步驟 4. 實作存取控制機制

考慮雲端安全時，基礎策略應該從強大的身分基礎開始，以確保使用者擁有存取資料的正確許可。合適的驗證和授權可降低安全事件的風險。共同責任模型要求 AWS 客戶實作存取控制政策。若要大規模建立和管理存取政策，可以使用 AWS Identity and Access Management (IAM)。

設定存取權限和許可時，請確保存取備份資料和文件庫的每個使用者或系統都只擁有履行其職責所需的許可，從而執行最低權限原則。使用 AWS Backup 設定備份保存庫的存取政策，以保護雲端工作負載。 https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-vault-access-policy.html

例如，透過實作存取控制政策，您可以授與使用者建立備份計畫和隨選備份的存取權，同時限制他們刪除復原點的能力。使用保存庫存取政策，您可以根據您的業務需求，與來源 AWS 帳戶 或 IAM 角色共用目的地備份保存庫。也可以使用存取政策與一個或多個帳戶或 AWS Organizations中的整個組織共用備份文件庫。如需詳細資訊，請參閱 AWS Backup 文件。

當您擴展工作負載或遷移到 時 AWS，您可能需要集中管理備份保存庫和操作的許可。使用服務控制政策 (SCP) 對組織中所有帳戶可用的許可上限進行集中控制。SCP 提供深入的防禦，並確保您的使用者遵守定義的存取控制準則。如需詳細資訊，請參閱搭配使用服務控制政策與 AWS Backup來管理備份的存取權。

若要降低意外存取備份資源和資料等安全風險，請使用 IAM Access Analyzer 來識別與下列項目共用的任何 AWS Backup IAM 角色：

• 外部實體，例如 AWS 帳戶

• 根使用者

• IAM 使用者或角色

• 聯合身分使用者

• 一個 AWS 服務

• 匿名使用者

• 任何其他可用來建立篩選器的實體