本文介绍如何通过RAM Policy防止子用户误删备份数据(即保存在备份库的数据),从而更有效地保证您的数据安全。

RAM(Resource Access Management)是阿里云提供的资源访问控制服务,RAM Policy是基于用户的授权策略。通过设置RAM Policy,您可以集中管理您的用户(例如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限,防止您的用户误删备份数据等。

说明 如果您选择使用RAM Policy,建议您通过官方工具RAM策略编辑器快速生成所需的RAM Policy。

防止您的用户误删备份数据的RAM Policy示例如下:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "hbr:DeleteVault",
                "hbr:DeleteClient",
                "hbr:DeleteClients",
                "hbr:DeleteHanaInstance",
                "hbr:DeleteSqlServerInstance",
                "hbr:DeleteServer",
                "hbr:DeleteSnapshot"
            ],
            "Resource": [
                "acs:hbr:*:{uid}:vault/{vaultId}",
                "acs:hbr:*:{uid}:vault/{vaultId}/*"
            ]
        }
    ]
}
说明
  • 其中,vaultId表示需要保护的备份库ID,如果要保护所有仓库,请填写星号(*)。
  • 有关如何填写以上Policy种涉及的基本元素,例如效力(Effect)、操作(Action)以及资源(Resource)等,请参见权限策略基本元素

配置以上RAM Policy后,如果子用户试图删除某个备份库,将出现如下报错。

vault

配置以上RAM Policy后,如果子用户试图删除单个备份(如ECS文件备份),如下图所示。

ecs

单击删除后,将提示删除客户端会删除已有的备份数据,同时会导致正在执行的备份、恢复任务失败。删除客户端前,请您确保不再需要此客户端的备份数据,同时确保该客户端上没有正在执行的备份、恢复任务,然后单击确定,将出现如下报错。

deleteclient