View a markdown version of this page

Richtlinien für den Tresorzugriff - AWS Backup
Verweigern des Zugriffs auf einen Ressourcentyp in einem Backup-TresorVerweigern des Zugriffs auf einen Backup-TresorVerweigern des Zugriffs zum Löschen von Wiederherstellungspunkten in einem Backup-Tresor

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien für den Tresorzugriff

Mit AWS Backup können Sie Backup-Tresoren und den darin enthaltenen Ressourcen Richtlinien zuweisen. Durch das Zuweisen von Richtlinien können Sie beispielsweise Benutzern Zugriff gewähren, um Sicherungspläne und On-Demand-Sicherungen zu erstellen, dabei aber die Möglichkeit, Wiederherstellungspunkte nach ihrer Erstellung zu löschen, einschränken.

Informationen zur Verwendung von Richtlinien zur Gewährung oder Beschränkung des Zugriffs auf Ressourcen finden Sie unter Identity-Based Richtlinien und Resource-Based Richtlinien im IAM-Benutzerhandbuch. Sie können den Zugriff auch mithilfe von Tags steuern.

Sie können die folgenden Beispielrichtlinien als Leitfaden verwenden, um den Zugriff auf Ressourcen zu beschränken, wenn Sie mit AWS Backup Tresoren arbeiten. Im Gegensatz zu anderen IAM-based Richtlinien unterstützen AWS Backup Zugriffsrichtlinien keinen Platzhalter im Action Schlüssel.

Eine Liste der Amazon-Ressourcennamen (ARNs), mit denen Sie Wiederherstellungspunkte für verschiedene Ressourcentypen identifizieren können, finden Sie unter AWS Backup Ressourcen-ARNs für ressourcenspezifische Wiederherstellungspunkt-ARNs.

Die Richtlinien für den Tresorzugriff regeln nur den Benutzerzugriff auf AWS Backup APIs. Auf einige Backup-Typen, wie Snapshots von Amazon Elastic Block Store (Amazon EBS) und Amazon Relational Database Service (Amazon RDS), kann auch über die APIs dieser Services zugegriffen werden. Sie können separate Zugriffsrichtlinien in IAM erstellen, die den Zugriff auf diese APIs steuern, um den Zugriff auf diese Backup-Typen vollständig kontrollieren zu können.

Unabhängig von der Zugriffsrichtlinie für den AWS Backup Tresor backup:CopyIntoBackupVault wird der kontoübergreifende Zugriff für alle Aktionen abgelehnt. Das heißt, es AWS Backup wird jede andere Anfrage von einem Konto abgelehnt, das sich von dem Konto der Ressource unterscheidet, auf die verwiesen wird. Diese Einschränkung gilt für Richtlinien für den Tresorzugriff sowohl für standardmäßige Backup-Tresore als auch für Backup-Tresore mit logischem Air-Gap. Tresore mit logischem Air-Gap unterstützen zusätzlich die gemeinsame Nutzung von Konten über AWS Resource Access Manager (RAM), wodurch Vorgänge wie die Wiederherstellung über einen separaten Mechanismus außerhalb der Tresorzugriffsrichtlinien ermöglicht werden. Weitere Informationen finden Sie unter Logischer Air-Gapped Vault.

Verweigern des Zugriffs auf einen Ressourcentyp in einem Backup-Tresor

Diese Richtlinie verweigert den Zugriff auf die angegebenen API-Operationen für alle Amazon–EBS-Snapshots in einem Backup-Tresor.

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyRecoveryPointOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyRole"
      },
      "Action": [
        "backup:UpdateRecoveryPointLifecycle",
        "backup:DescribeRecoveryPoint",
        "backup:DeleteRecoveryPoint",
        "backup:GetRecoveryPointRestoreMetadata",
        "backup:StartRestoreJob"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:snapshot/*"
      ]
    }
  ]
}

Verweigern des Zugriffs auf einen Backup-Tresor

Diese Richtlinie verweigert den Zugriff auf die angegebenen API-Operationen, die auf einen Sicherungstresor abzielen.

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyBackupVaultOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MyRole"
      },
      "Action": [
        "backup:DescribeBackupVault",
        "backup:DeleteBackupVault",
        "backup:PutBackupVaultAccessPolicy",
        "backup:DeleteBackupVaultAccessPolicy",
        "backup:GetBackupVaultAccessPolicy",
        "backup:StartBackupJob",
        "backup:GetBackupVaultNotifications",
        "backup:PutBackupVaultNotifications",
        "backup:DeleteBackupVaultNotifications",
        "backup:ListRecoveryPointsByBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
    }
  ]
}

Verweigern des Zugriffs zum Löschen von Wiederherstellungspunkten in einem Backup-Tresor

Der Zugriff auf Tresore sowie die Fähigkeit zum Löschen der darin gespeicherten Wiederherstellungspunkte wird durch den Zugriff gesteuert, den Sie Ihren Benutzern gewähren.

Gehen Sie wie folgt vor, um eine ressourcenbasierte Zugriffsrichtlinie für einen Sicherungstresor zu erstellen, die das Löschen von Sicherungen in dem Sicherungstresor verhindert.

So erstellen Sie eine ressourcenbasierte Zugriffsrichtlinie für einen Sicherungstresor:

  1. Melden Sie sich bei der an und öffnen Sie die AWS-Managementkonsole Konsole unter. AWS Backup https://console.aws.amazon.com/backup

  2. Wählen Sie im Navigationsbereich auf der linken Seite Backup vaults (Sicherungstresore) aus.

  3. Wählen Sie einen Sicherungstresor in der Liste aus.

  4. Fügen Sie im Abschnitt Access policy (Zugriffsrichtlinie) das folgende JSON-Beispiel ein. Diese Richtlinie verhindert, dass Personen, die nicht der Prinzipal sind, einen Wiederherstellungspunkt im Zielsicherungstresor löschen.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "backup:DeleteRecoveryPoint",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:userId": [
                       "AIDA1234567890EXAMPLE",
                       "AROA1234567890EXAMPLE:my-role-session",
                       "AROA1234567890EXAMPLE:*",
                       "112233445566"
                    ]
                }
            }
        }
    ]
}

    Verwenden Sie den globalen Bedingungsschlüssel aws:PrincipalArn im folgenden Beispiel, um das Auflisten von IAM-Identitäten mithilfe ihres ARN zu ermöglichen.

    JSON
    
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyDeleteRecoveryPoint",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "backup:DeleteRecoveryPoint",
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "aws:PrincipalArn": [
            "arn:aws:iam::112233445566:role/mys3role",
            "arn:aws:iam::112233445566:user/shaheer",
            "arn:aws:iam::112233445566:root"
          ]
        }
      }
    }
  ]
}

    Informationen zum Abrufen einer eindeutigen ID für eine IAM-Entität finden Sie unter Abrufen des eindeutigen Bezeichners im IAM-Benutzerhandbuch.

    Wenn Sie dies auf bestimmte Ressourcentypen beschränken möchten, können Sie anstelle von "Resource": "*" die zu verweigernden Wiederherstellungspunkttypen explizit einschließen. Ändern Sie beispielsweise für Amazon-EBS-Snapshots den Ressourcentyp wie folgt.

    "Resource": ["arn:aws:ec2:*:*:snapshot/*"]

  5. Wählen Sie Richtlinie anfügen aus.