Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Control de acceso
Puedes tener credenciales válidas para autenticar tus solicitudes, pero a menos que tengas los permisos adecuados, no podrás acceder a AWS Backup recursos como las bóvedas de respaldo. Tampoco puedes hacer copias de seguridad de AWS recursos como los volúmenes de Amazon Elastic Block Store (Amazon EBS).
Cada AWS recurso es propiedad de un Cuenta de AWS, y los permisos para crear o acceder a un recurso se rigen por las políticas de permisos. Un administrador de cuentas puede adjuntar políticas de permisos a las identidades AWS Identity and Access Management (IAM) (es decir, usuarios, grupos y roles). Y algunos servicios también permiten asociar políticas de permisos a recursos.
Un administrador de la cuenta (o usuario administrador) es un usuario con permisos de administrador. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.
Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.
En las secciones siguientes se explica cómo funcionan las políticas de acceso y como puede utilizarlas para proteger sus copias de seguridad.
Temas
Recursos y operaciones
Un recurso es un objeto que existe dentro de un servicio. AWS Backup los recursos incluyen planes de respaldo, bóvedas de respaldo y copias de seguridad. Backup es un término general que se refiere a los distintos tipos de recursos de respaldo que existen en AWS. Por ejemplo, las instantáneas de Amazon EBS, las instantáneas de Amazon Relational Database Service (Amazon RDS) y las copias de seguridad de Amazon DynamoDB son todos tipos de recursos de copia de seguridad.
En AWS Backup, las copias de seguridad también se denominan puntos de recuperación. Cuando lo usa AWS Backup, también trabaja con los recursos de otros AWS servicios que intenta proteger, como los volúmenes de Amazon EBS o las tablas de DynamoDB. Estos recursos tienen nombres de recurso de Amazon (ARN) únicos asociados a ellos. Los ARN identifican los recursos de forma exclusiva. AWS Debe tener un ARN cuando sea preciso especificar un recurso de forma inequívoca para todo AWS, como en las políticas de IAM o las llamadas a la API.
En la siguiente tabla se muestran recursos, subrecursos, formato de ARN y un ID único de ejemplo.
AWS Backup los ARN de recursos | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Tipo de recurso | Formato de ARN | ID único de ejemplo | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Plan de copias de seguridad | arn:aws:backup: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Almacén de copias de seguridad | arn:aws:backup: |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para Amazon EBS | arn:aws:ec2: |
snapshot/snap-05f426fd8kdjb4224 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para imágenes de Amazon EC2 | arn:aws:ec2: |
image/ami-1a2b3e4f5e6f7g890 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para Amazon RDS | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para Aurora | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para Storage Gateway | arn:aws:ec2: |
snapshot/snap-0d40e49137e31d9e0 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para DynamoDB sin Copia de seguridad avanzada de DynamoDB | arn:aws:dynamodb: |
table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para DynamoDB con Copia de seguridad avanzada de DynamoDB habilitado | arn:aws:backup: |
12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para Amazon EFS | arn:aws:backup: |
d99699e7-e183-477e-bfcd-ccb1c6e5455e |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para Amazon FSx | arn:aws:fsx: |
backup/backup-1a20e49137e31d9e0 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para máquina virtual | arn:aws:backup: |
1801234a-5b6b-7dc8-8032-836f7ffc623b |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para la copia de seguridad continua de Amazon S3 | arn:aws:backup: |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para la copia de seguridad periódica de S3 | arn:aws:backup: |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para Amazon DocumentDB | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación de Neptuno | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para Amazon Redshift | arn:aws:redshift: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para Amazon Timestream | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación de la plantilla AWS CloudFormation | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Punto de recuperación para la base de datos SAP HANA en la instancia Amazon EC2 | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Todos los recursos que permiten una AWS Backup administración completa tienen puntos de recuperación en ese formato, lo que facilita la aplicación de políticas de permisos para proteger esos puntos de recuperaciónarn:aws:backup:. Para ver qué recursos admiten una AWS Backup administración completa, consulte esa sección de la Disponibilidad de características por recurso tabla.region:account-id::recovery-point:*
AWS Backup proporciona un conjunto de operaciones para trabajar con AWS Backup los recursos. Para ver la lista de las operaciones disponibles, consulte AWS Backup Acciones.
Propiedad del recurso
Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de la entidad principal (es decir, el usuario Cuenta de AWS raíz, un usuario de IAM o un rol de IAM) que autentica la solicitud de creación de recursos. Los siguientes ejemplos ilustran cómo funciona:
-
Si utiliza sus credenciales de usuario Cuenta de AWS raíz Cuenta de AWS para crear un almacén de respaldo, será el Cuenta de AWS propietario del almacén.
-
Si crea un usuario de IAM en su cuenta Cuenta de AWS y le concede permisos para crear una bóveda de copias de seguridad, el usuario podrá crear una bóveda de copias de seguridad. Sin embargo, la cuenta de AWS a la que pertenece el usuario será la propietaria del recurso del almacén de copias de seguridad.
-
Si crea una función de IAM Cuenta de AWS con permisos para crear una bóveda de copias de seguridad, cualquier persona que pueda asumir esa función podrá crear una bóveda. Usted Cuenta de AWS, al que pertenece el rol, es propietario del recurso de la bóveda de respaldo.
Especificación de los elementos de las políticas: acciones, efectos y entidades principales
Para cada AWS Backup recurso (consulteRecursos y operaciones), el servicio define un conjunto de operaciones de API (consulteAcciones). Para conceder permisos para estas operaciones de la API, AWS Backup define un conjunto de acciones que puede especificar en una política. Para realizar una operación API pueden ser necesarios permisos para más de una acción.
A continuación se indican los elementos más básicos de la política:
-
Recurso: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte Recursos y operaciones.
-
Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar.
-
Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
-
Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).
Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte IAM JSON Policy Reference (Referencia de la política JSON de IAM) en la Guía del usuario de IAM.
Para ver una tabla que muestra todas las acciones de la AWS Backup API, consultePermisos de la API: referencia de acciones, recursos y condiciones.
Especificación de las condiciones de una política
Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en la que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte Condition en la Guía del usuario de IAM.
AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
AWS Backup define su propio conjunto de claves de condición. Para ver una lista de claves de AWS Backup condición, consulte las claves de condición AWS Backup en la Referencia de autorización de servicio.
Permisos de la API: referencia de acciones, recursos y condiciones
Cuando configure Control de acceso y escriba una política de permisos que se pueda asociar a una identidad de IAM (políticas basadas en identidad), puede utilizar la siguiente tabla como referencia. La lista de la tabla cada operación de la AWS Backup API, las acciones correspondientes para las que puedes conceder permisos para realizar la acción y el AWS recurso para el que puedes conceder los permisos. Las acciones se especifican en el campo Action de la política y el valor del recurso se especifica en el campo Resource de la política. Si el campo Resource está en blanco, puede usar el comodín (*) para incluir todos los recursos.
Puedes usar claves AWS de condición generales en tus AWS Backup políticas para expresar las condiciones. Para obtener una lista completa de las claves AWS anchas, consulta las claves disponibles en la Guía del usuario de IAM.
Utilice las barras de desplazamiento para ver el resto de la tabla.
1 Utiliza la política de acceso a la bóveda existente.
2 Consulte los ARN AWS Backup los ARN de recursos de puntos de recuperación específicos de cada recurso.
3 StartRestoreJob deben tener el par clave-valor en los metadatos del recurso. Para obtener los metadatos del recurso, llame a la API GetRecoveryPointRestoreMetadata.
4 Algunos tipos de recursos requieren que el rol que realiza la copia de seguridad tenga un permiso de etiquetado específico backup:TagResource si planea incluir etiquetas de recursos originales en la copia de seguridad o agregar etiquetas adicionales a una copia de seguridad. Cualquier copia de seguridad con un ARN que comience por arn:aws:backup: o que sea continua requiere este permiso. region:account-id:recovery-point:backup:TagResourceel permiso debe aplicarse a "resourcetype":
"arn:aws:backup:region:account-id:recovery-point:*"
Para obtener más información, consulte Acciones, recursos y claves de condición de AWS Backup en la Referencia de autorizaciones de servicio.
Permisos de copia de etiquetas
Cuando AWS Backup realiza un trabajo de copia de seguridad o copia, intenta copiar las etiquetas del recurso de origen (o del punto de recuperación en el caso de una copia) al punto de recuperación.
nota
AWS Backup no copia las etiquetas de forma nativa durante los trabajos de restauración. Para ver una arquitectura basada en eventos que copie las etiquetas durante los trabajos de restauración, consulte Cómo conservar las etiquetas de recursos en AWS Backup
Durante un trabajo de copia de seguridad o copia, AWS Backup agrega las etiquetas que especifique en su plan de copia de seguridad (o plan de copia o copia de seguridad bajo demanda) con las etiquetas del recurso de origen. Sin embargo, AWS impone un límite de 50 etiquetas por recurso, que AWS Backup no se puede superar. Cuando un trabajo de copia de seguridad o copia agrega etiquetas del plan y del recurso de origen, podría detectar más de 50 etiquetas en total, no podrá completar el trabajo y dará como resultado un error. Esto es coherente con las mejores AWS prácticas de etiquetado en general. Para obtener más información, consulte Tag limits en la Guía de referencia general de AWS .
-
Su recurso tiene más de 50 etiquetas después de agregar las etiquetas de los trabajos de respaldo con las etiquetas de los recursos de origen. AWS admite hasta 50 etiquetas por recurso. Para obtener más información, consulte Tag limits.
-
La función de IAM que le proporciones AWS Backup carece de permisos para leer las etiquetas de origen o establecer las etiquetas de destino. Para obtener más información y un ejemplo de las políticas del rol de IAM, consulte Políticas administradas.
Puede utilizar su plan de copia de seguridad para crear etiquetas que contradigan las etiquetas del recurso de origen. Cuando ambas estén en conflicto, prevalecerán las etiquetas del plan de copia de seguridad. Utilice esta técnica si prefiere no copiar el valor de una etiqueta del recurso de origen. Especifique la misma clave de etiqueta, pero con un valor diferente o vacío, utilizando su plan de copia de seguridad.
Permisos necesarios para asignar etiquetas a copias de seguridad | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Tipo de recurso | Permiso necesario | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Sistema de archivos de Amazon EFS |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Sistema de archivos de Amazon FSx |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Base de datos de Amazon RDS y clúster de Amazon Aurora |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Volumen de Storage Gateway |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Instancia de Amazon EC2 y volumen de Amazon EBS |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DynamoDB no admite la asignación de etiquetas a las copias de seguridad a menos que habilite primero la Copia de seguridad avanzada de DynamoDB.
Cuando una copia de seguridad de Amazon EC2 crea un punto de recuperación de imágenes y un conjunto de instantáneas, AWS Backup copia las etiquetas en la AMI resultante. AWS Backup también copia las etiquetas de los volúmenes asociados a la instancia de Amazon EC2 en las instantáneas resultantes.
Políticas de acceso
Una política de permisos describe quién tiene acceso a qué. Las políticas que se asocian a una identidad de IAM se denominan políticas basadas en identidades (o políticas de IAM). Las políticas asociadas a un recurso se denominan políticas basadas en recursos. AWS Backup admite tanto las políticas basadas en la identidad como las políticas basadas en los recursos.
nota
En esta sección se analiza el uso de la IAM en el contexto de. AWS Backup No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte Referencia de políticas JSON de IAM en la Guía del usuario de IAM.
Políticas basadas en identidades (políticas de IAM)
Las políticas basadas en identidad son políticas que puede asociar a identidades de IAM, como usuarios o roles. Por ejemplo, puede definir una política que permita a un usuario ver los AWS recursos y realizar copias de seguridad, pero que le impida restaurar las copias de seguridad.
Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.
Para obtener más información acerca de cómo utilizar políticas de IAM para controlar el acceso a las copias de seguridad, consulte Políticas gestionadas para AWS Backup.
Políticas basadas en recursos
AWS Backup admite políticas de acceso basadas en recursos para las bóvedas de respaldo. De este modo, puede definir una política de acceso que puede controlar qué usuarios tienen qué tipo de acceso a cualquiera de las copias de seguridad organizadas en un almacén de copias de seguridad. Las políticas de acceso basadas en recursos para almacenes de copia de seguridad ofrecen una manera fácil de controlar el acceso a sus copias de seguridad.
Las políticas de acceso a la bóveda de Backup controlan el acceso de los usuarios cuando se utilizan AWS Backup las API. También se puede acceder a algunos tipos de copia de seguridad, como instantáneas de Amazon Elastic Block Store (Amazon EBS) y Amazon Relational Database Service (Amazon RDS), mediante las API de esos servicios. Puede crear políticas de acceso independientes en IAM que controlan el acceso a esas API con el fin de controlar plenamente el acceso a las copias de seguridad.
Para obtener información sobre cómo crear una política de acceso para almacenes de copias de seguridad, consulte Definición de políticas de acceso en los almacenes de copias de seguridad.
