AWS Backup 的動作、資源和條件索引鍵

AWS Backup (服務字首：backup) 提供下列服務特有的資源、動作和條件內容索引鍵，可用於 IAM 許可政策。

參考資料：

• 了解如何設定此服務。

• 檢視可供此服務使用的 API 操作清單。

• 了解如何使用 IAM 許可政策來保護此服務及其資源。

AWS Backup 定義的動作

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS 中執行操作的許可。在政策中使用動作時，通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過，在某些情況下，單一動作可控制對多個操作的存取。或者，某些操作需要多種不同的動作。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值，您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型，則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源，呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取，則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要)，則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊，請參閱「資源類型」資料表的條件索引鍵欄。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄，其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊，請參閱動作資料表。

動作	描述	存取層級	資源類型 (*必填項目)	條件索引鍵	相依動作
CancelLegalHold	准許取消法務保存措施	寫入	legalHold*
CopyFromBackupVault [僅限許可]	准許從備份保存庫複製	寫入	recoveryPoint*
				backup:CopyTargets backup:CopyTargetOrgPaths
CopyIntoBackupVault [僅限許可]	准許複製到備份保存庫	寫入	backupVault*
				aws:RequestTag/${TagKey}
CreateBackupPlan	准許建立新的備份計劃	寫入	backupPlan*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateBackupSelection	准許在備份計劃中建立新資源指派	寫入	backupPlan*		iam:PassRole
CreateBackupVault	准許建立新的備份保存庫	寫入	backupVault*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateFramework	准許建立新的架構	寫入	framework*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateLegalHold	准許建立新的法務保存措施	寫入	legalHold*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateLogicallyAirGappedBackupVault	准許建立新的邏輯無線備份保管庫 (存放備份的邏輯容器)	寫入	backupVault*
				aws:RequestTag/${TagKey} aws:TagKeys backup:MinRetentionDays backup:MaxRetentionDays
CreateReportPlan	准許建立新報告計劃	寫入	reportPlan*
				aws:RequestTag/${TagKey} aws:TagKeys backup:FrameworkArns
CreateRestoreTestingPlan	准許建立新的還原測試計劃	寫入	restoreTestingPlan*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateRestoreTestingSelection	准許在還原測試計劃中建立新資源指派	寫入	restoreTestingPlan*		iam:PassRole
DeleteBackupPlan	准許刪除備份計劃	寫入	backupPlan*
DeleteBackupSelection	准許從備份計劃刪除資源指派	寫入	backupPlan*
DeleteBackupVault	准許刪除備份保存庫	寫入	backupVault*
DeleteBackupVaultAccessPolicy	准許刪除備份保存庫存取政策	許可管理	backupVault*
DeleteBackupVaultLockConfiguration	准許從備份文件庫移除鎖定組態	寫入	backupVault*
DeleteBackupVaultNotifications	准許從備份文件庫移除通知	寫入	backupVault*
DeleteBackupVaultSharingPolicy [僅限許可]	准許刪除備份文件庫共用政策	許可管理	backupVault*
DeleteFramework	准許刪除架構	寫入	framework*
DeleteRecoveryPoint	准許從備份保存庫刪除復原點	寫入	recoveryPoint*
DeleteReportPlan	准許刪除報告計劃	寫入	reportPlan*
DeleteRestoreTestingPlan	准許刪除還原測試計劃	寫入	restoreTestingPlan*
DeleteRestoreTestingSelection	准許從還原測試計劃刪除資源指派	寫入	restoreTestingPlan*
DescribeBackupJob	准許描述備份任務	讀取
DescribeBackupVault	准許使用指定名稱描述新備份保存庫	讀取	backupVault*
DescribeCopyJob	准許描述複製任務	讀取
DescribeFramework	准許使用指定名稱描述架構	讀取	framework*
DescribeGlobalSettings	准許描述全域設定	讀取
DescribeProtectedResource	准許描述受保護資源	讀取
DescribeRecoveryPoint	准許描述復原點	讀取	recoveryPoint*
DescribeRegionSettings	准許描述區域設定	讀取
DescribeReportJob	准許描述報告任務	讀取
DescribeReportPlan	准許使用指定名稱描述報告計劃	讀取	reportPlan*
DescribeRestoreJob	准許描述還原任務	讀取
DisassociateRecoveryPoint	准許取消復原點與備份保存庫之關聯	寫入	recoveryPoint*
DisassociateRecoveryPointFromParent	准許取消復原點與父項的關聯	寫入	recoveryPoint*
ExportBackupPlanTemplate	准許將備份計劃匯出為 JSON	讀取
GetBackupPlan	准許取得備份計劃	讀取	backupPlan*
GetBackupPlanFromJSON	准許將 JSON 轉換為備份計劃	讀取
GetBackupPlanFromTemplate	准許將範本轉換為備份計劃	讀取
GetBackupSelection	准許取得備份計劃資源指派	讀取	backupPlan*
GetBackupVaultAccessPolicy	准許取得備份保存庫存取政策	讀取	backupVault*
GetBackupVaultNotifications	准許取得備份保存庫通知	讀取	backupVault*
GetBackupVaultSharingPolicy [僅限許可]	准許取得備份文件庫共用政策	讀取	backupVault*
GetLegalHold	准許取得法務保存措施	讀取	legalHold*
GetRecoveryPointRestoreMetadata	准許取得復原點還原中繼資料	讀取	recoveryPoint*
GetRestoreJobMetadata	准許取得與還原任務相關聯的還原中繼資料	讀取
GetRestoreTestingInferredMetadata	准許取得還原測試產生的推斷中繼資料	讀取
GetRestoreTestingPlan	准許取得還原測試計劃	讀取	restoreTestingPlan*
GetRestoreTestingSelection	准許取得還原測試計劃資源指派	讀取	restoreTestingPlan*
GetSupportedResourceTypes	准許取得支援的資源類型	讀取
ListBackupJobSummaries	准許列出備份工作摘要	清單
ListBackupJobs	准許列出備份任務	列出
ListBackupPlanTemplates	准許列出 AWS Backup 提供的備份計劃範本	列出
ListBackupPlanVersions	准許列出備份計劃版本	列出	backupPlan*
ListBackupPlans	准許列出備份計劃	列出
ListBackupSelections	准許列出特定備份計劃的資源指派	列出	backupPlan*
ListBackupVaults	准許列出備份保存庫	清單
ListCopyJobSummaries	准許列出複製工作摘要	清單
ListCopyJobs	准許列出複製任務	列出
ListFrameworks	准許列出架構	清單
ListLegalHolds	准許列出法務保存措施	清單
ListProtectedResources	准許列出受 AWS Backup 保護的資源	清單
ListProtectedResourcesByBackupVault	准許列出備份文件庫內的受保護資源	清單	backupVault*
ListRecoveryPointsByBackupVault	准許列出備份保存庫內的復原點	清單	backupVault*
ListRecoveryPointsByLegalHold	准許列出法務保存措施的復原點	清單	legalHold*
ListRecoveryPointsByResource	准許列出資源的復原點	列出
ListReportJobs	准許列出報告任務	列出
ListReportPlans	准許列出報告計劃	清單
ListRestoreJobSummaries	准許列出還原工作摘要	清單
ListRestoreJobs	准許列出還原任務	清單
ListRestoreJobsByProtectedResource	准許列出受保護資源的還原任務	清單
ListRestoreTestingPlans	准許列出還原測試計劃	清單
ListRestoreTestingSelections	准許列出特定還原測試計劃的資源指派	清單	restoreTestingPlan*
ListTags	准許列出資源的標籤	讀取	backupPlan
			backupVault
			framework
			legalHold
			recoveryPoint
			reportPlan
			restoreTestingPlan
PutBackupVaultAccessPolicy	准許將存取政策新增至備份保存庫	許可管理	backupVault*
PutBackupVaultLockConfiguration	准許將鎖定組態新增至備份文件庫	寫入	backupVault*
				backup:ChangeableForDays backup:MinRetentionDays backup:MaxRetentionDays
PutBackupVaultNotifications	准許將 SNS 主題新增至備份保存庫	寫入	backupVault*
PutBackupVaultSharingPolicy [僅限許可]	准許將共用政策新增至備份文件庫	許可管理	backupVault*
PutRestoreValidationResult	准許放置還原驗證結果	寫入
StartBackupJob	准許啟動新備份任務	寫入	backupVault*		iam:PassRole
StartCopyJob	准許將備份從來源備份保存庫複製到目標備份保存庫	寫入	recoveryPoint*		iam:PassRole
StartReportJob	准許啟動新報告任務	寫入	reportPlan*
StartRestoreJob	准許啟動新還原任務	寫入	recoveryPoint*		iam:PassRole
StopBackupJob	准許停止備份任務	寫入
TagResource	准許標記資源	標記	backupPlan
			backupVault
			framework
			legalHold
			recoveryPoint
			reportPlan
			restoreTestingPlan
				aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	准許取消標記資源	標記	backupPlan
			backupVault
			framework
			legalHold
			recoveryPoint
			reportPlan
			restoreTestingPlan
				aws:TagKeys
UpdateBackupPlan	准許更新備份計劃	寫入	backupPlan*
UpdateFramework	准許更新架構	寫入	framework*
UpdateGlobalSettings	准許更新 AWS 帳戶目前的全域設定	寫入
UpdateRecoveryPointLifecycle	准許更新復原點的生命週期	寫入	recoveryPoint*
UpdateRegionSettings	准許更新區域的目前服務選擇加入設定	寫入
UpdateReportPlan	准許更新報告計劃	寫入	reportPlan*
				backup:FrameworkArns
UpdateRestoreTestingPlan	准許更新還原測試計劃	寫入	restoreTestingPlan*
UpdateRestoreTestingSelection	准許在還原測試計劃中更新資源指派	寫入	restoreTestingPlan*		iam:PassRole

AWS Backup 定義的資源類型

此服務會定義下列資源類型，並可用在 IAM 許可政策陳述式的 Resource 元素中。動作資料表中的每個動作都會指明可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊，請參閱資源類型資料表。

資源類型	ARN	條件索引鍵
backupVault	arn:${Partition}:backup:${Region}:${Account}:backup-vault:${BackupVaultName}	aws:ResourceTag/${TagKey}
backupPlan	arn:${Partition}:backup:${Region}:${Account}:backup-plan:${BackupPlanId}	aws:ResourceTag/${TagKey}
recoveryPoint	arn:${Partition}:${Vendor}:${Region}:*:${ResourceType}:${RecoveryPointId}	aws:ResourceTag/${TagKey}
framework	arn:${Partition}:backup:${Region}:${Account}:framework:${FrameworkName}-${FrameworkId}	aws:ResourceTag/${TagKey}
reportPlan	arn:${Partition}:backup:${Region}:${Account}:report-plan:${ReportPlanName}-${ReportPlanId}	aws:ResourceTag/${TagKey}
legalHold	arn:${Partition}:backup:${Region}:${Account}:legal-hold:${LegalHoldId}	aws:ResourceTag/${TagKey}
restoreTestingPlan	arn:${Partition}:backup:${Region}:${Account}:restore-testing-plan:${RestoreTestingPlanName}-${RestoreTestingPlanId}	aws:ResourceTag/${TagKey}

AWS Backup 的條件索引鍵

AWS Backup 定義了下列條件索引鍵，可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊，請參閱條件索引鍵資料表。

若要檢視所有服務都可使用的全域條件索引鍵，請參閱可用全域條件索引鍵。

條件索引鍵	描述	類型
aws:RequestTag/${TagKey}	依每個標籤的允許值集來篩選存取	字串
aws:ResourceTag/${TagKey}	依與資源關聯的標籤來篩選存取權	字串
aws:TagKeys	依請求中是否存在強制性標籤來篩選存取	ArrayOfString
backup:ChangeableForDays	依 ChangeableForDays 參數值篩選存取	數值
backup:CopyTargetOrgPaths	依組織單位篩選存取	ArrayOfString
backup:CopyTargets	依備份保存庫的 ARN 來篩選存取	ArrayOfARN
backup:FrameworkArns	依 Framework ARN 篩選存取權	ArrayOfARN
backup:MaxRetentionDays	依 MaxRetentionDays 參數值篩選存取	數值
backup:MinRetentionDays	依 MinRetentionDays 參數值篩選存取	數值