本文介紹如何通過RAM Policy防止RAM用戶誤刪備份數據(即保存在備份庫的數據),從而更有效地保證您的數據安全。
前提條件
已創建RAM用戶。具體操作,請參見創建RAM用戶。
背景信息
RAM(Resource Access Management)是阿里云提供的資源訪問控制服務,RAM Policy是基于用戶的授權策略。通過設置RAM Policy,您可以集中管理您的RAM用戶(例如員工、系統或應用程序),以及控制RAM用戶可以訪問您名下哪些資源的權限,防止您的RAM用戶誤刪備份數據等。
說明
如果您選擇使用RAM Policy,建議您通過官方工具RAM策略編輯器快速生成所需的RAM Policy。
操作步驟
使用阿里云賬號登錄RAM控制臺。
創建防止誤刪除的權限策略。如何創建權限策略,請參見創建自定義權限策略。
防止RAM用戶誤刪備份數據的RAM Policy示例如下:
{ "Version": "1", "Statement": [{ "Effect": "Deny", "Action": [ "hbr:DeleteBackupClient", "hbr:DeleteContact", "hbr:DeleteContactGroup", "hbr:DeleteVault", "hbr:DeleteJob", "hbr:DeleteClient", "hbr:DeleteHanaBackupPlan", "hbr:DeleteClients", "hbr:DeleteBackupSourceGroup", "hbr:DeleteBackupPlan", "hbr:DeleteHanaInstance", "hbr:DeleteSqlServerInstance", "hbr:DeleteSnapshot", "hbr:DeleteSqlServerSnapshot", "hbr:DeleteSqlServerLog", "hbr:DeleteVcenter", "hbr:DeleteUdmEcsInstance", "hbr:DeleteAppliance", "hbr:DeleteUniBackupClient", "hbr:DeleteUniBackupPlan", "hbr:DeleteUniBackupCluster", "hbr:DeleteUniRestorePlan" ], "Resource": [ "acs:hbr:*:{uid}:vault/{vaultId}", "acs:hbr:*:{uid}:vault/{vaultId}/*" ] }] }說明其中,vaultId表示需要保護的備份庫ID,如果要保護所有倉庫,請填寫星號(*)。
有關如何填寫以上Policy中涉及的基本元素,例如效力(Effect)、操作(Action)以及資源(Resource)等,請參見權限策略基本元素。
為RAM用戶授權。
在左側導航欄中,選擇。
找到目標RAM用戶,單擊添加權限。
在新增授權面板,在下拉列表中選擇自定義策略,選中步驟2中創建的策略,并單擊確認新增授權。
確認授權結果為已完成。
執行結果
配置以上RAM Policy后,如果RAM用戶試圖刪除某個備份庫,將出現報錯。
配置以上RAM Policy后,如果RAM用戶試圖刪除單個備份(如ECS文件備份),將出現報錯。
文檔內容是否對您有幫助?