本文介绍如何通过RAM Policy防止RAM用户误删备份数据(即保存在备份库的数据),从而更有效地保证您的数据安全。

前提条件

已创建RAM用户。具体操作,请参见创建RAM用户

背景信息

RAM(Resource Access Management)是阿里云提供的资源访问控制服务,RAM Policy是基于用户的授权策略。通过设置RAM Policy,您可以集中管理您的RAM用户(例如员工、系统或应用程序),以及控制RAM用户可以访问您名下哪些资源的权限,防止您的RAM用户误删备份数据等。
说明 如果您选择使用RAM Policy,建议您通过官方工具RAM策略编辑器快速生成所需的RAM Policy。

操作步骤

  1. 使用阿里云账号登录RAM控制台
  2. 创建防止误删除的权限策略。如何创建权限策略,请参见创建自定义策略
    防止RAM用户误删备份数据的RAM Policy示例如下:
    {
        "Version": "1",
        "Statement": [{
            "Effect": "Deny",
            "Action": [
                "hbr:DeleteBackupClient",
                "hbr:DeleteContact",
                "hbr:DeleteContactGroup",
                "hbr:DeleteVault",
                "hbr:DeleteJob",
                "hbr:DeleteClient",
                "hbr:DeleteHanaBackupPlan",
                "hbr:DeleteClients",
                "hbr:DeleteBackupSourceGroup",
                "hbr:DeleteBackupPlan",
                "hbr:DeleteHanaInstance",
                "hbr:DeleteSqlServerInstance",
                "hbr:DeleteSnapshot",
                "hbr:DeleteSqlServerSnapshot",
                "hbr:DeleteSqlServerLog",
                "hbr:DeleteVcenter",
                "hbr:DeleteUdmEcsInstance",
                "hbr:DeleteAppliance",
                "hbr:DeleteUniBackupClient",
                "hbr:DeleteUniBackupPlan",
                "hbr:DeleteUniBackupCluster",
                "hbr:DeleteUniRestorePlan"
            ],
            "Resource": [
                "acs:hbr:*:{uid}:vault/{vaultId}",
                "acs:hbr:*:{uid}:vault/{vaultId}/*"
            ]
        }]
    }
    说明
    • 其中,vaultId表示需要保护的备份库ID,如果要保护所有仓库,请填写星号(*)。
    • 有关如何填写以上Policy中涉及的基本元素,例如效力(Effect)、操作(Action)以及资源(Resource)等,请参见权限策略基本元素
  3. 为RAM用户授权。
    1. 在左侧导航栏中,选择身份管理 > 用户
    2. 找到目标RAM用户,单击添加权限
    3. 单击自定义策略,选中步骤2中创建的策略。
    4. 单击确定

执行结果

  • 配置以上RAM Policy后,如果RAM用户试图删除某个备份库,将出现报错。delete
  • 配置以上RAM Policy后,如果RAM用户试图删除单个备份(如ECS文件备份),将出现报错。deleteclient