設定備份文件庫的存取政策 - AWS Backup
拒絕對備份文件庫中某資源類型的存取拒絕對備份文件庫的存取拒絕對刪除備份文件庫中復原點的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定備份文件庫的存取政策

使用 AWS Backup,您可以將原則指派給備份儲存庫及其包含的資源。指派政策可讓您執行多項任務,例如授予使用者存取權限以建立備份計劃和隨需備份,但限制他們在復原點建立後將其刪除的能力。

如需使用政策授予或限制資源存取許可的相關資訊,請參閱《IAM 使用者指南》中的<身分型政策和資源型政策>。您也可以使用標籤控制存取。

您可以使用下列範例原則做為指南,以限制在使用 AWS Backup Vault 時對資源的存取。與其他以 IAM 為基礎的原則不同, AWS Backup 存取原則不支援金鑰中的萬用字元。Action

如需可用來識別不同資源類型復原點的 Amazon Resource Name (ARN) 清單,請參閱 AWS Backup 資源 ARN 中的資源特定復原點 ARN。

文件庫存取政策僅控制使用者對 AWS Backup API 的存取權。有些備份類型,例如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照,也可以使用這些服務的 API 存取。您可以在 IAM 中建立不同的存取政策,控制對這些 API 的存取,以完全控制對備份類型的存取。

無論文件 AWS Backup 庫的存取策略為何,都backup:CopyIntoBackupVault將拒絕任何動作的跨帳戶存取;也就是說, AWS Backup 將拒絕來自與所參考資源帳號不同的帳號的任何其他請求。

拒絕對備份文件庫中某資源類型的存取

這項政策會拒絕對備份文件庫中所有 Amazon EBS 快照之指定 API 作業的存取。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::Account ID:role/MyRole"
            },
            "Action": [
                "backup:UpdateRecoveryPointLifecycle",
                "backup:DescribeRecoveryPoint",
                "backup:DeleteRecoveryPoint",
                "backup:GetRecoveryPointRestoreMetadata",
                "backup:StartRestoreJob"
            ],
            "Resource": ["arn:aws:ec2:Region::snapshot/*"]
        }
    ]
}

拒絕對備份文件庫的存取

這個政策可針對以備份文件庫為目標的指定 API 操作拒絕存取。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::Account ID:role/MyRole"
            },
            "Action": [
                "backup:DescribeBackupVault",
                "backup:DeleteBackupVault",
                "backup:PutBackupVaultAccessPolicy",
                "backup:DeleteBackupVaultAccessPolicy",
                "backup:GetBackupVaultAccessPolicy",
                "backup:StartBackupJob",
                "backup:GetBackupVaultNotifications",
                "backup:PutBackupVaultNotifications",
                "backup:DeleteBackupVaultNotifications",
                "backup:ListRecoveryPointsByBackupVault"
            ],
            "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name"
        }
    ]
}

拒絕對刪除備份文件庫中復原點的存取

文件庫的存取權限及刪除當中所存放復原點的能力,都取決於您授予使用者的存取許可。

請遵循以下步驟在備份文件庫上建立以資源為基礎的存取政策,避免該備份文件庫中的任何備份遭到刪除。

在備份文件庫上建立以資源為基礎的存取政策

  1. 請登入 AWS Management Console,然後開啟 AWS Backup 主控台,網址為 https://console.aws.amazon.com/backup

  2. 在左側的導覽窗格中,選擇 Backup vaults (備份文件庫)

  3. 選擇清單中的備份文件庫。

  4. Access policy (存取政策) 區段中,貼上下列 JSON 範例。這個政策能防止任何不是委託人的使用者刪除目標備份文件庫中的復原點。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "backup:DeleteRecoveryPoint",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:userId": [
                       "AAAAAAAAAAAAAAAAAAAAA:",
                       "BBBBBBBBBBBBBBBBBBBBBB",
                       "112233445566"
                    ]
                }
            }
        }
    ]
}

    若要允許使用其 ARN 列出 IAM 身分,請在下列範例中使用 aws:PrincipalArn 全域條件金鑰。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "backup:DeleteRecoveryPoint",
            "Resource": "*",
            "Condition": {
                "ArnNotEquals": {
                    "aws:PrincipalArn": [
                       "arn:aws:iam::112233445566:role/mys3role",
                       "arn:aws:iam::112233445566:user/shaheer",
                       "112233445566"
                    ]
                }
            }
        }
    ]
}

    如需取得 IAM 實體唯一 ID 的相關資訊,請參閱《IAM 使用者指南》中的<取得唯一識別符>

    如果您想將這個政策限制為特定資源類型,而不是 "Resource": "*",則可明確包含要拒絕的復原點類型。例如,將 Amazon EBS 快照變更為以下資源類型。

    "Resource": ["arn:aws:ec2::Region::snapshot/*"]

  5. 選擇連接政策