기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
볼트 액세스 정책
를 사용하면 백업 볼트와 백업 볼트에 포함된 리소스에 정책을 할당할 AWS Backup수 있습니다. 정책을 할당하면 사용자에게 백업 계획 및 온디맨드 백업을 생성할 수 있는 액세스 권한을 부여하는 등의 작업을 수행할 수 있지만 복구 시점이 생성된 후에는 삭제할 수 있는 기능을 제한할 수 있습니다.
정책을 사용하여 리소스에 대한 액세스 권한을 부여하거나 제한하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 자격 증명 기반 정책 및 리소스 기반 정책을 참조하세요. 태그를 사용하여 액세스를 제어할 수도 있습니다.
다음 예제 정책을 가이드로 사용하여 AWS Backup 볼트 작업 시 리소스에 대한 액세스를 제한할 수 있습니다. 다른 IAM기반 정책과 달리 AWS Backup 액세스 정책은 Action
키의 와일드카드를 지원하지 않습니다.
다양한 리소스 유형에 대한 복구 시점을 식별하는 데 사용할 수 있는 Amazon 리소스 이름(ARNs) 목록은 AWS Backup 리소스 ARNs 리소스별 복구 시점을 참조하세요ARNs.
볼트 액세스 정책은 에 대한 사용자 액세스만 제어합니다 AWS Backup APIs. Amazon Elastic Block Store(Amazon EBS) 및 Amazon Relational Database Service(Amazon RDS) 스냅샷과 같은 일부 백업 유형도 APIs 해당 서비스의 를 사용하여 액세스할 수 있습니다. 에서 IAM 액세스 권한을 제어하는 별도의 액세스 정책을 생성APIs하여 해당 백업 유형에 대한 액세스를 완전히 제어할 수 있습니다.
AWS Backup 볼트의 액세스 정책에 관계없이 이외의 작업에 대한 교차 계정 액세스backup:CopyIntoBackupVault
는 거부됩니다. 즉, 참조되는 리소스의 계정과 다른 계정의 다른 요청은 AWS Backup 거부됩니다.
백업 저장소에서 리소스 유형에 대한 액세스 거부
이 정책은 백업 저장소의 모든 Amazon EBS 스냅샷에 대해 지정된 API 작업에 대한 액세스를 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::
Account ID
:role/MyRole
" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region
::snapshot/*"] } ] }
백업 저장소에 대한 액세스 거부
이 정책은 백업 저장소를 대상으로 지정된 API 작업에 대한 액세스를 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::
Account ID
:role/MyRole
" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region
:Account ID
:backup-vault:backup vault name
" } ] }
백업 저장소에서 복구 시점 삭제에 대한 액세스 거부
저장소에 대한 액세스 및 저장소에 저장된 복구 시점 삭제 기능은 사용자에게 부여된 액세스 권한에 따라 결정됩니다.
다음 단계에 따라 백업 저장소에서 백업을 삭제하지 못하도록 해당 백업 저장소에 리소스 기반 액세스 정책을 생성합니다.
백업 저장소에 리소스 기반 액세스 정책을 생성하려면
에 로그인 AWS Management Console하고 https://console.aws.amazon.com/backup
에서 AWS Backup 콘솔을 엽니다. -
왼쪽의 탐색 창에서 백업 저장소를 선택합니다.
-
목록에서 백업 저장소를 선택합니다.
-
액세스 정책 섹션에서 다음 JSON 예제를 붙여넣습니다. 이 정책을 사용하면 보안 주체가 아닌 사용자가 대상 백업 저장소에서 복구 시점을 삭제할 수 없습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "
AAAAAAAAAAAAAAAAAAAAA:
", "BBBBBBBBBBBBBBBBBBBBBB
", "112233445566
" ] } } } ] }를 사용하여 목록 IAM 자격 증명을 허용하려면 다음 예제의
aws:PrincipalArn
전역 조건 키를 ARN사용합니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::
112233445566
:role/mys3role
", "arn:aws:iam::112233445566
:user/shaheer
", "112233445566
" ] } } } ] }IAM 엔터티의 고유 ID를 가져오는 방법에 대한 자세한 내용은 IAM 사용 설명서의 고유 식별자 가져오기를 참조하세요.
이를 특정 리소스 유형으로 제한하려는 경우,
"Resource": "*"
대신 거부할 복구 시점 유형을 명시적으로 포함하면 됩니다. 예를 들어 Amazon EBS 스냅샷의 경우 리소스 유형을 다음과 같이 변경합니다."Resource": ["arn:aws:ec2::
Region
::snapshot/*"] -
정책 연결을 선택합니다.