如何限制特定 IAM 用户在 AWS Backup 中从恢复点恢复?

2 分钟阅读
0

我想限制特定 AWS Identity and Access Management(IAM)用户在 AWS Backup 中从恢复点恢复。

解决方法

要限制 IAM 用户或角色在 AWS Backup 中恢复恢复点,请创建拒绝访问权限的备份保管库策略或 IAM policy。要在 AWS Organizations 级别限制用户或一组用户,该策略必须拒绝 StartRestoreJob 操作。

在 AWS Organizations 中,您还可以使用服务控制策略(SCP)来限制 IAM 用户。

使用备份保管库策略阻止 IAM 身份进行恢复操作

完成以下步骤:

1.    打开 AWS Backup 控制台

2.    在导航窗格中,选择备份保管库

3.    选择要应用该策略的备份保管库。

4.    对于访问策略,选择编辑,然后使用以下属性更新策略:

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Principal": "*",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

此保管库访问策略拒绝除了 IAM 用户 arn:aws:iam::11111111111:user/Admin 之外的所有用户访问 StartRestoreJob 操作。

有关其他策略示例,请参阅设置备份保管库的访问策略

使用 IAM policy 阻止 IAM 身份进行恢复操作

您可以编辑客户管理型策略,也可以向 IAM 用户附加策略。

编辑客户管理型策略

1.    打开 AWS Backup 控制台

2.    在导航窗格中,选择策略

3.    选择创建策略

4.    选择 JSON 选项卡。

5.    输入或粘贴 JSON 策略文档。有关 IAM policy 语言的更多信息,请参阅 IAM JSON 策略参考

6.    选择下一步: 标签

7.    在查看策略中,输入您创建的策略的名称和描述。您可以查看策略摘要以查看授予的权限。

8.    选择创建策略

向 IAM 用户附加策略

完成以下步骤:

1.    打开 IAM 控制台

2.    在导航窗格中,选择用户组,然后选择组的名称。

3.    选择权限选项卡。

4.    选择添加权限,然后选择附加策略。附加到用户组的当前策略显示在当前权限策略列表中。

5.    在其他权限策略中,选择您在上一步中创建的策略的名称。
**请注意:**您可以使用搜索框按名称和类型筛选策略列表。

6.    选择添加权限,然后使用以下属性更新策略:

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

为组织创建 SCP

在组织中,您可以创建 SCP 来限制 IAM 用户恢复恢复点。

使用以下示例 SCP 设置拒绝访问 backup:StartRestoreJob 操作:

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

此 SCP 拒绝除了 IAM 用户 arn:aws:iam::11111111111:user/Admin 之外的所有用户访问 StartRestoreJob 操作。

AWS 官方
AWS 官方已更新 8 个月前