バックアップ権限と回復権限を分離する - Cloud Backup - Alibaba Cloud ドキュメントセンター

データバックアップのセキュリティ管理レベルを向上させ、セキュリティコンプライアンス要件を満たすには、企業内での偶発的な操作や権限のないユーザーによるデータのバックアップと復元を防ぐ必要があります。クラウドバックアップでは、バックアップ権限と回復権限を分離できます。このトピックでは、さまざまなRAMユーザーにバックアップ権限と回復権限を付与する方法について説明します。

背景情報

バックアップコンテナーでバックアップ操作を実行する権限のみをRAMユーザーに付与し、バックアップコンテナーでリカバリ操作を実行する権限のみを別のRAMユーザーに付与できます。これは不正操作を防止する。

異なるRAMユーザーにバックアップ権限と回復権限を付与する

バックアップ操作を拒否するポリシードキュメントとリカバリ操作を拒否するポリシードキュメントを取得します。

Cloud Backupコンソール.
左側のナビゲーションウィンドウで、ストレージ保管.
管理するバックアップコンテナーを見つけます。 [操作] 列で、[詳細] > [バックアップボールトの変更] を選択します。

では、RAM権限ポリシーのセクションバックアップボールトの変更パネルで、[復元を拒否するRAMポリシー] または [バックアップを拒否するRAMポリシー] をクリックします。

リカバリ操作を拒否するRAMポリシー

スクリプトをすばやくコピーするには、スクリプトの左上隅にある [コピー] ボタンをクリックします。例：

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "hbr:CreateRestore" 、
                "hbr:CreateRestoreJob" 、
                "hbr:CreateHanaRestore" 、
                "hbr:CreateUniRestorePlan" 、
                "hbr:CreateSqlServerRestore"
            ],
            "Resource": [
                "acs:hbr:*:1178037424989531:vault/v-0000ryfi ****** piu" 、
                "acs:hbr:*:1178037424989531:vault/v-0000ryfi ****** piu/client/*"
            ]
        }
    ]
}

説明

v-0000ryfi ****** piuはバックアップボールトのIDです。

バックアップ操作を拒否するRAMポリシー

スクリプトをすばやくコピーするには、スクリプトの左上隅にある [コピー] ボタンをクリックします。例：

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "hbr:CreateUniBackupPlan" 、
                "hbr:UpdateUniBackupPlan" 、
                "hbr:DeleteUniBackupPlan" 、
                "hbr:CreateHanaInstance" 、
                "hbr:UpdateHanaInstance" 、
                "hbr:DeleteHanaInstance",
                "hbr:CreateHanaBackupPlan" 、
                "hbr:UpdateHanaBackupPlan" 、
                "hbr:DeleteHanaBackupPlan" 、
                "hbr:CreateClient" 、
                "hbr:CreateClients" 、
                "hbr:UpdateClient" 、
                "hbr:UpdateClientSettings" 、
                "hbr:UpdateClientAlertConfig" 、
                "hbr:DeleteClient",
                "hbr:DeleteClients",
                "hbr:CreateJob" 、
                "hbr:UpdateJob" 、
                "hbr:CreateBackupPlan" 、
                "hbr:UpdateBackupPlan" 、
                "hbr:ExecuteBackupPlan" 、
                "hbr:DeleteBackupPlan" 、
                "hbr:CreateBackupJob" 、
                "hbr:CreatePlan" 、
                "hbr:UpdatePlan" 、
                "hbr:CreateTrialBackupPlan" 、
                "hbr:ConvertToPostPaidInstance" 、
                "hbr:KeepAfterTrialExpiration"
            ],
            "Resource": [
                "acs:hbr:*:1178037424989531:vault/v-0000ryfi ****** piu" 、
                "acs:hbr:*:1178037424989531:vault/v-0000ryfi ****** piu/client/*"
            ]
        }
    ]
}

説明

v-0000ryfi ****** piuはバックアップボールトのIDです。

にログインします。RAMコンソール前の手順で取得したポリシードキュメントに基づいて、2つのカスタムポリシーを作成します。
詳細については、「カスタムポリシーの作成」をご参照ください。
手順2で作成したカスタムポリシーを2つの異なるRAMユーザーにアタッチします。これにより、一方のRAMユーザーはバックアップ操作を実行できなくなり、もう一方のRAMユーザーはリカバリ操作を実行できなくなります。