Claves de condición, recursos y acciones de AWS Backup - AWS Identity and Access Management

Claves de condición, recursos y acciones de AWS Backup

AWS Backup (prefijo de servicio: backup) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas de servicios para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Backup

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
CopyIntoBackupVault [solo permiso] Copiar en un almacén de copias de seguridad Escritura
CreateBackupPlan Crea un nuevo plan de copia de seguridad. Escritura

backupPlan*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBackupSelection Crea una nueva asignación de recursos en un plan de copia de seguridad. Escritura

backupPlan*

iam:PassRole

CreateBackupVault Crea un nuevo almacén de copias de seguridad. Escritura

backupVault*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteBackupPlan Elimina un plan de copia de seguridad. Escritura

backupPlan*

DeleteBackupSelection Elimina una asignación de recursos a partir de un plan de copia de seguridad. Escritura

backupPlan*

DeleteBackupVault Elimina un almacén de copia de seguridad. Escritura

backupVault*

DeleteBackupVaultAccessPolicy Elimina la política de acceso al almacén de copias de seguridad. Escritura

backupVault*

DeleteBackupVaultNotifications Elimina notificaciones del almacén de copias de seguridad. Escritura

backupVault*

DeleteRecoveryPoint Elimina un punto de recuperación de un almacén de copias de seguridad. Escritura

recoveryPoint*

DescribeBackupJob Describe un trabajo de copia de seguridad. Lectura
DescribeBackupVault Crea un nuevo almacén de copias de seguridad con el nombre especificado. Lectura

backupVault*

DescribeCopyJob Describe un trabajo de copia Lectura

aws:RequestTag/${TagKey}

aws:TagKeys

DescribeProtectedResource Describe un recurso protegido. Lectura
DescribeRecoveryPoint Describe un punto de recuperación. Lectura

recoveryPoint*

DescribeRegionSettings Describe la configuración de región Lectura
DescribeRestoreJob Describe un trabajo de restauración. Lectura
ExportBackupPlanTemplate Exporta un plan de copia de seguridad como JSON. Lectura
GetBackupPlan Obtiene un plan de copia de seguridad. Lectura

backupPlan*

GetBackupPlanFromJSON Transforma un JSON en un plan de copia de seguridad. Lectura
GetBackupPlanFromTemplate Transforma una plantilla en un plan de copia de seguridad. Lectura
GetBackupSelection Obtiene una asignación de recursos del plan de copia de seguridad. Lectura

backupPlan*

GetBackupVaultAccessPolicy Obtiene la política de acceso al almacén de copias de seguridad. Lectura

backupVault*

GetBackupVaultNotifications Obtiene notificaciones del almacén de copias de seguridad. Lectura

backupVault*

GetRecoveryPointRestoreMetadata Obtiene metadatos de restauración del punto de recuperación. Lectura

recoveryPoint*

GetSupportedResourceTypes Obtiene los tipos de recurso admitidos. Lectura
ListBackupJobs Muestra una lista de trabajos de copia de seguridad. List
ListBackupPlanTemplates Muestra una lista de plantillas de planes proporcionadas por AWS Backup. List
ListBackupPlanVersions Muestra una lista de las versiones del plan de copia de seguridad. List

backupPlan*

ListBackupPlans Muestra una lista de los planes de copia de seguridad. List
ListBackupSelections Muestra una lista de las asignaciones de recursos a un plan de copia de seguridad específico. List

backupPlan*

ListBackupVaults Muestra una lista de almacenes de copias de seguridad. List
ListCopyJobs Mostrar los trabajos de copia List
ListProtectedResources Muestra una lista de recursos protegidos por AWS Backup. List
ListRecoveryPointsByBackupVault Muestra una lista de puntos de recuperación dentro de un almacén de copias de seguridad. List

backupVault*

ListRecoveryPointsByResource Muestra una lista de puntos de recuperación para un recurso. List
ListRestoreJobs Muestra una lista de trabajos de restauración. List
ListTags Muestra una lista de etiquetas para un recurso. List

backupPlan

backupVault

recoveryPoint

PutBackupVaultAccessPolicy Añade una política de acceso al almacén de copias de seguridad. Escritura

backupVault*

PutBackupVaultNotifications Añade un tema SNS al almacén de copias de seguridad. Escritura

backupVault*

StartBackupJob Inicia un nuevo trabajo de copia de seguridad. Escritura

backupVault*

iam:PassRole

StartCopyJob Copia una copia de seguridad de una región de origen en una región de destino. Escritura

recoveryPoint*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

StartRestoreJob Inicia un nuevo trabajo de restauración. Escritura

recoveryPoint*

iam:PassRole

StopBackupJob Detiene un trabajo de copia de seguridad. Escritura
TagResource Etiqueta un recurso. Etiquetado

backupPlan

backupVault

recoveryPoint

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Elimina las etiquetas de un recurso. Etiquetado

backupPlan

backupVault

recoveryPoint

aws:TagKeys

UpdateBackupPlan Actualiza un plan de copia de seguridad. Escritura

backupPlan*

UpdateRecoveryPointLifecycle Actualiza el ciclo de vida del punto de recuperación. Escritura

recoveryPoint*

UpdateRegionSettings Describe la configuración de región Escritura

Tipos de recurso definidos por AWS Backup

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
backupVault arn:${Partition}:backup:${Region}:${Account}:backup-vault:${BackupVaultName}

aws:ResourceTag/${TagKey}

backupPlan arn:${Partition}:backup:${Region}:${Account}:backup-plan:${BackupPlanId}

aws:ResourceTag/${TagKey}

recoveryPoint arn:${Partition}:${Vendor}:${Region}:*:${ResourceType}:${RecoveryPointId}

aws:ResourceTag/${TagKey}

Claves de condición de AWS Backup

AWS Backup define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones en función del conjunto de valores permitidos para cada una de las etiquetas. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de la etiqueta asociada con el recurso. Cadena
aws:TagKeys Filtra acciones en función de la presencia de etiquetas obligatorias en la solicitud. Cadena