View a markdown version of this page

文件库访问策略 - AWS Backup
拒绝对备份保管库中资源类型的访问拒绝对备份保管库的访问拒绝删除备份保管库中的恢复点

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

文件库访问策略

使用 AWS Backup,您可以为备份存储库及其包含的资源分配策略。通过分配策略,您可以执行诸多操作,例如,授予用户创建备份计划和按需备份的访问权限,但限制用户在创建恢复点后删除这些恢复点的能力。

有关使用策略授予或限制资源访问权限的信息,请参阅 IAM 用户指南中的Identity-Based Resource-Based 策略和策略。您还可以使用标签来控制访问。

在使用 AWS Backup 文件库时,您可以使用以下示例策略来限制对资源的访问权限。与其他 IAM-based 策略不同, AWS Backup 访问策略不支持Action密钥中的通配符。

有关可用于标识不同资源类型的恢复点的 Amazon 资源名称 (ARN) 列表,请参阅 AWS Backup 资源 ARN 以获限特定于资源的恢复点 ARN。

文件库访问策略仅控制用户对 AWS Backup API 的访问权限。某些备份类型(例如 Amazon Elastic Block Store (Amazon EBS) 和 Amazon Relational Database Service (Amazon RDS) 快照)也可使用这些服务的 API 进行访问。您可以在 IAM 中创建单独的访问策略控制对这些 API 的访问,从而完全控制对这些类型备份的访问。

无论 AWS Backup 文件库的访问策略如何,除此之外的任何操作的跨账户访问都backup:CopyIntoBackupVault将被拒绝;也就是说, AWS Backup 将拒绝来自与所引用资源账户不同的账户的任何其他请求。此限制适用于标准备份存储库和逻辑上存在气隙的备份存储库上的文件库访问策略。逻辑上隔绝的保管库还支持通过 AWS Resource Access Manager (RAM) 进行跨账户共享,从而允许通过文件库访问策略之外的单独机制进行恢复等操作。有关更多信息,请参阅 逻辑上受物理隔离的保管库

拒绝对备份保管库中资源类型的访问

此策略拒绝针对备份保管库中的所有 Amazon EBS 快照访问指定的 API 操作。

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyRecoveryPointOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyRole"
      },
      "Action": [
        "backup:UpdateRecoveryPointLifecycle",
        "backup:DescribeRecoveryPoint",
        "backup:DeleteRecoveryPoint",
        "backup:GetRecoveryPointRestoreMetadata",
        "backup:StartRestoreJob"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:snapshot/*"
      ]
    }
  ]
}

拒绝对备份保管库的访问

此策略拒绝访问针对备份保管库的指定 API 操作。

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyBackupVaultOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MyRole"
      },
      "Action": [
        "backup:DescribeBackupVault",
        "backup:DeleteBackupVault",
        "backup:PutBackupVaultAccessPolicy",
        "backup:DeleteBackupVaultAccessPolicy",
        "backup:GetBackupVaultAccessPolicy",
        "backup:StartBackupJob",
        "backup:GetBackupVaultNotifications",
        "backup:PutBackupVaultNotifications",
        "backup:DeleteBackupVaultNotifications",
        "backup:ListRecoveryPointsByBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
    }
  ]
}

拒绝删除备份保管库中的恢复点

根据您授予用户的访问权限来确定这些用户是否可以访问保管库以及是否能够删除存储在其中的恢复点。

请按照以下步骤在备份保管库上创建基于资源的访问策略,阻止删除备份保管库中的任意备份。

在备份保管库上创建基于资源的访问策略

  1. 登录并打开 AWS Backup 控制台 AWS 管理控制台,网址为https://console.aws.amazon.com/backup

  2. 在左侧的导航窗格中,选择 Backup vaults (备份保管库)

  3. 在列表中选择备份保管库。

  4. Access policy (访问策略) 部分中,粘贴以下 JSON 示例。此策略可防止不是委托人的任何用户删除目标备份保管库中的恢复点。

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "backup:DeleteRecoveryPoint",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:userId": [
                       "AIDA1234567890EXAMPLE",
                       "AROA1234567890EXAMPLE:my-role-session",
                       "AROA1234567890EXAMPLE:*",
                       "112233445566"
                    ]
                }
            }
        }
    ]
}

    要允许使用其 ARN 列出 IAM 身份,请在以下示例中使用 aws:PrincipalArn 全局条件密钥。

    JSON
    
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyDeleteRecoveryPoint",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "backup:DeleteRecoveryPoint",
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "aws:PrincipalArn": [
            "arn:aws:iam::112233445566:role/mys3role",
            "arn:aws:iam::112233445566:user/shaheer",
            "arn:aws:iam::112233445566:root"
          ]
        }
      }
    }
  ]
}

    有关获取 IAM 实体唯一 ID 的信息,请参阅《IAM 用户指南》中的获取唯一标识符

    如果要将此限制为特定资源类型,而不是 "Resource": "*",您可以明确包含要拒绝的恢复点类型。例如,对于 Amazon EBS 快照,请将资源类型更改为以下内容。

    "Resource": ["arn:aws:ec2:*:*:snapshot/*"]

  5. 选择附加策略