使用 AWS 角色來控制對備份的存取的預設服務角色 AWS Backup 在主控台中建立預設服務角色

IAM 服務角色

AWS Identity and Access Management （IAM）角色與使用者類似，因為它是具有許可政策的 AWS 身分，可決定身分在中可以和不可以做什麼 AWS。但是，角色的目的是讓需要它的任何人可代入，而不是單獨地與某個人員關聯。服務角色是 AWS 服務代表您執行動作時擔任的角色。做為代表您執行備份操作的服務， AWS Backup 需要獲得您傳遞的角色，以在代表您進行備份操作時擔任該角色。如需IAM角色的詳細資訊，請參閱 IAM 使用者指南 中的IAM角色。

您傳遞至的角色 AWS Backup 必須具有具有許可IAM的政策， AWS Backup 以執行與備份操作相關的動作，例如建立、還原或即將過期的備份。每個 AWS Backup 支援的服務都需要 AWS 不同的許可。此角色也必須 AWS Backup 列為受信任的實體， AWS Backup 才能擔任該角色。

當您將資源指派給備份計劃時，或執行隨需備份、複製或還原時，您必須傳遞可存取的服務角色，才能對指定的資源執行基礎操作。 AWS Backup 使用此角色來建立、標記和刪除帳戶中的資源。

使用 AWS 角色來控制對備份的存取

您可以使用角色，藉由定義狹義範圍的角色，和指定可以傳遞角色給 AWS Backup的人員，來控管對您備份的存取。例如，您可以建立一個角色，該角色僅授予備份 Amazon Relational Database Service （Amazon RDS）資料庫的許可，並僅授予 Amazon RDS 資料庫擁有者將該角色傳遞至的許可 AWS Backup。為每個支援的服務 AWS Backup 提供數個預先定義的受管政策。您可以將這些受管政策連接至您建立的角色，這可以更輕鬆地建立具有 AWS Backup 所需正確許可的服務特定角色。

如需受 AWS 管政策的詳細資訊 AWS Backup，請參閱的受管政策 AWS Backup。

的預設服務角色 AWS Backup

第一次使用 AWS Backup 主控台時，您可以選擇為您 AWS Backup 建立預設服務角色。此角色具有代表您建立和還原備份 AWS Backup 所需的許可。

注意

當您使用 AWS Management Console時，系統會自動建立預設角色。您可以使用 AWS Command Line Interface （AWS CLI）建立預設角色，但必須手動完成。

如果您偏好使用自訂角色 (例如針對不同資源類型使用不同角色)，您也可以這麼做並將自訂角色傳遞給 AWS Backup。若要檢視為個別資源類型啟用備份和還原的角色範例，請參閱＜客戶受管政策＞表格。

預設服務角色名為 AWSBackupDefaultServiceRole。此服務角色包含兩個受管政策，AWSBackupServiceRolePolicyForBackup以及 AWSBackupServiceRolePolicyForRestores。

AWSBackupServiceRolePolicyForBackup 包含授予 AWS Backup 許可以描述要備份之資源IAM的政策、建立、刪除、描述或新增標籤至備份的功能，無論其加密的 AWS KMS 金鑰為何。

AWSBackupServiceRolePolicyForRestores 包含IAM的政策會授予 AWS Backup 許可，以建立、刪除或描述從備份建立的新資源，無論其使用哪個 AWS KMS 金鑰加密。該政策還包含標記新建立資源的許可。

若要還原 Amazon EC2執行個體，您必須啟動新的執行個體。

在主控台中建立預設服務角色

您在 AWS Backup 主控台中採取的特定動作會建立 AWS Backup 預設服務角色。

在 AWS 帳戶中建立 AWS Backup 預設服務角色

在 https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。
若要為您的帳戶建立角色，請將資源指派給備份計畫，或建立隨需備份。
1. 建立備份計畫，並將資源指派給備份。請參閱建立備份計畫。
2. 或者，建立隨需備份。請參閱建立隨需備份。
依照下列步驟，確認您已在帳戶中建立 AWSBackupDefaultServiceRole：
1. 請等待數分鐘。如需詳細資訊，請參閱《AWS Identity and Access Management 使用者指南》中的我所做的變更不一定都會立刻生效。
2. 登入 AWS Management Console 並在開啟IAM主控台https://console.aws.amazon.com/iam/。
3. 在左側導覽選單中，選擇角色。
4. 在搜尋列中，輸入 AWSBackupDefaultServiceRole。如果存在此選項，則表示您已建立 AWS Backup 預設角色並完成此程序。
5. 如果AWSBackupDefaultServiceRole仍然未顯示，請將下列許可新增至您用來存取主控台IAM的使用者或IAM角色。
```
{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "iam:CreateRole",
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
    },
    {
      "Effect":"Allow",
      "Action":[
        "iam:ListRoles"
      ],
      "Resource":"*"
    }
  ]
}
```
  對於中國區域，請取代 aws 取代為 aws-cn。對於 AWS GovCloud (US) 區域，請取代 aws 取代為 aws-us-gov.
6. 如果您無法將許可新增至您的IAM使用者或IAM角色，請要求管理員手動建立名為 以外的角色，AWSBackupDefaultServiceRole並將該角色連接至這些受管政策：
  - AWSBackupServiceRolePolicyForBackup
  - AWSBackupServiceRolePolicyForRestores

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

存取控制

受管政策