Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richtlinien für den Tresorzugriff
Mit AWS Backup können Sie Backup-Tresoren und den darin enthaltenen Ressourcen Richtlinien zuweisen. Durch das Zuweisen von Richtlinien können Sie beispielsweise Benutzern Zugriff gewähren, um Sicherungspläne und On-Demand-Sicherungen zu erstellen, dabei aber die Möglichkeit, Wiederherstellungspunkte nach ihrer Erstellung zu löschen, einschränken.
Informationen zur Verwendung von Richtlinien zur Gewährung oder Beschränkung des Zugriffs auf Ressourcen finden Sie unter Identitätsbasierte Richtlinien und Ressourcenbasierte Richtlinien im Benutzerhandbuch. IAM Sie können den Zugriff auch mithilfe von Tags steuern.
Sie können die folgenden Beispielrichtlinien als Leitfaden verwenden, um den Zugriff auf Ressourcen zu beschränken, wenn Sie mit Tresoren arbeiten. AWS Backup Im Gegensatz IAM zu anderen Richtlinien unterstützen AWS Backup Zugriffsrichtlinien keinen Platzhalter im Action Schlüssel.
Eine Liste der Amazon-Ressourcennamen (ARNs), mit denen Sie Wiederherstellungspunkte für verschiedene Ressourcentypen identifizieren können, finden Sie unter AWS Backup Ressource ARNs Ressourcenspezifische Wiederherstellungspunkte. ARNs
Die Richtlinien für den Tresorzugriff regeln nur den Benutzerzugriff auf. AWS Backup APIs Auf einige Backup-Typen, wie Amazon Elastic Block Store (AmazonEBS) und Amazon Relational Database Service (AmazonRDS) -Snapshots, kann auch über diese Dienste zugegriffen werden. APIs Sie können separate Zugriffsrichtlinien erstellenIAM, die den Zugriff auf diese kontrollieren, um den Zugriff auf diese APIs Backup-Typen vollständig zu kontrollieren.
Unabhängig von der Zugriffsrichtlinie für den AWS Backup Tresor backup:CopyIntoBackupVault wird der kontoübergreifende Zugriff für alle Aktionen abgelehnt, AWS Backup d. h. alle anderen Anfragen von einem Konto, das sich von dem Konto der Ressource unterscheidet, auf die verwiesen wird, abgelehnt.
Themen
Verweigern des Zugriffs auf einen Ressourcentyp in einem Backup-Tresor
Diese Richtlinie verweigert allen EBS Amazon-Snapshots in einem Backup-Tresor den Zugriff auf die angegebenen API Operationen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }
Verweigern des Zugriffs auf einen Backup-Tresor
Diese Richtlinie verweigert den Zugriff auf die angegebenen API Operationen, die auf einen Backup-Tresor abzielen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }
Verweigern des Zugriffs zum Löschen von Wiederherstellungspunkten in einem Backup-Tresor
Der Zugriff auf Tresore sowie die Fähigkeit zum Löschen der darin gespeicherten Wiederherstellungspunkte wird durch den Zugriff gesteuert, den Sie Ihren Benutzern gewähren.
Gehen Sie wie folgt vor, um eine ressourcenbasierte Zugriffsrichtlinie für einen Sicherungstresor zu erstellen, die das Löschen von Sicherungen in dem Sicherungstresor verhindert.
So erstellen Sie eine ressourcenbasierte Zugriffsrichtlinie für einen Sicherungstresor:
Melden Sie sich bei AWS Management Consolehttps://console.aws.amazon.com/backup
an und öffnen Sie die AWS Backup Konsole. -
Wählen Sie im Navigationsbereich auf der linken Seite Backup vaults (Sicherungstresore) aus.
-
Wählen Sie einen Sicherungstresor in der Liste aus.
-
Fügen Sie im Abschnitt Zugriffsrichtlinie das folgende JSON Beispiel ein. Diese Richtlinie verhindert, dass Personen, die nicht der Prinzipal sind, einen Wiederherstellungspunkt im Zielsicherungstresor löschen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }Verwenden Sie im folgenden Beispiel den
aws:PrincipalArnglobalen BedingungsschlüsselARN, um IAM Listenidentitäten anhand ihrer Namen auflisten zu können.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }Informationen zum Abrufen einer eindeutigen ID für eine IAM Entität finden Sie unter Abrufen der eindeutigen ID im IAMBenutzerhandbuch.
Wenn Sie dies auf bestimmte Ressourcentypen beschränken möchten, können Sie anstelle von
"Resource": "*"die zu verweigernden Wiederherstellungspunkttypen explizit einschließen. Ändern Sie beispielsweise für EBS Amazon-Snapshots den Ressourcentyp wie folgt."Resource": ["arn:aws:ec2::Region::snapshot/*"] -
Wählen Sie Richtlinie anfügen aus.
