Crear, actualizar y eliminar políticas de copia de seguridad

En este tema:

• Después de habilitar las políticas de copia de seguridad de su organización, puede crear una política.

• Cuando cambien sus requisitos de copia de seguridad, puede actualizar una política existente.

• Cuando ya no necesites una política y después de separarla de todas las unidades organizativas (OUs) y cuentas, podrás eliminarla.

Creación de un plan de copia de seguridad

Permisos mínimos

Para crear una política de copia de seguridad, necesita permiso para ejecutar la siguiente acción:

• organizations:CreatePolicy

AWS Management Console

Puedes crear una política de copias de seguridad AWS Management Console de dos maneras:

• Un editor visual que le permite elegir opciones y genera el texto JSON de la política automáticamente.

• Un editor de texto que le permite crear usted mismo directamente el texto JSON de la política.

El editor visual facilita el proceso, pero limita su flexibilidad. Es una excelente manera de crear sus primeras políticas y sentirse cómodo al usarlas. Una vez que comprenda cómo funcionan y haya empezado a verse limitado por lo que ofrece el editor visual, puede añadir funciones avanzadas a sus políticas editando usted mismo el texto de la JSON política. El editor visual utiliza solo el operador de configuración de valores @@assign y no proporciona ningún acceso a los operadores de control secundarios. Solo puede añadir los operadores de control infantil si edita manualmente el texto JSON de la política.

Para crear una política de backup

1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

2. En la página Backup policies (Políticas de copia de seguridad), seleccione Create policy (Crear política).

3. En la página Create policy (Crear política), introduzca un Policy name (Nombre de política) y una Description (Descripción) opcional para la política.

4. (Opcional) Puede agregar una o varias etiquetas a la política seleccionando Agregar etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información acerca del etiquetado, consulte Etiquetado de recursos de AWS Organizations.

5. Puede crear la política mediante el Visual editor (Editor visual) como se describe en este procedimiento. También puedes introducir o pegar el texto de la política en la JSONpestaña. Para obtener información acerca de la sintaxis de las políticas de copia de seguridad, consulte Ejemplos y sintaxis de políticas de copia de seguridad.

   Si decide utilizar el Visual editor (Editor visual), seleccione las opciones de copia de seguridad adecuadas para su situación. Un plan de copia de seguridad consta de tres partes. Para obtener más información acerca de estos elementos del plan de copia de seguridad, consulte Crear un plan de copia de seguridad y Asignar recursos en la Guía del desarrollador AWS Backup .

   1. Detalles generales del plan de copia de seguridad

      • El nombre del plan de copia de seguridad puede constar únicamente de caracteres alfanuméricos, guiones y guiones bajos.

      • Debe seleccionar al menos una región del plan de copia de seguridad de la lista. El plan puede hacer copias de seguridad de los recursos solo en las áreas seleccionadas Regiones de AWS.

   2. Una o más reglas de copia de seguridad que especifican cómo y cuándo debe funcionar AWS Backup . Cada regla de copia de seguridad define los siguientes elementos:

      • Una programación que incluye la frecuencia de la copia de seguridad y la ventana de tiempo en la que se puede realizar la copia de seguridad.

      • El nombre del almacén de copia de seguridad que se va a utilizar. El nombre del almacén de copia de seguridad puede constar únicamente de caracteres alfanuméricos, guiones y guiones bajos. Debe haber un almacén de copia de seguridad para que el plan pueda ejecutarse correctamente. Cree el almacén mediante la AWS Backup consola o AWS CLI los comandos.

      • (Opcional) Una o varias reglas Copy to region (Copiar en región) para copiar también las copias de seguridad en almacenes de otras Regiones de AWS.

      • Uno o más pares de clave y valor de etiqueta para asociar a los puntos de recuperación de copia de seguridad creados cada vez que se ejecuta este plan de copia de seguridad.

      • Opciones de ciclo de vida que especifican cuándo pasa la copia de seguridad al almacenamiento en frío y cuándo caduca la copia de seguridad.

      Seleccionar Agregar regla para agregar cada regla que necesite al plan.

      Para obtener más información sobre las reglas de copia de seguridad, consulte las Reglas de copia de seguridad en la Guía para desarrolladores AWS Backup .

   3. Una asignación de recursos que especifica los recursos de los que AWS Backup debe realizar una copia de seguridad con este plan. La asignación se realiza especificando los pares de etiquetas que se AWS Backup utilizan para buscar y hacer coincidir los recursos

      • El nombre de la asignación de recursos puede constar únicamente de caracteres alfanuméricos, guiones y guiones bajos.

      • Especifique la IAMfunción que se AWS Backup va a utilizar para realizar la copia de seguridad por su nombre.

        En la consola, no se especifica todo el nombre del recurso de Amazon (ARN). Debe incluir tanto el nombre del rol como su prefijo, que especifica el tipo de rol. Los prefijos son típicamente role o service-role, y se separan del nombre del rol por una barra inclinada ('/'). Por ejemplo, puede escribir role/MyRoleName o service-role/MyManagedRoleName. Se convierte en uno completo ARN cuando se almacena en el archivo subyacenteJSON.

        importante

        El IAM rol especificado ya debe existir en la cuenta a la que se aplica la política. De lo contrario, el plan de copia de seguridad podrá iniciar correctamente trabajos de copia de seguridad, pero dichos trabajos de copia de seguridad fallarán.

      • Especifique una o más Clave de etiqueta de recursos y Valores de etiquetas para identificar los recursos de los que desea realizar una copia de seguridad. Si hay más de un valor de etiqueta, sepárelos con comas.

      Seleccionar Agregar una asignación para agregar cada asignación de recursos configurada al plan de copia de seguridad.

      Para obtener más información, consulte Asignar recursos a un plan de copia de seguridad en la Guía para desarrolladores AWS Backup .

6. Cuando haya terminado de crear la política, elija Create policy (Crear política). La política aparece en la lista de políticas de copia de seguridad disponibles.

AWS CLI & AWS SDKs

Para crear una política de backup

Puede utilizar uno de los siguientes elementos para crear una política de copia de seguridad:

• AWS CLI: create-policy

  Cree un plan de respaldo en forma de JSON texto similar al siguiente y guárdelo en un archivo de texto. Para obtener reglas completas para la sintaxis, consulte Ejemplos y sintaxis de políticas de copia de seguridad.

  {
      "plans": {
          "PII_Backup_Plan": {
              "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
              "rules": {
                  "Hourly": {
                      "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                      "start_backup_window_minutes": { "@@assign": "480" },
                      "complete_backup_window_minutes": { "@@assign": "10080" },
                      "lifecycle": {
                          "move_to_cold_storage_after_days": { "@@assign": "180" },
                          "delete_after_days": { "@@assign": "270" }
                      },
                      "target_backup_vault_name": { "@@assign": "FortKnox" },
                      "copy_actions": {
                          "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                              "lifecycle": {
                                  "move_to_cold_storage_after_days": { "@@assign": "10" },
                                  "delete_after_days": { "@@assign": "100" }
                              }
                          }
                      }
                  }
              },
              "selections": {
                  "tags": {
                      "datatype": {
                          "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                          "tag_key": { "@@assign": "dataType" },
                          "tag_value": { "@@assign": [ "PII" ] }
                      }
                  }
              }
          }
      }
  }

  Este plan de respaldo especifica que AWS Backup debe hacer una copia de seguridad de todos los recursos de los afectados Cuentas de AWS que se encuentran en el especificado Regiones de AWS y que tienen la etiqueta dataType con un valor dePII.

  A continuación, importe el plan de copia de seguridad del archivo de JSON políticas para crear una nueva política de copia de seguridad en la organización. Anote el identificador de la política al final de la política ARN en el resultado.

  $ aws organizations create-policy \
      --name "MyBackupPolicy" \
      --type BACKUP_POLICY \
      --description "My backup policy" \
      --content file://policy.json{
      "Policy": {
          "PolicySummary": {
              "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
              "Description": "My backup policy",
              "Name": "MyBackupPolicy",
              "Type": "BACKUP_POLICY"
          }
          "Content": "...a condensed version of the JSON policy document you provided in the file...",
      }
  }

• AWS SDKs: CreatePolicy

Qué hacer a continuación

Cuando haya creado una política de copia de seguridad, puede hacerla efectiva. Para ello, puedes adjuntar la política a la raíz de la organización, a las unidades organizativas (OUs), Cuentas de AWS dentro de la organización o a una combinación de todas ellas.

Actualización de una política de copia de seguridad

Cuando inicia sesión en la cuenta de administración de su organización, puede editar una política que requiera cambios en la organización.

Permisos mínimos

Para actualizar una política de copia de seguridad, debe tener permiso para ejecutar las siguientes acciones:

• organizations:UpdatePolicycon un Resource elemento en la misma declaración de política que incluya ARN la política que se va a actualizar (o «*»)

• organizations:DescribePolicycon un Resource elemento en la misma declaración de política que incluya ARN la política que se va a actualizar (o «*»)

AWS Management Console

Para actualizar una política de copia de seguridad

1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

2. En la página Backup policies (Políticas de copia de seguridad), elija el nombre de la política que desea actualizar.

3. Elija Editar política.

4. Puede introducir un nuevo Nombre de la política, Descripción de la política. Puede cambiar el contenido de la política mediante el editor visual o editando directamente el JSON.

5. Cuando haya terminado de actualizar la política, elija Save changes (Guardar cambios).

AWS CLI & AWS SDKs

Para actualizar una política de copia de seguridad

Puede utilizar uno de los comandos siguientes para actualizar una política de copia de seguridad:

• AWS CLI: update-policy

  En el siguiente ejemplo se cambia el nombre de una política de copia de seguridad

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --name "Renamed policy"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Type": "BACKUP_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
      }
  }

  En el siguiente ejemplo se agrega o cambia la descripción de una política de copia de seguridad.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --description "My new description"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Description": "My new description",
              "Type": "BACKUP_POLICY",
              "AwsManaged": false
          },
         "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
      }
  }

  El siguiente ejemplo cambia el documento JSON de política adjunto a una política de copias de seguridad. En este ejemplo, el contenido se toma de un archivo llamado policy.json con el siguiente texto:

  {
      "plans": {
          "PII_Backup_Plan": {
              "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
              "rules": {
                  "Hourly": {
                      "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                      "start_backup_window_minutes": { "@@assign": "480" },
                      "complete_backup_window_minutes": { "@@assign": "10080" },
                      "lifecycle": {
                          "move_to_cold_storage_after_days": { "@@assign": "180" },
                          "delete_after_days": { "@@assign": "270" },
                          "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                      },
                      "target_backup_vault_name": { "@@assign": "FortKnox" },
                      "copy_actions": {
                          "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                              "lifecycle": {
                                  "move_to_cold_storage_after_days": { "@@assign": "10" },
                                  "delete_after_days": { "@@assign": "100" },
                                  "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                              }
                          }
                      }
                  }
              },
              "selections": {
                  "tags": {
                      "datatype": {
                          "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                          "tag_key": { "@@assign": "dataType" },
                          "tag_value": { "@@assign": [ "PII" ] }
                      }
                  }
              }
          }
      }
  }

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --content file://policy.json
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Description": "My new description",
              "Type": "BACKUP_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
  }

• AWS SDKs: UpdatePolicy

Edición de etiquetas adjuntas a una política de copia de seguridad

Cuando inicie sesión en la cuenta de administración de su organización, puede agregar o eliminar las etiquetas asociadas a una política de copia de seguridad. Para obtener más información acerca del etiquetado, consulte Etiquetado de recursos de AWS Organizations.

Permisos mínimos

Para editar las etiquetas adjuntas a una política de copias de seguridad en su AWS organización, debe tener los siguientes permisos:

• organizations:DescribeOrganization (solo consola: para navegar a la política)

• organizations:DescribePolicy (solo consola: para navegar a la política)

• organizations:TagResource

• organizations:UntagResource

AWS Management Console

Para editar las etiquetas adjuntas a una política de copia de seguridad

1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

2. Página de Políticas de copia de seguridad

3. Elija el nombre de la política que tenga las etiquetas que quiere modificar.

   Aparece la página de detalles de la política.

4. En la pestaña Tags (Etiquetas), elija Manage tags (Administrar etiquetas).

5. Puede realizar cualquiera de estas acciones en esta página:

   • Edite el valor de cualquier etiqueta introduciendo un nuevo valor sobre el anterior. No puede modificar la clave. Para cambiar una clave, debe eliminar la etiqueta con la clave anterior y agregar una etiqueta con la nueva clave.

   • Elimine una etiqueta existente eligiendo Eliminar.

   • Agregue una nueva clave de etiqueta y valore el par. Seleccione Agregar etiqueta y, a continuación, introduzca el nuevo nombre de clave y el valor opcional en los cuadros proporcionados. Si deja el Valor en blanco, el valor es una cadena vacía; no es null.

6. Seleccione Guardar los cambios después de haber realizado todas las adiciones, eliminaciones y ediciones que desee realizar.

AWS CLI & AWS SDKs

Para editar las etiquetas adjuntas a una política de copia de seguridad

Puede utilizar uno de los siguientes comandos para editar las etiquetas asociadas a una política de copia de seguridad:

• AWS CLI: tag-resource y untag-resource

• AWS SDKs: TagResourcey UntagResource

Eliminar una política de copia de seguridad

Cuando inicia sesión en la cuenta de administración de su organización, puede eliminar una política que ya no necesite en su organización.

Para poder eliminar una política, primero debe desconectarla de todas las entidades asociadas.

Permisos mínimos

Para eliminar una política, debe tener permiso para ejecutar la siguiente acción:

• organizations:DeletePolicycon un Resource elemento en la misma declaración ARN de política que incluya la política a eliminar (o «*»)

AWS Management Console

Para eliminar una política de copia de seguridad

1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

2. En la página Tag policies (Políticas de copia de seguridad), elija el nombre de la política de copia de seguridad que desea eliminar.

3. Primero debes separar la política de copias de seguridad que deseas eliminar de todas las raíces y cuentas. OUs Elija el icono Implementación, elija el botón de opción situado junto a cada nodo raíz, OU o cuenta que se muestra en la lista Implementación y, a continuación, elija Desconectar. En el cuadro de diálogo de confirmación, elija Desconectar. Repita hasta que elimine todos los destinos.

4. En la parte superior de la página, elija Eliminar.

5. En el cuadro de diálogo de confirmación, escriba el nombre de la política y, a continuación, elija Eliminar.

AWS CLI & AWS SDKs

Para eliminar una política de copias de seguridad

En los siguientes ejemplos de código, se muestra cómo utilizar DeletePolicy.

.NET

AWS SDK for .NET

nota

Hay más en marcha GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

• Para API obtener más información, consulte DeletePolicyla AWS SDK for .NET APIReferencia.

CLI

AWS CLI

Eliminación de una política

En el siguiente ejemplo se muestra cómo eliminar una política de una organización. En el ejemplo se asume que anteriormente se ha desvinculado la política de todas las entidades:

aws organizations delete-policy --policy-id p-examplepolicyid111

• Para API obtener más información, consulte DeletePolicyla Referencia de AWS CLI comandos.

Python

SDKpara Python (Boto3)

nota

Hay más información. GitHub Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS.

def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

• Para API obtener más información, consulte DeletePolicyla AWS SDKreferencia de Python (Boto3). API