances`或 `CreateVolume`、 `fsx:TagResource`和 的 `cloudformation:TagResource`。 | 2023 年 5 月 22 日 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – 更新現有政策 | 將 API 中的資源選取項目取代`config:DescribeComplianceByConfigRule`為萬用字元資源,讓使用者更輕鬆地選取資源。 | 2023 年 4 月 11 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增下列使用客戶受管金鑰還原 Amazon EFS 的許可:`kms:GenerateDataKeyWithoutPlaintext`。這有助於確保使用者擁有還原 Amazon EFS 資源所需的許可。 | 2023 年 3 月 27 日 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – 更新現有政策 | 已更新 `config:DescribeConfigRules`和 `config:DescribeConfigRuleEvaluationStatus`動作,以允許 AWS Backup Audit Manager 存取 AWS Backup Audit Manager 受管 AWS Config 規則。 | 2023 年 3 月 9 日 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) – 更新至現有政策 | 已將下列許可:`kms:Decrypt`、 `s3:PutBucketOwnershipControls`和 `s3:GetBucketOwnershipControls`新增至政策 `AWSBackupServiceRolePolicyForS3Restore`。需要這些許可,才能在原始備份中使用 KMS 加密時支援還原物件,以及在原始儲存貯體 (而非 ACL) 上已設定物件擁有權時還原物件。 | 2023 年 2 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列許可,以使用虛擬機器的 VMware 標籤排程備份,並支援排程型頻寬限流:`backup-gateway:GetHypervisorPropertyMappings`、`backup-gateway:GetVirtualMachine`、`backup-gateway:PutHypervisorPropertyMappings`、`backup-gateway:GetHypervisor`、`backup-gateway:StartVirtualMachinesMetadataSync`、 `backup-gateway:GetBandwidthRateLimitSchedule`和 `backup-gateway:PutBandwidthRateLimitSchedule`。 | 2022 年 12 月 15 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列許可,以使用虛擬機器的 VMware 標籤排程備份,並支援排程型頻寬限流:`backup-gateway:GetHypervisorPropertyMappings`、`backup-gateway:GetHypervisor`、 `backup-gateway:GetVirtualMachine`和 `backup-gateway:GetBandwidthRateLimitSchedule`。 | 2022 年 12 月 15 日 |
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync) – 新政策 | 提供閘道使用 Backup AWS Backup Gateway 同步內部部署網路中虛擬機器中繼資料的許可。 | 2022 年 12 月 15 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | 新增下列許可以支援 Timestream 備份任務:`timestream:StartAwsBackupJob`、`timestream:GetAwsBackupStatus`、`timestream:ListTables``timestream:ListDatabases`、`timestream:ListTagsForResource`、、`timestream:DescribeTable`、 `timestream:DescribeDatabase`和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增下列許可以支援 Timestream 還原任務:`timestream:StartAwsRestoreJob`、`timestream:GetAwsRestoreStatus`、`timestream:ListTables``timestream:ListTagsForResource`、`timestream:ListDatabases`、`timestream:DescribeTable`、、`timestream:DescribeDatabase``s3:GetBucketAcl`、 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列許可以支援 Timestream 資源:`timestream:ListTables`、 `timestream:ListDatabases``s3:ListAllMyBuckets`和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列許可以支援 Timestream 資源:`timestream:ListDatabases`、`s3:ListAllMyBuckets`、 `timestream:ListTables`和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增下列許可以支援 Timestream 資源:`timestream:ListDatabases`、`timestream:ListTables`、`timestream:ListTagsForResource`、`timestream:DescribeDatabase``timestream:DescribeTable`、`timestream:GetAwsBackupStatus`、、 `timestream:GetAwsRestoreStatus`和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列許可以支援 Amazon Redshift 資源:`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups`、`redshift:DescribeClusterTracks`、 `redshift:DescribeSnapshotSchedules`和 `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列許可以支援 Amazon Redshift 資源:`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups,`、`redshift:DescribeClusterTracks`、 `redshift:DescribeSnapshotSchedules`和 `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新現有政策 | 新增下列許可以支援 Amazon Redshift 還原任務:`redshift:RestoreFromCluster Snapshot`、`redshift:DescribeClusters`、 `redshift:RestoreTableFromClusterSnapshot`和 `redshift:DescribeTableRestoreStatus`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增下列許可以支援 Amazon Redshift 備份任務:`redshift:CreateClusterSnapshot`、`redshift:DescribeClusterSnapshots`、`redshift:DescribeTags``redshift:DeleteClusterSnapshot`、、 `redshift:DescribeClusters`和 `redshift:CreateTags`。 | 2022 年 11 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列支援 CloudFormation 資源的許可:`cloudformation:ListStacks`。 | 2022 年 11 月 27 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列支援 CloudFormation 資源的許可:`cloudformation:ListStacks`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增下列許可以支援 CloudFormation 資源:`redshift:DescribeClusterSnapshots`、`redshift:DeleteClusterSnapshot`、 `redshift:DescribeTags`和 `redshift:DescribeClusters`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增下列許可以支援 CloudFormation 應用程式堆疊備份任務:`cloudformation:DescribeStacks`、 `cloudformation:GetTemplate`和 `cloudformation:ListStackResources`。 | 2022 年 11 月 16 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增下列許可以支援 CloudFormation 應用程式堆疊備份任務: `cloudformation:CreateChangeSet` 和 `cloudformation:DescribeChangeSet` | 2022 年 11 月 16 日 |
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess) – 更新至現有政策 | 新增下列許可至此政策,以允許組織管理員使用委派管理員功能:`organizations:RegisterDelegatedAdministrator`、 `organizations:ListDelegatedAdministrator`和 `organizations:DeregisterDelegatedAdministrator` | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增下列許可,以支援 Amazon EC2 執行個體上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:UpdateHanaBackupSettings`、 `ssm-sap:GetDatabase`和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列許可,以支援 Amazon EC2 執行個體上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:GetDatabase`、 `ssm-sap:ListDatabases`和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列許可,以支援 Amazon EC2 執行個體上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:GetDatabase`、 `ssm-sap:ListDatabases`和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增下列許可,以支援 Amazon EC2 執行個體上的 SAP HANA:`ssm-sap:GetOperation`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增下列許可,以支援備份閘道還原任務至 EC2 執行個體:`ec2:CreateTags`。 | 2022 年 11 月 20 日 |
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess) – 更新現有政策 | 新增下列許可,以支援 SAP HANA On Amazon EC2 資源的安全儲存資料傳輸:`backup-storage:StartObject`、`backup-storage:PutChunk`、`backup-storage:GetChunk`、`backup-storage:ListChunks``backup-storage:ListObjects`、`backup-storage:GetObjectMetadata`、 和 `backup-storage:NotifyObjectComplete`。 | 2022 年 11 月 20 日 |
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) – 更新至現有政策 | 新增下列資源擁有者許可,以執行 SAP HANA On Amazon EC2 資源的還原:`backup:Get*`、`backup:List*`、`backup:Describe*``backup:StartBackupJob`、`backup:StartRestoreJob`、`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:RestoreDatabase`、 `ssm-sap:UpdateHanaBackupSettings``ssm-sap:GetDatabase`和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 更新至現有政策 | 新增`s3:GetBucketAcl`支援 Amazon S3 備份操作 AWS Backup 的許可。 | 2022 年 8 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增下列動作,以授予建立資料庫執行個體的存取權,以支援多可用區域 (多可用區域) 功能:`rds:CreateDBInstance`。 | 2022 年 7 月 20 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增`s3:GetBucketTagging`許可,以授予使用者使用資源萬用字元選取要備份的儲存貯體的許可。如果沒有此許可,選擇使用資源萬用字元備份哪些儲存貯體的使用者會失敗。 | 2022 年 5 月 6 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | 在現有 `fsx:CreateBackup`和 `fsx:ListTagsForResource`動作的範圍內新增了磁碟區資源,並新增了`fsx:DescribeVolumes`支援 FSx 進行 ONTAP 磁碟區層級備份的新動作。 | 2022 年 4 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增了下列動作,以授予使用者針對 ONTAP 磁碟區 `fsx:DescribeVolumes`、`fsx:DeleteVolume`、 `fsx:CreateVolumeFromBackup`和 還原 FSx 的許可`fsx:UntagResource`。 | 2022 年 4 月 27 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 更新至現有政策 | 新增下列動作,以授予使用者在備份操作期間接收 Amazon S3 儲存貯體變更通知的許可: `s3:GetBucketNotification`和 `s3:PutBucketNotification`。 | 2022 年 2 月 25 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) – 新政策 | 新增下列動作,以授予使用者備份其 Amazon S3 儲存貯體的許可:`s3:GetInventoryConfiguration`、`s3:PutInventoryConfiguration`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketNotification``s3:GetBucketLocation`、、 `s3:GetBucketTagging` `s3:GetBucketVersioning`和 `s3:ListAllMyBuckets` 新增下列動作,以授予使用者備份其 Amazon S3 物件的許可:`s3:GetObject`、`s3GetObjectAcl`、`s3:GetObjectVersionTagging``s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、 和 `s3:GetObjectVersion`。 新增下列動作,授予使用者備份其加密 Amazon S3 資料的許可: `kms:Decrypt`和 `kms:DescribeKey`。 新增下列動作,以授予使用者使用 Amazon EventBridge 規則對其 Amazon S3 資料進行增量備份的許可:`events:DescribeRule`、`events:EnableRule`、`events:PutRule`、`events:DeleteRule`、`events:PutTargets`、`events:RemoveTargets``events:ListTargetsByRule`、、`events:DisableRule`、 `cloudwatch:GetMetricData`和 `events:ListRules`。 EventBridge | 2022 年 2 月 17 日 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) – 新政策 | 新增下列動作,授予使用者還原其 Amazon S3 儲存貯體的許可:`s3:CreateBucket`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketVersioning`、 `s3:GetBucketLocation`和 `s3:PutBucketVersioning`。 新增下列動作,以授予使用者還原其 Amazon S3 儲存貯體的許可:`s3:GetObject`、`s3:GetObjectVersion`、`s3:DeleteObject`、`s3:PutObjectVersionAcl``s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、`s3:PutObjectTagging`、`s3:GetObjectAcl`、`s3:PutObjectAcl`、 `s3:PutObject`和 `s3:ListMultipartUploadParts`。 新增下列動作,授予使用者加密其還原 Amazon S3 資料的許可:`kms:DescribeKey`、 `kms:Decrypt`和 `kms:GenerateDataKey`。 | 2022 年 2 月 17 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增`s3:ListAllMyBuckets`以授予使用者檢視其儲存貯體清單的許可,並選擇要指派給備份計畫的儲存貯體。 | 2022 年 2 月 14 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增 `backup-gateway:ListVirtualMachines` 以授予使用者檢視其虛擬機器清單的許可,並選擇要指派給備份計畫的虛擬機器。 新增 `backup-gateway:ListTagsForResource` 以授予使用者列出其虛擬機器標籤的許可。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增 `backup-gateway:Backup` 以授予使用者許可還原其虛擬機器備份。 AWS Backup 也新增 `backup-gateway:ListTagsForResource` 以授予使用者許可,以列出指派給其虛擬機器備份的標籤。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增 `backup-gateway:Restore` 以授予使用者還原其虛擬機器備份的許可。 | 2021 年 11 月 30 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增下列動作,以授予使用者使用 AWS Backup 閘道備份、還原和管理其虛擬機器的許可:`backup-gateway:AssociateGatewayToServer`、`backup-gateway:CreateGateway`、`backup-gateway:DeleteGateway`、`backup-gateway:DeleteHypervisor`、`backup-gateway:DisassociateGatewayFromServer``backup-gateway:ImportHypervisorConfiguration`、、`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors``backup-gateway:ListTagsForResource`、`backup-gateway:ListVirtualMachines``backup-gateway:PutMaintenanceStartTime`、、`backup-gateway:TagResource`、、`backup-gateway:TestHypervisorConfiguration``backup-gateway:UntagResource`、 `backup-gateway:UpdateGatewayInformation`和 `backup-gateway:UpdateHypervisor`。 | 2021 年 11 月 30 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 新增下列動作,以授予使用者備份其虛擬機器的許可:`backup-gateway:ListGateways`、`backup-gateway:ListTagsForResource`、 `backup-gateway:ListHypervisors`和 `backup-gateway:ListVirtualMachines`。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增 `dynamodb:ListTagsOfResource` 以授予使用者許可,以列出其 DynamoDB 資料表的標籤,以使用 AWS Backup進階 DynamoDB 備份功能進行備份。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增`dynamodb:StartAwsBackupJob`以授予使用者使用進階備份功能備份其 DynamoDB 資料表的許可。 新增`dynamodb:ListTagsOfResource`以授予使用者許可,將標籤從其來源 DynamoDB 資料表複製到其備份。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增`dynamodb:RestoreTableFromAwsBackup`以使用進階 DynamoDB 進階備份功能授予使用者還原其 DynamoDB 資料表備份 AWS Backup的許可。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增`dynamodb:RestoreTableFromAwsBackup`以使用進階 DynamoDB 進階備份功能授予使用者還原其 DynamoDB 資料表備份 AWS Backup的許可。 | 2021 年 11 月 23 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 移除動作 `backup:GetRecoveryPointRestoreMetadata`和 ,`rds:DescribeDBSnapshots`因為它們是多餘的。 AWS Backup 不需要 `backup:GetRecoveryPointRestoreMetadata`和 `backup:Get*` 作為 的一部分`AWSBackupOperatorAccess`。此外, AWS Backup 不需要 `rds:DescribeDBSnapshots`和 `rds:describeDBSnapshots` 作為 的一部分`AWSBackupOperatorAccess`。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增了 `elasticfilesystem:DescribeFileSystems`、`dynamodb:ListTables`、`storagegateway:ListVolumes`、`ec2:DescribeVolumes`、`ec2:DescribeInstances`、`rds:DescribeDBClusters`、、 和 `rds:DescribeDBInstances`動作`fsx:DescribeFileSystems`,以允許客戶在選擇要指派給備份計畫的資源時,從其 AWS Backup支援的資源清單中檢視和選擇。 | 2021 年 11 月 10 日 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – 新政策 | 新增`AWSBackupAuditAccess`以授予使用者使用 AWS Backup Audit Manager 的許可。這些許可包括設定合規架構及產生報告的能力。 | 2021 年 8 月 24 日 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – 新政策 | 新增 `AWSServiceRolePolicyForBackupReports` 以授予服務連結角色的許可,以自動監控備份設定、任務和資源,以符合使用者設定的架構。 | 2021 年 8 月 24 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 新增 `iam:CreateServiceLinkedRole` 以建立服務連結角色 (盡最大努力),自動刪除過期的復原點。如果沒有此服務連結角色,在客戶刪除用來建立復原點的原始 IAM 角色之後, AWS Backup 無法刪除過期的復原點。 | 2021 年 7 月 5 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增了新的動作`dynamodb:DeleteBackup`,以根據您的備份計劃生命週期設定,授予自動刪除過期 DynamoDB 復原點的`DeleteRecoveryPoint`許可。 | 2021 年 7 月 5 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 移除動作 `backup:GetRecoveryPointRestoreMetadata`和 ,`rds:DescribeDBSnapshots`因為它們是多餘的。 AWS Backup 不需要 `backup:GetRecoveryPointRestoreMetadata`和 `backup:Get*` 作為 的一部分,`AWSBackupOperatorAccess`也 AWS Backup 不需要 `rds:DescribeDBSnapshots`和 `rds:describeDBSnapshots`作為 的一部分 `AWSBackupOperatorAccess` | 2021 年 5 月 25 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – 更新現有政策 | 移除動作 `backup:GetRecoveryPointRestoreMetadata`和 ,`rds:DescribeDBSnapshots`因為它們是多餘的。 AWS Backup 不需要 `backup:GetRecoveryPointRestoreMetadata`和 `backup:Get*` 作為 的一部分`AWSBackupOperatorAccess`。此外, AWS Backup 不需要 `rds:DescribeDBSnapshots`和 `rds:describeDBSnapshots` 作為 的一部分`AWSBackupOperatorAccess`。 | 2021 年 5 月 25 日 |
| [AWSBackupServiceRolePolicyForRestores]() – 更新至現有政策 | 新增動作`fsx:TagResource`以授予`StartRestoreJob`許可,讓您在還原程序期間將標籤套用至 Amazon FSx 檔案系統。 | 2021 年 5 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – 更新至現有政策 | 新增 動作`ec2:DescribeImages``ec2:DescribeInstances`並授予`StartRestoreJob`許可,讓您從復原點還原 Amazon EC2 執行個體。 | 2021 年 5 月 24 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新至現有政策 | 新增動作`fsx:CopyBackup`以授予`StartCopyJob`許可,讓您跨區域和帳戶複製 Amazon FSx 復原點。 | 2021 年 4 月 12 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – 更新至現有政策 | 新增動作`fsx:CopyBackup`以授予`StartCopyJob`許可,讓您跨區域和帳戶複製 Amazon FSx 復原點。 | 2021 年 4 月 12 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – 更新現有政策 | 更新以符合下列要求: 若要 AWS Backup 讓 建立加密 DynamoDB 資料表的備份,您必須將 許可`kms:Decrypt`和 `kms:GenerateDataKey` 新增至用於備份的 IAM 角色。 | 2021 年 3 月 10 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – 更新現有政策 | 更新以符合下列要求: 若要使用 AWS Backup 設定 Amazon RDS 資料庫的連續備份,請確認備份計劃組態所定義的 IAM 角色中`rds:ModifyDBInstance`存在 API 許可。 若要還原 Amazon RDS 連續備份,您必須將許可 `rds:RestoreDBInstanceToPointInTime` 新增至為還原任務提交的 IAM 角色。 在 AWS Backup 主控台中,若要描述point-in-time復原的時間範圍,您必須在 IAM 受管政策中包含 `rds:DescribeDBInstanceAutomatedBackups` API 許可。 | 2021 年 3 月 10 日 |
| AWS Backup 開始追蹤變更 | AWS Backup 已開始追蹤其 AWS受管政策的變更。 | 2021 年 3 月 10 日 |
# 使用 的服務連結角色 AWS Backup
AWS Backup use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Backup。服務連結角色由 預先定義, AWS Backup 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
**Topics**
+ [使用 角色來備份和複製](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [使用 AWS Backup Audit Manager 的角色](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [使用角色進行還原測試](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)
# 使用 角色來備份和複製
AWS Backup use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Backup。服務連結角色由 預先定義, AWS Backup 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS Backup 輕鬆地設定,因為您不必手動新增必要的許可。 AWS Backup 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS Backup 擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 AWS Backup 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 的服務連結角色許可 AWS Backup
AWS Backup 使用名為 **AWSServiceRoleForBackup** 的服務連結角色,代表您建立和刪除 AWS 資源的備份。
AWSServiceRoleForBackup 服務連結角色信任下列服務來擔任該角色:
+ `backup.amazonaws.com`
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。
## 為 建立服務連結角色 AWS Backup
您不需要手動建立服務連結角色,當您列出要備份、設定跨帳戶備份或在 AWS 管理主控台、 AWS CLI或 AWS API 中執行備份的資源時, AWS Backup 會為您建立服務連結角色。
**重要**
此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您列出要備份、設定跨帳戶備份或執行備份的資源時, 會再次為您 AWS Backup 建立服務連結角色。
## 編輯 的服務連結角色 AWS Backup
AWS Backup 不允許您編輯 AWSServiceRoleForBackup 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱 *IAM 使用者指南*中的[編輯服務連結角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。
## 刪除 的服務連結角色 AWS Backup
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除服務連結角色
在您使用 IAM 刪除服務連結角色之前,您必須先刪除該角色所使用的任何資源。首先,您必須刪除所有復原點。然後,您必須刪除所有備份保存庫。
**注意**
如果 AWS Backup 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘,然後再次嘗試操作。
**刪除 AWSServiceRoleForBackup 使用 AWS Backup 的資源 (主控台)**
1. 若要刪除所有復原點和備份保存庫 (預設保存庫除外),請遵循[刪除保存庫](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault)中的程序。
1. 若要刪除預設保存庫,請在 AWS CLI中使用下列指令:
```
aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
```
**刪除 AWSServiceRoleForBackup (AWS CLI) 使用 AWS Backup 的資源**
1. 若要刪除所有復原點,請使用 [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html)。
1. 若要刪除所有備份保存庫,請使用 [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html)。
**刪除 AWSServiceRoleForBackup (API) 使用 AWS Backup 的資源**
1. 若要刪除所有復原點,請使用 `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`。
1. 若要刪除所有備份保存庫,請使用 `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`。
### 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForBackup 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。
## AWS Backup 服務連結角色支援的區域
AWS Backup 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS Backup 支援的功能和區域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。
# 使用 AWS Backup Audit Manager 的角色
AWS Backup use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Backup。服務連結角色由 預先定義, AWS Backup 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS Backup 輕鬆地設定,因為您不必手動新增必要的許可。 AWS Backup 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS Backup 擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 AWS Backup 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 的服務連結角色許可 AWS Backup
AWS Backup 使用名為 **AWSServiceRoleForBackupReports** 的服務連結角色 – AWS Backup 提供建立控制項、架構和報告的許可。
AWSServiceRoleForBackupReports 服務連結角色信任下列服務擔任該角色:
+ `reports.backup.amazonaws.com`
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。
## 為 建立服務連結角色 AWS Backup
您不需要手動建立服務連結角色,當您在 AWS 管理主控台、 或 AWS API 中建立架構 AWS CLI或報告計畫時, AWS Backup 會為您建立服務連結角色。
**重要**
此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您建立架構或報告計畫時, 會再次為您 AWS Backup 建立服務連結角色。
## 編輯 的服務連結角色 AWS Backup
AWS Backup 不允許您編輯 AWSServiceRoleForBackupReports 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。
## 刪除 的服務連結角色 AWS Backup
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除服務連結角色
在您使用 IAM 刪除服務連結角色之前,您必須先刪除該角色所使用的任何資源。您必須刪除所有架構和報告計劃。
**注意**
如果 AWS Backup 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘,然後再次嘗試操作。
**刪除 AWSServiceRoleForBackupReports (主控台) 所使用的 AWS Backup 資源**
1. 若要刪除所有架構,請參閱[刪除架構](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html)。
1. 若要刪除所有報告計劃,請參閱[刪除報告計劃](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html)。
**刪除 AWSServiceRoleForBackupReports (AWS CLI) 使用 AWS Backup 的資源**
1. 若要刪除所有架構,請使用 [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html)。
1. 若要刪除所有報告計畫,請使用 [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html)。
**刪除 AWSServiceRoleForBackupReports (API) 使用 AWS Backup 的資源**
1. 若要刪除所有架構,請使用 [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html)。
1. 若要刪除所有報告計畫,請使用 [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html)。
### 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForBackupReports 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。
## AWS Backup 服務連結角色支援的區域
AWS Backup 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS Backup 支援的功能和區域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。
# 使用角色進行還原測試
AWS Backup use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Backup。服務連結角色由 預先定義, AWS Backup 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS Backup 輕鬆地設定,因為您不必手動新增必要的許可。 AWS Backup 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS Backup 擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 AWS Backup 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 的服務連結角色許可 AWS Backup
AWS Backup 使用名為 **AWSServiceRoleForBackupRestoreTesting** 的服務連結角色 – 提供執行還原測試的備份許可。
**AWSServiceRoleForBackupRestoreTesting** 服務連結角色信任下列服務擔任該角色:
+ `restore-testing.backup.amazonaws.com`
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。
## 為 建立服務連結角色 AWS Backup
您不需要手動建立服務連結角色,當您在 AWS 管理主控台、 AWS CLI或 AWS API 中執行還原測試時, AWS Backup 會為您建立服務連結角色。
**重要**
此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您執行還原測試時, 會再次為您 AWS Backup 建立服務連結角色。
## 編輯 的服務連結角色 AWS Backup
AWS Backup 不允許您編輯 AWSServiceRoleForBackupRestoreTesting 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱 *IAM 使用者指南*中的[編輯服務連結角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。
## 刪除 的服務連結角色 AWS Backup
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除服務連結角色
在您使用 IAM 刪除服務連結角色之前,您必須先刪除該角色所使用的任何資源。您必須刪除所有還原測試計畫。
**注意**
如果 AWS Backup 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘,然後再次嘗試操作。
**刪除 AWSServiceRoleForBackupRestoreTesting 使用 AWS Backup 的資源 (主控台)**
+ 若要刪除所有還原測試計畫,請參閱[還原測試](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html)。
**刪除 AWSServiceRoleForBackupRestoreTesting 使用 AWS Backup 的資源 (AWS CLI)**
+ 若要刪除還原測試計畫,請使用 `delete-restore-testing-plan`。
**刪除 AWSServiceRoleForBackupRestoreTesting (API) 使用 AWS Backup 的資源**
+ 若要刪除還原測試計畫,請使用 `DeleteRestoreTestingPlan`。
### 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 **AWSServiceRoleForBackupRestoreTesting** 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。
## AWS Backup 服務連結角色支援的區域
AWS Backup 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS Backup 支援的功能和區域](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region)。
# 預防跨服務混淆代理人
混淆代理人問題屬於安全性問題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中 AWS,跨服務模擬可能會導致混淆代理人問題。在某個服務 (*呼叫服務*) 呼叫另一個服務 (*被呼叫服務*) 時,可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可,以其不應有存取許可的方式對其他客戶的資源採取動作。為了防止這種情況, AWS 提供工具,協助您保護所有 服務的資料,讓 服務主體能夠存取您帳戶中的資源。
我們建議在資源政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全域條件內容索引鍵,以限制將另一個 服務 AWS Backup 提供給資源的許可。如果同時使用全域條件內容金鑰,則在相同政策陳述式中使用 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的帳戶時,必須使用相同的帳戶 ID。
使用 代表您發佈 Amazon SNS AWS Backup 主題時, 的值`aws:SourceArn`必須是 AWS Backup 保存庫。
防範混淆代理人問題最有效的方法,是使用 `aws:SourceArn` 全域條件內容金鑰,以及資源的完整 ARN。如果不知道資源的完整 ARN,或者如果您指定了多個資源,請使用 `aws:SourceArn` 全域條件內容金鑰,同時使用萬用字元 (`*`) 表示 ARN 的未知部分。例如 `arn:aws::servicename::123456789012:*`。
下列範例政策示範如何在 中使用 `aws:SourceArn`和 `aws:SourceAccount`全域條件內容索引鍵 AWS Backup ,以防止混淆代理人問題。此政策授予服務委託人 backup-storage.amazonaws.com 僅在服務委託人代表 AWS 帳戶 123456789012 在備份文件庫上執行 KMS 動作的能力:
# 中的基礎設施安全 AWS Backup
作為受管服務, AWS Backup 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的詳細資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務設計您的 AWS 環境,請參閱 *Security Pillar AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 發佈的 API 呼叫, AWS Backup 透過網路存取 。用戶端必須支援 Transport Layer Security (TLS) 1.2 或更新版本。用戶端還必須支援具備完全正向加密 (PFS) 功能的密碼套件,例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統 (如 Java 7 和更新版本) 大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以透過 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 來產生暫時安全憑證來簽署請求。
# 中的資料完整性 AWS Backup
## AWS Backup 資料完整性目標
AWS Backup 在傳輸、儲存和處理資料時, 會尋求維護完整性。 AWS Backup 會將儲存的資源資料視為與內容無關的關鍵資訊,因為無論您儲存的資料類型為何,我們都會為客戶提供相同的高層級安全性。我們對客戶的安全保持警覺,並已實作複雜的技術和實體措施來防止未經授權的存取。您對於資料的分類方式、儲存資料的區域,以及控管、封存和保護資料防止洩露的方式,仍保有完整控制權。
## AWS Backup 資料完整性實作
AWS Backup 與其他 AWS 和 Amazon 服務協同運作,以維護其存放和互動之資料的完整性。使用的工具可能會有所不同,可包括 (但不限於):
+ 根據其總和檢查碼持續進行物件驗證,以防止物件損毀
+ 內部總和檢查碼,以確認傳輸中的資料和靜態資料的完整性
+ 根據從主要存放區所建立備份中的資料計算而來的總和檢查碼
+ 使用對應的資料之前,檢查總和一律會經過驗證為正確。如果我們找到不符合其檢查總和的資料,則會將其取代為正確的複本。如果我們無法取代正確的複本,則會讓對應的任務失敗
+ 在磁碟損毀或偵測到裝置故障時,自動嘗試還原一般層級的物件儲存備援
+ 跨多個實體位置的資料備援儲存
+ 增強初始寫入期間跨多個可用區域的物件耐久性,並在裝置無法使用或偵測到位元衰減 (Bit Rot) 時進一步複寫
+ 所有網路流量的總和檢查碼,以在儲存或擷取資料時偵測資料封包損毀
AWS Backup 原生存放具有進階功能的 Amazon DynamoDB 資料、Amazon EFS、Amazon S3、Amazon Timestream,以及透過 Backup Gateway 連線 VMware 執行的虛擬機器。 AWS Backup 可加速備份與其他 服務一起存放的資料,包括 Amazon Aurora、Amazon DocumentDB、Amazon DynamoDB、Amazon EBS、Amazon EC2、Amazon FSx for Windows File Server、Amazon FSx for Lustre、Amazon FSx for OpenZFS、Amazon FSx for NetApp ONTAP、Amazon Neptune、Amazon RDS 和 Amazon Redshift。
## AWS Backup 資料完整性的目標確認和稽核
由 直接存放的資料, AWS Backup 以及與 AWS Backup 互動之其他 AWS 服務合作存放的資料,都會受到 Amazon Simple Storage Service (Amazon S3) 嚴格程序的約束,以維護此資料完整性。此完整性由獨立的第三方稽核人員透過 提供的年度 SOC 稽核報告進行確認[AWS Artifact](https://aws.amazon.com/artifact/)。
# 法務保存和 AWS Backup
## 法務保存概觀
法務保存是一種管理工具,可協助防止備份在保存下遭到刪除。如果有保存,則無法刪除保存下的備份,而且會變更備份狀態 (例如轉換為 `Deleted` 狀態) 的生命週期政策會延遲,直到移除法務保存為止。
AWS Backup 如果法務保存的生命週期允許,則可以套用到由 建立的一或多個備份 (也稱為復原點)。法務保存不適用於[連續備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)。
建立法務保存時,可將特定的篩選條件納入考量,例如資源類型和資源 ID。此外,您可以定義要包含在法務保存中之備份的建立日期範圍。
法務保存只會套用至放置的原始備份。跨區域或帳戶複製備份時 (如果資源支援此功能),其法務保存不會隨著保留或移動。法務保存類似於其他資源,有一個相關聯的唯一 ARN (Amazon Resource Name)。只有 建立的復原點 AWS Backup 才能成為法務保存的一部分。
請注意,雖然保存[AWS Backup 庫鎖定](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)為保存庫提供額外的保護和不可變性,但法務保存可提供額外的保護,以防止刪除個別備份 (復原點)。法務保存不會過期,並無限期保留備份中的資料。保留會保持作用中狀態,直到具有足夠許可的使用者釋出為止。
## 多個法務保存
一個備份可以有多個法務保存。法務保存和備份有許多:許多關係,這表示備份可以有超過法務保存,而法務保存可以包含多個備份。
只要備份至少有一個法務保存,就無法刪除。移除備份上的所有法務保存後,會受到其保留生命週期屬性的約束。至少保留一個法務保存以防止備份刪除。法務保存可套用至超過其備份生命週期保留日期的復原點 (由於現有的法務保存)。
每個帳戶一次最多可有 50 個法務保存。
## 建立法務保存
法務保存可新增至現有的備份 (復原點)。
狀態為 `EXPIRED` 或 `DELETING` 的備份 (復原點) 不會包含在法務保存中。視完成時間而定,狀態為 `CREATING` 的復原點 (備份) 可能不會包含在法務保存中。
具有所需 IAM 許可的使用者可以新增法務保存。
### 使用 主控台建立法務保存
**建立法務保存**
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在主控台左側的儀表板中,找到 My Account。選擇**法務保存**。
1. 選擇**新增法務保存**。
1. 顯示三個面板:**法務保存詳細資訊**、**法務保存範圍**和**法務保存標籤**。
1. 在 **Legal hold details** 下方,於提供的文字方塊中輸入法務保存標題和描述。
1. 在 **Legal hold scope** 面板中,選擇要如何選取資源以包含在保存中。當您建立保留時,您可以選擇用來選取法務保存內資源的方法。您可以選擇包含下列其中之一:
+ 特定資源類型和 IDs
+ 選取備份保存庫
+ 帳戶中的所有資源類型或所有備份保存庫
1. 指定法務保存的日期範圍。以 YYYY:MM:DD 格式輸入日期 (包含日期)。
1. 或者,您可以在法務保存標籤下**新增保留的標籤**。標籤有助於分類保存,以供未來參考和組織。您總計最多可新增 50 個標籤。
1. 如果您對新法務保存的組態感到滿意,請按一下 **Add new hold** 按鈕。
### 使用 建立法務保存 AWS CLI
您可以使用 [create-legal-hold](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-legal-hold.html) 命令建立法務保存。
```
aws backup create-legal-hold --title "my title" \
--description "my description" \
--recovery-point-selection "VaultNames=string,DateRange={FromDate=timestamp,ToDate=timestamp}"
```
## 檢視法務保存
您可以在 AWS Backup 主控台中或以程式設計方式查看法務保存詳細資訊。
### 使用主控台檢視法務保存
若要使用 Backup 主控台檢視帳戶中的所有法務保存,
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 使用儀表板的左側部分,在 **My account** 底下,按一下 **Legal holds**。
1. **法務保存**表格會顯示現有保存的標題、狀態、描述、ID 和建立日期。按一下表格標題旁的插入記號 (向下箭頭),依所選的欄篩選表格。
### 以程式設計方式檢視法務保存
若要以程式設計方式檢視所有法務保存,您可以使用下列 API 呼叫:[ListLegalHolds](API_ListLegalHolds.md) 和 [GetLegalHold](API_GetLegalHold.md)。
下列 JSON 範本可用於 `GetLegalHold`。
```
GET /legal-holds/{legalHoldId} HTTP/1.1
Request
empty body
Response
{
Title: string,
Status: LegalHoldStatus,
Description: string, // 280 chars max
CancelDescription: string, // this is provided during cancel // 280 chars max
LegalHoldId: string,
LegalHoldArn: string,
CreatedTime: number,
CanceledTime: number,
ResourceSelection: {
VaultArns: [ string ]
Resources: [ string ]
},
ResourceFilters: {
DateRange: {
FromDate: number,
ToDate: number
}
}
}
```
下列 JSON 範本可用於 `ListLegalHolds`。
```
GET /legal-holds/
&maxResults=MaxResults
&nextToken=NextToken
Request
empty body
url params:
MaxResults: number // optional,
NextToken: string // optional
status: Valid values: CREATING | ACTIVE | CANCELED | CANCELING
maxResults: 1-1000
Response
{
NextToken: token,
LegalHolds: [
Title: string,
Status: string,
Description: string, // 280 chars max
CancelDescription: string, // this is provided during cancel // 280 chars max
LegalHoldId: string,
LegalHoldArn: string,
CreatedTime: number,
CanceledTime: number,
]
}
```
以下是可能的 狀態值。
| 狀態 | Description |
| --- | --- |
| CREATING | 正在保留請求的復原點,且刪除這些復原點的請求可能會成功,因為該保存尚未完成建立。 |
| ACTIVE | 已建立法務保存,並保留此法務保存下列出的所有復原點。 |
| CANCEL | 正在移除法務保存,且刪除保存下的復原點請求可能會成功。 |
| CANCELED | 法務保存已完全釋放,不再具有任何效力。可刪除復原點。 |
## 釋放法務保存
法務保存會持續有效,直到具有足夠許可的使用者將其移除為止。移除法務保存也稱為取消、刪除或釋放法務保存。移除法務保存會將其從所有連接的備份中排除。在法務保存期間過期的任何備份都會在法務保存移除後的 24 小時內刪除。
### 使用 主控台釋放法務保存
**使用主控台釋放保留**
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 輸入您要與釋放建立關聯的描述。
1. 檢閱詳細資訊,然後按一下 **Release hold**。
1. 當 Release hold 對話方塊出現時,請在文字方塊中輸入 `confirm` 以確認您有意釋放保存。
1. 勾選確認您要取消保存的方塊。
在 **Legal holds** 頁面上,您可以查看所有保存。如果釋放成功,該保存的狀態會顯示為 `Released`。
### 以程式設計方式釋出法務保存
若要以程式設計方式移除保留,請使用 API 呼叫 [CancelLegalHold](API_CancelLegalHold.md)。
使用下列 JSON 範本。
```
DELETE /legal-holds/{legalHoldId}
Request
{
CancelDescription: String
DeleteAfterDays: number // optional
}
DeleteAfterDays: optional.
Defaults to 180 days. how long to keep legal hold record after canceled.
This applies to the actual legal hold record only.
Recovery points are unlocked as soon as cancelation processes and are not subject to this date.
Response
Empty body
200 if successful
other standard codes
```
# 中的惡意軟體防護 AWS Backup
備份的惡意軟體掃描由 Amazon GuardDuty 惡意軟體防護提供。使用 的 Amazon GuardDuty 惡意軟體防護 AWS Backup 可讓您透過現有的備份工作流程自動掃描復原點,或啟動先前建立之備份的隨需掃描。此 AWS 原生解決方案有助於確保您的備份是乾淨的,免於潛在的惡意軟體,讓您能夠符合合規要求,並透過確保復原乾淨的資料,更快地回應惡意事件。
若要查看支援的資源類型和區域清單,請造訪[功能可用性頁面](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html)。
**Topics**
+ [與 Amazon GuardDuty 整合](#malware-guardduty-integration)
+ [即時存取](backup-instant-access.md)
+ [如何使用惡意軟體掃描](#malware-how-to-use)
+ [存取](#malware-access)
+ [增量與完整掃描](#malware-scan-types)
+ [監控您的惡意軟體掃描](#malware-monitoring)
+ [了解掃描結果](#malware-scan-results)
+ [對掃描失敗進行故障診斷](#malware-troubleshooting)
+ [計量](#malware-metering)
+ [配額](#malware-quotas)
+ [惡意軟體掃描類型的主控台和 CLI 使用步驟](#malware-console-cli-usage)
## 與 Amazon GuardDuty 整合
AWS Backup 與 Amazon GuardDuty 惡意軟體防護整合,為您的復原點提供威脅偵測。當您啟動惡意軟體掃描時, 會在每個備份完成後 AWS Backup 自動呼叫 Amazon GuardDuty 的 `StartMalwareScan` API,傳遞復原點詳細資訊和掃描器角色憑證。然後,Amazon GuardDuty 會開始讀取、解密和掃描備份中的所有檔案和物件。
當 Amazon GuardDuty 存取您的備份資料時,該存取會登入 AWS CloudTrail 以取得可見性。
如需此整合的詳細資訊,請參閱 [Amazon GuardDuty 惡意軟體防護文件](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-backup.html)。
# 備份即時存取許可
搭配使用 Amazon GuardDuty 惡意軟體保護 AWS 備份與 S3 備份時,Amazon GuardDuty 會透過三個 APIs 存取您的 S3 備份:CreateBackupAccessPoint、DescribeBackupAccessPoint 和 DeleteBackupAccessPoint。
Amazon GuardDuty 使用 CreateBackupAccessPoint 存取您的加密備份資料。在掃描任務期間,GuardDuty 會使用 DescribeBackupAccessPoint 來驗證成功建立存取點。掃描完成後,GuardDuty 會呼叫 DeleteBackupAccessPoint 來移除其對備份的存取權。
此工作流程適用於存放在邏輯氣隙隔離文件庫中的 S3 備份和 EC2/EBS 備份。
## 如何使用惡意軟體掃描
當您搭配 使用 Amazon GuardDuty 惡意軟體防護時 AWS Backup,您可以自動掃描備份是否有惡意軟體。此整合可協助您偵測備份中的惡意程式碼,並識別還原操作的乾淨復原點。
Amazon GuardDuty 惡意軟體防護支援兩種主要工作流程來掃描備份:
+ **透過備份計畫自動掃描惡意軟體** – 在備份計畫中啟用惡意軟體掃描,以使用 自動偵測惡意軟體 AWS Backup。啟用時,每次成功完成備份後 AWS Backup , 會自動啟動 Amazon GuardDuty 掃描。您可以針對特定備份計劃規則設定完整或增量掃描,這會決定掃描備份的頻率。如需掃描類型的詳細資訊,請參閱 [增量與完整掃描](#malware-scan-types) below. AWS Backup recommends,在備份計畫中啟用自動惡意軟體掃描,以在建立備份後主動偵測威脅。
+ **隨需掃描** – 執行隨需掃描以手動掃描現有的備份,選擇完整或增量掃描類型。 AWS Backup 建議使用隨需掃描來識別上次清理的備份。在還原操作之前進行掃描時,請使用完整掃描來檢查具有最新威脅偵測模型的整個備份。
## 存取
開始使用惡意軟體保護之前,您的帳戶必須具有操作所需的許可。
AWS Backup 惡意軟體掃描需要兩個 IAM 角色來掃描復原點是否有潛在的惡意軟體:
+ 首先,必須將 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) 或 [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) 受管政策連接至現有或新的備份角色。這是在 主控台中或透過 [BackupSelection API](API_CreateBackupSelection.md) 在備份計劃的資源指派中找到的相同角色。此受管政策允許 使用 Amazon GuardDuty AWS Backup 啟動惡意軟體掃描。
+ 其次,信任 的 [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) 受管政策需要新的掃描器角色`malware-protection.guardduty.amazonaws.com`。這是在 主控台中或透過 [BackupPlan API](API_CreateBackupPlan.md) 中的掃描設定,在備份計劃的惡意軟體保護部分中找到的相同角色。啟動掃描時,此角色會由 傳遞 AWS Backup 至 Amazon GuardDuty,提供備份的存取權。
## 增量與完整掃描
透過惡意軟體掃描,您可以選擇根據您的安全需求和成本考量,在增量和完整掃描之間進行選擇。
**增量掃描**只會分析目標和基礎復原點之間變更的資料。這些掃描對於定期掃描更快速且更具成本效益,因此非常適合您想要掃描新備份資料的頻繁定期備份。
即使選取增量掃描, 仍會在這些情況下 AWS Backup 執行完整掃描:
+ **第一次掃描:**資源的初始掃描一律是完整掃描,可讓 Amazon GuardDuty 建立潛在威脅的基準。後續掃描將遞增。
+ **過期的基準:**如果您的基準復原點在超過 365 天前進行掃描,則會進行完整掃描。由於 Amazon GuardDuty 只會保留調查結果資訊 365 天,因此必須建立新的基準以確保準確的掃描結果。
+ **刪除基準:**如果您的基本復原點在下一次增量掃描開始之前遭到刪除,則會自動執行完整掃描。
無論先前的**掃描為何,完整**掃描都會檢查整個復原點。雖然這些掃描提供全面的涵蓋範圍,但它們需要更長的時間才能完成並產生更高的成本。您可以隨需執行完整掃描,或透過備份計劃進行排程。 AWS Backup 建議在備份計劃中以延長的間隔設定定期完整掃描,以確保使用最新的惡意軟體簽章模型定期掃描整個備份資料。
為了獲得最佳安全性與成本管理,請在選擇掃描類型時考慮您的備份頻率。
**注意**
Amazon S3 持續復原點目前不支援惡意軟體掃描。若要掃描 Amazon S3 連續備份,請為您的 Amazon S3 資源設定定期備份,並在這些定期備份上啟用惡意軟體掃描。您可以使用 Amazon S3 儲存貯體的[連續和定期備份組合](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html)。
**注意**
邏輯氣隙隔離保存庫中的 Amazon EC2 復原點或複製的 Amazon EC2 復原點不支援增量惡意軟體掃描。 [https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html)
## 監控您的惡意軟體掃描
啟用掃描後, AWS Backup 和 Amazon GuardDuty 都會提供監控和通知機制,供您用來追蹤結果:
+ **AWS Backup 主控台:** AWS Backup 主控台由 `ListScanJobs`和 `DescribeScanJob` APIs提供支援。您可以造訪惡意軟體保護區段,以檢視掃描任務的清單,代表任務狀態和掃描結果。 AWS Backup 也支援 `ListScanJobSummaries` API,但無法在 主控台中使用。
+ **AWS Backup Audit Manager:**您可以設定掃描報告,以檢視過去 24 小時內所有 AWS Backup 啟動的惡意軟體掃描任務。
+ **Amazon GuardDuty 主控台:**如果已啟用基本 Amazon GuardDuty,您可以在惡意軟體掃描結果中檢視詳細資訊,並在 Amazon GuardDuty 調查結果頁面上調查惡意軟體。您可以檢視威脅和檔案名稱、檔案路徑、掃描的物件/檔案、掃描的位元組等資訊。請注意,此詳細威脅資訊無法透過 取得 AWS Backup,您必須擁有適當的 Amazon GuardDuty 許可才能檢視此資訊。
+ **Amazon EventBridge:** AWS Backup 和 Amazon GuardDuty 都會發出 EventBridge 事件,允許同步提醒備份和安全管理員。您可以設定自訂規則,以在掃描完成或偵測到惡意軟體時接收通知。
+ **AWS CloudTrail:** AWS Backup 和 Amazon GuardDuty 都會發出 CloudTrail 事件,讓您監控 API 存取。
## 了解掃描結果
來自 的掃描任務 AWS Backup 會有掃描狀態和掃描結果。
### 掃描狀態
掃描狀態表示任務狀態,且值可以是:`CREATED`、`COMPLETED`、`COMPLETED_WITH_ISSUES``RUNNING`、`FAILED`、 或 `CANCELED`。
掃描任務會在多種情況下完成狀態 `COMPLETED_WITH_ISSUES`:
對於 Amazon S3 備份,有物件大小/類型限制,會阻止掃描物件。在掃描中略過至少一個物件時,對應的掃描任務會標記為 `COMPLETED_WITH_ISSUES`。對於 Amazon EC2/Amazon EBS 備份,有磁碟區大小/數量限制,會導致磁碟區在掃描期間略過。這些情況會導致 Amazon EC2/Amazon EBS 備份任務產生 `COMPLETED_WITH_ISSUES`。
如果您的任務完成狀態,`COMPLETED_WITH_ISSUES`而且您需要有關原因的進一步資訊,您將需要透過 Amazon GuardDuty 從對應的掃描任務取得這些詳細資訊。
**注意**
增量掃描任務只會掃描兩個備份之間的資料差異。因此,如果增量掃描任務未遇到上述任何情況,則會在 狀態完成,`COMPLETE`而不會`COMPLETED_WITH_ISSUES`從基本復原點繼承 。
在極少數情況下,Amazon GuardDuty 可能會在掃描檔案和物件時遇到內部問題,並且可能會耗盡重試嘗試。發生這種情況時,掃描任務會在 `FAILED` AWS Backup 和 Amazon GuardDuty `COMPLETED_WITH_ISSUES`中顯示為 。此狀態差異可讓您在 Amazon GuardDuty 中檢視可用的掃描結果,同時指出並非所有支援的檔案和物件都已成功掃描。
### 掃描結果
掃描結果表示來自 Amazon GuardDuty 的彙總結果,且值可以是:`THREATS_FOUND`、 或 `NO_THREATS_FOUND`。
掃描結果指出您的復原點中是否偵測到潛在的惡意軟體。`NO_THREATS_FOUND` 狀態表示未偵測到潛在惡意軟體,而 `THREATS_FOUND`表示已發現潛在惡意軟體。如需詳細的威脅資訊,請透過 Amazon GuardDuty 主控台或 APIs 存取完整的 Amazon GuardDuty 調查結果。掃描結果也可以透過 EventBridge 事件取得,讓您能夠建置自動化工作流程來回應受感染的備份。
Amazon GuardDuty 會保留調查結果 365 天,跨增量掃描追蹤檔案或物件,以監控是否移除威脅或惡意軟體簽章變更。例如,如果在備份 2 中偵測到惡意軟體,掃描結果會顯示 `THREATS_FOUND`。當您使用備份 2 作為基礎對備份 3 執行增量掃描時,除非已從資料中移除威脅,`THREATS_FOUND`否則掃描結果會保留。
## 對掃描失敗進行故障診斷
常見的掃描失敗包括 IAM 許可不足、服務限制和資源存取問題。
當備份角色缺少`AWSBackupServiceRolePolicyForScans`許可或掃描器角色`AWSBackupGuardDutyRolePolicyForScans`沒有適當的信任關係時,就會發生**許可錯誤**。
當您超過每個帳戶 150 個並行掃描或每個資源類型 5 個並行掃描時,就會發生**服務限制錯誤** - 掃描任務將保持 `CREATED` 狀態,直到容量可用為止。
**存取遭拒錯誤**可能表示加密的復原點沒有適當的 AWS KMS 許可,或已刪除父復原點以進行增量掃描。
超大型復原點或高 Amazon GuardDuty 載入期間可能會發生**逾時失敗**。
若要進行故障診斷,請使用 `DescribeScanJob` API 檢查掃描任務狀態、驗證 IAM 角色組態、確保復原點存在且可存取,並在缺少增量掃描父參考時考慮切換到完整掃描。
監控並行掃描用量,並在自動化工作流程中實作抖動,以避免達到服務限制。
## 計量
惡意軟體防護由 Amazon GuardDuty 提供並計費。您不會看到與使用此功能相關的任何 AWS Backup 費用。您可以在 Amazon GuardDuty 的帳單下檢視所有用量。若要進一步了解,請造訪 [Amazon GuardDuty 定價](https://aws.amazon.com/guardduty/pricing/)。
## 配額
AWS Backup 和 Amazon GuardDuty 都有 Amazon GuardDuty 惡意軟體防護的配額限制 AWS Backup。
如需詳細資訊,請造訪[AWS Backup 配額](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html)和 [Amazon GuardDuty 配額](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_limits.html)。
## 惡意軟體掃描類型的主控台和 CLI 使用步驟
下列各節顯示使用 主控台和 設定不同惡意軟體掃描類型的步驟 AWS CLI。
### 如何設定惡意軟體掃描
**主控台**
1. 導覽至 AWS Backup 主控台 → 備份計劃
1. 建立新的備份計畫或選取現有的計畫
1. 啟用**惡意軟體防護**切換
1. 選取**掃描器角色**以選擇新的掃描器角色。請確定備份角色和掃描器角色都有適當的許可,如 中所述[存取](#malware-access)。
1. 選取**可掃描的資源類型**。這將篩選您所選資源選擇條件的惡意軟體掃描。例如,如果您的可掃描資源類型選擇是 Amazon EBS,但您計劃的資源選擇包括 Amazon EBS 和 Amazon S3,則只會執行 Amazon EBS 惡意軟體掃描。
1. 為每個備份規則設定**掃描類型**。您可以選擇完整、增量和無掃描。掃描類型選擇表示掃描將以相關聯備份規則的排程頻率進行。
1. 儲存備份計劃
**AWS CLI**
**CreateBackupPlan**
您可以使用 [create-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) 命令建立啟用惡意軟體掃描的備份計劃。
```
aws backup create-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules": [
{
"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle": {
"DeleteAfterDays": 3,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"
}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 100,
"CompletionWindowMinutes": 5000,
"Lifecycle": {
"DeleteAfterDays": 2,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings": [
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes": ["EBS", "EC2", "S3"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**UpdateBackupPlan**
您可以使用 update[update-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)。
```
aws backup update-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules":
[
{"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 60,
"CompletionWindowMinutes": 3000,
"Lifecycle":
{
"DeleteAfterDays": 6,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle":
{
"DeleteAfterDays": 9,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings":
[
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes":
["ALL", "EBS"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**金鑰備註**
+ 在啟用掃描選項之前,需要目標 ARN 項目 (主控台)
+ 所有組態都需要備份 IAM 角色和掃描器 IAM 角色
+ 使用 `aws backup list-scan-jobs` 來檢視所有掃描任務 (AWS CLI)
+ 成本影響會因掃描類型 (增量與完整) 和頻率而有所不同
**AWS CLI 金鑰備註**
+ 使用 `aws backup list-scan-jobs` 來檢視所有掃描任務 (AWS CLI)
+ 使用 ScanResults 欄位透過 `describe-recovery-point` API 提供的掃描結果 ScanResults
+ 所有組態都需要備份 IAM 角色和掃描器 IAM 角色
+ JSON 備份計劃結構包含計劃層級的 ScanSettings 和規則中的 ScanActions
# 中的彈性 AWS Backup
AWS Backup 非常重視其彈性,以及您的資料安全性。
AWS Backup 如果您備份備份備份, 會儲存您的備份,其彈性和耐用性*至少*與您資源的原始 AWS 服務所能提供的一樣多。
AWS Backup 旨在使用 AWS 全球基礎設施跨多個可用區域複寫備份,以獲得任何指定年份 99.999999999% (11 個九) 的耐用性,前提是您遵守目前的 AWS Backup 文件。
AWS Backup 會加密您的靜態備份計劃,並持續備份。您也可以使用 AWS Identity and Access Management (IAM) 登入資料和政策來限制對備份計劃的存取。如需詳細資訊,請參閱[身分驗證](https://docs.aws.amazon.com/aws-backup/latest/devguide/authentication.html)、[存取控制](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html)和 [IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
AWS 全球基礎設施是以 AWS 區域 和 可用區域為基礎建置。 AWS 區域 提供多個實體隔離和隔離的可用區域,這些可用區域以低延遲、高輸送量和高度備援的聯網連接。 會將備份 AWS Backup 存放在各個可用區域。可用區域的可用性、容錯能力和擴展能力,均較單一或多個資料中心的傳統基礎設施還高。如需詳細資訊,請參閱 [AWS Backup 服務水準協議 (SLA)](https://aws.amazon.com/backup/sla/)。
此外, AWS Backup 可讓您跨區域複製備份,以獲得更高的彈性。如需 AWS Backup 跨區域複製功能的詳細資訊,請參閱[建立備份複本](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html)。
如需 AWS 區域 和可用區域的詳細資訊,請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。