如何防止RAM用户误删备份数据 - 云备份

本文介绍如何通过RAM Policy防止RAM用户误删备份数据（即保存在备份库的数据），从而更有效地保证您的数据安全。

前提条件

已创建RAM用户。具体操作，请参见创建RAM用户。

背景信息

RAM（Resource Access Management）是阿里云提供的资源访问控制服务，RAM Policy是基于用户的授权策略。通过设置RAM Policy，您可以集中管理您的RAM用户（例如员工、系统或应用程序），以及控制RAM用户可以访问您名下哪些资源的权限，防止您的RAM用户误删备份数据等。

说明如果您选择使用RAM Policy，建议您通过官方工具RAM策略编辑器快速生成所需的RAM Policy。

操作步骤

使用阿里云账号登录RAM控制台。

创建防止误删除的权限策略。如何创建权限策略，请参见创建自定义权限策略。

防止RAM用户误删备份数据的RAM Policy示例如下：

{
    "Version": "1",
    "Statement": [{
        "Effect": "Deny",
        "Action": [
            "hbr:DeleteBackupClient",
            "hbr:DeleteContact",
            "hbr:DeleteContactGroup",
            "hbr:DeleteVault",
            "hbr:DeleteJob",
            "hbr:DeleteClient",
            "hbr:DeleteHanaBackupPlan",
            "hbr:DeleteClients",
            "hbr:DeleteBackupSourceGroup",
            "hbr:DeleteBackupPlan",
            "hbr:DeleteHanaInstance",
            "hbr:DeleteSqlServerInstance",
            "hbr:DeleteSnapshot",
            "hbr:DeleteSqlServerSnapshot",
            "hbr:DeleteSqlServerLog",
            "hbr:DeleteVcenter",
            "hbr:DeleteUdmEcsInstance",
            "hbr:DeleteAppliance",
            "hbr:DeleteUniBackupClient",
            "hbr:DeleteUniBackupPlan",
            "hbr:DeleteUniBackupCluster",
            "hbr:DeleteUniRestorePlan"
        ],
        "Resource": [
            "acs:hbr:*:{uid}:vault/{vaultId}",
            "acs:hbr:*:{uid}:vault/{vaultId}/*"
        ]
    }]
}

说明

其中，vaultId表示需要保护的备份库ID，如果要保护所有仓库，请填写星号（*）。
有关如何填写以上Policy中涉及的基本元素，例如效力（Effect）、操作（Action）以及资源（Resource）等，请参见权限策略基本元素。

为RAM用户授权。
1. 在左侧导航栏中，选择身份管理 > 用户。
2. 找到目标RAM用户，单击添加权限。
3. 单击自定义策略，选中步骤2中创建的策略。
4. 单击确定。

执行结果

配置以上RAM Policy后，如果RAM用户试图删除某个备份库，将出现报错。
配置以上RAM Policy后，如果RAM用户试图删除单个备份（如ECS文件备份），将出现报错。