本文介绍如何通过RAM Policy防止RAM用户误删备份数据(即保存在备份库的数据),从而更有效地保证您的数据安全。
前提条件
已创建RAM用户。具体操作,请参见创建RAM用户。
背景信息
RAM(Resource Access Management)是阿里云提供的资源访问控制服务,RAM Policy是基于用户的授权策略。通过设置RAM Policy,您可以集中管理您的RAM用户(例如员工、系统或应用程序),以及控制RAM用户可以访问您名下哪些资源的权限,防止您的RAM用户误删备份数据等。
说明
如果您选择使用RAM Policy,建议您通过官方工具RAM策略编辑器快速生成所需的RAM Policy。
操作步骤
使用阿里云账号登录RAM控制台。
创建防止误删除的权限策略。如何创建权限策略,请参见创建自定义权限策略。
防止RAM用户误删备份数据的RAM Policy示例如下:
{ "Version": "1", "Statement": [{ "Effect": "Deny", "Action": [ "hbr:DeleteBackupClient", "hbr:DeleteContact", "hbr:DeleteContactGroup", "hbr:DeleteVault", "hbr:DeleteJob", "hbr:DeleteClient", "hbr:DeleteHanaBackupPlan", "hbr:DeleteClients", "hbr:DeleteBackupSourceGroup", "hbr:DeleteBackupPlan", "hbr:DeleteHanaInstance", "hbr:DeleteSqlServerInstance", "hbr:DeleteSnapshot", "hbr:DeleteSqlServerSnapshot", "hbr:DeleteSqlServerLog", "hbr:DeleteVcenter", "hbr:DeleteUdmEcsInstance", "hbr:DeleteAppliance", "hbr:DeleteUniBackupClient", "hbr:DeleteUniBackupPlan", "hbr:DeleteUniBackupCluster", "hbr:DeleteUniRestorePlan" ], "Resource": [ "acs:hbr:*:{uid}:vault/{vaultId}", "acs:hbr:*:{uid}:vault/{vaultId}/*" ] }] }说明其中,vaultId表示需要保护的备份库ID,如果要保护所有仓库,请填写星号(*)。
有关如何填写以上Policy中涉及的基本元素,例如效力(Effect)、操作(Action)以及资源(Resource)等,请参见权限策略基本元素。
为RAM用户授权。
在左侧导航栏中,选择。
找到目标RAM用户,单击添加权限。
在新增授权面板,在下拉列表中选择自定义策略,选中步骤2中创建的策略,并单击确认新增授权。
确认授权结果为已完成。
执行结果
配置以上RAM Policy后,如果RAM用户试图删除某个备份库,将出现报错“没有足够的权限,请联系云账号管理员授予您相应权限”。
配置以上RAM Policy后,如果RAM用户试图删除单个备份(如ECS文件备份),将出现报错“没有足够的权限,请联系云账号管理员授予您相应权限”。
