IAM 服务角色

AWS Identity and Access Management(IAM) 角色类似于用户，因为它是一个AWS身份，具有确定其在中可执行和不可执行的操作的权限策略AWS。但是，角色旨在让需要它的任何人代入，而不是唯一地与某个人员关联。服务角色是 AWS 服务代入以代表您执行操作的角色。作为代表您执行备份操作的服务，AWS Backup 要求您在该服务代表您执行备份操作时将其传递给要代入的角色。有关 IAM 角色的更多信息，请参阅《IAM 用户指南》中的 IAM 角色。

您传递的角色AWS Backup必须拥有一个 IAM policy，该策略具有的权限可执行备份操作关联的操作，如创建、恢复或过期备份。AWS BackupAWS Backup支持的每种AWS服务都需要不同的权限。该角色还必须将 AWS Backup 列为可信实体，这使得 AWS Backup 能够代入该角色。

当您为备份计划分配资源时，或者执行按需备份、复制或还原时，必须传递一个有权对指定资源执行基础操作的服务角色。 AWS Backup使用此角色在您的账户中创建、标记和删除资源。

使用AWS角色控制对备份的访问权限

您可以使用角色来控制对备份的访问，方法是定义范围狭窄的角色，并指定谁可以将该角色传递给 AWS Backup。例如，您可以创建一个仅授予备份Amazon Relational Database Service (Amazon RDS) 数据库的权限的角色，并且仅授予 Amazon RDS 数据库所有者将该角色传递给的权限AWS Backup。 AWS Backup为每项支持的服务提供多个预定义的托管策略。您可以将这些托管策略附加到您创建的角色。这样可以更轻松地创建具有 AWS Backup 所需的正确权限的服务特定角色。

有关AWS托管策略的更多信息AWS Backup，请参阅托管式策略。

的默认服务角色AWS Backup

首次使用AWS Backup控制台时，您可以选择为您AWS Backup创建默认服务角色。此角色拥有对其支持的所有AWS服务执行备份操作AWS Backup所需的权限。要选择默认服务角色，请按照 “入门” 中的任意选项进行操作。

注意

必须使用创建默认角色AWS Management Console。您无法使用AWS Command Line Interface (AWS CLI) 创建默认角色。

如果您更喜欢使用自定义角色，例如为不同的资源类型使用单独的角色，也可以这样做并将您的自定义角色传递给AWS Backup。要查看为单个资源类型启用备份和还原的角色示例，请参阅客户管理型策略表。

创建的默认服务角色无需使用自定义角色即可AWS Backup管理备份的创建和恢复。默认服务角色被称为AWSBackupDefaultServiceRole。

AWSBackupDefaultServiceRole包含两个托管策略，AWSBackupServiceRolePolicyForBackup和AWSBackupServiceRolePolicyForRestores。

AWSBackupServiceRolePolicyForBackup包括一个 IAM 策略，该策略授予描述正在备份的资源的AWS Backup权限，以及为备份创建、删除、描述或添加标签的权限。此 IAM 策略包括AWS Backup支持的所有资源类型的必要权限。

AWSBackupServiceRolePolicyForRestores包括一个 IAM 策略，该策略授予创建、删除或描述正在通过备份创建的新资源的AWS Backup权限。它还包括权限来标记新创建的资源。此 IAM 策略包括AWS Backup支持的所有资源类型的必要权限。

要还原 Amazon EC2 实例，必须启动一个新的实例。

创建默认服务角色

您在AWS Backup控制台中执行的特定操作将创建AWS Backup默认服务角色。其他活动（例如 CLI 操作）无法创建该角色。

要AWSBackupDefaultServiceRole在您的AWS账户中创建AWS Backup默认服务角色，请执行以下操作：

1. 通过 https://console.aws.amazon.com/backup 打开AWS Backup主机。

2. 要为您的账户创建角色，请为备份计划分配资源或创建按需备份。

   1. 创建备份计划并为备份分配资源。请参见创建定时备份。

   2. 或者，创建按需备份。请参见创建按需备份。

3. 按照以下步骤验证您是否已AWSBackupDefaultServiceRole在账户中创建了：

   1. 等几日。有关更多信息，请参阅《Identity and Access ManagemAWS ent 用户指南》中的我所做的更改可能不会立即可见。

   2. 登录AWS Management Console，然后通过以下网址打开 IAM 控制台：https://console.aws.amazon.com/iam/。

   3. 在左侧导航菜单中，选择角色。

   4. 在搜索栏中，键入AWSBackupDefaultServiceRole。如果存在此选择，则您已创建AWS Backup默认角色并完成了此过程。

   5. 如果AWSBackupDefaultServiceRole仍未出现，请向您用于访问控制台的 IAM 用户或 IAM 角色添加以下权限。

      {
        "Version":"2012-10-17",
        "Statement":[
          {
            "Effect":"Allow",
            "Action":[
              "iam:CreateRole",
              "iam:AttachRolePolicy",
              "iam:PassRole"
            ],
            "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
          },
          {
            "Effect":"Allow",
            "Action":[
              "iam:ListRoles"
            ],
            "Resource":"*"
          }
        ]
      }

      对于中国区域，将 a w s 替换为 aws-cn。对于AWS GovCloud (US)区域，将 a w s 替换为aws-us-gov。

   6. 如果您无法向您的 IAM 用户或 IAM 角色添加权限，请要求您的管理员手动创建名为的角色AWSBackupDefaultServiceRole并将该角色关联到其通常具有的托管策略：

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores