本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# IAM 服务角色
AWS Identity and Access Management (IAM) 角色与用户类似,因为它是一个具有权限策略的 AWS 身份,该策略决定了该身份可以做什么和不能做什么 AWS。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。服务角色是 AWS 服务代替您执行操作的角色。作为代表您执行备份操作的服务, AWS Backup 要求您在该服务代表您执行备份操作时将其传递给要代入的角色。有关 IAM 角色的更多信息,请参阅《IAM 用户指南》**中的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。
您传递给的角色 AWS Backup 必须具有 IAM 策略,该策略具有执行与备份操作相关的操作的权限,例如创建、还原或过期备份。 AWS Backup AWS Backup 支持的每项 AWS 服务都需要不同的权限。该角色还必须 AWS Backup 列为可信实体,这样 AWS Backup 才能担任该角色。
在为备份计划分配资源或执行按需备份、复制或还原时,必须传递一个有权对指定资源执行底层操作的服务角色。 AWS Backup 使用此角色在您的账户中创建、标记和删除资源。
## 使用 AWS 角色控制对备份的访问权限
您可以使用角色来控制对备份的访问,方法是定义范围狭窄的角色,并指定谁可以将该角色传递给 AWS Backup。例如,您可以创建一个角色,该角色仅授予备份亚马逊关系数据库服务 (Amazon RDS) 数据库的权限,而仅授予 Amazon RDS 数据库所有者将该角色传递给的权限 AWS Backup。 AWS Backup 为每种支持的服务提供了多个预定义的托管策略。您可以将这些托管策略附加到您创建的角色。这样可以更轻松地创建具有 AWS Backup 所需正确权限的服务特定角色。
有关 AWS 托管策略的更多信息 AWS Backup,请参阅[的托管策略 AWS Backup](security-iam-awsmanpol.md)。
## 的默认服务角色 AWS Backup
首次使用 AWS Backup 控制台时,您可以选择为您 AWS Backup 创建默认服务角色。此角色具有代表您创建和恢复备份 AWS Backup 所需的权限。
**注意**
默认角色是在您使用 AWS 管理控制台时自动创建的。您可以使用 AWS Command Line Interface (AWS CLI) 创建默认角色,但必须手动完成。
如果您更喜欢使用自定义角色,例如为不同的资源类型使用不同的角色,也可以这样做并将您的自定义角色传递给 AWS Backup。要查看为单个资源类型启用备份和还原的角色示例,请参阅[客户托管策略](security-iam-awsmanpol.md#customer-managed-policies)表。
默认服务角色名称为 `AWSBackupDefaultServiceRole`。此服务角色包含两个托管策略,[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)和[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
`AWSBackupServiceRolePolicyForBackup`包括一个 IAM 策略,该策略授予描述正在备份的资源的 AWS Backup 权限,以及创建、删除、描述备份或向备份添加标签的能力,无论使用何种 AWS KMS 密钥对其进行加密。
`AWSBackupServiceRolePolicyForRestores`包括一个 IAM 策略,该策略授予创建、删除或描述从备份中创建的新资源的 AWS Backup 权限,无论使用何种 AWS KMS 密钥对其进行加密。它还包括权限来标记新创建的资源。
要还原 Amazon EC2 实例,您必须启动一个新实例。
## 在控制台中创建默认服务角色
您在 AWS Backup 控制台中执行的特定操作将创建 AWS Backup 默认服务角色。
**在您的 AWS 账户中创建 AWS Backup 默认服务角色**
1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。
1. 要为您的账户创建角色,请为备份计划分配资源或创建按需备份。
1. 创建备份计划并为备份分配资源。请参阅[创建备份计划](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)。
1. 或者,创建按需备份。请参阅[创建按需备份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html)。
1. 按照以下步骤验证您是否已在账户中创建 `AWSBackupDefaultServiceRole`:
1. 等待几分钟。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[我所做的更改并不总是立即可见](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency)。
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在左导航菜单中,选择**角色**。
1. 在搜索栏中,键入 `AWSBackupDefaultServiceRole`。如果存在此选择,则表示您已经创建了 AWS Backup 默认角色并完成了此过程。
1. 如果 `AWSBackupDefaultServiceRole` 仍未出现,请向用于访问控制台的 IAM 用户或 IAM 角色添加以下权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
},
{
"Effect":"Allow",
"Action":[
"iam:ListRoles"
],
"Resource":"*"
}
]
}
```
------
对于中国地区,*aws*请替换*aws-cn*为。对于 AWS GovCloud (US) 区域,请*aws*替换为*aws-us-gov*。
1. 如果您无法向 IAM 用户或 IAM 角色添加权限,请让您的管理员手动创建一个名称*不为* `AWSBackupDefaultServiceRole` 的角色,并将该角色附加到以下托管策略:
+ `AWSBackupServiceRolePolicyForBackup`
+ `AWSBackupServiceRolePolicyForRestores`