文档首页/ 云备份 CBR/ 最佳实践/ 为用户设置禁止删除备份和恢复操作的权限
更新时间:2025-08-05 GMT+08:00

为用户设置禁止删除备份和恢复操作的权限

为保障业务和数据安全,您可以通过统一身份认证服务IAM的策略限定用户对云备份的某些特定行为的操作权限,防止用户误操作导致的数据丢失风险产生。本文介绍如何为用户配置禁止删除备份和禁止恢复操作的权限。

应用场景

企业A购买了ECS实例部署业务,同时为这些ECS实例设定了每日22:00执行备份任务的备份策略。为了确保其业务和数据安全,企业希望运维人员不能随意对ECS实例进行删除备份和数据恢复操作。

根据以上场景,企业可以根据需求创建自定义策略,然后为IAM用户授予对应的权限,从而保证IAM用户只能进行删除备份或恢复外的操作。

步骤一:创建自定义策略

  1. 管理员登录IAM控制台
  2. 在统一身份认证服务,左侧导航窗格中,选择“权限管理>权限”页签,单击右上方的“创建自定义策略”

    图1 创建自定义策略

  3. 输入“策略名称”,以“example-policy”为例。
  4. “策略配置方式”选择“可视化视图”
  5. “策略内容”下配置策略

    图2 配置策略

  6. (可选)“策略配置方式”选择“可视化视图”“策略内容”下配置策略

    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Deny",
                "Action": [
                    "cbr:backups:restore",
                    "cbr:backups:delete"
                ]
            }
        ]
    }

  7. (可选)输入“策略描述”
  8. 单击“确定”。

步骤二:创建IAM用户组

  1. 在统一身份认证服务,左侧导航窗格中,单击“用户组”>“创建用户组”。

    图3 创建用户组

  2. 在“创建用户组”界面,输入“用户组名称”为“运维人员组”。

    用户组名称只能包含中文、大小写字母、数字、空格或特殊字符(-_)。
    图4 输入用户组信息

  3. 单击“确定”,完成用户组创建。

    返回用户组列表,创建成功的用户组“运维人员组”将会展示在用户组列表中。

步骤三:为IAM用户组授权

  1. 在统一身份认证服务,左侧导航窗格中,单击“用户组”。
  2. 在用户组列表中,单击新建用户组“运维人员组”右侧的“授权”。

    图5 授权

  3. 在用户组选择策略页面中,勾选步骤一创建的策略“example-policy”。单击“下一步”。

    图6 选择权限

  4. 选择权限的作用范围。系统会根据您所选择的策略,自动推荐授权范围方案,便于为用户选择合适的授权作用范围,表1为IAM提供的所有授权范围方案。

    表1 授权范围方案

    可选方案

    方案说明

    所有资源

    授权后,IAM用户可以根据权限使用账号中所有资源,包括企业项目、区域项目和全局服务资源。

    指定企业项目资源

    选择指定企业项目,IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。

    如果您暂未开通企业项目,将不支持基于企业项目授权,了解企业项目请参考:什么是企业项目管理。如需开通,请参考:开通企业项目

    指定区域项目资源

    选择指定区域项目,IAM用户可以根据权限使用该区域项目中的资源。

    如果选择作用范围为“区域项目”,且所勾选的策略包含全局服务权限,系统自动将全局服务权限的作用范围设置为所有资源,勾选的区域项目权限的作用范围仍为指定区域项目。

    说明:

    不支持选择专属云DEC的区域项目。

  5. 单击“确定”,完成用户组授权。

步骤四:将IAM用户加入运维人员组

  1. 在统一身份认证服务,左侧导航窗格中,单击“用户组”。
  2. 在用户组列表中,单击新建用户组“运维人员组”的名称,进入用户组详情页。
  3. 选择“用户管理”页签。单击“添加”。

    图7 添加用户

  4. 勾选需要加入的用户,单击“确定”。已添加的用户将会出现在用户列表中。

步骤五:IAM用户登录控制台

  1. IAM用户在“IAM用户登录”页面,输入“租户名/原华为云账号名”、“IAM用户名/邮件地址”“IAM用户密码”

    图8 IAM用户登录
    表2 登录信息

    参数

    说明

    租户名/原华为云账号名

    IAM用户所属的账号。此处假设A公司的账号名为“Company-A”。

    IAM用户名/邮件地址

    在IAM创建用户时,输入的IAM用户名/邮件地址。如果不知道IAM用户名及初始密码,请向管理员获取。此处假设运维人员的IAM用户名为“Alice”。

    IAM用户密码

    IAM用户的密码,非账号密码。

  2. 单击“登录”,IAM用户登录华为云。
  3. 进入云备份控制台,对备份进行删除操作,如无法执行该操作,表示策略生效。