IAM 服务角色 - AWS Backup

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 服务角色

AWS Identity and Access Management (IAM) 角色与用户类似,因为它是一个具有权限策略的 AWS 身份,该策略决定了该身份可以做什么和不能做什么 AWS。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。服务角色是 AWS 服务代替您执行操作的角色。作为代表您执行备份操作的服务, AWS Backup 要求您在该服务代表您执行备份操作时将其传递给要代入的角色。有关 IAM 角色的更多信息,请参阅《IAM 用户指南》中的 IAM 角色

您传递给的角色 AWS Backup 必须具有 IAM 策略,该策略具有执行与备份操作相关的操作的权限,例如创建、还原或过期备份。 AWS Backup AWS Backup 支持的每项 AWS 服务都需要不同的权限。该角色还必须 AWS Backup 列为可信实体,这样 AWS Backup 才能担任该角色。

在为备份计划分配资源或执行按需备份、复制或还原时,必须传递一个有权对指定资源执行底层操作的服务角色。 AWS Backup 使用此角色在您的账户中创建、标记和删除资源。

使用 AWS 角色控制对备份的访问权限

您可以使用角色来控制对备份的访问,方法是定义范围狭窄的角色,并指定谁可以将该角色传递给 AWS Backup。例如,您可以创建一个角色,该角色仅授予备份亚马逊关系数据库服务 (Amazon RDS) 数据库的权限,而仅授予 Amazon RDS 数据库所有者将该角色传递给的权限 AWS Backup。 AWS Backup 为每种支持的服务提供了多个预定义的托管策略。您可以将这些托管策略附加到您创建的角色。这样可以更轻松地创建具有 AWS Backup 所需正确权限的服务特定角色。

有关 AWS 托管策略的更多信息 AWS Backup,请参阅的托管策略 AWS Backup

的默认服务角色 AWS Backup

首次使用 AWS Backup 控制台时,您可以选择为您 AWS Backup 创建默认服务角色。此角色具有为其支持的所有 AWS 服务执行备份操作 AWS Backup 所需的权限。要选择默认服务角色,请遵循入门中的任意选项。

注意

默认角色是在您使用 AWS Management Console时自动创建的。您可以使用 AWS Command Line Interface (AWS CLI) 创建默认角色,但必须手动完成。

如果您更喜欢使用自定义角色,例如为不同的资源类型使用不同的角色,也可以这样做并将您的自定义角色传递给 AWS Backup。要查看为单个资源类型启用备份和还原的角色示例,请参阅客户托管策略表。

创建的默认服务角色无需使用自定义角色即可 AWS Backup 管理备份的创建和恢复。默认服务角色称为 AWSBackupDefaultServiceRole

AWSBackupDefaultServiceRole 包含两个托管策略,即 AWSBackupServiceRolePolicyForBackupAWSBackupServiceRolePolicyForRestores

AWSBackupServiceRolePolicyForBackup包括一个 IAM 策略,该策略授予描述正在备份的资源的 AWS Backup 权限,以及创建、删除、描述备份或向备份添加标签的能力,无论使用何种 AWS KMS 密钥对其进行加密。此 IAM 策略包括 AWS Backup 支持的所有资源类型的必要权限。

AWSBackupServiceRolePolicyForRestores包括一个 IAM 策略,该策略授予创建、删除或描述从备份中创建的新资源的 AWS Backup 权限,无论使用何种 AWS KMS 密钥对其进行加密。它还包括权限来标记新创建的资源。此 IAM 策略包括 AWS Backup 支持的所有资源类型的必要权限。

要还原 Amazon EC2 实例,您必须启动一个新实例。

在控制台中创建默认服务角色

您在 AWS Backup 控制台中执行的特定操作将创建 AWS Backup 默认服务角色。

要在您的 AWS 账户AWSBackupDefaultServiceRole中创建 AWS Backup 默认服务角色,请执行以下操作:
  1. 打开 AWS Backup 控制台,网址为 https://console.aws.amazon.com/backup

  2. 要为您的账户创建角色,请为备份计划分配资源或创建按需备份。

    1. 创建备份计划并为备份分配资源。请参阅创建计划备份

    2. 或者,创建按需备份。请参阅创建按需备份

  3. 按照以下步骤验证您是否已在账户中创建 AWSBackupDefaultServiceRole

    1. 等待几分钟。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》中的我所做的更改并不总是立即可见

    2. 登录 AWS Management Console 并打开 IAM 控制台,网址为 https://console.aws.amazon.com/iam/

    3. 在左导航菜单中,选择角色

    4. 在搜索栏中,键入 AWSBackupDefaultServiceRole。如果存在此选择,则表示您已经创建了 AWS Backup 默认角色并完成了此过程。

    5. 如果 AWSBackupDefaultServiceRole 仍未出现,请向用于访问控制台的 IAM 用户或 IAM 角色添加以下权限。

      { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "iam:CreateRole", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole" }, { "Effect":"Allow", "Action":[ "iam:ListRoles" ], "Resource":"*" } ] }

      对于中国区域,请将 aws 替换为 aws-cn。对于 AWS GovCloud (US) 区域,将 a w s 替换为aws-us-gov

    6. 如果您无法向 IAM 用户或 IAM 角色添加权限,请让您的管理员手动创建一个名称不为 AWSBackupDefaultServiceRole 的角色,并将该角色附加到以下托管策略:

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores