本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
存取控制
您可以擁有有效的認證來驗證您的請求,但除非您具有適當的權限,否則您無法存取備份 Vault 等 AWS Backup 資源。您也無法備份 AWS 資源,例如 Amazon 彈性區塊存放區 (AmazonEBS) 磁碟區。
每個 AWS 資源都擁有 AWS 帳戶,建立或存取資源的權限由權限原則控制。帳戶管理員可以將權限原則附加至 AWS Identity and Access Management (IAM) 身分識別 (亦即使用者、群組和角色)。某些服務還支援將許可政策連接到資源。
帳戶管理員 (或管理員使用者) 是具有管理員許可的使用者。若要取得更多資訊,請參閱《IAM使用指南》中的IAM最佳作法。
當您授予許可時,能夠決定取得許可的對象、這些對象取得許可的資源,以及可對上述資源進行的特定動作。
下列各節說明存取政策的運作方式,以及您可如何運用這些政策來保護備份。
資源和操作
資源是存在於服務中的物件。 AWS Backup 資源包括備份計劃、備份儲存庫和備份。Backup 是指中存在的各種備份資源類型的一般術語 AWS。例如,Amazon EBS 快照、Amazon Relational Database Service 服務 (亞馬遜RDS) 快照和 Amazon DynamoDB 備份都是備份資源類型。
在中 AWS Backup,備份也稱為復原點。使用時 AWS Backup,您還可以使用您嘗試保護的其他 AWS 服務的資源,例如 Amazon EBS 磁碟區或 DynamoDB 表。這些資源具有與其相關聯的唯一 Amazon 資源名稱 (ARNs)。ARNs唯一識別 AWS 資源。ARN當您需要在所有項目 (例如IAM政策或API呼叫中) 明確指定資源時 AWS,您必須有一個。
下表列出資源、子資源、ARN格式和範例唯一 ID。
AWS Backup 資源 ARNs | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 資源類型 | ARN 格式 | 範例唯一 ID | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 備份計劃 | arn:aws:backup: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 備份文件庫 | arn:aws:backup: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon 的恢復點 EBS | arn:aws:ec2: |
snapshot/snap-05f426fd8kdjb4224 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EC2 映像的恢復點 | arn:aws:ec2: |
image/ami-1a2b3e4f5e6f7g890 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon 的恢復點 RDS | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Aurora 的復原點 | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Storage Gateway 的復原點 | arn:aws:ec2: |
snapshot/snap-0d40e49137e31d9e0 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| DynamoDB (不含進階 DynamoDB 備份) 的復原點 | arn:aws:dynamodb: |
table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| DynamoDB (已啟用進階 DynamoDB 備份) 的復原點 | arn:aws:backup: |
12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon 的恢復點 EFS | arn:aws:backup: |
d99699e7-e183-477e-bfcd-ccb1c6e5455e |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon 的恢復點 FSx | arn:aws:fsx: |
backup/backup-1a20e49137e31d9e0 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 虛擬機器的復原點 | arn:aws:backup: |
1801234a-5b6b-7dc8-8032-836f7ffc623b |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon S3 連續備份的復原點 | arn:aws:backup: |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| S3 定期備份的復原點 | arn:aws:backup: |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon DocumentDB 的恢復點 | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Neptune 的恢復點 | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Redshift 的恢復點 | arn:aws:redshift: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Timestream 的恢復點 | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS CloudFormation 範本的復原點 | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EC2 執行個體上SAPHANA資料庫的復原點 | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
支援完整 AWS Backup 管理的資源都具有格式arn:aws:backup:的復原點,可讓您更輕鬆地套用權限原則來保護這些復原點。若要查看哪些資源支援完整 AWS Backup 管理,請參閱各資源的功能可用性表格的該部分。region:account-id::recovery-point:*
AWS Backup 提供了一組操作來處理 AWS Backup 資源。如需可用操作的清單,請參閱 AWS Backup 動作。
資源擁有權
無論是誰建立資源,都 AWS 帳戶 擁有在帳戶中建立的資源。具體來說,資源擁有者是驗證資源建立要求的主參與者實體 (亦即 AWS 帳戶 根IAM使用者、使用者或IAM角色) 的擁有者。 AWS 帳戶 下列範例說明其如何運作:
-
如果您使用的 AWS 帳戶 根使用者認證 AWS 帳戶 來建立備份保管庫,您 AWS 帳戶 就是該保存庫的擁有者。
-
如果您在您的中建立IAM使用者, AWS 帳戶 並授與建立備份儲存庫的權限給該使用者,則該使用者可以建立備份儲存庫。不過,您的 AWS 帳戶 (即該使用者所屬的帳戶) 會擁有備份文件庫的資源。
-
如果您在具有建立備份儲存庫 AWS 帳戶 的權限中建立IAM角色,則任何可以擔任該角色的人都可以建立 Vault。您的 AWS 帳戶(角色所屬) 擁有備份 Vault 資源。
指定政策元素:動作、效果和主體
對於每個 AWS Backup 資源 (請參閱資源和操作),服務會定義一組API作業 (請參閱動作)。若要授與這些作API業的權限,請 AWS Backup 定義您可以在策略中指定的一組動作。執行作API業可能需要多個動作的權限。
以下是最基本的政策元素:
-
資源 — 在政策中,您可以使用 Amazon 資源名稱 (ARN) 來識別適用政策的資源。如需詳細資訊,請參閱 資源和操作。
-
動作:使用動作關鍵字識別您要允許或拒絕的資源操作。
-
效果 - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
-
主體 — 在以識別為基礎的原IAM則 (原則) 中,原則所附加的使用者是隱含的主體。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。
若要深入了解IAM策略語法和說明,請參閱《IAM使用者指南》中的《IAMJSON策略參考》。
如需顯示所有 AWS Backup API動作的表格,請參閱API權限:動作、資源和條件參考。
在政策中指定條件
授與權限時,您可以使用IAM策略語言來指定策略生效的條件。例如,建議只在特定日期之後套用政策。如需有關以策略語言指定條件的詳細資訊,請參閱《IAM使用指南》中的「條件」。
AWS 支援全域條件金鑰和服務特定條件金鑰。若要查看所有全域條件索引鍵,請參閱《使用指南》中的AWS 全域條件內IAM容索引鍵。
AWS Backup 定義了它自己的一組條件鍵。若要查看 AWS Backup 條件索引鍵清單,請參閱服務授權參考 AWS Backup中的條件金鑰。
API權限:動作、資源和條件參考
當您設定存取控制並撰寫可附加至身分識別 (以IAM身分識別為基礎的原則) 的權限原則時,您可以使用下表作為參考。此表格清每項 AWS Backup API作業、您可授與執行動作之權限的對應動作,以及您可以授與權限的 AWS 資源。您在政策的 Action 欄位中指定動作,然後在政策的 Resource 欄位中指定資源值。如果 Resource 欄位為空白,您可以使用萬用字元 (*) 來包含所有資源。
您可以在 AWS Backup 原則中使用 AWS寬條件金鑰來表示條件。若要取得完整的 AWS寬按鍵清單,請參閱《IAM使用者指南》中的可用金鑰。
使用捲軸查看資料表的其餘部分。
1 使用現有的文件庫存取原則。
2 AWS Backup 資源 ARNs 如需資源特定的復原點,請參閱。ARNs
3 StartRestoreJob 必須在資源的元數據中具有鍵值對。若要取得資源的中繼資料,請呼叫 GetRecoveryPointRestoreMetadataAPI.
4 如果您打算在備份中包含原始資源標籤或在備份中新增其他標記,backup:TagResource則某些資源類型需要執行備份的角色具有特定的標記權限。任何ARN以開頭為arn:aws:backup:或持續備份的備份都需要此權限。 region:account-id:recovery-point:backup:TagResource權限必須套用至 "resourcetype":
"arn:aws:backup:region:account-id:recovery-point:*"
如需詳細資訊,請參閱服務授權參考中的 AWS Backup的動作、資源和條件索引鍵。
複製標籤許可
AWS Backup 執行備份或複製工作時,它會嘗試將標籤從您的來源資源 (複製的情況下為復原點) 複製到復原點。
注意
AWS Backup 在還原工作期間不會以原生方式複製標籤。如需將在還原工作期間複製標籤的事件導向架構,請參閱如何在還原工作中 AWS Backup 保留資源標籤
在備份或複製工作期間,將您在備份計劃 (或複製計劃或隨選備份) 中指定的標籤與來源資源中的標籤 AWS Backup 彙總。但是,每個資源 AWS 強制執行 50 個標籤的限制, AWS Backup 不得超過。當備份或複製任務彙總計畫和來源資源中的標籤時,可能會探索總計超過 50 個標籤,而無法完成任務,導致任務失敗。這與 AWS全面的標記最佳做法一致。若要進一步了解,請參閱《AWS 一般參考指南》中的標籤限制。
您可以使用備份計畫,建立與來源資源標籤相衝突的標籤。當兩個標籤衝突時,會優先使用備份計畫中的標籤。如果您不想從來源資源複製標籤值,請使用此技巧。使用備份計畫指定相同的標籤金鑰,但不同或空白值。
將標籤指派給備份所需的許可 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 資源類型 | 所需的許可 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EFS 文件系统 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon FSx 文件系统 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon RDS 數據庫和 Amazon Aurora 簇 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Storage Gateway 磁碟區 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EC2 實例和 Amazon EBS 卷 |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
除非先啟用 進階 DynamoDB 備份,否則 DynamoDB 不支援將標籤指派給備份。
Amazon EC2 備份建立映像復原點和一組快照時,會 AWS Backup 將標籤複製到產生的快照AMI。 AWS Backup 也會將與 Amazon EC2 執行個體關聯的磁碟區中的標籤複製到產生的快照。
存取政策
許可政策描述誰可以存取哪些資源。附加至身分識別的原則稱為以IAM身分識別為基礎的原則 (原IAM則)。附加至資源的策略稱為以資源為基礎的策略。 AWS Backup 支援以身分識別為基礎的原則和資源型政策。
注意
本節討論的內容IAM中的使用 AWS Backup。它不提供有關IAM服務的詳細信息。如需完整的IAM文件,請參閱什麼是IAM? 在《IAM使用者指南》中。如需有關IAM策略語法和說明的資訊,請參閱《IAM使用指南》中的《IAMJSON策略參考》。
以身分識別為基礎的原則 (原則) IAM
以身分識別為基礎的原則是您可以附加至IAM身分識別 (例如使用者或角色) 的原則。例如,您可以定義允許使用者檢視和備份 AWS 資源,但防止他們還原備份的原則。
如需有關使用者、群組、角色和權限的詳細資訊,請參閱使用指南中的身分識別 (使用IAM者、群組和角色)。
如需如何使用IAM原則控制備份存取權的相關資訊,請參閱受管理的政策 AWS Backup。
資源型政策
AWS Backup 支援備份儲存庫的以資源為基礎的存取原則。這可讓您定義存取政策,控管哪些使用者可以針對備份文件庫中所歸整的任何備份,進行何種存取。以資源為基礎的備份文件庫存取政策,提供了簡單的方法來控管對您備份的存取。
Backup 保管庫存取原則會在您使用時控制使用者存取 AWS Backup APIs。某些備份類型,例如 Amazon 彈性區塊存放區 (AmazonEBS) 和 Amazon Relational Database Service (AmazonRDS) 快照,也可以使用這些服務APIs存取。您可以建立單獨的存取原則,IAM以控制存取這些APIs原則,以便完全控制對備份的存取。
若要了解如何建立備份文件庫的存取政策,請參閱 設定備份文件庫的存取政策。
