NetBackup™ Snapshot Manager for Cloud 安装和升级指南

基于 VM

KMS（加密和解密）

在各种操作期间列出 KMS 密钥。

kms:ListKeys

NetBackup Snapshot Manager 提供的 KMS 功能。

kms:Encrypt

kms:Decrypt

kms:GenerateDataKey

kms:GenerateDataKeyWithoutPlaintext

kms:CreateGrant

这是 AWS 在内部所需的权限，用于同步复制加密快照。

kms:ReEncryptTo

kms:ReEncryptFrom

获取特定 KMS 密钥的信息。

kms:DescribeKey

在各种操作期间列出 KMS 密钥别名。

kms:ListAliases

RDS 资源保护

列出 RDS 数据库快照（发现）。

rds:DescribeDBSnapshots

列出 RDS 数据库群集（发现）。

rds:DescribeDBClusters

列出 RDS 数据库群集快照（发现）。

rds:DescribeDBClusterSnapshots

删除 RDS 数据库快照（快照失效）。

rds:DeleteDBSnapshot

创建 RDS 数据库快照。

rds:CreateDBSnapshot

创建 RDS 数据库群集快照。

rds:CreateDBClusterSnapshot

与其他帐户共享/取消共享 RDS 数据库快照，以进行跨帐户同步复制。

rds:ModifyDBSnapshotAttribute

列出 RDS 数据库子网组（发现）。

rds:DescribeDBSubnetGroups

列出 RDS 数据库实例（发现）。

rds:DescribeDBInstances

在区域之间复制 RDS 数据库快照，以用于同步复制。

rds:CopyDBSnapshot

在区域之间复制 RDS 数据库群集快照，以用于同步复制。

rds:CopyDBClusterSnapshot

在跨帐户快照的还原/同步复制操作期间，隐式需要此权限，以读取属性。

rds:DescribeDBSnapshotAttributes

列出所有 RDS 代理。

rds:DescribeDBProxies

列出特定代理的 RDS 数据库实例。

rds:DescribeDBProxyTargets

删除 RDS 数据库群集快照（快照失效）。

rds:DeleteDBClusterSnapshot

列出 RDS 资源的标记。

rds:ListTagsForResource

在快照、同步复制和还原期间，为 RDS 资源添加标记。

rds:AddTagsToResource

列出给定 RDS 代理的代理端点。

rds: DescribeDBProxyEndpoints

授予检索和解密加密数据的权限。

secretsmanager:GetSecretValue

获取位置中提供的实例类型的详细信息。用于确定 RDS 数据库备份/还原期间的并行性。

ec2:DescribeInstanceTypes

恢复 RDS 资源

修改 RDS 数据库实例的设置。

在还原期间修改安全组。

rds:ModifyDBInstance

与其他帐户共享/取消共享 RDS 数据库群集快照，以进行跨帐户同步复制。

rds:ModifyDBClusterSnapshotAttribute

从快照创建 RDS 数据库实例（快照还原）。

rds:RestoreDBInstanceFromDBSnapshot

修改 RDS 数据库群集的设置。

rds:ModifyDBCluster

从快照创建 RDS 数据库群集（快照还原）。

rds:RestoreDBClusterFromSnapshot

还原 RDS 群集时创建 RDS 数据库实例。

rds:CreateDBInstance

这是 AWS 在内部所需的权限，用于还原 RDS 数据库群集。

rds:RestoreDBClusterToPointInTime

要创建 RDS 数据库安全组，请使用默认安全组还原 RDS。

rds:CreateDBSecurityGroup

创建 RDS 数据库群集。

rds:CreateDBCluster

这是 AWS 在内部所需的权限，用于还原 RDS 数据库实例。

rds:RestoreDBInstanceToPointInTime

在还原 RDS 群集快照期间获取有关参数组的信息。

rds:DescribeDBClusterParameterGroups

EC2 资源备份

获取用于发出 API 请求的用户/角色的相关信息（通过其配置 CSP）。

sts:GetCallerIdentity

需要为源帐户角色提供此权限，并满足跨帐户角色所需的其他前提条件，以进行跨帐户提供商配置。

sts:AssumeRole

创建 EBS 卷快照。

ec2:CreateSnapshot

创建 EC2 实例快照（所有挂接磁盘的快照）。

ec2:CreateSnapshots

列出 EC2 实例（发现）。

ec2:DescribeInstances

获取指定 EC2 实例的状态。

ec2:DescribeInstanceStatus

与其他帐户共享/取消共享 EBS 快照，以进行跨帐户同步复制。

ec2:ModifySnapshotAttribute

将 EBS 快照从一个区域复制到另一个区域。

逐个磁盘复制 EC2 实例快照。

ec2:CopySnapshot

列出 EBS 快照（发现）。

ec2:DescribeSnapshots

获取指定 EBS 卷的状态。

ec2:DescribeVolumeStatus

列出 EBS 卷（发现）。

ec2:DescribeVolumes

在还原 EC2 实例快照期间使用，注册中间 AMI 以启动 EC2 实例。

ec2:RegisterImage

在各种操作期间获取指定 EBS 卷的特定属性。

ec2:DescribeVolumeAttribute

列出子网（发现）。

ec2:DescribeSubnets

列出 VPC（发现）。

ec2:DescribeVpcs

取消注册在 EC2 实例还原期间注册的中间 AMI

ec2:DeregisterImage

删除 EBS 快照（快照失效/快照创建失败时进行清理）。

ec2:DeleteSnapshot

获取指定 EC2 实例的特定属性。

ec2:DescribeInstanceAttribute

列出区域。

ec2:DescribeRegions

列出可用性区域（发现）。

ec2:DescribeAvailabilityZones

重置在跨帐户同步复制期间修改的指定快照的权限设置。

重置在跨帐户同步复制期间修改的指定快照的权限设置。

ec2:ResetSnapshotAttribute

列出专用主机（发现）。

ec2:DescribeHosts

列出 AMI（由 NetBackup Snapshot Manager 创建的 EC2 实例快照）（发现）

ec2:DescribeImages

列出安全组（发现）。

ec2:DescribeSecurityGroups

列出 EC2 实例发现所需的 EC2 实例网络接口。

ec2:DescribeNetworkInterfaces

获取在特定资源上创建的标记。

ec2:DescribeTags

获取位置中提供的实例信息的详细信息。

ec2:DescribeInstanceTypes

恢复 EC2 资源

创建 EC2 实例（还原主机快照）。

ec2:RunInstances

AWS 在内部使用此权限将指定的网络接口挂接到给定实例，这是主机快照还原所必需的。

ec2:AttachNetworkInterface

在回滚还原期间将 EBS 卷与 EC2 实例分离。此外，在 GRT 工作流程期间，稍后会分离之前挂接的中间卷。

ec2:DetachVolume

在执行回滚还原时将新 EBS 卷挂接到 EC2 实例。此外，在将卷快照还原到 EC2 实例期间，新创建的磁盘将挂接到指定的实例。

ec2:AttachVolume

删除 EC2 资源上的标记。在各种操作期间会创建一些 NetBackup Snapshot Manager 内部标记，稍后需要将其删除。

ec2:DeleteTags

在 EC2 资源上创建标记。这是使用 NetBackup Snapshot Manager 元数据标记和源资源标记来标记已创建/已还原资源所必需的。

ec2:CreateTags

打开指定的实例。在还原流程期间，如果指定了在还原后启动/停止实例的选项，则需要此权限。

ec2:StartInstances

关闭指定的实例。在还原流程期间，如果指定了在还原后启动/停止实例的选项，则需要此权限。

ec2:StopInstances

在还原操作失败时删除 EC2 实例。删除在“从备份副本还原”期间创建的中间 EC2 实例也需要此权限。

ec2:TerminateInstances

从快照创建 EBS 卷。在卷快照还原和实例快照回滚还原期间使用。

ec2:CreateVolume

在还原操作失败时删除 EBS 卷。如果回滚还原成功，请删除分离的卷。删除 GRT 操作期间创建的中间卷。删除卷以及在“从备份副本还原”期间创建的中间 EC2 实例。

ec2:DeleteVolume

获取附加到已还原实例的 IAM 角色的 IAM 实例配置文件关联状态。

ec2:DescribeIamInstanceProfileAssociations

将 IAM 角色附加到还原的 EC2 实例。

ec2:AssociateIamInstanceProfile

在还原期间将弹性 IP 与 EC2 实例/网络接口关联。

ec2:AssociateAddress

列出 SSH 密钥对，用于验证用户提供的密钥对，以便与还原的 EC2 实例关联。

ec2:DescribeKeyPairs

检查与用于 EC2 实例还原的所选子网关联的可用性区域是否支持该实例类型。

ec2:DescribeInstanceTypeOfferings

AWS 在内部使用此权限，检查当前区域中的帐户是否已默认启用 EBS 加密。

ec2:GetEbsEncryptionByDefault

根据已还原 EC2 实例上的原始实例修改块设备映射。

ec2:ModifyInstanceAttribute

从快照备份

列出要备份的快照的块。

ebs:ListSnapshotBlocks

要获取特定快照块的数据，请读取快照块。

ebs:GetSnapshotBlock

列出同一 EBS 卷的两个快照之间已更改的块。

ebs:ListChangedBlocks

从备份副本还原

要在写入所有块后将快照标记为“完成”，请在还原后关闭快照。

ebs:CompleteSnapshot

从备份还原期间将块写入新创建的快照。

ebs:PutSnapshotBlock

创建一个空快照，用于写入块以从备份副本还原。

ebs:StartSnapshot

身份管理和授权

获取在 CSP 中配置的 AWS 帐户的别名。这用于在各种上下文（包括智能组）中可用的 AWS 帐户的显示名称。

iam:ListAccountAliases

针对一组操作模拟 IAM 策略和权限。用于验证用于 CSP 配置的用户/角色是否存在所需权限。

iam:SimulatePrincipalPolicy

PaaS 工作负载保护 (DynamoDB)

列出发现期间使用的 DynamoDB 表。

dynamodb:ListTables

在备份期间获取特定 DynamoDB 表的信息。

dynamodb:DescribeTable

在还原期间创建表。

dynamodb:CreateTable

在还原 DynamoDB 表期间执行批量写入。

dynamodb:BatchWriteItem

列出备份期间 DynamoDB 表的连续备份。

dynamodb:DescribeContinuousBackups

对备份期间连续备份到 S3 的 DynamoDB 表执行时间点还原。

dynamodb:ExportTableToPointInTime

检查连续备份到 S3 的 DynamoDB 表的导出状态。

dynamodb:DescribeExport

在还原期间出现故障时删除表。

dynamodb:DeleteTable

更新 DynamoDB 表元数据。

dynamodb:UpdateTable

为表设置连续备份（如果尚未设置）。

dynamodb:UpdateContinuousBackups

从 S3 导入表

dynamodb:ImportTable

描述导入操作

dynamodb:DescribeImport

使用 S3 进行 CloudWatch 日志还原 (DynamoDB)

创建日志组，以还原从 S3 导入 DynamoDB 操作的日志。

logs:CreateLogGroup

创建日志流，用于读取和写入从 S3 导入 DynamoDB 操作的日志。

logs:CreateLogStream

描述从 S3 导入 DynamoDB 操作期间创建的日志组。

logs:DescribeLogGroups

描述从 S3 导入 DynamoDB 操作期间创建的日志流。

logs:DescribeLogStreams

写入从 S3 导入 DynamoDB 操作的日志事件。

logs:PutLogEvents

为从 S3 导入 DynamoDB 操作期间创建的日志设置日志保留策略。

logs:PutRetentionPolicy

PaaS 工作负载保护（Redshift 数据库）

列出 Redshift 群集的数据库。检索有关数据库名称及其元数据的信息。此权限适用于群集级别。

redshift:ListDatabases

使用 IAM 连接到 Redshift 群集数据库。

redshift:GetClusterCredentialsWithIAM

在 Redshift 群集数据库中运行查询。

redshift-data:ExecuteStatement

通过 redshift-data API 列出 Redshift 群集的数据库，该 API 端点不同于 redshift API 端点。对于没有服务器的 Redshift，需要此权限。

redshift-data:ListDatabases

获取在 Redshift 群集数据库上执行的 SQL 语句的临时缓存结果。

redshift-data:GetStatementResult

获取 Redshift 群集的属性。

redshift:DescribeClusters

取消查询，该查询在 NetBackup 作业取消期间使用的 Redshift 群集数据库上执行。

redshift-data:CancelStatement

连接到 Redshift 群集数据库。

redshift:GetClusterCredentials

当 Amazon Redshift Data API 运行查询时，需要此权限以获取有关特定实例的详细信息。

redshift-data:DescribeStatement

PaaS 工作负载保护（Redshift 群集）

列出 Redshift 群集的数据库。检索有关数据库名称及其元数据的信息。此权限适用于群集级别。

redshift:ListDatabases

获取 Redshift 群集的属性。

redshift:DescribeClusters

在 Redshift 群集上创建标记。

redshift:CreateTags

创建指定群集的手动快照。

redshift:CreateClusterSnapshot

获取群集快照的属性。

redshift:DescribeClusterSnapshots

删除群集快照。

redshift:DeleteClusterSnapshot

获取群集子网组。

redshift:DescribeClusterSubnetGroups

从群集快照还原。

redshift:RestoreFromClusterSnapshot

访问 Internet 网关。

ec2:DescribeInternetGateways

列出接口分配和专用 IP

ec2:DescribeAddresses

列出可用性区域。

ec2:DescribeAvailabilityZones

列出 VPC。

ec2:DescribeVpcs

获取帐户属性列表。

ec2:DescribeAccountAttributes

列出子网。

ec2:DescribeSubnets

列出安全组。

ec2:DescribeSecurityGroups

访问 IAM 角色。

iam:GetRole

PaaS 工作负载保护 (Neptune)

列出 AWS Neptune 快照 - 发现

neptune:DescribeDBSnapshots

列出 AWS Neptune 群集 - 发现

neptune:DescribeDBClusters

删除 AWS Neptune 快照

neptune:DeleteDBSnapshot

列出 AWS Neptune 群集

neptune:DescribeDBClusters

创建 Neptune 数据库快照

neptune:CreateDBSnapshot

创建 Neptune 数据库群集

neptune:CreateDBCluster

列出 Neptune 数据库子网组

neptune:DescribeDBSubnetGroups

删除 Neptune 数据库群集快照

neptune:DeleteDBSnapshot

列出 AWS Neptune 群集快照

neptune:DescribeDBSnapshots

PaaS 工作负载保护 (DocumentDB)

列出 AWS DocumentDB 快照 - 发现

rds:DescribeDBSnapshots

列出 AWS DocumentDB 群集 - 发现

rds:DescribeDBClusters

删除 AWS DocumentDB 快照

rds:DeleteDBSnapshot

列出 AWS DocumentDB 群集

rds:DescribeDBClusters

创建 DocumentDB 数据库快照

rds:CreateDBSnapshot

创建 DocumentDB 数据库群集

rds:CreateDBCluster

列出 DocumentDB 数据库子网组

rds:DescribeDBSubnetGroups

删除 DocumentDB 数据库群集快照

rds:DeleteDBSnapshot

列出 Amazon DocumentDB 群集快照

rds:DescribeDBClusterSnapshots

PaaS 工作负载保护（RDS Custom for Oracle 和 RDS Custom for SQL）

为您的 AWS 帐户设置记录 API 活动的跟踪，以便跟踪和监控资源使用情况、安全事件和用户操作。

cloudtrail:CreateTrail

为 AWS CloudTrail 跟踪启用日志记录。

cloudtrail:StartLogging

PaaS 工作负载保护 (S3)

创建 DynamoDB、Custom for SQL、Custom for Oracle 和 Redshift 备份/还原期间所需的 S3 存储桶。

s3:CreateBucket

检查在 DynamoDB、Custom for SQL、Custom for Oracle 和 Redshift 备份/还原期间使用的存储桶是否已存在。

s3:ListBucket

检索 DynamoDB、Custom for SQL、Custom for Oracle 和 Redshift 备份期间存储在存储桶中的 S3 对象（文件）的 ACL。

s3:GetObjectAcl

检索 DynamoDB、Custom for SQL、Custom for Oracle 和 Redshift 备份期间存储在存储桶中的 S3 对象（文件）的内容。

s3:GetObject

从 DynamoDB 和 Redshift 备份/还原期间所需的 S3 存储桶中删除对象。

s3:DeleteObject

将数据上传到 DynamoDB 和 Redshift 还原期间所需的 S3 存储桶。

s3:PutObject

还原对象的锁定配置 (S3)

为对象配置对象保留。

s3:PutObjectRetention

在 Custom for Oracle 和 Custom for SQL 备份期间修改 Amazon S3 存储桶的存储桶策略。

s3:PutBucketPolicy

在 Custom for Oracle 和 Custom for SQL 备份期间配置或修改 Amazon S3 存储桶的对象锁定配置。

s3:PutBucketObjectLockConfiguration

在 Custom for Oracle 和 Custom for SQL 备份期间启用或修改 Amazon S3 存储桶的版本。

s3:PutBucketVersioning

在 Custom for Oracle 和 Custom for SQL 备份期间检索与 Amazon S3 存储桶中的对象关联的标记。

s3:GetObjectTagging

提供商管理的一致性快照

要向使用 SSM 配置的实例发送命令，它将运行 SSM 文档以创建快照。

ssm:SendCommand

获取 SSM 文档的详细信息并检查 NetBackup Snapshot Manager 创建的文档是否存在，以便创建应用程序一致性快照。

ssm:DescribeDocument

获取使用 SSM 配置的联机实例的列表。该信息还用于获取实例的平台。

ssm:DescribeInstanceInformation

更新由 NetBackup Snapshot Manager 创建的 SSM 文档的默认版本。

ssm:UpdateDocumentDefaultVersion

在升级时使用最新版本更新 SSM 文档的内容。

ssm:UpdateDocument

创建 SSM 文档，该文档将用于创建应用程序一致性快照。

ssm:CreateDocument

获取命令的状态和输出，即文档执行和快照响应。

ssm:GetCommandInvocation

创建应用程序一致性快照

ssm:listCommand

提供商管理的一致性快照

角色/策略：AmazonSSMManagedInstanceCore

工作负载 VM 的权限

为运行 SSM 文档的工作负载 VM 创建一致性快照。

ec2:CreateSnapshots

为通过 SSM 文档创建的快照创建标记。

ec2:CreateTags

逐个磁盘创建 VM 快照。

ec2:CreateSnapshot

基于 Kubernetes 群集

角色/策略：AmazonEKSClusterPolicy、AmazonEKSWorkerNodePolicy、AmazonEC2ContainerRegistryPowerUser、AmazonEKS_CNI_Policy、AmazonEKSServicePolicy

EKS

获取 Kubernetes 群集的节点组详细信息（关于扩展配置）。

eks:DescribeNodegroup

获取在群集上执行的扩展的状态。

eks:DescribeUpdate

要扩展 Kubernetes 群集，请更新节点组大小。

eks:UpdateNodegroupConfig

要列出 Kubernetes 群集，请发现群集。

eks:ListClusters

要获取指定 Kubernetes 群集的信息，请发现群集属性。

eks:DescribeCluster

Marketplace 部署

高可用性

对于 EKS 和 Marketplace 部署，这是必需的。

autoscaling:UpdateAutoScalingGroup

autoscaling:AttachInstances

从 Marketplace 进行灾难恢复。

autoscaling:DescribeScalingActivities

autoscaling:TerminateInstanceI​nAutoScalingGroup

在灾难恢复期间发送通知。

sns:Publish

sns:GetTopicAttributes

部署

在还原期间将指定的出站（出口）规则添加到安全组。

ec2:AuthorizeSecurityGroupEgress

在还原期间将指定的入站（入口）规则添加到安全组。

ec2:AuthorizeSecurityGroupIngress