第 4 步。实施访问控制机制

在考虑云端安全时，您的基础策略应从强大的身份基础开始，以确保用户拥有访问数据的正确权限。适当的身份验证和授权可以减轻安全事件的风险。责任共担模式要求 AWS 客户实施访问控制策略。要大规模创建和管理访问策略，可以使用 AWS Identity and Access Management （IAM）。

配置访问权限和许可时，请实施最低权限原则，确保每个访问您的备份数据或保管库的用户或系统仅获得履行其工作职责所需的权限。 AWS Backup 用于设置备份保管库的访问策略，以保护您的云工作负载。

例如，通过实施访问控制策略，您可以授予用户创建备份计划和按需备份的权限，同时限制他们删除恢复点的能力。使用文件库访问策略，您可以根据业务需求与源 AWS 账户 或 IAM 角色共享目标备份存储库。您还可以使用访问策略与一个或多个账户共享备份保管库，或者在 AWS Organizations中与您的整个组织共享备份保管库。有关更多信息，请参阅 AWS Backup 文档。

在扩展工作负载或迁移到工作负载时 AWS，您可能需要集中管理备份库和操作的权限。使用服务控制策略 (SCPs) 对组织中所有账户的最大可用权限实施集中控制。 SCPs 提供深度防御，并确保您的用户遵守定义的访问控制准则。有关更多信息，请参阅使用 AWS Backup服务控制策略管理对备份的访问权限。

为了降低安全风险，例如对备份资源和数据的意外访问，请使用 IAM Access Analyzer 识别与以下人员共享的任何 AWS Backup IAM 角色：

• 外部实体，例如 AWS 账户

• 根用户

• IAM 用户或角色

• 联合用户

• 一个 AWS 服务

• 匿名用户

• 任何其他可用于创建筛选条件的实体