的托管策略 AWS Backup

托管策略是基于身份的独立策略，您可以将其附加到中的多个用户、群组和角色。 AWS 账户将策略附加到主体实体时，便向实体授予了策略中定义的权限。

AWS 托管策略由创建和管理 AWS。

客户托管策略为您提供了精细的控制来设置对备份的访问权限。 AWS Backup例如，您可以使用它们向数据库备份管理员授予对 Amazon RDS 备份，而不是 Amazon EFS 备份的访问权限。

客户托管策略

创建客户托管策略的一种方式是：首先复制一个现有 AWS 托管策略。这样从一开始您就可以确信策略是正确的，只需根据您的环境进行自定义即可。

以下策略为单个 AWS Backup支持的 AWS 服务和第三方应用程序指定备份和还原权限。可以对其进行自定义，并将其附加到您创建的角色上，以进一步限制对 AWS 资源的访问权限。

以下策略为单个 AWS Backup支持的 AWS 服务和第三方应用程序指定备份权限。可以对其进行自定义，并将其附加到您创建的角色上，以进一步限制对 AWS 资源的访问权限。

Amazon S3


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"S3BucketBackupPermissions",
      "Action":[
        "s3:GetInventoryConfiguration",
        "s3:PutInventoryConfiguration",
        "s3:ListBucketVersions",
        "s3:ListBucket",
        "s3:GetBucketVersioning",
        "s3:GetBucketNotification",
        "s3:PutBucketNotification",
        "s3:GetBucketLocation",
        "s3:GetBucketTagging",
        "s3:GetBucketAcl"
      ],
      "Effect":"Allow",
      "Resource":[
        "arn:aws:s3:::*"
      ]
    },
    {
      "Sid":"S3ObjectBackupPermissions",
      "Action":[
        "s3:GetObjectAcl",
        "s3:GetObject",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectTagging",
        "s3:GetObjectVersion"
      ],
      "Effect":"Allow",
      "Resource":[
        "arn:aws:s3:::*/*"
      ]
    },
    {
      "Sid":"S3GlobalPermissions",
      "Action":[
        "s3:ListAllMyBuckets"
      ],
      "Effect":"Allow",
      "Resource":[
        "*"
      ]
    },
    {
      "Sid":"KMSBackupPermissions",
      "Action":[
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Effect":"Allow",
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "kms:ViaService":"s3.*.amazonaws.com"
        }
      }
    },
    {
      "Sid":"EventsPermissions",
      "Action":[
        "events:DescribeRule",
        "events:EnableRule",
        "events:PutRule",
        "events:DeleteRule",
        "events:PutTargets",
        "events:RemoveTargets",
        "events:ListTargetsByRule",
        "events:DisableRule"
      ],
      "Effect":"Allow",
      "Resource":"arn:aws:events:*:*:rule/AwsBackupManagedRule*"
    },
    {
      "Sid":"EventsMetricsGlobalPermissions",
      "Action":[
        "cloudwatch:GetMetricData",
        "events:ListRules"
      ],
      "Effect":"Allow",
      "Resource":"*"
    }
  ]
}

VM


{
      "Sid": "BackupGatewayBackupPermissions"
      "Effect": "Allow",
      "Action": [
        "backup-gateway:Backup",
        "backup-gateway:ListTagsForResource"
      ],
      "Resource": "arn:aws:backup-gateway:*:*:vm/*"
    }

Amazon EBS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":"ec2:CreateTags",
      "Resource":"arn:aws:ec2:*::snapshot/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateSnapshot",
        "ec2:DeleteSnapshot"
      ],
      "Resource":[
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:*:volume/*"
      ]
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeVolumes",
        "ec2:DescribeSnapshots",
        "ec2:CopySnapshot",
        "ec2:DescribeTags"
      ],
      "Resource":"*"
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    }
  ]
}

Amazon EFS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Action":[
        "elasticfilesystem:Backup",
        "elasticfilesystem:DescribeTags"
      ],
      "Resource":"arn:aws:elasticfilesystem:*:*:file-system/*",
      "Effect":"Allow"
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    }
  ]
}

Amazon RDS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "rds:AddTagsToResource",
        "rds:ListTagsForResource",
        "rds:DescribeDBSnapshots",
        "rds:CreateDBSnapshot",
        "rds:CopyDBSnapshot",
        "rds:DescribeDBInstances",
        "rds:CreateDBClusterSnapshot",
				"rds:DescribeDBClusters",
				"rds:DescribeDBClusterSnapshots",
				"rds:CopyDBClusterSnapshot"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "rds:DeleteDBSnapshot",
        "rds:ModifyDBSnapshotAttribute"
      ],
      "Resource":[
        "arn:aws:rds:*:*:snapshot:awsbackup:*"
      ]
    },
    {
      "Effect": "Allow",
			"Action": [
				"rds:DeleteDBClusterSnapshot",
				"rds:ModifyDBClusterSnapshotAttribute"
			],
			"Resource": [
				"arn:aws:rds:*:*:cluster-snapshot:awsbackup:*"
			]
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    },
    {
      "Action":"kms:DescribeKey",
      "Effect":"Allow",
      "Resource":"*"
    }
  ]
}

Amazon Aurora


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "rds:CreateDBClusterSnapshot",
        "rds:DescribeDBClusters",
        "rds:DescribeDBClusterSnapshots",
        "rds:AddTagsToResource",
        "rds:ListTagsForResource",
        "rds:CopyDBClusterSnapshot"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "rds:DeleteDBClusterSnapshot"
      ],
      "Resource":[
        "arn:aws:rds:*:*:cluster-snapshot:awsbackup:*"
      ]
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    },
    {
      "Action":"kms:DescribeKey",
      "Effect":"Allow",
      "Resource":"*"
    }
  ]
}

Storage Gateway


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "storagegateway:CreateSnapshot",
        "storagegateway:ListTagsForResource"
      ],
      "Resource":"arn:aws:storagegateway:*:*:gateway/*/volume/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateTags",
        "ec2:DeleteSnapshot"
      ],
      "Resource":"arn:aws:ec2:*::snapshot/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    }
  ]
}

Amazon FSx


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Action": "fsx:DescribeBackups",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:backup/*"
    },
    {
      "Action": "fsx:CreateBackup",
      "Effect": "Allow",
      "Resource": [
        "arn:aws:fsx:*:*:file-system/*",
        "arn:aws:fsx:*:*:backup/*"
      ]
    },
    {
      "Action": "fsx:DescribeFileSystems",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:file-system/*"
    },
    {
      "Action": "fsx:ListTagsForResource",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:file-system/*"
    },
    {
      "Action": "fsx:DeleteBackup",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:backup/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "fsx:ListTagsForResource",
        "fsx:ManageBackupPrincipalAssociations",
        "fsx:CopyBackup",
        "fsx:TagResource"
      ],
      "Resource": "arn:aws:fsx:*:*:backup/*"
    }
  ]
}

Amazon EC2


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateTags",
        "ec2:DeleteSnapshot"
      ],
      "Resource":"arn:aws:ec2:*::snapshot/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateImage",
        "ec2:DeregisterImage"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CopyImage",
        "ec2:CopySnapshot"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateTags"
      ],
      "Resource":"arn:aws:ec2:*:*:image/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeImages",
        "ec2:DescribeInstances",
        "ec2:DescribeInstanceAttribute",
        "ec2:DescribeInstanceCreditSpecifications",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeElasticGpus",
        "ec2:DescribeSpotInstanceRequests"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateSnapshot",
        "ec2:DeleteSnapshot",
        "ec2:DescribeVolumes",
        "ec2:DescribeSnapshots"
      ],
      "Resource":[
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:*:volume/*"
      ]
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    }
  ]
}

Windows VSS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateTags",
        "ec2:DeleteSnapshot"
      ],
      "Resource":"arn:aws:ec2:*::snapshot/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateImage",
        "ec2:DeregisterImage"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CopyImage",
        "ec2:CopySnapshot"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateTags"
      ],
      "Resource":"arn:aws:ec2:*:*:image/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeSnapshots",
        "ec2:DescribeTags",
        "ec2:DescribeImages",
        "ec2:DescribeInstances",
        "ec2:DescribeInstanceAttribute",
        "ec2:DescribeInstanceCreditSpecifications",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeElasticGpus",
        "ec2:DescribeSpotInstanceRequests"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateSnapshot",
        "ec2:DeleteSnapshot",
        "ec2:DescribeVolumes",
        "ec2:DescribeSnapshots"
      ],
      "Resource":[
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:*:volume/*"
      ]
    },
    {
      "Action":[
        "tag:GetResources"
      ],
      "Resource":"*",
      "Effect":"Allow"
    },
    {
      "Effect":"Allow",
      "Action":[
        "backup:DescribeBackupVault",
        "backup:CopyIntoBackupVault"
      ],
      "Resource":"arn:aws:backup:*:*:backup-vault:*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ssm:CancelCommand",
        "ssm:GetCommandInvocation"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":"ssm:SendCommand",
      "Resource":[
        "arn:aws:ssm:*:*:document/AWSEC2-CreateVssSnapshot",
        "arn:aws:ec2:*:*:instance/*"
      ]
    }
  ]
}

以下策略指定了单个 AWS Backup支持的 AWS 服务和第三方应用程序的还原权限。可以对其进行自定义，并将其附加到您创建的角色上，以进一步限制对 AWS 资源的访问权限。

Amazon S3


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"S3BucketRestorePermissions",
      "Action":[
        "s3:CreateBucket",
        "s3:ListBucketVersions",
        "s3:ListBucket",
        "s3:GetBucketVersioning",
        "s3:GetBucketLocation",
        "s3:PutBucketVersioning"
      ],
      "Effect":"Allow",
      "Resource":[
        "arn:aws:s3:::*"
      ]
    },
    {
      "Sid":"S3ObjectRestorePermissions",
      "Action":[
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:DeleteObject",
        "s3:PutObjectVersionAcl",
        "s3:GetObjectVersionAcl",
        "s3:GetObjectTagging",
        "s3:PutObjectTagging",
        "s3:GetObjectAcl",
        "s3:PutObjectAcl",
        "s3:PutObject",
        "s3:ListMultipartUploadParts"
      ],
      "Effect":"Allow",
      "Resource":[
        "arn:aws:s3:::*/*"
      ]
    },
    {
      "Sid":"S3KMSPermissions",
      "Action":[
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:GenerateDataKey"
      ],
      "Effect":"Allow",
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "kms:ViaService":"s3.*.amazonaws.com"
        }
      }
    }
  ]
}

VM


{
      "Sid": "GatewayRestorePermissions",         
      "Effect": "Allow",
      "Action": [
        "backup-gateway:Restore"
      ],
      "Resource": "arn:aws:backup-gateway:*:*:hypervisor/*"
    }

Amazon EBS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateVolume",
        "ec2:DeleteVolume"
      ],
      "Resource":[
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:*:volume/*"
      ]
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
    }
  ]
}

Amazon EFS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "elasticfilesystem:Restore",
        "elasticfilesystem:CreateFilesystem",
        "elasticfilesystem:DescribeFilesystems",
        "elasticfilesystem:DeleteFilesystem"
      ],
      "Resource":"arn:aws:elasticfilesystem:*:*:file-system/*"
    }
  ]
}

Amazon RDS


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "rds:DescribeDBInstances",
        "rds:DescribeDBSnapshots",
        "rds:ListTagsForResource",
        "rds:RestoreDBInstanceFromDBSnapshot",
        "rds:DeleteDBInstance",
        "rds:AddTagsToResource"
      ],
      "Resource":"*"
    }
  ]
}

Amazon Aurora


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "rds:DeleteDBCluster",
        "rds:DescribeDBClusters",
        "rds:RestoreDBClusterFromSnapshot",
        "rds:ListTagsForResource",
        "rds:AddTagsToResource"
      ],
      "Resource":"*"
    }
  ]
}

Storage Gateway


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "storagegateway:DeleteVolume",
        "storagegateway:DescribeCachediSCSIVolumes",
        "storagegateway:DescribeStorediSCSIVolumes"
      ],
      "Resource":"arn:aws:storagegateway:*:*:gateway/*/volume/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "storagegateway:DescribeGatewayInformation",
        "storagegateway:CreateStorediSCSIVolume",
        "storagegateway:CreateCachediSCSIVolume"
      ],
      "Resource":"arn:aws:storagegateway:*:*:gateway/*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "storagegateway:ListVolumes"
      ],
      "Resource":"arn:aws:storagegateway:*:*:*"
    }
  ]
}

Amazon FSx


{
  "Version": "2012-10-17",
  "Statement": 
  [    
    {
      "Action": 
      [
        "fsx:CreateFileSystemFromBackup"
      ],
      "Effect": "Allow",
      "Resource": 
      [
        "arn:aws:fsx:*:*:file-system/*",
        "arn:aws:fsx:*:*:backup/*"
      ]
    },    
    {
      "Action": "fsx:DescribeFileSystems",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:file-system/*"
    },    
    {
      "Action": "fsx:DescribeBackups",
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:backup/*"
    },    
    {
      "Action": 
      [
        "fsx:DeleteFileSystem",
        "fsx:UntagResource"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:fsx:*:*:file-system/*",
      "Condition": 
      {
        "Null": 
        {
          "aws:ResourceTag/aws:backup:source-resource": "false"
        }
      }
    },    
    {
      "Action": "ds:DescribeDirectories",
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Amazon EC2


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "ec2:CreateVolume",
        "ec2:DeleteVolume"
      ],
      "Resource":[
        "arn:aws:ec2:*::snapshot/*",
        "arn:aws:ec2:*:*:volume/*"
      ]
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
    },
    {
      "Effect":"Allow",
      "Action":[
        "ec2:DescribeImages",
        "ec2:DescribeInstances"
      ],
      "Resource":"*"
    },
    {
      "Action":[
        "ec2:RunInstances"
      ],
      "Effect":"Allow",
      "Resource":"*"
    },
    {
      "Action":[
        "ec2:TerminateInstances"
      ],
      "Effect":"Allow",
      "Resource":"arn:aws:ec2:*:*:instance/*"
    },
    {
      "Action":"iam:PassRole",
      "Resource":"arn:aws:iam::<account-id>:role/<role-name>",
      "Effect":"Allow"
    }
  ]
}

要还原加密的备份，请执行以下操作之一：

将您的角色添加到 AWS Key Management Service (AWS KMS) 密钥策略的许可名单

将此策略附加到您的 IAM 角色以进行还原：


{
  "Action": [
     "kms:DescribeKey",
     "kms:Decrypt",
     "kms:Encrypt",
     "kms:GenerateDataKey",
     "kms:ReEncrypt*"
  ],
  "Effect": "Allow",
  "Resource": "*"
}

AWS 托管策略

AWS 托管策略旨在为许多常见用例提供权限。 AWS 与必须自己编写策略相比，托管策略使您可以更轻松地为用户、组和角色分配适当的权限。

但是，您无法更改 AWS 托管策略中定义的权限。 AWS 偶尔会更新 AWS 托管策略中定义的权限。当发生此情况时，更新会影响策略附加到的所有委托人实体（用户、组和角色）。

AWS Backup 为常见用例提供了几种 AWS 托管策略。使用这些策略可以更轻松地定义正确的权限并控制对备份的访问。有两种托管策略。一种类型旨在分配给用户，以控制他们对 AWS Backup的访问。另一种托管策略旨在附加到您传递给 AWS Backup的角色。下表列出了 AWS Backup 提供的所有托管策略，并说明了它们的定义方式。您可以在 IAM 控制台的策略部分找到这些托管策略。

Policy	托管策略名称	描述
AWS Backup Backup 的服务关联角色策略	AWSBackupServiceLinkedRolePolicyforBackup	此策略附加到名为的服务相关角色AWSServiceRoleforBackup， AWS Backup 允许您代表您调用 AWS 服务来管理备份。有关更多信息，请参阅 AWS Backup的服务相关角色权限。
AWS Backup 数据传输访问权限	AWSBackupDataTransferAccess	此策略为 AWS Backup 存储平面数据传输 API 提供权限，允许 AWS Backint 代理使用 AWS Backup 存储平面完成备份数据传输。用户可以将此策略附加到使用 Backint Agent 运行 SAP HANA 的 Amazon EC2 实例所担任的角色。
AWS Backup 恢复 SAP HANA 的访问权限	AWSBackupRestoreAccessForSAPHANA	该策略 AWS Backup 允许在亚马逊 EC2 上恢复 SAP HANA 的备份。
AWS Backup 适用于 Amazon S3 备份政策	AWSBackupServiceRolePolicyForS3Backup	此策略包含备份任何 S3 存储桶所需的 AWS Backup 权限。这包括对存储桶中所有对象和任何关联 AWS KMS 密钥的访问权限。
AWS Backup 适用于 Amazon S3 还原政策	AWSBackupServiceRolePolicyForS3Restore	此策略包含将 S3 备份还原 AWS Backup 到存储桶所需的权限。这包括对存储桶的读写权限以及与 S3 操作有关的任何 AWS KMS 密钥的使用。
备份审计 IAM 策略	AWSBackupAuditAccess	该策略允许用户创建控制和框架，以定义他们对 AWS Backup 资源和活动的期望，并根据其定义的控制和框架对 AWS Backup 资源和活动进行审计。该政策授予权限 AWS Config 和类似的服务，以描述用户期望来执行审计。此策略还向 Amazon S3 和类似服务授予提供审计报告的权限，并使用户能够查找和打开其审计报告。
AWS Backup 报告的服务角色策略	AWSServiceRolePolicyForBackupReports	AWS Backup 将此策略用于`AWSServiceRoleForBackupReports`服务相关角色。此服务相关 AWS Backup 角色允许监控和报告您的备份设置、任务和资源与框架的合规性。
备份管理员 IAM 策略	AWSBackupFullAccess	备份管理员拥有 AWS Backup 操作的完全访问权限，包括创建或编辑备份计划、为备份计划分配 AWS 资源以及恢复备份。备份管理员负责通过定义满足其组织的业务和法规要求的备份计划来确定和强制实施备份合规性。Backup 管理员还要确保将其组织的 AWS 资源分配给相应的计划。
备份操作员 IAM 策略	AWSBackupOperatorAccess	备份操作员是这样的用户，他们负责确保正确备份自己负责的资源。Backup 操作员有权为备份管理员创建的备份计划分配 AWS 资源。他们还有权为其 AWS 资源创建按需备份，并有权配置按需备份的保留期。备份操作员无权创建或编辑备份计划，也无权在创建备份计划后删除计划备份。备份操作员可以还原备份。您可以限制备份操作员可分配给备份计划或从备份还原的资源类型。为此，您可以只允许向具有特定资源类型权限的某些服务角色传递。 AWS Backup
Backup 管理员 AWS Organizations 策略	AWSBackupOrganizationAdminAccess	组织管理员拥有 AWS Organizations 操作的完全访问权限，包括创建、编辑或删除备份策略，为账户和组织单位分配备份策略，以及监控组织内的备份活动。组织管理员负责通过定义和分配满足其组织业务和管理法规要求的备份策略来保护其组织中的账户。
用于备份的默认服务角色策略	AWSBackupServiceRolePolicyForBackup	提供代表您创建所有受支持资源类型的备份的 AWS Backup 权限。
用于还原的默认服务角色策略	AWSBackupServiceRolePolicyForRestores	提供代表您恢复所有受支持资源类型的备份的 AWS Backup 权限。对于 EC2 实例还原，还必须包括以下权限才能启动 EC2 实例： `{ "Version": "2012-10-17", "Statement": [ { "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/role-name", "Effect": "Allow" } ] }`

的政策更新 AWS Backup

AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份（用户、组和角色）。当推出新功能或有新操作可用时，服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限，因此策略更新不会破坏您的现有权限。

此外，还 AWS 支持跨多个服务的工作职能的托管策略。例如，ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时， AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明，请参阅《IAM 用户指南》中的适用于工作职能的AWS 托管式策略。

查看 AWS Backup 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒，请订阅 “ AWS Backup 文档历史记录” 页面上的 RSS feed。

更改	描述	日期
AWSBackupServiceRolePolicyForRestores— 增加了支持 AWS Backup 过渡到 Amazon Elastic Block Store 存档存储层的权限	AWS Backup 添加了权限`ec2:DescribeSnapshotTierStatus`和`ec2:RestoreSnapshotTier`。用户必须拥有这些权限，才能选择 AWS Backup 从存档存储中恢复存储的 Amazon EBS 资源。对于 EC2 实例还原，还必须在以下策略语句中包括所示权限才能启动 EC2 实例：	2023 年 11 月 27 日
AWSBackupServiceRolePolicyForBackups— 增加了支持 AWS Backup 过渡到 Amazon Elastic Block Store 存档存储层的权限	AWS Backup 添加了权限`ec2:DescribeSnapshotTierStatus`并支持`ec2:ModifySnapshotTier`将备份的 Amazon EBS 资源过渡到存档存储层的额外存储选项。用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 AWS Backup 到存档存储。	2023 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了支持 AWS Backup 过渡到 Amazon Elastic Block Store 存档存储层的权限 — 还增加了支持 Amazon Aurora 持续备份和 PITR（point-in-time 恢复）的权限。	AWS Backup 添加了权限`ec2:DescribeSnapshotTierStatus`并支持`ec2:ModifySnapshotTier`将备份的 Amazon EBS 资源过渡到存档存储层的额外存储选项。用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 AWS Backup 到存档存储。 AWS Backup 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`，这是 Aurora 集群的 PITR（point-in-time 恢复）所必需的。
AWSServiceRoleForBackupRestoreTesting— 添加了新的服务相关角色。	AWS Backup 添加了名为的新服务相关角色 `AWSServiceRoleForBackupRestoreTesting`，该角色为执行还原测试提供了备份权限。这个新的服务相关角色提供了 AWS Backup 进行恢复测试所需的权限。权限包括适用于要在还原测试中包括的以下服务的操作 `list, read, and write`：Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、FSx for Lustre、FSx for Windows File Server、FSx for ONTAP、FSx for OpenZFS、Amazon Neptune、Amazon RDS 和 Amazon S3。针对此策略的变更跟踪已开始。	2023 年 11 月 27 日
AWSBackupFullAccess— 添加了通过角色权限以支持恢复测试。	AWS Backup 已`restore-testing.backup.amazonaws.com`添加到`IamPassRolePermissions`和`IamCreateServiceLinkedRolePermissions`。为了代表客户 AWS Backup 进行恢复测试，必须添加此项。	2023 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores— 增加了支持 Amazon Aurora 持续备份和 PITR（point-in-time 恢复）的权限。	AWS Backup 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`，这是 Aurora 集群的 PITR（point-in-time 恢复）所必需的。	2023 年 9 月 6 日
AWSBackupFullAccess— 增加了支持持续备份和 Amazon Aurora 的 PITR（point-in-time 恢复）的新权限。	AWS Backup 添加了持续备份和 point-in-time 恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。	2023 年 9 月 6 日
AWSBackupOperatorAccess— 增加了支持持续备份和 Amazon Aurora 的 PITR（point-in-time 恢复）的新权限。	AWS Backup 添加了持续备份和 point-in-time 恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。	2023 年 9 月 6 日
AWSBackupServiceRolePolicyForBackup— 增加了支持 Amazon Aurora 持续备份和 PITR（point-in-time 恢复）的权限。	AWS Backup 添加了权限`rds:DescribeDBClusterAutomatedBackups`。此权限是 AWS Backup 支持 Aurora 集群的持续备份和 point-in-time 恢复所必需的。 AWS Backup 添加了`rds:DeleteDBClusterAutomatedBackups`允许 AWS Backup 生命周期在保留期结束时删除和解除关联 Amazon Aurora 持续恢复点的权限。需要此权限才能让 Aurora 恢复点避免转换为 `EXIPIRED` 状态。 AWS Backup 添加`rds:ModifyDBCluster`了允许与 Aurora 集群 AWS Backup 进行交互的权限。此新增权限使用户能够根据所需的配置启用或禁用连续备份。	2023 年 9 月 6 日
AWSBackupFullAccess— 添加了获取新文件库类型的资源共享关联的权限。	AWS Backup 添加了授`ram:GetResourceShareAssociations`予用户获取新文件库类型资源共享关联的权限的操作。 AWS Backup 需要此额外权限才能与之交互 AWS RAM。	2023 年 8 月 8 日
AWSBackupOperatorAccess— 添加了获取新文件库类型的资源共享关联的权限。	AWS Backup 添加了授`ram:GetResourceShareAssociations`予用户获取新文件库类型资源共享关联的权限的操作。 AWS Backup 需要此额外权限才能与之交互 AWS RAM。	2023 年 8 月 8 日
AWSBackupServiceRolePolicyForS3Backup— 增加了支持 Amazon S3 备份的新权限	AWS Backup 添加了权限`s3:PutInventoryConfiguration`。 AWS Backup 需要此权限才能使用存储桶清单来提高备份性能。	2023 年 8 月 1 日
AWSBackupServiceRolePolicyForRestores— 增加了在还原作业期间向资源添加标签的权限。	AWS Backup 添加了以下操作以授予用户添加标签以还原资源的权限：`storagegateway:AddTagsToResourceelasticfilesystem:TagResource`、`ec2:CreateAction`，仅`ec2:CreateTags`适用于包括`RunInstances`或`CreateVolumefsx:TagResource`、和`cloudformation:TagResource`。这些添加的权限对于 AWS Backup 在还原过程中向资源添加标签是必需的。	2023 年 5 月 22 日
AWSBackupAuditAccess— 替换了资源选择	AWS Backup 将 API `config:DescribeComplianceByConfigRule` 中的资源选择替换为通配符资源。这种扩展的资源选择使用户能够更轻松地选择错误更少的资源。	2023 年 4 月 11 日
AWSBackupServiceRolePolicyForRestores— 增加了支持加密的 Amazon Elastic File System 恢复的权限。	AWS Backup 添加了以下使用客户托管密钥恢复 Amazon EFS 的权限：`kms:GenerateDataKeyWithoutPlaintext`。此更新对于帮助确保用户拥有还原 Amazon EFS 资源所需的权限是必要的。	2023 年 3 月 27 日
AWSServiceRolePolicyForBackupReports— 更新了动作	AWS Backup 更新了`config:DescribeConfigRules`和`config:DescribeConfigRuleEvaluationStatus`操作以允许 Audi AWS Backup t Manager 访问 AWS Backup 审计管理器管理 AWS Config 的规则。 AWS Backup 需要此更新才能与之交互 AWS Config。	2023 年 3 月 9 日
AWSBackupServiceRolePolicyForS3Restore— 为涉及 AWS KMS 加密的恢复添加新的权限	AWS Backup 在策略中添加了以下权限：`kms:Decrypts3:PutBucketOwnershipControls`、和`s3:GetBucketOwnershipControlsAWSBackupServiceRolePolicyForS3Restore`。这些权限是支持在原始备份中使用 KMS 加密时还原对象，以及在原始存储桶而不是 ACL 上配置对象所有权时还原对象所必需的权限。	2023 年 2 月 13 日
AWSBackupFullAccess— 增加了支持 VMware 备份操作的新权限	AWS Backup 添加了以下权限：`backup-gateway:GetHypervisorPropertyMappingsbackup-gateway:GetVirtualMachine`、`backup-gateway:PutHypervisorPropertyMappings`、`backup-gateway:GetHypervisor`、`backup-gateway:StartVirtualMachinesMetadataSync`、`backup-gateway:GetBandwidthRateLimitSchedule`、和`backup-gateway:PutBandwidthRateLimitSchedule`。这些权限是使用虚拟机的 AWS Backup VMware 标签安排备份和支持基于时间表的带宽限制所必需的。	2022 年 12 月 15 日
AWSBackupOperatorAccess— 添加了支持备份操作的新权限	AWS Backup 添加了以下权限：`backup-gateway:GetHypervisorPropertyMappingsbackup-gateway:GetVirtualMachine`、`backup-gateway:GetHypervisor`、和`backup-gateway:GetBandwidthRateLimitSchedule`。这些权限是使用虚拟机的 AWS Backup VMware 标签安排备份和支持基于时间表的带宽限制所必需的。	2022 年 12 月 15 日
AWS Backup GatewayServiceRolePolicyForVirtualMachineMetadataSync— 添加了支持与虚拟机进行 AWS Backup 网关同步的权限的新策略。	AWS Backup 引入了此政策，其中包含以下权限：`backup-gateway:ListTagsForResourcebackup-gateway:TagResource`、和`backup-gateway:UntagResource`。这些权限是 AWS Backup Gateway 将本地网络中虚拟机的元数据与 Backup Gateway 同步所必需的。	2022 年 12 月 15 日
AWSBackupServiceRolePolicyForBackup— 增加了允许 AWS Backup 备份 Amazon Timestream 资源的权限。	AWS Backup 添加了以下权限：`timestream:StartAwsBackupJobtimestream:GetAwsBackupStatus`、`timestream:ListTables`、`timestream:ListDatabases`、`timestream:ListTagsForResource`、`timestream:DescribeTable`、`timestream:DescribeDatabase`、和`timestream:DescribeEndpoints`。这些权限是支持 Timestream 备份任务所必需的。 AWS Backup	2022 年 12 月 13 日
AWSBackupServiceRolePolicyForRestores— 增加了允许 AWS Backup 恢复亚马逊 Timestream 资源的权限。	AWS Backup 添加了以下权限：`timestream:StartAwsRestoreJob`、`timestream:GetAwsRestoreStatustimestream:ListTables`、`timestream:ListTagsForResource`、`timestream:ListDatabases`、`timestream:DescribeTable`、`timestream:DescribeDatabase`、`s3:GetBucketAcl`、和`timestream:DescribeEndpoints`。这些权限是支持 Timestream 恢复任务所必需的。 AWS Backup	2022 年 12 月 13 日
AWSBackupFullAccess— 增加了允许 AWS Backup 支持 Amazon Timestream 资源的权限。	AWS Backup 添加了以下权限：`timestream:ListTablestimestream:ListDatabases`、`s3:ListAllMyBuckets`和`timestream:DescribeEndpoints`。这些权限是支持 Timestream 资源所必需的。 AWS Backup	2022 年 12 月 13 日
AWSBackupOperatorAccess— 增加了允许 AWS Backup 支持 Amazon Timestream 资源的权限。	AWS Backup 添加了以下权限：`timestream:ListDatabasestimestream:ListTables`、`s3:ListAllMyBuckets`、和`timestream:DescribeEndpoints`。这些权限是支持 Timestream 资源所必需的。 AWS Backup	2022 年 12 月 13 日
AWSBackupServiceLinkedRolePolicyForBackup— 更新的托管策略权限允许 AWS Backup 对用于备份功能的 Timestream 资源进行必要的访问。	AWS Backup 添加了以下权限：`timestream:ListDatabasestimestream:ListTables`、`timestream:ListTagsForResource`、`timestream:DescribeDatabase`、`timestream:DescribeTable`、`timestream:GetAwsBackupStatus`、`timestream:GetAwsRestoreStatus`、和`timestream:DescribeEndpoints`。这些权限是支持 Timestream 资源所必需的。 AWS Backup	2022 年 12 月 13 日
AWSBackupFullAccess— 增加了允许 AWS Backup 支持亚马逊 Redshift 资源的权限。	AWS Backup 添加了以下权限：`redshift:DescribeClustersredshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules`、和`ec2:DescribeAddresses`。这些权限是使用亚马逊 Redshift 资源所必需的。 AWS Backup	2022 年 11 月 27 日
AWSBackupOperatorAccess— 增加了支持亚马逊 Redshift 资源的权限。 AWS Backup	AWS Backup 添加了以下权限：`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups,`、`redshift:DescribeClusterTracks`。 `redshift:DescribeSnapshotSchedules`，以及`ec2:DescribeAddresses`。这些权限是使用亚马逊 Redshift 资源所必需的。 AWS Backup	2022 年 11 月 27 日
AWSBackupServiceRolePolicyForRestores— 增加了允许 AWS Backup 访问亚马逊 Redshift 资源的权限。	AWS Backup 添加了以下权限：`redshift:RestoreFromClusterSnapshotredshift:RestoreTableFromClusterSnapshot`、`redshift:DescribeClusters`、和`redshift:DescribeTableRestoreStatus`。 AWS Backup 需要这些权限才能支持 Amazon Redshift 恢复任务。	2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup— 增加了允许 AWS Backup 访问亚马逊 Redshift 资源的权限。	AWS Backup 添加了以下权限：`redshift:CreateClusterSnapshotredshift:DescribeClusterSnapshots`、`redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、`redshift:DescribeClusters`、和`redshift:CreateTags`。 AWS Backup 需要这些权限才能支持 Amazon Redshift 备份任务。	2022 年 11 月 27 日
AWSBackupFullAccess— 添加了 AWS Backup 允许支持 AWS CloudFormation 资源的权限。	AWS Backup 添加了以下权限：`cloudformation:ListStacks`。此权限是 Backup 支持 CloudFormation 资源所必需的。	2022 年 11 月 27 日
AWSBackupOperatorAccess— 添加了 AWS Backup 允许支持 AWS CloudFormation 资源的权限。	AWS Backup 添加了以下权限：`cloudformation:ListStacks`。此权限是 Backup 支持 CloudFormation 资源所必需的。	2022 年 11 月 27 日
AWSBackupServiceLinkedRolePolicyForBackup— 添加了 AWS Backup 允许支持 AWS CloudFormation 资源的权限。	AWS Backup 添加了以下权限：`redshift:DescribeClusterSnapshotsredshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、和`redshift:DescribeClusters`。这些权限是 Backup 支持 CloudFormation资源所必需的。	2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup— 增加了允许 AWS Backup 访问 AWS CloudFormation 资源的权限。	AWS Backup 添加了以下权限：`cloudformation:GetTemplatecloudformation:DescribeStacks`、和`cloudformation:ListStackResources`。这些权限是支持 AWS CloudFormation 应用程序堆栈备份作业所必需的。 AWS Backup	2022 年 11 月 16 日
AWSBackupServiceRolePolicyForRestores— 增加了允许 AWS Backup 访问 AWS CloudFormation 资源的权限。	AWS Backup 添加了以下权限：`cloudformation:CreateChangeSet`和 `cloudformation:DescribeChangeSet` 这些权限是支持 AWS CloudFormation 应用程序堆栈还原任务所必需的。 AWS Backup	2022 年 11 月 16 日
AWSBackupOrganizationAdminAccess— 为该策略 AWS Backup 添加了授权管理员功能的权限。	AWS Backup 为此策略添加了以下权限：`organizations:ListDelegatedAdministratororganizations:RegisterDelegatedAdministrator`、和 `organizations:DeregisterDelegatedAdministrator` 这些权限是允许组织管理员使用“委派管理员”功能所必需的权限。	2022 年 11 月 27 日
AWSBackupServiceRolePolicyForBackup— 增加了允许 AWS Backup 在亚马逊 EC2 实例上支持 SAP HANA 的权限。	AWS Backup 添加了以下权限：`ssm-sap:GetOperationssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:UpdateHanaBackupSettings`、`ssm-sap:GetDatabase`、和`ssm-sap:ListTagsForResource`。这些权限是 Backup 支持 EC2 实例上的 SAP HANA 所必需的权限。	2022 年 11 月 20 日
AWSBackupFullAccess— 增加了允许在亚马逊 EC2 实例上 AWS Backup 支持 SAP HANA 的权限。	AWS Backup 添加了以下权限：`ssm-sap:GetOperationssm-sap:ListDatabases`、`ssm-sap:GetDatabase`、和`ssm-sap:ListTagsForResource`。这些权限是 Backup 支持 EC2 实例上的 SAP HANA 所必需的权限。	2022 年 11 月 20 日
AWSBackupOperatorAccess— 增加了允许在亚马逊 EC2 实例上 AWS Backup 支持 SAP HANA 的权限。	AWS Backup 添加了以下权限：`ssm-sap:GetOperationssm-sap:ListDatabases`、`ssm-sap:GetDatabase`、和`ssm-sap:ListTagsForResource`。这些权限是 Backup 支持 EC2 实例上的 SAP HANA 所必需的权限。	2022 年 11 月 20 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了允许在亚马逊 EC2 实例上 AWS Backup 支持 SAP HANA 的权限。	AWS Backup 添加了以下权限：`ssm-sap:GetOperation`。此权限是 Backup 支持 EC2 实例上的 SAP HANA 所必需的权限。	2022 年 11 月 20 日
AWSBackupServiceRolePolicyForRestores— 增加了允许 AWS Backup 访问 Amazon EC2 资源的权限。	AWS Backup 添加了以下权限：`ec2:CreateTags`。此权限是支持 Backup 网关还原任务到 EC2 实例所必需的。 AWS Backup	2022 年 11 月 20 日
AWSBackupDataTransferAccess— 增加了 AWS Backup 允许在 Amazon EC2 实例资源上支持 SAP HANA 安全存储数据传输的权限。	AWS Backup 添加了以下权限：`backup-storage:StartObjectbackup-storage:PutChunk`、`backup-storage:GetChunk`、`backup-storage:ListChunks`、`backup-storage:ListObjects`、`backup-storage:GetObjectMetadata`、和`backup-storage:NotifyObjectComplete`。这些权限是支持 SAP HANA On Amazon EC2 资源的安全存储数据传输所必需的。 AWS Backup	2022 年 11 月 20 日
AWSBackupRestoreAccessForSAPHANA— 增加了数据所有者在 Amazon EC2 实例资源上执行 SAP HANA 恢复任务的权限。	AWS Backup 添加了以下权限：`backup:Get`、`backup:List`、`backup:Describe*`、`backup:StartBackupJob`、`backup:StartRestoreJob`、`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:RestoreDatabase`、`ssm-sap:UpdateHanaBackupSettings`、`ssm-sap:GetDatabase`、和`ssm-sap:ListTagsForResource`。这些权限是资源所有者还原 Amazon EC2 上的 SAP HANA 资源所必需的权限。	2022 年 11 月 20 日
AWSBackupServiceRolePolicyForS3Backup— 增加了支持 Amazon S3 备份的新权限	AWS Backup 添加了权限`s3:GetBucketAcl`。 AWS Backup 需要此权限才能执行 S3 AWS Backup 的备份操作。	2022 年 8 月 24 日
AWSBackupServiceRolePolicyForRestores— 增加了对 Amazon RDS 恢复任务的访问权限。	AWS Backup 添加了以下操作以授予创建数据库实例的访问权限：`rds:CreateDBInstance`。 AWS Backup 需要此权限才能支持 Amazon RDS 多可用区（多可用区）功能。	2022 年 7 月 20 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了支持 Amazon S3 备份的权限	AWS Backup 添加了`s3:GetBucketTagging`使用资源通配符向用户授予选择要备份的存储桶的权限。如果没有此权限，使用资源通配符选择要备份的存储桶的用户将无法成功。 AWS Backup 需要该权限才能支持 Amazon S3 数据。	2022 年 5 月 6 日
AWSBackupServiceRolePolicyForBackup— 添加了新权限以支持 FSx 进行 ONTAP 卷级备份。	AWS Backup 在现有`fsx:CreateBackup`和`fsx:ListTagsForResource`操作范围内添加了卷资源，并添加了新操作`fsx:DescribeVolumes`以支持 FSx 进行 ONTAP 卷级别备份。 AWS Backup 需要此权限才能支持 FSx for ONTAP。	2022 年 4 月 27 日
AWSBackupServiceRolePolicyForRestores— 增加了支持恢复 ONTAP 卷的 FSx 的权限。	AWS Backup 添加了以下操作以授予用户恢复 ONTAP 卷的 FSx 的权限`fsx:DescribeVolumes`、`fsx:CreateVolumeFromBackup`、`fsx:DeleteVolume`和。`fsx:UntagResource` AWS Backup 需要此权限才能支持 FSx for ONTAP。	2022 年 4 月 27 日
AWSBackupServiceRolePolicyForS3Backup— 增加了支持 Amazon S3 备份的新权限	AWS Backup 添加了以下操作以授予用户在备份操作期间接收其 Amazon S3 存储桶变更通知的权限：`s3:GetBucketNotification`和`s3:PutBucketNotification`。 AWS Backup 需要这些权限才能支持 Amazon S3 数据。	2022 年 2 月 25 日
AWSBackupServiceRolePolicyForS3Backup— 添加了新的 AWS 托管策略以支持 Amazon S3 备份	在新的`AWSBackupServiceRolePolicyForS3Backup` AWS 托管策略中， AWS Backup 添加了以下操作以向用户授予备份其 Amazon S3 存储桶的权限：`s3:GetInventoryConfiguration`、、、`s3:PutInventoryConfiguration`、`s3:ListBucketVersions`、、`s3:ListBucket`、`s3:GetBucketTagging`、`s3:GetBucketVersioning`、、`s3:GetBucketNotifications3:GetBucketLocation`、和 `s3:ListAllMyBuckets` AWS Backup 添加了以下操作以授予用户备份其 Amazon S3 对象的权限：`s3:GetObjects3GetObjectAcl`、`s3:GetObjectVersionTagging`、、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、和`s3:GetObjectVersion`。 AWS Backup 添加了以下操作以授予用户备份其加密的 Amazon S3 数据的权限：`kms:Decrypt`和`kms:DescribeKey`。 AWS Backup 添加了以下操作以授予用户使用 Amazon EventBridge 规则对其 Amazon S3 数据进行增量备份的权限：`events:DescribeRule`、`events:EnableRule`、`events:PutRule`、、`events:DeleteRule`、`events:PutTargets`、`events:RemoveTargets`、、`events:ListTargetsByRule`、`events:DisableRule`、`cloudwatch:GetMetricData`、、和`events:ListRules`。 AWS Backup 需要这些权限才能支持 Amazon S3 数据。	2022 年 2 月 17 日
AWSBackupServiceRolePolicyForS3Restore— 添加了新的 AWS 托管策略以支持 Amazon S3 还原	在新的`AWSBackupServiceRolePolicyForS3Restore` AWS 托管策略中， AWS Backup 添加了以下操作来授予用户恢复其 Amazon S3 存储桶的权限：`s3:CreateBucket`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketVersioning`、`s3:GetBucketLocation`、和`s3:PutBucketVersioning`。 AWS Backup 添加了以下操作以授予用户恢复其 Amazon S3 存储桶的权限：`s3:GetObject`、、`s3:GetObjectVersion`、`s3:DeleteObject`、`s3:PutObjectVersionAcl`、`s3:GetObjectVersionAcl`、、`s3:GetObjectTagging`、`s3:PutObjectTagging`、`s3:GetObjectAcl`、`s3:PutObjectAcl`、`s3:PutObject`、和`s3:ListMultipartUploadParts`。 AWS Backup 添加了以下操作以授予用户加密其恢复的 Amazon S3 数据的权限：`kms:Decryptkms:DescribeKey`、和`kms:GenerateDataKey`。 AWS Backup 需要这些权限才能支持 Amazon S3 数据。	2022 年 2 月 17 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了支持 Amazon S3 备份的权限	AWS Backup 添加了`s3:ListAllMyBuckets`以授予用户查看其存储桶列表和选择将哪些存储桶分配给备份计划的权限。 AWS Backup 需要该权限才能支持 Amazon S3 数据。	2022 年 2 月 14 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了列出 AWS Backup 网关资源的权限	AWS Backup 添加了`backup-gateway:ListVirtualMachines`以授予用户查看其虚拟机列表和选择要分配给备份计划的虚拟机的权限。 AWS Backup 还`backup-gateway:ListTagsForResource`添加了授予用户列出其虚拟机标签的权限。 AWS Backup 需要这些权限才能支持虚拟机，该虚拟机于 2021 年 11 月 30 日上线。	2021 年 11 月 30 日
AWSBackupServiceRolePolicyForBackup— 增加了备份虚拟机的权限	AWS Backup 已添加`backup-gateway:Backup`以授予用户恢复其虚拟机备份的权限。 AWS Backup 还添加了`backup-gateway:ListTagsForResource`此项以授予用户列出分配给其虚拟机备份的标签的权限。 AWS Backup 需要此权限才能支持虚拟机，该虚拟机已于 2021 年 11 月 30 日上线。	2021 年 11 月 30 日
AWSBackupServiceRolePolicyForRestores— 增加了恢复虚拟机的权限	AWS Backup 已添加`backup-gateway:Restore`以授予用户恢复其虚拟机备份的权限。 AWS Backup 需要此权限才能支持虚拟机，该虚拟机已于 2021 年 11 月 30 日上线。	2021 年 11 月 30 日
AWSBackupFullAccess— 增加了使用虚拟机的权限	AWS Backup 添加了以下操作以授予用户使用 AWS Backup Gateway 备份、还原和管理其虚拟机的权限：、、、、、`backup-gateway:AssociateGatewayToServer`、、、、、、`backup-gateway:CreateGateway`、、`backup-gateway:DeleteGateway`、`backup-gateway:DeleteHypervisor`、、`backup-gateway:DisassociateGatewayFromServer`、`backup-gateway:ImportHypervisorConfiguration`、、`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、、`backup-gateway:ListTagsForResource`、`backup-gateway:ListVirtualMachines`、、`backup-gateway:PutMaintenanceStartTime`、`backup-gateway:TagResource`、、`backup-gateway:TestHypervisorConfiguration`、`backup-gateway:UntagResource`、、`backup-gateway:UpdateGatewayInformation`、、和`backup-gateway:UpdateHypervisor`。 AWS Backup 需要此权限才能支持 2021 年 11 月 30 日推出的 AWS Backup Gateway。	2021 年 11 月 30 日
AWSBackupOperatorAccess— 增加了列出 AWS Backup 网关资源的权限	AWS Backup 添加了以下操作来授予用户备份其虚拟机的权限：`backup-gateway:ListGatewaysbackup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource`、和`backup-gateway:ListVirtualMachines`。 AWS Backup 需要此权限才能支持虚拟机，该虚拟机已于 2021 年 11 月 30 日上线。	2021 年 11 月 30 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了备份亚马逊 DynamoDB 表格的权限	AWS Backup 添加的`dynamodb:ListTagsOfResource`目的是向用户授予使用其高级 DynamoDB 备份功能列出要备份 AWS Backup的 DynamoDB 表标签的权限。 AWS Backup 2021 年 11 月 23 日推出的高级 DynamoDB 备份功能需要此权限。	2021 年 11 月 23 日
AWSBackupServiceRolePolicyForBackup— 增加了备份亚马逊 DynamoDB 表的权限	AWS Backup 添加`dynamodb:StartAwsBackupJob`的目的是向用户授予使用高级备份功能备份其 DynamoDB 表的权限。 AWS Backup 还添加了`dynamodb:ListTagsOfResource`此项以授予用户将标签从其源 DynamoDB 表复制到备份的权限。 AWS Backup 2021 年 11 月 23 日推出的高级 DynamoDB 备份功能需要这些权限。	2021 年 11 月 23 日
AWSBackupServiceLinkedRolePolicyForRestores— 增加了恢复亚马逊 DynamoDB 表格的权限	AWS Backup 添加的`dynamodb:RestoreTableFromAwsBackup`目的是向用户授予恢复使用高级 DynamoDB 高级备份功能备份 AWS Backup的 DynamoDB 表的权限。 AWS Backup 需要此权限才能恢复使用 AWS Backup 2021 年 11 月 23 日推出的高级 DynamoDB 功能创建的备份。	2021 年 11 月 23 日
AWSBackupServiceRolePolicyForRestores— 增加了恢复亚马逊 DynamoDB 表格的权限	AWS Backup 添加的`dynamodb:RestoreTableFromAwsBackup`目的是向用户授予恢复使用高级 DynamoDB 高级备份功能备份 AWS Backup的 DynamoDB 表的权限。 AWS Backup 需要此权限才能恢复使用 AWS Backup 2021 年 11 月 23 日推出的高级 DynamoDB 功能创建的备份。	2021 年 11 月 23 日
AWSBackupOperatorAccess— 删除了多余的操作	AWS Backup 删除了现有操作`backup:GetRecoveryPointRestoreMetadata`，`rds:DescribeDBSnapshots`因为它们是多余的。 AWS Backup 不需要两者兼`backup:GetRecoveryPointRestoreMetadata`而有之，而是`backup:Get*`作为`AWSBackupOperatorAccess` AWS 托管策略的一部分。而且， AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼而有之，而是`rds:describeDBSnapshots`作为`AWSBackupOperatorAccess` AWS 托管策略的一部分。	2021 年 11 月 23 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了权限以支持对备份计划进行细粒度资源分配	AWS Backup 添加了新的操作`elasticfilesystem:DescribeFileSystems`、`dynamodb:ListTables`、`storagegateway:ListVolumes`、`ec2:DescribeVolumes`、`ec2:DescribeInstances`、`rds:DescribeDBInstances`、`rds:DescribeDBClusters`、和，`fsx:DescribeFileSystems`以允许客户在选择要分配给备份计划的资源时从其 AWS Backup支持的资源列表中进行查看和选择。 AWS Backup 需要这些权限来为客户提供更多、灵活的方式来为其备份计划分配资源。	2021 年 11 月 10 日
AWSBackupAuditAccess— 添加了新政策	AWS Backup 添加`AWSBackupAuditAccess`以授予用户使用 Audit Manag AWS Backup er 的权限。权限包括配置合规框架和生成报告的能力。 AWS Backup 2021 年 8 月 24 日 AWS Backup 上线的 Audit Manager 需要此权限。	2021 年 8 月 24 日
AWSServiceRolePolicyForBackupReports— 添加了新政策	AWS Backup 添加了授`AWSServiceRolePolicyForBackupReports`予服务相关角色的权限，以自动监控备份设置、作业和资源，以符合用户配置的框架。 AWS Backup 2021 年 8 月 24 日 AWS Backup 上线的 Audit Manager 需要此权限。	2021 年 8 月 24 日
AWSBackupFullAccess— 增加了创建服务相关角色的权限	AWS Backup 已添加`iam:CreateServiceLinkedRole`以创建与服务相关的角色（尽力而为），以自动为您删除过期的恢复点。如果没有此服务相关角色， AWS Backup 则无法在客户删除用于创建恢复点的原始 IAM 角色后删除过期的恢复点。 AWS Backup 需要此权限作为 `DeleteRecoveryPoint` API 操作的一部分。	2021 年 7 月 5 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了支持删除 DynamoDB 恢复点的权限	AWS Backup 添加了新操作`dynamodb:DeleteBackup`，`DeleteRecoveryPoint`允许根据您的备份计划生命周期设置自动删除过期的 DynamoDB 恢复点。 AWS Backup 作为 API 操作的一部分，需要此权限才能删除 DynamoDB 表。`DeleteRecoveryPoint`	2021 年 7 月 5 日
AWSBackupOperatorAccess— 删除了多余的操作	AWS Backup 删除了现有操作`backup:GetRecoveryPointRestoreMetadata`，`rds:DescribeDBSnapshots`因为它们是多余的。 AWS Backup 不需要两者兼`backup:GetRecoveryPointRestoreMetadata`而有之，而是`backup:Get*`作为`AWSBackupOperatorAccess` AWS 托管策略的一部分。而且， AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼而有之，而是`rds:describeDBSnapshots`作为`AWSBackupOperatorAccess` AWS 托管策略的一部分。	2021 年 5 月 25 日
AWSBackupOperatorPolicy— 删除了多余的操作	AWS Backup 删除了现有操作`backup:GetRecoveryPointRestoreMetadata`，`rds:DescribeDBSnapshots`因为它们是多余的。 AWS Backup 不需要两者兼`backup:GetRecoveryPointRestoreMetadata`而有之，而是`backup:Get*`作为`AWSBackupOperatorPolicy` AWS 托管策略的一部分。而且， AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼而有之，而是`rds:describeDBSnapshots`作为`AWSBackupOperatorPolicy` AWS 托管策略的一部分。	2021 年 5 月 25 日
AWSBackupServiceRolePolicyForRestores— 增加了将标签应用于 Amazon FSx 恢复的权限	AWS Backup 添加了授`fsx:TagResource`予`StartRestoreJob`权限的新操作，允许您在还原过程中向 Amazon FSx 文件系统应用标签。 AWS Backup 作为 `StartRestoreJob` API 操作的一部分，需要此权限才能将标签应用于 Amazon FSx 文件系统。	2021 年 5 月 24 日
AWSBackupServiceRolePolicyForRestores— 增加了执行 Amazon EC2 恢复的权限	AWS Backup 添加了新操作`ec2:DescribeImages`并授予`ec2:DescribeInstancesStartRestoreJob`允许您从恢复点恢复 Amazon EC2 实例的权限。 AWS Backup 作为 `StartRestoreJob` API 操作的一部分，需要此权限才能从恢复点恢复 Amazon EC2 实例。	2021 年 5 月 24 日
AWSBackupServiceRolePolicyForBackup— 增加了执行 Amazon FSx 跨区域和跨账户复制的权限	AWS Backup 添加了新操作`fsx:CopyBackup`以授予`StartCopyJob`允许您跨地区和账户复制 Amazon FSx 恢复点的权限。 AWS Backup 作为 `StartCopyJob` API 操作的一部分，需要此权限才能跨区域和账户复制 Amazon FSx 恢复点。	2021 年 4 月 12 日
AWSBackupServiceLinkedRolePolicyForBackup— 增加了执行 Amazon FSx 跨区域和跨账户副本的权限	AWS Backup 添加了新操作`fsx:CopyBackup`以授予`StartCopyJob`允许您跨地区和账户复制 Amazon FSx 恢复点的权限。 AWS Backup 作为 `StartCopyJob` API 操作的一部分，需要此权限才能跨区域和账户复制 Amazon FSx 恢复点。	2021 年 4 月 12 日
AWSBackupServiceRolePolicyForBackup— 增加了支持加密的 DynamoDB 表备份的权限	AWS Backup 更新了其 AWS 托管策略以符合以下要求： AWS Backup 要创建加密的 DynamoDB 表的备份，您必须向用于备份的 IAM 角色添加`kms:Decrypt`权限`kms:GenerateDataKey`和。	2021 年 3 月 10 日
AWSBackupFullAccess— 增加了支持 Amazon RDS 连续备份和 point-in-time 恢复的权限	AWS Backup 更新了其 AWS 托管策略以符合以下要求： AWS Backup 要使用为您的 Amazon RDS 数据库配置连续备份，请验证您的备份计划配置所定义的 IAM 角色中是否`rds:ModifyDBInstance`存在 API 权限。要还原 Amazon RDS 连续备份，您必须向为还原作业提交的 IAM 角色添加权限 `rds:RestoreDBInstanceToPointInTime`。在 AWS Backup 控制台中，要描述可用于 point-in-time 恢复的时间范围，您必须在 IAM 管理的`rds:DescribeDBInstanceAutomatedBackups`策略中包含 API 权限。	2021 年 3 月 10 日
AWS Backup 开始跟踪更改	AWS Backup 开始跟踪其 AWS托管策略的更改。	2021 年 3 月 10 日

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

IAM 服务角色

使用服务相关角色