本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 的托管策略 AWS Backup
托管策略是基于身份的独立策略,您可以将其附加到中的多个用户、群组和角色。 AWS 账户将策略附加到主体实体时,便向实体授予了策略中定义的权限。
*AWS 托管策略*由创建和管理 AWS。您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。
*客户托管策略*为您提供了精细的控制来设置对备份的访问权限。 AWS Backup例如,您可以使用它们向数据库备份管理员授予对 Amazon RDS 备份,而不是 Amazon EFS 备份的访问权限。
有关更多信息,请参阅《IAM 用户指南》**中的[托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
## AWS 托管策略
AWS Backup 为常见用例提供了以下 AWS 托管策略。使用这些策略可以更轻松地定义正确的权限并控制对备份的访问。有两种托管策略。一种类型旨在分配给用户,以控制他们对 AWS Backup的访问。另一种托管策略旨在附加到您传递给 AWS Backup的角色。下表列出了 AWS Backup 提供的所有托管策略,并说明了它们的定义方式。您可以在 IAM 控制台的**策略**部分找到这些托管策略。
**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)
### AWSBackupAuditAccess
该策略允许用户创建控制和框架,以定义他们对 AWS Backup 资源和活动的期望,并根据其定义的控制和框架对 AWS Backup 资源和活动进行审计。该政策授予权限 AWS Config 和类似的服务,以描述用户期望来执行审计。
此策略还向 Amazon S3 和类似服务授予提供审计报告的权限,并使用户能够查找和打开其审计报告。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html)**。
### AWSBackupDataTransferAccess
此策略为 AWS Backup 存储平面数据传输提供权限 APIs,允许 AWS Backint 代理使用 AWS Backup 存储平面完成备份数据传输。您可以将此策略附加到使用 Backint Agent 运行 SAP HANA 的 Amazon EC2 实例所代入的角色。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html)**。
### AWSBackupFullAccess
备份管理员拥有 AWS Backup 操作的完全访问权限,包括创建或编辑备份计划、为备份计划分配 AWS 资源以及恢复备份。备份管理员负责通过定义满足其组织的业务和法规要求的备份计划来确定和强制实施备份合规性。Backup 管理员还要确保将其组织的 AWS 资源分配给相应的计划。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)**。
### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
此策略为 Backup 网关提供了代表您同步虚拟机元数据的权限
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html)**。
### AWSBackupGuardDutyRolePolicyForScans
必须将此策略添加到新的扫描角色中,该角色授予 Amazon 读取和扫描您的备份的 GuardDuty 权限。您需要在恶意软件防护或扫描设置中将此扫描角色附加到备份计划中。当 AWS Backup 启动扫描时,它会将此扫描角色传递给亚马逊 GuardDuty。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)**。
### AWSBackupOperatorAccess
备份操作员是这样的用户,他们负责确保正确备份自己负责的资源。Backup 操作员有权为备份管理员创建的备份计划分配 AWS 资源。他们还有权为其 AWS 资源创建按需备份,并有权配置按需备份的保留期。备份操作员无权创建或编辑备份计划,也无权在创建备份计划后删除计划备份。备份操作员可以还原备份。您可以限制备份操作员可分配给备份计划或从备份还原的资源类型。为此,您可以只允许向具有特定资源类型权限的某些服务角色传递。 AWS Backup
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html)**。
### AWSBackupOrganizationAdminAccess
组织管理员拥有 AWS Organizations 操作的完全访问权限,包括创建、编辑或删除备份策略,为账户和组织单位分配备份策略,以及监控组织内的备份活动。组织管理员负责通过定义和分配满足其组织业务和管理法规要求的备份策略来保护其组织中的账户。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html)**。
### AWSBackupRestoreAccessForSAPHANA
该策略 AWS Backup 允许在亚马逊 EC2 上恢复 SAP HANA 的备份。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》中的 [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html)。
### AWSBackupSearchOperatorAccess
搜索运算符角色有权创建备份索引,以及创建对已编制索引的备份元数据的搜索。
此策略包含这些功能所需的权限。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html)**。
### AWSBackupServiceLinkedRolePolicyForBackup
此策略附加到名为的服务相关角色AWSServiceRoleforBackup, AWS Backup 允许您代表您调用 AWS 服务来管理备份。有关更多信息,请参阅 [使用角色进行备份和复制](using-service-linked-roles-AWSServiceRoleForBackup.md)。
要查看此策略的权限,请参阅《*AWS 托管策略参考*》[ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)中的。
### AWSBackupServiceLinkedRolePolicyForBackupTest
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html)**。
### AWSBackupServiceRolePolicyForBackup
提供代表您创建所有受支持资源类型的备份的 AWS Backup 权限。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)**。
### AWSBackupServiceRolePolicyForItemRestores
**描述**
此策略授予用户将快照(定期备份恢复点)中的单个文件和项目还原到新的或现有的 Amazon S3 存储桶或新的 Amazon EBS 卷的权限。这些权限包括:对 Amazon EBS 快照的读取权限(由对 Amazon S3 存储桶的 AWS Backup 读/写权限管理),以及生成和描述 AWS KMS 密钥的权限。
**使用此政策**
您可以将 `AWSBackupServiceRolePolicyForItemRestores` 附加到您的用户、组和角色。
**策略详细信息**
+ **类型:** AWS 托管策略
+ **创建时间:**2024 年 11 月 21 日,22:45 UTC
+ **编辑时间:**第一个实例
+ **ARN**:`arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`
**策略版本:**v1(默认)
此策略的版本定义了策略的权限。当拥有该策略的用户或角色请求访问 AWS 资源时, AWS 会检查策略的默认版本以确定是否允许该请求。
**JSON 策略文档:**
#### AWSBackupServiceRolePolicyForItemRestores json
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "S3ReadonlyPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "S3PermissionsForFileLevelRestore",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::*/*"
},
{
"Sid": "KMSDataKeyForS3AndEC2Permissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com",
"s3.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForIndexing
**描述**
此策略向用户授予为快照(也称为定期恢复点)编制索引的权限。这些权限包括:对 Amazon EBS 的快照的读取权限(由 Amazon S3 存储桶的 AWS Backup 读/写权限管理),以及生成和描述密钥的权限。 AWS KMS
**使用此政策**
您可以将 `AWSBackupServiceRolePolicyForIndexing` 附加到您的用户、组和角色。
**策略详细信息**
+ **类型:** AWS 托管策略
+ **编辑时间:**第一个实例
+ **ARN**:`arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`
**策略版本:**v1(默认)
此策略的版本定义了策略的权限。当拥有该策略的用户或角色请求访问 AWS 资源时, AWS 会检查策略的默认版本以确定是否允许该请求。
**JSON 策略文档:**
#### AWSBackupServiceRolePolicyForIndexing json
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSDataKeyForEC2Permissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForRestores
提供代表您恢复所有受支持资源类型的备份的 AWS Backup 权限。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)**。
对于 EC2 实例还原,还必须包括以下权限才能启动 EC2 实例:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPassRole",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/role-name",
"Effect": "Allow"
}
]
}
```
------
### AWSBackupServiceRolePolicyForS3Backup
此策略包含备份任何 S3 存储桶所需的 AWS Backup 权限。这包括对存储桶中所有对象和任何关联 AWS KMS 密钥的访问权限。
要查看此策略的权限,请参阅《*AWS 托管策略*参考》中的 [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html)。
### AWSBackupServiceRolePolicyForS3Restore
此策略包含将 S3 备份还原 AWS Backup 到存储桶所需的权限。这包括对存储桶的读写权限以及与 S3 操作有关的任何 AWS KMS 密钥的使用。
要查看此策略的权限,请参阅《*AWS 托管策略*参考》中的 [AWSBackupServiceRolePolicyForS3Restor](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) e。
### AWSBackupServiceRolePolicyForScans
该策略应附加到您在备份计划的资源选择中使用的 IAM 角色。此角色授予 AWS Backup 在亚马逊中启动扫描的权限 GuardDuty。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)**。
### AWSServiceRolePolicyForBackupReports
AWS Backup 将此策略用于[AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html)服务相关角色。此服务相关 AWS Backup 角色允许监控和报告您的备份设置、任务和资源与框架的合规性。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)**。
### AWSServiceRolePolicyForBackupRestoreTesting
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)**。
## 客户托管策略
以下各节描述了所支持的 AWS 服务和第三方应用程序的推荐备份和还原权限 AWS Backup。在创建自己的策略文档时,您可以使用现有的 AWS 托管策略作为模型,然后对其进行自定义以进一步限制对 AWS 资源的访问。
**重要**
在使用自定义 IAM 角色时 AWS Backup,除了权限外,您还必须包括特定于资源的权限。 AWS Backup 例如,在 Amazon RDS 资源上调用 `backup:ListTags` 时,自定义 IAM 角色还必须包含 `rds:ListTagsForResource` 权限。虽然这些权限包含在默认 AWS Backup 服务角色中,但必须将其明确添加到客户管理的策略中。所需的底层资源权限取决于所执行的特定 AWS 服务和操作。
### Amazon Aurora
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon Aurora DSQL
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`DSQLRestorePermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon DynamoDB
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`
### Amazon EBS
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
从中的`EBSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
添加以下语句。
```
{
"Effect":"Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource":"*"
},
```
### Amazon EC2
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`
添加以下语句。
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/role-name"
},
```
*role-name*替换为将附加到已恢复的 EC2 实例的 EC2 实例配置文件角色的名称。这不是 AWS Backup 服务角色,而是为 EC2 实例上运行的应用程序提供权限的 IAM 角色。
### Amazon EFS
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restore**
从中的`EFSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon FSx
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`
### Amazon Neptune
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon RDS
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restore**
从中的`RDSPermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### Amazon S3
**备份**
从 [AWSBackupServiceRolePolicyForS3](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) Backup 开始。
如果您需要将备份复制到其他账户,请添加 `BackupVaultPermissions` 和 `BackupVaultCopyPermissions` 语句。
**Restore**
从 [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) 开始。
### AWS Storage Gateway
**备份**
从以下语句开始 [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
添加以下语句。
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource":"*"
},
```
**Restore**
从以下语句开始 [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`
### 虚拟机
**备份**
从中的`BackupGatewayBackupPermissions`语句开始[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)。
**Restore**
从中的`GatewayRestorePermissions`语句开始[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)。
### 加密备份
**要还原加密的备份,请执行以下操作之一:**
+ 将您的角色添加到 AWS KMS 密钥策略的许可名单
+ 将以下语句[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)添加到您的 IAM 角色中进行恢复:
+ `KMSDescribePermissions`
+ `KMSPermissions`
+ `KMSCreateGrantPermissions`
## 的政策更新 AWS Backup
查看 AWS Backup 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限允许 AWS Backup 还原测试在还原测试完成后删除 RDS 租户数据库。 | 2026 年 3 月 18 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许在恢复点上启动恶意软件扫描。 | 2026年2月23日 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans):新策略 | AWS Backup 添加了新的 AWS 托管策略, GuardDuty 允许亚马逊读取和扫描客户备份。 AWS Backup 在启动操作 GuardDuty 时将具有此策略的角色传递给`StartMalwareScan`。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略[AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)。 | 2025 年 11 月 19 日 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans):新策略 | AWS Backup 添加了一个新的 AWS 托管策略, AWS Backup 允许在恢复点上启动恶意软件扫描。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略[AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)。 | 2025 年 11 月 19 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 已添加`malware-protection.guardduty.amazonaws.com`到`IamPassRolePermissions`,这是启动恶意软件扫描任务所必需的。 | 2025 年 11 月 19 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是启动恶意软件扫描任务所必需的。 | 2025 年 11 月 19 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon EKS 集群。 | 2025 年 11 月 10 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon EKS 集群。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建 Amazon EKS 集群及其相关资源的备份。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建 Amazon EKS 集群及其相关资源的备份。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户对 Amazon EKS 集群及其关联资源执行恢复操作。 | 2025 年 11 月 10 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 此权限 AWS Backup 允许将委派的管理员信息与 Organizations 同步,以实现跨账户管理功能。 | 2025 年 9 月 9 日 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans):新策略 | AWS Backup 添加了新的 AWS 托管策略, GuardDuty 允许亚马逊读取和扫描客户备份。 AWS Backup 在启动操作 GuardDuty 时将具有此策略的角色传递给`StartMalwareScan`。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略[AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)。 | 2025 年 11 月 24 日 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans):新策略 | AWS Backup 添加了一个新的 AWS 托管策略, AWS Backup 允许在恢复点上启动恶意软件扫描。 这对于提供在 Amazon EC2、Amazon EBS 和 Amazon S3 资源的恢复点上进行恶意软件扫描所需的所有必要权限是必要的。 有关更多信息,请参阅托管策略[AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)。 | 2025 年 11 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是代表客户对 DSQL 资源执行精心编排的多区域还原操作所必需的。 AWS Backup | 2025 年 7 月 17 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是 AWS 账户管理 与 AWS Backup 集成所必需的, AWS Organizations 因此客户可以选择将多方批准 (MPA) 作为其逻辑气隙保管库的一部分。 | 2025 年 6 月 17 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— 更新现有政策: | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许客户通过还原 Amazon FSx for OpenZFS 多可用区(多可用区)快照所必需的。 AWS Backup | 2025 年 5 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon Aurora DSQL 资源。 | 2025 年 5 月 21 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许备份和恢复 Amazon Aurora DSQL 资源。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建、删除、检索和管理 Amazon Aurora DSQL 快照。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许代表客户创建、删除、检索、加密、解密和管理 Amazon Aurora DSQL 快照。 | 2025 年 5 月 21 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限 AWS Backup 允许按客户指定的时间间隔管理 Aurora DSQL 备份。 | 2025 年 5 月 21 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是指定客户拥有对 Amazon Redshift Serverless 备份的完全访问权限所需的权限,包括所需的读取权限以及删除 Amazon Redshift Serverless 恢复点(快照备份)的权限。 | 2025 年 3 月 31 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是指定客户拥有对 Amazon Redshift Serverless 的所有必要备份权限(包括所需的读取权限)所需的权限。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是按客户指定的时间间隔 AWS Backup 管理 Amazon Redshift 无服务器快照所必需的。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许 AWS Backup 代表客户创建、删除、检索和管理 Amazon Redshift Serverless 快照所必需的。 | 2025 年 3 月 31 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | AWS Backup 为此策略添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/aws-backup/latest/devguide/security-iam-awsmanpol.html) 这些权限是允许 AWS Backup 代表客户恢复亚马逊 Redshift 和 Amazon Redshift Serverless 快照所必需的。 | 2025 年 3 月 31 日 |
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— 添加了新的 AWS 托管策略 | AWS Backup 添加了AWSBackupSearchOperatorAccess AWS 托管策略。 | 2025 年 2 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | AWS Backup 添加了支持 Amazon RDS 多租户快照跨账户备份副本的权限`rds:AddTagsToResource`。 当客户选择创建多租户 RDS 快照的跨账户副本时,此权限是完成操作所需的权限。 | 2025 年 1 月 8 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | AWS Backup 在此策略中添加了权限`rds:CreateTenantDatabase`和`rds:DeleteTenantDatabase`,以支持 Amazon RDS 资源的还原过程。 这些权限是完成客户还原多租户快照的操作所需的权限。 | 2025 年 1 月 8 日 |
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— 添加了新的 AWS 托管策略 | AWS Backup 添加了AWSBackupServiceRolePolicyForItemRestores AWS 托管策略。 | 2024 年 11 月 26 日 |
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— 添加了新的 AWS 托管策略 | AWS Backup 添加了AWSBackupServiceRolePolicyForIndexing AWS 托管策略。 | 2024 年 11 月 26 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间,需要该权限才能获得标记权限。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略 | AWS Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间,需要该权限才能获得标记权限。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | AWS Backup 为此策略添加了权限`backup:TagResource`。 创建恢复点期间,需要该权限才能获得标记权限。 | 2024 年 5 月 17 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了权限 `rds:DeleteDBInstanceAutomatedBackups`。 此权限是支持持续备份和 Amazon RDS 实例 point-in-time-restore所必需的。 AWS Backup | 2024 年 5 月 1 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | AWS Backup 将亚马逊资源名称 (ARN) 的权限`storagegateway:ListVolumes`从更新为,`arn:aws:storagegateway:*:*:gateway/*`以`*`适应 Storage Gateway API 模型的变化。 | 2024 年 5 月 1 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | AWS Backup 将亚马逊资源名称 (ARN) 的权限`storagegateway:ListVolumes`从更新为,`arn:aws:storagegateway:*:*:gateway/*`以`*`适应 Storage Gateway API 模型的变化。 | 2024 年 5 月 1 日 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting):对现有策略的更新 | 添加了以下权限,用于描述和列出恢复点和受保护的资源,以便执行还原测试计划:`backup:DescribeRecoveryPoint`、`backup:DescribeProtectedResource`、`backup:ListProtectedResources` 和 `backup:ListRecoveryPointsByResource`。 添加了权限 `ec2:DescribeSnapshotTierStatus` 以支持 Amazon EBS 归档层存储。 添加了权限 `rds:DescribeDBClusterAutomatedBackups` 以支持 Amazon Aurora 连续备份。 添加了以下权限以支持对 Amazon Redshift 备份进行还原测试:`redshift:DescribeClusters` 和 `redshift:DeleteCluster`。 添加了权限 `timestream:DeleteTable` 以支持对 Amazon Timestream 备份进行还原测试。 | 2024 年 2 月 14 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:RestoreSnapshotTier`。 用户必须拥有这些权限,才能选择 AWS Backup 从存档存储中恢复存储的 Amazon EBS 资源。 对于 EC2 实例还原,还必须在以下策略语句中包括所示权限才能启动 EC2 实例: | 2023 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:ModifySnapshotTier` 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。 用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 AWS Backup 到存档存储。 | 2023 年 11 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了权限 `ec2:DescribeSnapshotTierStatus` 和 `ec2:ModifySnapshotTier` 来支持用于将备份的 Amazon EBS 资源转移到归档存储层的额外存储选项。 用户需要这些权限才能选择将存储在一起的 Amazon EBS 资源转移 AWS Backup 到存档存储。 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`,这是 Aurora 集群的 PITR(point-in-time 恢复)所必需的。 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting):新策略 | 提供进行还原测试所需的权限。这些权限包括恢复测试中包含的以下服务的操作`list, read, and write`:Aurora、DocumentDB、DynamoDB、Amazon EBS、Amazon EC2、Amazon EFS、Lustre、Windows 文件服务器、 FSx ONTAP、 FSx OpenZFS、 FSx Amazon Neptune、Amazon RDS FSx 和亚马逊 S3。 | 2023 年 11 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 已将 `restore-testing.backup.amazonaws.com` 添加到 `IamPassRolePermissions` 和 `IamCreateServiceLinkedRolePermissions`。为了代表客户 AWS Backup 进行恢复测试,必须添加此项。 | 2023 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了`rds:DescribeDBClusterSnapshots`和`rds:RestoreDBClusterToPointInTime`,这是 Aurora 集群的 PITR(point-in-time 恢复)所必需的。 | 2023 年 9 月 6 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了持续备份和 point-in-time恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。 | 2023 年 9 月 6 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了持续备份和 point-in-time恢复 Aurora 集群所必需的权限`rds:DescribeDBClusterAutomatedBackups`。 | 2023 年 9 月 6 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了权限 `rds:DescribeDBClusterAutomatedBackups`。此权限是 AWS Backup 支持 Aurora 集群的持续备份和 point-in-time恢复所必需的。 添加了`rds:DeleteDBClusterAutomatedBackups`允许 AWS Backup 生命周期在保留期结束时删除和解除关联 Amazon Aurora 持续恢复点的权限。需要此权限才能让 Aurora 恢复点避免转换为 `EXIPIRED` 状态。 添加了权限 `rds:ModifyDBCluster`,它允许 AWS Backup 与 Aurora 集群进行交互。此新增权限使用户能够根据所需的配置启用或禁用连续备份。 | 2023 年 9 月 6 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了操作 `ram:GetResourceShareAssociations`,以授予用户为新保管库类型获取资源共享关联的权限。 | 2023 年 8 月 8 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了操作 `ram:GetResourceShareAssociations`,以授予用户为新保管库类型获取资源共享关联的权限。 | 2023 年 8 月 8 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略 | 添加了权限 `s3:PutInventoryConfiguration`,以通过使用存储桶清单提高备份性能。 | 2023 年 8 月 1 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下操作以授予用户向还原资源添加标签的权限:`storagegateway:AddTagsToResource`、`elasticfilesystem:TagResource` 和 `ec2:CreateTags`,仅适用于包括 `RunInstances` 或 `CreateVolume`、`fsx:TagResource` 和 `cloudformation:TagResource` 的 `ec2:CreateAction`。 | 2023 年 5 月 22 日 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess):对现有策略的更新 | 将 API `config:DescribeComplianceByConfigRule` 中的资源选择替换为通配符资源,以便用户更轻松地选择资源。 | 2023 年 4 月 11 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下权限以使用客户托管密钥还原 Amazon EFS:`kms:GenerateDataKeyWithoutPlaintext`。这有助于确保用户拥有还原 Amazon EFS 资源所需的权限。 | 2023 年 3 月 27 日 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports):对现有策略的更新 | 更新了`config:DescribeConfigRules`和`config:DescribeConfigRuleEvaluationStatus`操作以允许 Audi AWS Backup t Manager 访问 AWS Backup 审计管理器管理 AWS Config 的规则。 | 2023 年 3 月 9 日 |
| [AWSBackupServiceRolePolicyForS3Restor](#AWSBackupServiceRolePolicyForS3Restore) e — 更新现有政策 | 已向策略 `AWSBackupServiceRolePolicyForS3Restore` 添加以下权限:`kms:Decrypt`、`s3:PutBucketOwnershipControls` 和 `s3:GetBucketOwnershipControls`。这些权限是支持在原始备份中使用 KMS 加密时还原对象,以及在原始存储桶而不是 ACL 上配置对象所有权时还原对象所必需的权限。 | 2023 年 2 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下权限,以使用虚拟机的 VMware标签计划备份并支持基于计划的带宽限制:`backup-gateway:GetHypervisorPropertyMappings`、、、、、`backup-gateway:GetVirtualMachine``backup-gateway:PutHypervisorPropertyMappings`、`backup-gateway:GetHypervisor`和。`backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule` | 2022 年 12 月 15 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下权限,以使用虚拟机的 VMware标签计划备份并支持基于计划的带宽限制:`backup-gateway:GetHypervisorPropertyMappings`、、和。`backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule` | 2022 年 12 月 15 日 |
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync):新策略 | 允许 AWS Backup Gateway 将本地网络中虚拟机的元数据与 Backup Gateway 同步。 | 2022 年 12 月 15 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 Timestream 备份作业:`timestream:StartAwsBackupJob`、`timestream:GetAwsBackupStatus`、`timestream:ListTables`、`timestream:ListDatabases`、`timestream:ListTagsForResource`、`timestream:DescribeTable`、`timestream:DescribeDatabase` 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下权限以支持 Timestream 还原作业:`timestream:StartAwsRestoreJob`、`timestream:GetAwsRestoreStatus`、`timestream:ListTables`、`timestream:ListTagsForResource`、`timestream:ListDatabases`、`timestream:DescribeTable`、`timestream:DescribeDatabase`、`s3:GetBucketAcl` 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下权限以支持 Timestream 资源:`timestream:ListTables`、`timestream:ListDatabases`、`s3:ListAllMyBuckets` 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下权限以支持 Timestream 资源:`timestream:ListDatabases`、`timestream:ListTables`、`s3:ListAllMyBuckets` 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 Timestream 资源:`timestream:ListDatabases`、`timestream:ListTables`、`timestream:ListTagsForResource`、`timestream:DescribeDatabase`、`timestream:DescribeTable`、`timestream:GetAwsBackupStatus`、`timestream:GetAwsRestoreStatus` 和 `timestream:DescribeEndpoints`。 | 2022 年 12 月 13 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 资源:`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules` 和 `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 资源:`redshift:DescribeClusters`、`redshift:DescribeClusterSubnetGroups`、`redshift:DescribeNodeConfigurationOptions`、`redshift:DescribeOrderableClusterOptions`、`redshift:DescribeClusterParameterGroups,`、`redshift:DescribeClusterTracks`、`redshift:DescribeSnapshotSchedules` 和 `ec2:DescribeAddresses`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 还原作业:`redshift:RestoreFromCluster Snapshot`、`redshift:RestoreTableFromClusterSnapshot`、`redshift:DescribeClusters` 和 `redshift:DescribeTableRestoreStatus`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 Amazon Redshift 备份作业:`redshift:CreateClusterSnapshot`、`redshift:DescribeClusterSnapshots`、`redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、`redshift:DescribeClusters` 和 `redshift:CreateTags`。 | 2022 年 11 月 27 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下权限来支持 CloudFormation 资源:`cloudformation:ListStacks`. | 2022 年 11 月 27 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下权限来支持 CloudFormation 资源:`cloudformation:ListStacks`. | 2022 年 11 月 27 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 为支持 CloudFormation 资源添加了以下权限:`redshift:DescribeClusterSnapshots``redshift:DescribeTags`、`redshift:DeleteClusterSnapshot`、和`redshift:DescribeClusters`。 | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 CloudFormation 应用程序堆栈备份作业:`cloudformation:GetTemplate``cloudformation:DescribeStacks`、和`cloudformation:ListStackResources`。 | 2022 年 11 月 16 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下权限以支持 CloudFormation 应用程序堆栈备份作业:`cloudformation:CreateChangeSet`和 `cloudformation:DescribeChangeSet` | 2022 年 11 月 16 日 |
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess):对现有策略的更新 | 为此策略添加了以下权限,以允许组织管理员使用“委派管理员”特征:`organizations:ListDelegatedAdministrator`、`organizations:RegisterDelegatedAdministrator` 和 `organizations:DeregisterDelegatedAdministrator` | 2022 年 11 月 27 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:UpdateHanaBackupSettings`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA:`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 实例上的 SAP HANA:`ssm-sap:GetOperation`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下权限以支持 Backup Gateway 到 EC2 实例的还原作业:`ec2:CreateTags`。 | 2022 年 11 月 20 日 |
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess):对现有策略的更新 | 添加了以下权限以支持 Amazon EC2 上的 SAP HANA 资源的安全存储数据传输:`backup-storage:StartObject`、`backup-storage:PutChunk`、`backup-storage:GetChunk`、`backup-storage:ListChunks`、`backup-storage:ListObjects`、`backup-storage:GetObjectMetadata` 和 `backup-storage:NotifyObjectComplete`。 | 2022 年 11 月 20 日 |
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) — 更新现有政策 | 为资源所有者添加了以下权限,使其能够还原 Amazon EC2 上的 SAP HANA 资源:`backup:Get*`、`backup:List*`、`backup:Describe*`、`backup:StartBackupJob`、`backup:StartRestoreJob`、`ssm-sap:GetOperation`、`ssm-sap:ListDatabases`、`ssm-sap:BackupDatabase`、`ssm-sap:RestoreDatabase`、`ssm-sap:UpdateHanaBackupSettings`、`ssm-sap:GetDatabase` 和 `ssm-sap:ListTagsForResource`。 | 2022 年 11 月 20 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略 | 添加了支持 Amazon S3 AWS Backup 的备份操作的权限`s3:GetBucketAcl`。 | 2022 年 8 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下操作以授予创建支持多可用区功能的数据库实例的权限:`rds:CreateDBInstance`。 | 2022 年 7 月 20 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了向用户授予使用资源通配符选择要备份的存储桶的 `s3:GetBucketTagging` 权限。如果没有此权限,使用资源通配符选择要备份的存储桶的用户将无法成功。 | 2022 年 5 月 6 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 在现有`fsx:CreateBackup`和`fsx:ListTagsForResource`操作范围内添加了卷资源,并添加了支持 FSx ONTAP 卷级别备份的新操作`fsx:DescribeVolumes`。 | 2022 年 4 月 27 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了以下操作以授予用户恢复 FSx ONTAP 卷`fsx:DescribeVolumes`、`fsx:CreateVolumeFromBackup``fsx:DeleteVolume`、和`fsx:UntagResource`的权限。 | 2022 年 4 月 27 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 更新现有策略 | 添加了以下操作以授予用户在备份操作期间接收其 Amazon S3 存储桶更改通知的权限:`s3:GetBucketNotification` 和 `s3:PutBucketNotification`。 | 2022 年 2 月 25 日 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — 新政策 | 添加了以下操作以授予用户备份其 Amazon S3 存储桶的权限:`s3:GetInventoryConfiguration`、`s3:PutInventoryConfiguration`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketTagging`、`s3:GetBucketVersioning`、`s3:GetBucketNotification`、`s3:GetBucketLocation` 和 `s3:ListAllMyBuckets`。 添加了以下操作以授予用户备份其 Amazon S3 对象的权限:`s3:GetObject`、`s3GetObjectAcl`、`s3:GetObjectVersionTagging`、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging` 和 `s3:GetObjectVersion`。 添加了以下操作以授予用户备份其加密 Amazon S3 数据的权限:`kms:Decrypt` 和 `kms:DescribeKey`。 添加了以下操作以授予用户使用 Amazon EventBridge 规则对其 Amazon S3 数据进行增量备份的权限:`events:DescribeRule``events:EnableRule`、`events:PutRule`、、`events:DeleteRule`、`events:PutTargets`、`events:RemoveTargets`、、`events:ListTargetsByRule`、`events:DisableRule`、`cloudwatch:GetMetricData`、、和`events:ListRules`。 | 2022 年 2 月 17 日 |
| [AWSBackupServiceRolePolicyForS3Restor](#AWSBackupServiceRolePolicyForS3Restore) e — 新政策 | 添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限:`s3:CreateBucket`、`s3:ListBucketVersions`、`s3:ListBucket`、`s3:GetBucketVersioning`、`s3:GetBucketLocation` 和 `s3:PutBucketVersioning`。 添加了以下操作以授予用户还原其 Amazon S3 存储桶的权限:`s3:GetObject`、`s3:GetObjectVersion`、`s3:DeleteObject`、`s3:PutObjectVersionAcl`、`s3:GetObjectVersionAcl`、`s3:GetObjectTagging`、`s3:PutObjectTagging`、`s3:GetObjectAcl`、`s3:PutObjectAcl`、`s3:PutObject` 和 `s3:ListMultipartUploadParts`。 添加了以下操作以授予用户加密其还原的 Amazon S3 数据的权限:`kms:Decrypt`、`kms:DescribeKey` 和 `kms:GenerateDataKey`。 | 2022 年 2 月 17 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了 `s3:ListAllMyBuckets` 以授予用户查看其存储桶列表和选择将哪些存储桶分配给备份计划的权限。 | 2022 年 2 月 14 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了 `backup-gateway:ListVirtualMachines` 以授予用户查看其虚拟机列表和选择将哪些虚拟机分配给备份计划的权限。 添加了 `backup-gateway:ListTagsForResource` 以授予用户列出其虚拟机标签的权限。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了`backup-gateway:Backup`向用户授予恢复其虚拟机备份的权限。 AWS Backup 还添加了`backup-gateway:ListTagsForResource`此项以授予用户列出分配给其虚拟机备份的标签的权限。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了 `backup-gateway:Restore` 以授予用户还原其虚拟机备份的权限。 | 2021 年 11 月 30 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了以下操作以授予用户使用 AWS Backup 网关备份、还原和管理其虚拟机的权限:`backup-gateway:AssociateGatewayToServer`、`backup-gateway:CreateGateway`、`backup-gateway:DeleteGateway`、`backup-gateway:DeleteHypervisor`、`backup-gateway:DisassociateGatewayFromServer`、`backup-gateway:ImportHypervisorConfiguration`、`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource`、`backup-gateway:ListVirtualMachines`、`backup-gateway:PutMaintenanceStartTime`、`backup-gateway:TagResource`、`backup-gateway:TestHypervisorConfiguration`、`backup-gateway:UntagResource`、`backup-gateway:UpdateGatewayInformation` 和 `backup-gateway:UpdateHypervisor`。 | 2021 年 11 月 30 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 添加了以下操作以授予用户备份其虚拟机的权限:`backup-gateway:ListGateways`、`backup-gateway:ListHypervisors`、`backup-gateway:ListTagsForResource` 和 `backup-gateway:ListVirtualMachines`。 | 2021 年 11 月 30 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加的`dynamodb:ListTagsOfResource`目的是授予用户列出其 DynamoDB 表标签的权限,以便使用其高级 DynamoDB 备份 AWS Backup功能进行备份。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了 `dynamodb:StartAwsBackupJob` 以授予用户使用高级备份特征备份其 DynamoDB 表的权限。 添加了 `dynamodb:ListTagsOfResource` 以授予用户将标签从其源 DynamoDB 表复制到备份的权限。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加`dynamodb:RestoreTableFromAwsBackup`此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 AWS Backup的 DynamoDB 表的权限。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加`dynamodb:RestoreTableFromAwsBackup`此项是为了向用户授予恢复使用高级 DynamoDB 高级备份功能备份 AWS Backup的 DynamoDB 表的权限。 | 2021 年 11 月 23 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`,因为它们是冗余操作。 AWS Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼`backup:Get*`而有之`AWSBackupOperatorAccess`。而且, AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼`rds:describeDBSnapshots`而有之`AWSBackupOperatorAccess`。 | 2021 年 11 月 23 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了新的操作`elasticfilesystem:DescribeFileSystems`、`dynamodb:ListTables`、`storagegateway:ListVolumes`、`ec2:DescribeVolumes`、`ec2:DescribeInstances``rds:DescribeDBInstances`、`rds:DescribeDBClusters`、、和`fsx:DescribeFileSystems`,允许客户在选择要分配给备份计划的资源时从其 AWS Backup支持的资源列表中进行查看和选择。 | 2021 年 11 月 10 日 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess):新策略 | 添加了授`AWSBackupAuditAccess`予用户使用 Audit Manag AWS Backup er 的权限。权限包括配置合规框架和生成报告的能力。 | 2021 年 8 月 24 日 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports):新策略 | 添加了 `AWSServiceRolePolicyForBackupReports` 以授予服务相关角色自动监控备份设置、作业和资源是否符合用户配置的框架的权限。 | 2021 年 8 月 24 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 添加了 `iam:CreateServiceLinkedRole` 以创建服务相关角色(尽力而为)自动为您删除过期的恢复点。如果没有此服务相关角色, AWS Backup 则无法在客户删除用于创建恢复点的原始 IAM 角色后删除过期的恢复点。 | 2021 年 7 月 5 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了新操作 `dynamodb:DeleteBackup`,以授予根据您的备份计划生命周期设置自动删除过期的 DynamoDB 恢复点的 `DeleteRecoveryPoint` 权限。 | 2021 年 7 月 5 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`,因为它们是冗余操作。 AWS Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼而有之,`backup:Get*`作为 `AWSBackupOperatorAccess` Also 的一部分, AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼而`rds:describeDBSnapshots`有之 `AWSBackupOperatorAccess` | 2021 年 5 月 25 日 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess):对现有策略的更新 | 删除了操作 `backup:GetRecoveryPointRestoreMetadata` 和 `rds:DescribeDBSnapshots`,因为它们是冗余操作。 AWS Backup 不需要两者`backup:GetRecoveryPointRestoreMetadata`兼`backup:Get*`而有之`AWSBackupOperatorAccess`。而且, AWS Backup 不需要两者`rds:DescribeDBSnapshots`兼`rds:describeDBSnapshots`而有之`AWSBackupOperatorAccess`。 | 2021 年 5 月 25 日 |
| [AWSBackupServiceRolePolicyForRestores]():对现有策略的更新 | 添加了授`fsx:TagResource`予`StartRestoreJob`权限的新操作,允许您在还原过程中向 Amazon FSx 文件系统应用标签。 | 2021 年 5 月 24 日 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores):对现有策略的更新 | 添加了新操作 `ec2:DescribeImages` 和 `ec2:DescribeInstances` 以授予允许您从恢复点还原 Amazon EC2 实例的 `StartRestoreJob` 权限。 | 2021 年 5 月 24 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 添加了授`fsx:CopyBackup`予`StartCopyJob`权限的新操作,允许您跨地区和账户复制 Amazon FSx 恢复点。 | 2021 年 4 月 12 日 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup):对现有策略的更新 | 添加了授`fsx:CopyBackup`予`StartCopyJob`权限的新操作,允许您跨地区和账户复制 Amazon FSx 恢复点。 | 2021 年 4 月 12 日 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup):对现有策略的更新 | 进行了更新以符合以下要求: AWS Backup 要创建加密的 DynamoDB 表的备份,您必须向用于备份的 IAM 角色添加`kms:Decrypt`权限`kms:GenerateDataKey`和。 | 2021 年 3 月 10 日 |
| [AWSBackupFullAccess](#AWSBackupFullAccess):对现有策略的更新 | 进行了更新以符合以下要求: AWS Backup 要使用为您的 Amazon RDS 数据库配置连续备份,请验证您的备份计划配置所定义的 IAM 角色中是否`rds:ModifyDBInstance`存在 API 权限。 要还原 Amazon RDS 连续备份,您必须向为还原作业提交的 IAM 角色添加权限 `rds:RestoreDBInstanceToPointInTime`。 在 AWS Backup 控制台中,要描述可用于 point-in-time恢复的时间范围,您必须在 IAM 管理的`rds:DescribeDBInstanceAutomatedBackups`策略中包含 API 权限。 | 2021 年 3 月 10 日 |
| AWS Backup 已开始跟踪更改 | AWS Backup 开始跟踪其 AWS托管策略的更改。 | 2021 年 3 月 10 日 |