Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zugriffskontrolle
Sie können über gültige Anmeldeinformationen verfügen, um Ihre Anfragen zu authentifizieren. Wenn Sie jedoch nicht über die entsprechenden Berechtigungen verfügen, können Sie nicht auf AWS Backup Ressourcen wie Backup-Tresore zugreifen. Sie können auch keine AWS Ressourcen wie Amazon Elastic Block Store (AmazonEBS) -Volumes sichern.
Jede AWS Ressource gehört einem AWS-Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Berechtigungsrichtlinien an AWS Identity and Access Management (IAM) Identitäten (d. h. Benutzern, Gruppen und Rollen) anhängen. Einige Services unterstützen auch das Anfügen von Berechtigungsrichtlinien an Ressourcen.
Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorberechtigungen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMBewährte Methoden.
Beim Erteilen von Berechtigungen entscheiden Sie, wer die Berechtigungen erhält, für welche Ressourcen die Berechtigungen gelten und welche Aktionen an diesen Ressourcen gestattet werden sollen.
In den folgenden Themen erfahren Sie, wie Zugriffsrichtlinien funktionieren und wie Sie sie verwenden, um Ihre Sicherungen zu schützen.
Themen
Ressourcen und Operationen
Eine Ressource ist ein Objekt, das innerhalb eines Dienstes existiert. AWS Backup Zu den Ressourcen gehören Backup-Pläne, Backup-Tresore und Backups. Backup ist ein allgemeiner Begriff, der sich auf die verschiedenen Arten von Backup-Ressourcen bezieht, die in existieren AWS. Beispielsweise sind EBS Amazon-Snapshots, Amazon Relational Database Service (AmazonRDS) -Snapshots und Amazon DynamoDB-Backups alle Arten von Backup-Ressourcen.
In AWS Backup werden Backups auch als Wiederherstellungspunkte bezeichnet. Bei der Verwendung AWS Backup arbeiten Sie auch mit den Ressourcen anderer AWS Dienste, die Sie schützen möchten, wie EBS Amazon-Volumes oder DynamoDB-Tabellen. Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet. ARNs AWS Ressourcen eindeutig identifizieren. Sie benötigen einARN, wenn Sie eine Ressource in allen Bereichen eindeutig angeben müssen AWS, z. B. in IAM Richtlinien oder Aufrufen. API
In der folgenden Tabelle sind Ressourcen, Unterressourcen, ARN Formate und ein Beispiel für eine eindeutige ID aufgeführt.
AWS Backup Ressource ARNs | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Ressourcentyp | ARN-Format | Beispiel für eine eindeutige ID | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Sicherungsplan | arn:aws:backup: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Sicherungstresor | arn:aws:backup: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erholungspunkt für Amazon EBS | arn:aws:ec2: |
snapshot/snap-05f426fd8kdjb4224 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erholungspunkt für EC2 Amazon-Bilder | arn:aws:ec2: |
image/ami-1a2b3e4f5e6f7g890 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erholungspunkt für Amazon RDS | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Wiederherstellungspunkt für Aurora | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Wiederherstellungspunkt für Storage Gateway | arn:aws:ec2: |
snapshot/snap-0d40e49137e31d9e0 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Wiederherstellungspunkt für DynamoDB ohne Erweitertes DynamoDB-Backup | arn:aws:dynamodb: |
table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Wiederherstellungspunkt für DynamoDB mit aktiviertem Erweitertes DynamoDB-Backup | arn:aws:backup: |
12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erholungspunkt für Amazon EFS | arn:aws:backup: |
d99699e7-e183-477e-bfcd-ccb1c6e5455e |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erholungspunkt für Amazon FSx | arn:aws:fsx: |
backup/backup-1a20e49137e31d9e0 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Wiederherstellungspunkt für virtuelle Maschinen | arn:aws:backup: |
1801234a-5b6b-7dc8-8032-836f7ffc623b |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Wiederherstellungspunkt für kontinuierliche Amazon S3-Sicherung | arn:aws:backup: |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Wiederherstellungspunkt für regelmäßige S3-Sicherung | arn:aws:backup: |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erholungspunkt für Amazon DocumentDB | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erholungspunkt für Neptune | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erholungspunkt für Amazon Redshift | arn:aws:redshift: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erholungspunkt für Amazon Timestream | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erholungspunkt für die Vorlage AWS CloudFormation | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Erholungspunkt für die SAP HANA Datenbank auf der EC2 Amazon-Instance | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, haben alle Wiederherstellungspunkte in diesem Formatarn:aws:backup:, sodass Sie leichter Berechtigungsrichtlinien anwenden können, um diese Wiederherstellungspunkte zu schützen. Informationen zu den Ressourcen, die die vollständige AWS Backup Verwaltung unterstützen, finden Sie in diesem Abschnitt der Verfügbarkeit von Features nach Ressource Tabelle.region:account-id::recovery-point:*
AWS Backup bietet eine Reihe von Vorgängen für die Arbeit mit AWS Backup Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter AWS Backup Aktionen.
Ressourceneigentümerschaft
Der AWS-Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat. Insbesondere ist der Ressourcenbesitzer derjenige AWS-Konto der Prinzipalentität (d. h. der AWS-Konto Root-Benutzer, ein IAM Benutzer oder eine IAM Rolle), die die Anfrage zur Ressourcenerstellung authentifiziert. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
-
Wenn Sie Ihre AWS-Konto Root-Benutzeranmeldedaten verwenden, AWS-Konto um einen Backup-Tresor zu erstellen, AWS-Konto sind Sie der Eigentümer des Tresors.
-
Wenn Sie in Ihrem einen IAM Benutzer erstellen AWS-Konto und diesem Benutzer die Berechtigung zum Erstellen eines Backup-Tresors erteilen, kann der Benutzer einen Backup-Tresor erstellen. Eigentümer der Ressource der Sicherungstresorressource ist jedoch Ihr AWS -Konto, zu dem der Benutzer gehört.
-
Wenn Sie in Ihrem System eine IAM Rolle AWS-Konto mit den Berechtigungen zum Erstellen eines Backup-Tresors erstellen, kann jeder, der diese Rolle übernehmen kann, einen Tresor erstellen. Ihre AWS-Konto, zu der die Rolle gehört, besitzt die Backup-Tresor-Ressource.
Festlegen der Richtlinienelemente: Aktionen, Effekte und Prinzipale
Für jede AWS Backup Ressource (sieheRessourcen und Operationen) definiert der Dienst eine Reihe von API Vorgängen (sieheAktionen). AWS Backup Definiert eine Reihe von API Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese Operationen zu erteilen. Für die Ausführung eines API Vorgangs können Berechtigungen für mehr als eine Aktion erforderlich sein.
Grundlegende Richtlinienelemente:
-
Ressource — In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. Weitere Informationen finden Sie unter Ressourcen und Operationen.
-
Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten.
-
Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie sicherstellen, dass Benutzer nicht darauf zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
-
Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, der implizite Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).
Weitere Informationen zur IAM Richtliniensyntax und zu deren Beschreibung finden Sie unter IAMJSONRichtlinienreferenz im IAM Benutzerhandbuch.
Eine Tabelle mit allen AWS Backup API Aktionen finden Sie unterAPIReferenz zu Berechtigungen: Aktionen, Ressourcen und Bedingungen.
Angeben von Bedingungen in einer Richtlinie
Wenn Sie Berechtigungen gewähren, können Sie die IAM Richtliniensprache verwenden, um die Bedingungen festzulegen, unter denen eine Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter Bedingung im IAMBenutzerhandbuch.
AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Übersicht aller globalen Bedingungsschlüssel finden Sie unter Kontextschlüssel für AWS globale Bedingungen im IAMBenutzerhandbuch.
AWS Backup definiert seinen eigenen Satz von Bedingungsschlüsseln. Eine Liste der AWS Backup Bedingungsschlüssel finden Sie unter Bedingungsschlüssel für AWS Backup in der Service Authorization Reference.
APIReferenz zu Berechtigungen: Aktionen, Ressourcen und Bedingungen
Wenn Sie eine Berechtigungsrichtlinie einrichten Zugriffskontrolle und schreiben, die Sie einer IAM Identität zuordnen können (identitätsbasierte Richtlinien), können Sie die folgende Tabellenliste verwenden. Die Tabellenliste jeden AWS Backup API Vorgang, die entsprechenden Aktionen, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können, und die AWS Ressource, für die Sie die Berechtigungen erteilen können. Die Aktionen geben Sie im Feld Action und den Wert für die Ressource im Feld Resource der Richtlinie an. Wenn das Resource-Feld leer ist, können Sie den Platzhalter (*) verwenden, um alle Ressourcen einzubeziehen.
Sie können in Ihren AWS Backup Richtlinien AWS allgemeine Bedingungsschlüssel verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der Schlüssel für AWS die gesamte Breite finden Sie im IAMBenutzerhandbuch unter Verfügbare Schlüssel.
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
1 Verwendet die bestehende Tresorzugriffsrichtlinie.
2 Informationen zu AWS Backup Ressource ARNs ressourcenspezifischen Wiederherstellungspunkten finden Sie unter. ARNs
3 StartRestoreJob muss das Schlüssel-Wert-Paar in den Metadaten für die Ressource enthalten. Um die Metadaten der Ressource abzurufen, rufen Sie den auf. GetRecoveryPointRestoreMetadata API
4 Bestimmte Ressourcentypen erfordern, dass die Rolle, die das Backup durchführt, über eine bestimmte Tagging-Berechtigung backup:TagResource verfügt, wenn Sie beabsichtigen, entweder originale Ressourcen-Tags in Ihr Backup aufzunehmen oder zusätzliche Tags zu einem Backup hinzuzufügen. Für alle Backups mit einem ARN arn:aws:backup: Anfangswert oder einer fortlaufenden Sicherung ist diese Berechtigung erforderlich. region:account-id:recovery-point:backup:TagResourceDie Genehmigung muss beantragt werden für "resourcetype":
"arn:aws:backup:region:account-id:recovery-point:*"
Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Backup in der Service-Autorisierungs-Referenz.
Berechtigungen zum Kopieren von Tags
Bei AWS Backup der Ausführung eines Sicherungs- oder Kopierauftrags wird versucht, die Tags von Ihrer Quellressource (oder von Ihrem Wiederherstellungspunkt im Fall einer Kopie) auf Ihren Wiederherstellungspunkt zu kopieren.
Anmerkung
AWS Backup kopiert Tags bei Wiederherstellungsaufträgen nicht nativ. Eine ereignisgesteuerte Architektur, die Tags bei Wiederherstellungsaufträgen kopiert, finden Sie unter So behalten Sie Ressourcen-Tags in AWS Backup
AWS Backup Aggregiert während eines Sicherungs- oder Kopierauftrags die Tags, die Sie in Ihrem Backup-Plan (oder Kopierplan oder On-Demand-Backup) angeben, mit den Tags aus Ihrer Quellressource. AWS Erzwingt jedoch ein Limit von 50 Tags pro Ressource, das AWS Backup nicht überschritten werden darf. Wenn ein Sicherungs- oder Kopierauftrag Tags aus dem Plan und der Quellressource zusammenfasst, werden möglicherweise insgesamt mehr als 50 Tags erkannt, der Job kann nicht abgeschlossen werden und der Job schlägt fehl. Dies steht im Einklang mit den bewährten Methoden für AWS das Tagging in allen Bereichen. Weitere Informationen finden Sie unter Tag-Limits im AWS Allgemeinen Referenzhandbuch.
-
Ihre Ressource hat mehr als 50 Tags, nachdem Sie Ihre Backup-Job-Tags mit Ihren Quellressourcen-Tags zusammengefasst haben. AWS unterstützt bis zu 50 Tags pro Ressource. Weitere Informationen finden Sie unter Tag-Limits.
-
Der IAM Rolle, der Sie zuweisen, AWS Backup sind nicht berechtigt, die Quell-Tags zu lesen oder die Ziel-Tags festzulegen. Weitere Informationen und Beispiele für IAM Rollenrichtlinien finden Sie unter Verwaltete Richtlinien.
Sie können Ihren Sicherungsplan verwenden, um Tags zu erstellen, die Ihren Quellressourcen-Tags widersprechen. Wenn die beiden in Konflikt geraten, haben die Tags aus Ihrem Sicherungsplan Vorrang. Verwenden Sie diese Technik, wenn Sie es vorziehen, keinen Tag-Wert aus Ihrer Quellressource zu kopieren. Geben Sie mithilfe Ihres Sicherungsplans denselben Tag-Schlüssel, aber einen anderen oder leeren Wert an.
Erforderliche Berechtigungen zum Zuweisen von Tags zu Sicherungen | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Ressourcentyp | Erforderliche Berechtigung | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| EFSAmazon-Dateisystem |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| FSxAmazon-Dateisystem |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| RDSAmazon-Datenbank und Amazon Aurora-Cluster |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Storage Gateway-Volume |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| EC2Amazon-Instanz und EBS Amazon-Volume |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DynamoDB unterstützt das Zuweisen von Tags zu Backups nur, wenn Sie zuerst Erweitertes DynamoDB-Backup aktivieren.
Wenn ein EC2 Amazon-Backup einen Image Recovery Point und eine Reihe von Snapshots erstellt, werden Tags in das Ergebnis AWS Backup AMI kopiert. AWS Backup kopiert auch die Tags von den Volumes, die der EC2 Amazon-Instance zugeordnet sind, in die resultierenden Snapshots.
Zugriffsrichtlinien
Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Richtlinien, die mit einer IAM Identität verknüpft sind, werden als identitätsbasierte Richtlinien (Richtlinien) IAM bezeichnet. Mit einer Ressource verknüpfte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet. AWS Backup unterstützt sowohl identitätsbasierte Richtlinien als auch ressourcenbasierte Richtlinien.
Anmerkung
In diesem Abschnitt wird die Verwendung IAM im Kontext von beschrieben. AWS Backup Es enthält keine detaillierten Informationen über den IAM Dienst. Eine vollständige IAM Dokumentation finden Sie unter Was istIAM? im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und zu Beschreibungen finden Sie unter IAMJSONPolicy Reference im IAMBenutzerhandbuch.
Identitätsbasierte Richtlinien (Richtlinien) IAM
Identitätsbasierte Richtlinien sind Richtlinien, die Sie IAM Identitäten wie Benutzern oder Rollen zuordnen können. Sie können beispielsweise eine Richtlinie definieren, die es einem Benutzer ermöglicht, AWS Ressourcen einzusehen und zu sichern, ihn aber daran hindert, Backups wiederherzustellen.
Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Benutzerhandbuch unter Identitäten (Benutzer, Gruppen und Rollen). IAM
Informationen zur Verwendung von IAM Richtlinien zur Steuerung des Zugriffs auf Backups finden Sie unterVerwaltete Richtlinien für AWS Backup.
Ressourcenbasierte Richtlinien
AWS Backup unterstützt ressourcenbasierte Zugriffsrichtlinien für Backup-Tresore. Damit können Sie eine Zugriffsrichtlinie definieren, die steuern kann, welche Benutzer welche Art von Zugriff auf eine der in einem Sicherungstresor organisierten Sicherungen haben. Ressourcenbasierte Zugriffsrichtlinien für Sicherungstresore bieten eine einfache Möglichkeit zur Steuerung des Zugriffs auf Ihre Sicherungen.
Zugriffsrichtlinien für Backup-Tresore steuern den Benutzerzugriff, wenn Sie es verwenden AWS Backup APIs. Auf einige Backup-Typen, wie Amazon Elastic Block Store (AmazonEBS) und Amazon Relational Database Service (AmazonRDS) -Snapshots, kann auch über diese Dienste zugegriffen werden. APIs Sie können separate Zugriffsrichtlinien erstellenIAM, die den Zugriff auf diese steuern, um den Zugriff APIs auf Backups vollständig zu kontrollieren.
Informationen zur Erstellung einer Zugriffsrichtlinie für Sicherungstresore finden Sie unter Festlegen von Zugriffsrichtlinien für Backup-Tresore.
