Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Definición de políticas de acceso en los almacenes de copias de seguridad
Con él AWS Backup, puede asignar políticas a las bóvedas de respaldo y a los recursos que contienen. La asignación de políticas le permite hacer cosas como conceder acceso a los usuarios para crear planes de copia de seguridad y copias de seguridad bajo demanda, pero limitar su capacidad de eliminar puntos de recuperación una vez creados.
Para obtener información sobre el uso de políticas para conceder o restringir el acceso a recursos, consulte Políticas basadas en identidad y políticas basadas en recursos en la Guía del usuario de IAM. También puede controlar el acceso mediante etiquetas.
Puede utilizar las siguientes políticas de ejemplo como guía para limitar el acceso a los recursos cuando trabaje con AWS Backup almacenes. A diferencia de otras políticas basadas en la IAM, las políticas de AWS Backup acceso no admiten el uso de un comodín en la clave. Action
Para obtener una lista de nombres de recursos de Amazon (ARN) que puede utilizar para identificar puntos de recuperación para diferentes tipos de recursos, consulte AWS Backup los ARN de recursos de los ARN de puntos de recuperación específicos de recursos.
Las políticas de acceso de Vault solo controlan el acceso de los usuarios a las API. AWS Backup También se puede acceder a algunos tipos de copia de seguridad, como instantáneas de Amazon Elastic Block Store (Amazon EBS) y Amazon Relational Database Service (Amazon RDS), mediante las API de esos servicios. Puede crear políticas de acceso independientes en IAM que controlan el acceso a esas API con el fin de controlar plenamente el acceso a esos tipos de copia de seguridad.
Independientemente de la política de acceso del AWS Backup almacén, se backup:CopyIntoBackupVault rechazará el acceso entre cuentas para cualquier acción distinta de la del recurso al que se hace referencia. Es decir, se AWS Backup rechazará cualquier otra solicitud de una cuenta que sea diferente de la cuenta del recurso al que se hace referencia.
Temas
Denegación del acceso a un tipo de recurso en un almacén de copias de seguridad
Esta política deniega el acceso a las operaciones de API especificadas para todas las instantáneas de Amazon EBS de un almacén de copias de seguridad.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }
Denegación del acceso a un almacén de copias de seguridad
Esta política deniega el acceso a las operaciones de API especificadas dirigidas a un almacén de copias de seguridad.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }
Denegación del acceso para eliminar puntos de recuperación en un almacén de copias de seguridad
El acceso a los almacenes y la capacidad de eliminar puntos de recuperación almacenados en ellos se determinará en función del acceso que conceda a los usuarios.
Siga estos pasos para crear una política de acceso basada en recursos en un almacén de copias de seguridad que impida la eliminación de todas las copias de seguridad del almacén.
Para crear una política de acceso basada en recursos en un almacén de copias de seguridad
Inicie sesión y abra la AWS Backup consola en https://console.aws.amazon.com/backup
. AWS Management Console -
En el panel de navegación de la izquierda, elija Backup vaults (Almacenes de copias de seguridad).
-
Elija un almacén de copias de seguridad en la lista.
-
En la sección Access policy (Política de acceso), pegue el siguiente ejemplo de JSON. Esta política impide que cualquier persona que no sea la entidad principal elimine un punto de recuperación en el almacén de copias de seguridad de destino.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }Para permitir que las identidades de IAM de la lista utilicen su ARN, utilice la clave de condición global
aws:PrincipalArndel siguiente ejemplo.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }Para obtener información acerca de cómo obtener un ID único para una entidad de IAM, consulte Obtener el identificador único en la Guía del usuario de IAM.
Si desea limitar esto a tipos de recursos específicos, en lugar de
"Resource": "*", puede incluir explícitamente los tipos de puntos de recuperación que se van a denegar. Por ejemplo, para las instantáneas de Amazon EBS, cambie el tipo de recurso por lo siguiente."Resource": ["arn:aws:ec2::Region::snapshot/*"] -
Elija Asociar política.
