Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos y sintaxis de políticas de copia de seguridad
En esta página se describe la sintaxis de la política de copia de seguridad y se proporcionan ejemplos.
Sintaxis de las políticas de copia de seguridad
Una política de copia de seguridad es un archivo de texto sin formato que se estructura de acuerdo con las reglas de JSON
El bloque de una política de copia de seguridad es el plan de copia de seguridad y sus reglas. La sintaxis del plan de respaldo dentro de una política de AWS Organizations respaldo es estructuralmente idéntica a la sintaxis utilizada por AWS Backup, pero los nombres de las claves son diferentes. En las descripciones de los nombres clave de la política que aparecen a continuación, cada uno incluye el nombre de clave del AWS Backup plan equivalente. Para obtener más información sobre AWS Backup los planes, consulte CreateBackupPlanla Guía paraAWS Backup desarrolladores.
nota
Al usar JSON, se rechazarán los nombres de clave duplicados. Si desea incluir varios planes, reglas o selecciones en una sola política, asegúrese de que el nombre de cada clave sea único.
Para ser completa y funcional, una política de copia de seguridad en vigor debe incluir algo más que un plan de copia de seguridad con su programación y sus reglas. La política también debe identificar los recursos de Regiones de AWS los que se va a realizar la copia de seguridad, así como la función AWS Identity and Access Management (de IAM) que AWS Backup se puede utilizar para realizar la copia de seguridad.
La siguiente política funcionalmente completa muestra la sintaxis básica de las políticas de copia de seguridad. Si este ejemplo se adjuntara directamente a una cuenta, se AWS Backup haría una copia de seguridad de todos los recursos de esa cuenta en las eu-north-1 regiones us-east-1 y regiones que tienen la etiqueta dataType con un valor de PII oRED. Realiza una copia de seguridad de esos recursos diariamente a las 5.00 h en My_Backup_Vault y también almacena una copia en My_Secondary_Vault. Las dos bóvedas se encuentran en la misma cuenta que el recurso. También almacena una copia de la copia de seguridad en la My_Tertiary_Vault en una cuenta diferente, explícitamente especificada. Las bóvedas deben existir ya en cada una de las áreas especificadas Regiones de AWS para cada una de las Cuenta de AWS que reciben la política vigente. Si alguno de los recursos respaldados son instancias EC2, la compatibilidad con Microsoft Volume Shadow Copy Service (VSS) está habilitada para las copias de seguridad de esas instancias. La copia de seguridad aplica la etiqueta Owner:Backup a cada punto de recuperación.
{ "plans": { "PII_Backup_Plan": { "rules": { "My_Hourly_Rule": { "schedule_expression": {"@@assign": "cron(0 5 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "complete_backup_window_minutes": {"@@assign": "604800"}, "enable_continuous_backup": {"@@assign": false}, "target_backup_vault_name": {"@@assign": "My_Backup_Vault"}, "recovery_point_tags": { "Owner": { "tag_key": {"@@assign": "Owner"}, "tag_value": {"@@assign": "Backup"} } }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"} }, "copy_actions": { "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"} } }, "arn:aws:backup:us-east-1:$account:backup-vault:My_Tertiary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:111111111111:backup-vault:My_Tertiary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"} } } } } }, "regions": { "@@append": [ "us-east-1", "eu-north-1" ] }, "selections": { "tags": { "My_Backup_Assignment": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": {"@@assign": "enabled"} } }, "backup_plan_tags": { "stage": { "tag_key": {"@@assign": "Stage"}, "tag_value": {"@@assign": "Beta"} } } } } }
La sintaxis de política de copia de seguridad incluye los siguientes componentes:
-
Variables
$account: en ciertas cadenas de texto de las políticas, puede usar la función$accountpara representar la Cuenta de AWSactual. Cuando AWS Backup ejecuta un plan en la política efectiva, reemplaza automáticamente esta variable por la actual Cuenta de AWS en la que se ejecutan la política efectiva y sus planes.importante
Solo puede utilizar la variable
$accounten elementos de la política que puedan incluir un nombre de recurso de Amazon (ARN), como aquellos que especifican el almacén de copia de seguridad en el que almacenar la copia de seguridad, o el rol de IAM con permisos para realizar la copia de seguridad.Por ejemplo, lo siguiente requiere que haya un depósito con el nombre
My_Vaulten cada uno de los lugares a los Cuenta de AWS que se aplique la política.arn:aws:backup:us-west-2:$account:vault:My_Vault"Le recomendamos que utilice conjuntos de AWS CloudFormation pilas y su integración con Organizations para crear y configurar automáticamente bóvedas de respaldo y funciones de IAM para cada cuenta de miembro de la organización. Para obtener más información, consulte Crear un conjunto de pilas con permisos autoadministrados en la Guía del usuarioAWS CloudFormation .
-
Operadores de herencia: las políticas de copia de seguridad pueden utilizar tanto la herencia de Operadores de configuración de valores como los Operadores de control secundarios.
-
plansEn el nivel superior, la clave de la política es la clave
plans. Una política de copia de seguridad debe comenzar siempre con este nombre de clave fijado en la parte superior del archivo de la política. Puede tener uno o más planes de copia de seguridad con esta clave. -
Cada plan con la clave de nivel superior
planstiene un nombre de clave que consiste en el nombre del plan de copia de seguridad asignado por el usuario. En el ejemplo anterior, el nombre del plan de copia de seguridad esPII_Backup_Plan. Puede tener varios planes en una política, cada uno con sus propiasrules,regions,selections, ytags.El nombre clave de este plan de respaldo en una política de respaldo se corresponde con el valor de la
BackupPlanNameclave en un plan. AWS BackupCada plan puede contener los siguientes elementos:
-
rules— Esta clave contiene una colección de reglas. Cada regla se traduce en una tarea programada, con una hora de inicio y una ventana de tiempo en la que realizar la copia de seguridad de los recursos identificados por los elementosselectionsyregionsde la política de copia de seguridad en vigor. -
regions— Esta clave contiene una lista de matrices de Regiones de AWS cuyos recursos se pueden respaldar mediante esta política. -
selections— Esta clave contiene una o más colecciones de recursos (dentro de laregionsespecífica) que se hace una copia de seguridad enrules. -
advanced_backup_settings— Esta clave contiene la configuración específica de las copias de seguridad que se ejecutan en determinados recursos. -
backup_plan_tags: Esto especifica etiquetas adjuntas al plan de copia de seguridad en sí.
-
-
rulesLa clave de política
rulesse asigna a la claveRulesde un plan de AWS Backup . Puede tener una o más reglas con la claverules. Cada regla se convierte en una tarea programada para realizar una copia de seguridad de los recursos seleccionados.Cada regla contiene una clave cuyo nombre es el nombre de la regla. En el ejemplo anterior, el nombre de la regla es “My_Hourly_Rule”. El valor de la clave de regla es la siguiente recopilación de elementos de regla:
-
schedule_expression— La clave de esta política se corresponde con laScheduleExpressionclave de un AWS Backup plan.Especifica la hora de inicio de la copia de seguridad. Esta clave contiene el operador de valor @@assign heredado y un valor de cadena con una expresión CRON
que especifica cuándo AWS Backup se debe iniciar un trabajo de copia de seguridad. El formato general de la cadena CRON es: "cron( )". Cada uno es un número o comodín. Por ejemplo, cron(0 5 ? * 1,3,5 *)inicia la copia de seguridad a las 5.00 h todos los lunes, miércoles y viernes.cron(0 0/1 ? * * *)inicia la copia de seguridad cada hora a la hora, todos los días de la semana. -
target_backup_vault_name— Esta clave de política se relaciona con laTargetBackupVaultNameclave de un AWS Backup plan.Especifica el nombre del almacén de copia de seguridad en el que se almacenará la copia de seguridad. El valor se crea mediante el uso de AWS Backup. Esta clave contiene el operador de valor heredado de @@assign y un valor de cadena con un nombre de almacén.
importante
Cuando el plan de copia de seguridad se inicia por primera vez, el almacén ya debe existir. Le recomendamos que utilice conjuntos de AWS CloudFormation pilas y su integración con Organizations para crear y configurar automáticamente bóvedas de respaldo y funciones de IAM para cada cuenta de miembro de la organización. Para obtener más información, consulte Crear un conjunto de pilas con permisos autoadministrados en la Guía del usuarioAWS CloudFormation .
-
start_backup_window_minutes— Esta clave de política se corresponde con laStartWindowMinutesclave de un plan. AWS Backup(Opcional) Especifica el número de minutos que se deben esperar antes de cancelar un trabajo que no se inicia correctamente. Esta clave contiene el operador de valor heredado de @@assign y un valor con un número entero de minutos.
-
complete_backup_window_minutes– Esta clave de política se asigna a la claveCompletionWindowMinutesde un plan de AWS Backup(Opcional) Especifica el número de minutos después de los que un trabajo de copia de seguridad se inicia correctamente antes de que deba completarse o AWS Backuplo cancele. Esta clave contiene el operador de valor heredado de @@assign y un valor con un número entero de minutos.
-
enable_continuous_backup— La clave de esta política se corresponde con laEnableContinuousBackupclave de un AWS Backup plan.(Opcional) Especifica si AWS Backup crea copias de seguridad continuas.
Truehace AWS Backup que se creen copias de seguridad continuas con capacidad de point-in-time restauración (PITR).False(o no especificado) provoca AWS Backup la creación de copias de seguridad instantáneas.nota
Debido a que las copias de seguridad habilitadas para PITR se pueden conservar durante un máximo de 35 días, debe elegir
Falseo no especificar un valor si establece una de las siguientes opciones:-
Defina
delete_after_daysen un valor mayor de 35. -
Establezca
move_to_cold_storage_after_daysen cualquier valor.
Para obtener más información sobre las copias de seguridad continuas, consulte la oint-in-time recuperación de P en la Guía paraAWS Backup desarrolladores.
-
-
lifecycle— La clave de esta política se corresponde con laLifecycleclave de un AWS Backup plan.(Opcional) Especifica cuándo AWS Backup pasa esta copia de seguridad a almacenamiento en frío y cuándo caduca.
-
move_to_cold_storage_after_days— La clave de esta política se corresponde con laMoveToColdStorageAfterDaysclave de un AWS Backup plan.Especifica el número de días después de que se produzca la copia de seguridad antes de que AWS Backup mueva el punto de recuperación al almacenamiento en frío. Esta clave contiene el operador de valores de herencia de@@assign y un valor con un número entero de días.
-
delete_after_days— La clave de esta política se corresponde con laDeleteAfterDaysclave de un AWS Backup plan.Especifica el número de días después de que se produzca la copia de seguridad antes de que AWS Backup elimine el punto de recuperación. Esta clave contiene el operador de valores de herencia de@@assign y un valor con un número entero de días. Si realiza la transición de una copia de seguridad al almacenamiento en frío, debe permanecer allí un mínimo de 90 días, por lo que este valor debe ser un mínimo de 90 días mayor que el valor
move_to_cold_storage_after_days.
-
-
copy_actions— La clave de esta política se corresponde con laCopyActionsclave de un AWS Backup plan.(Opcional) Especifica que se AWS Backup debe copiar la copia de seguridad en una o más ubicaciones adicionales. Cada ubicación de copia de seguridad se describe de la siguiente manera:
-
Clave cuyo nombre identifica de forma exclusiva esta acción de copia. En este momento, el nombre de clave debe ser el nombre de recurso de Amazon (ARN) del almacén de copia de seguridad. Esta clave contiene dos entradas.
-
target_backup_vault_arn– Esta clave de política se asigna a la claveDestinationBackupVaultArnde un plan de AWS Backup(Opcional) Especifica el almacén en el que se AWS Backup almacena una copia adicional de la copia de seguridad. El valor de esta clave contiene el Operador de valores de herencia @@assign y el ARN de la bóveda.
-
Para hacer referencia a un almacén en el Cuenta de AWS que se ejecuta la política de copias de seguridad, utilice la
$accountvariable del ARN en lugar del número de ID de la cuenta. Cuando AWS Backup ejecuta el plan de respaldo, reemplaza automáticamente la variable por el número de ID de cuenta Cuenta de AWS en la que se ejecuta la política. Esto permite que la copia de seguridad se ejecute correctamente cuando la política de copia de seguridad se aplica a más de una cuenta de una organización. -
Para hacer referencia a un almacén en un Cuenta de AWS diferente en la misma organización, utilice el número de ID de cuenta real en el ARN.
importante
-
Si falta esta clave, se utiliza una versión en minúsculas del ARN en el nombre de la clave principal. Debido a que los ARN distinguen entre mayúsculas y minúsculas, es posible que esta cadena no coincida con el ARN real del error y el plan falla. Por esta razón, le recomendamos que proporcione siempre esta clave y valor.
-
El almacén de copia de seguridad que quiere copiar a la copia de seguridad ya debe existir la primera vez que inicie el plan de copia de seguridad. Se recomienda utilizar conjuntos de pilas de stack sets AWS CloudFormation y su integración con Organizations para crear y configurar automáticamente almacenes de copia de seguridad y roles de IAM para cada cuenta miembro de la organización. Para obtener más información, consulte Crear un conjunto de pilas con permisos autoadministrados en la Guía del usuarioAWS CloudFormation .
-
-
lifecycle— La clave de esta política se asigna a laLifecycleclave situada debajo de laCopyActionclave de un AWS Backup plan.(Opcional) Especifica cuándo se hace la AWS Backup transición de esta copia de una copia de seguridad a un almacenamiento en frío y cuándo caduca.
-
move_to_cold_storage_after_days– Esta clave de política se asigna a la claveMoveToColdStorageAfterDaysde un plan de AWS Backup .Especifica el número de días transcurridos desde la realización de la copia de seguridad antes de que el punto de recuperación AWS Backup se traslade al almacenamiento en frío. Esta clave contiene el operador de valores de herencia de@@assign y un valor con un número entero de días.
-
delete_after_days– Esta clave de política se asigna a la claveDeleteAfterDaysde un plan de AWS BackupEspecifica el número de días transcurridos desde la realización de la copia de seguridad antes de AWS Backup eliminar el punto de recuperación. Esta clave contiene el operador de valores de herencia de@@assign y un valor con un número entero de días. Si realiza la transición de una copia de seguridad al almacenamiento en frío, debe permanecer allí un mínimo de 90 días, por lo que este valor debe ser un mínimo de 90 días mayor que el valor
move_to_cold_storage_after_days.
-
-
-
-
recovery_point_tags— Esta clave de política se corresponde con laRecoveryPointTagsclave de un AWS Backup plan.(Opcional) Especifica las etiquetas que se AWS Backup adjuntan a cada copia de seguridad que crea a partir de este plan. El valor de esta clave contiene uno o varios de los siguientes elementos:
-
Un identificador para este par de nombre de clave y valor. Este nombre para cada elemento de
recovery_point_tagses el nombre de la clave de etiqueta en minúscula, incluso aunque latag_keytenga un tratamiento de mayúsculas y minúsculas diferente. Este identificador no distingue entre mayúsculas y minúsculas. En el ejemplo anterior, este par de claves se identificó con el nombreOwner. Cada par de claves contiene los siguientes elementos:-
tag_key: especifica el nombre de clave de etiqueta que se adjuntará al plan de copia de seguridad. Esta clave contiene el operador de valor heredado de @@assign y un valor de cadena. El valor distingue entre mayúsculas y minúsculas. -
tag_value– Especifica el valor que se adjunta al plan de copia de seguridad y que está asociado altag_key. Esta clave contiene cualquiera de los operadores de valor heredado y uno o más valores para reemplazar, adjuntar o quitar de la política en vigor. Estos valores distinguen entre mayúsculas y minúsculas.
-
-
-
-
regionsLa clave
regionsde política especifica qué Regiones de AWS recursos AWS Backup busca para encontrar los recursos que cumplen las condiciones de laselectionsclave. Esta clave contiene cualquiera de los operadores de valores heredados y uno o más valores de cadena para los Región de AWS códigos, por ejemplo:["us-east-1", "eu-north-1"]. -
selectionsLa clave de política
selectionsespecifica los recursos de los que se realiza una copia de seguridad mediante las reglas de plan de esta política. Esta clave corresponde aproximadamente al BackupSelectionobjeto en AWS Backup. Los recursos se especifican mediante una consulta para hacer coincidir los nombres y valores de clave de etiqueta. Laselectionscontiene una clave debajo de ella:tags.-
tags: especifica las etiquetas que identifican los recursos y el rol de IAM que tiene permiso para consultar los recursos y realizar una copia de seguridad de ellos. El valor de esta clave contiene uno o varios de los siguientes elementos:-
Un identificador para este elemento de etiqueta. Este identificador de
tagses el nombre de clave de etiqueta en minúsculas, incluso aunque la etiqueta que se consulta tiene un tratamiento de mayúsculas y minúsculas diferente. Este identificador no distingue entre mayúsculas y minúsculas. En el ejemplo anterior, se identificó un elemento con el nombreMy_Backup_Assignment. Cada identificador detagscontiene los siguientes elementos:-
iam_role_arn: especifica el rol de IAM que tiene permiso para acceder a los recursos identificados por la consulta de etiquetas en la Regiones de AWS especificada por la claveregions. Este valor contiene el operador del valor de @@assign herencia y un valor de cadena que contiene el ARN del rol. AWS Backup utiliza este rol para buscar y descubrir los recursos y para realizar la copia de seguridad.Puede usar la variable
$accounten el ARN en lugar del número de ID de cuenta. Cuando se ejecuta el plan de respaldo AWS Backup, reemplaza automáticamente la variable por el número de ID de cuenta real de la cuenta Cuenta de AWS en la que se ejecuta la política.importante
El rol ya debe existir cuando inicie el plan de copia de seguridad la primera vez. Le recomendamos que utilice conjuntos de AWS CloudFormation pilas y su integración con Organizations para crear y configurar automáticamente bóvedas de respaldo y funciones de IAM para cada cuenta de miembro de la organización. Para obtener más información, consulte Crear un conjunto de pilas con permisos autoadministrados en la Guía del usuarioAWS CloudFormation .
-
tag_key— Especifica el nombre de clave de etiqueta que se va a buscar. Esta clave contiene el operador de valor heredado de @@assign y un valor de cadena. El valor distingue entre mayúsculas y minúsculas. -
tag_value— Especifica el valor que debe asociarse a un nombre de clave que coincida.tag_keyAWS Backup incluye el recurso en la copia de seguridad solo si ambostag_valuecoinciden.tag_keyEsta clave contiene cualquiera de los operadores de valor heredado y uno o más valores para reemplazar, adjuntar o quitar de la política en vigor. Estos valores distinguen entre mayúsculas y minúsculas.
-
-
-
-
advanced_backup_settings: especifica la configuración de escenarios de copia de seguridad específicos. Esta clave contiene una o varias opciones de configuración. Cada configuración es una cadena de objetos JSON con los siguientes elementos:-
Nombre de clave de objeto: cadena que especifica el tipo de recurso al que se aplica la siguiente configuración avanzada.
-
Valor del objeto: cadena de objeto JSON que contiene una o más configuraciones de copia de seguridad específicas del tipo de recurso asociado.
En este momento, la única configuración avanzada de copia de seguridad admitida habilita las copias de seguridad de Microsoft Volume Shadow Copy Service (VSS) para Windows o SQL Server que se ejecutan en una instancia de Amazon EC2. El nombre de la clave debe ser el tipo de recurso
"ec2"y el valor especifica que"windows_vss"el soporte esenabledodisabledpara las copias de seguridad realizadas en esas instancias de Amazon EC2. Para obtener más información acerca de esta característica, consulte Creación de una copia de seguridad de Windows habilitada para VSS en la Guía para desarrolladoresAWS Backup ."advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } -
-
backup_plan_tags: Especifica etiquetas adjuntas al plan de copia de seguridad en sí. Esto no afecta a las etiquetas especificadas en ninguna regla o selección.(Opcional) Puede asociar etiquetas a sus planes de copia de seguridad. El valor de esta clave es una colección de elementos.
El nombre de clave de cada elemento bajo
backup_plan_tagses el nombre de clave de etiqueta en minúsculas, incluso si la etiqueta a consultar tiene un tratamiento de caso diferente. Este identificador no distingue entre mayúsculas y minúsculas. El valor de cada una de estas entradas consta de las siguientes claves:-
tag_key: especifica el nombre de clave de etiqueta que se adjuntará al plan de copia de seguridad. Esta clave contiene el operador de valor heredado de @@assign y un valor de cadena. Este valor distingue entre mayúsculas y minúsculas. -
tag_value– Especifica el valor que se adjunta al plan de copia de seguridad y que está asociado altag_key. Esta clave contiene el operador de valor heredado de @@assign y un valor de cadena. Este valor distingue entre mayúsculas y minúsculas.
-
Ejemplos de políticas de copia de seguridad
Los ejemplos de políticas de copia de seguridad siguientes son solo para fines informativos. En algunos de los ejemplos siguientes, el formato de espacio en blanco JSON podría comprimirse para ahorrar espacio.
Ejemplo 1: política asignada a un nodo principal
En el ejemplo siguiente se muestra una política de copia de seguridad asignada a uno de los nodos principales de una cuenta.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa que sea primaria de todas las cuentas previstas.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" } } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } } } }
Si no se hereda ni se adjunta ninguna otra política a las cuentas, la política vigente que se muestra en cada una de las aplicables es la Cuenta de AWS que se muestra en el siguiente ejemplo. La expresión CRON hace que la copia de seguridad se ejecute una vez por hora, a la hora en punto. El ID de cuenta 123456789012 será el ID de cuenta real de cada cuenta.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "to_delete_after_days": "2", "move_to_cold_storage_after_days": "180" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "to_delete_after_days": "28", "move_to_cold_storage_after_days": "180" } }, "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault" }, "lifecycle": { "to_delete_after_days": "28", "move_to_cold_storage_after_days": "180" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": { "windows_vss": "enabled" } } } } }
Ejemplo 2: una política principal se fusiona con una política secundaria
En el siguiente ejemplo, una política principal heredada y una política secundaria se heredan o se asocian directamente a una Cuenta de AWS fusión para formar la política efectiva.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "to_delete_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "to_delete_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Política secundaria: esta política puede estar asociada directamente a la cuenta o a una unidad organizativa en cualquier nivel por debajo del nivel al que está asociada.
{ "plans": { "Monthly_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "eu-central-1" ] }, "rules": { "Monthly": { "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "to_delete_after_days": { "@@assign": "365" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "to_delete_after_days": { "@@assign": "365" } } } } } }, "selections": { "tags": { "MonthlyDatatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" }, "tag_key": { "@@assign": "BackupType" }, "tag_value": { "@@assign": [ "MONTHLY", "RED" ] } } } } } } }
Resultado de políticas en vigor: la política efectiva aplicada a las cuentas contiene dos planes, cada uno con su propio conjunto de reglas y conjunto de recursos a los que aplicar las reglas.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "to_delete_after_days": "2", "move_to_cold_storage_after_days": "180" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": "28", "to_delete_after_days": "180" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } }, "Monthly_Backup_Plan": { "regions": [ "us-east-1", "eu-central-1" ], "rules": { "monthly": { "schedule_expression": "cron(0 5 1 * ? *)", "start_backup_window_minutes": "480", "target_backup_vault_name": "Default", "lifecycle": { "to_delete_after_days": "365", "move_to_cold_storage_after_days": "30" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn": { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": "30", "to_delete_after_days": "365" } } } } }, "selections": { "tags": { "monthlydatatype": { "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole", "tag_key": "BackupType", "tag_value": [ "MONTHLY", "RED" ] } } } } } }
Ejemplo 3: una política principal evita los cambios realizados por una política secundaria
En el ejemplo siguiente, una política principal heredada utiliza los operadores de control secundarios para aplicar toda la configuración y evita que una política secundaria los modifique.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. La presencia de "@@operators_allowed_for_child_policies": ["@@none"] en cada nodo de la política significa que una política secundaria no puede realizar cambios de ningún tipo en el plan. Tampoco puede una política secundaria añadir planes adicionales a la política en vigor. Esta política se convierte en la política en vigor para cada unidad organizativa y cuenta bajo la unidad organizativa a la que está asociada.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@none"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { "@@operators_allowed_for_child_policies": ["@@none"], "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "@@operators_allowed_for_child_policies": ["@@none"], "Hourly": { "@@operators_allowed_for_child_policies": ["@@none"], "schedule_expression": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "60" }, "target_backup_vault_name": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "FortKnox" }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "to_delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" } }, "copy_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "@@operators_allowed_for_child_policies": ["@@none"], "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault", "@@operators_allowed_for_child_policies": ["@@none"] }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "to_delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" } } } } } }, "selections": { "@@operators_allowed_for_child_policies": ["@@none"], "tags": { "@@operators_allowed_for_child_policies": ["@@none"], "datatype": { "@@operators_allowed_for_child_policies": ["@@none"], "iam_role_arn": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "dataType" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "@@operators_allowed_for_child_policies": ["@@none"], "ec2": { "@@operators_allowed_for_child_policies": ["@@none"], "windows_vss": { "@@assign": "enabled", "@@operators_allowed_for_child_policies": ["@@none"] } } } } } }
Resultado de políticas en vigor: si existe alguna política de copia de seguridad secundaria, se ignora y la política principal se convierte en la política efectiva.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "to_delete_after_days": "2", "move_to_cold_storage_after_days": "180" }, "copy_actions": { "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:vault:secondary_vault", "lifecycle": { "move_to_cold_storage_after_days": "28", "to_delete_after_days": "180" } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": {"windows_vss": "enabled"} } } } }
Ejemplo 4: una política principal impide que una política secundaria realice cambios en un plan de copia de seguridad.
En el ejemplo siguiente, una política principal heredada utiliza los operadores de control secundarios para aplicar la configuración de un único plan y evita que una política secundaria los modifique. De todas formas, la política secundaria puede agregar planes adicionales.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. Este ejemplo es similar al ejemplo anterior con todos los operadores secundarios heredados bloqueados, excepto en el nivel superior de plans. La configuración @@append en ese nivel permite a las políticas secundarias agregar otros planes a la recopilación en la política en vigor. Cualquier cambio en el plan heredado sigue bloqueado.
Las secciones del plan se truncan para mayor claridad.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@append"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { ... }, "rules": { ... }, "selections": { ... } } } }
Política secundaria: esta política puede estar asociada directamente a la cuenta o a una unidad organizativa en cualquier nivel por debajo del nivel al que está asociada. Esta política secundaria define un nuevo plan.
Las secciones del plan se truncan para mayor claridad.
{ "plans": { "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Resultado de políticas en vigor — La política en vigor incluye ambos planes.
{ "plans": { "PII_Backup_Plan": { "regions": { ... }, "rules": { ... }, "selections": { ... } }, "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Ejemplo 5: una política secundaria reemplaza la configuración de una política principal
En el ejemplo siguiente, una política secundaria utiliza operadores de establecimiento de valores para anular algunas de las configuraciones heredadas de una política principal.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. Cualquiera de las opciones puede ser anulada por una política secundaria porque el comportamiento predeterminado, en ausencia de un operador de control secundario que lo impida, es permitir que la política secundaria @@assign, @@append, o @@remove. La política principal contiene todos los elementos necesarios para un plan de copia de seguridad válido, por lo que realiza una copia de seguridad de los recursos correctamente si se hereda tal y como está.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "target_backup_vault_name": {"@@assign": "FortKnox"}, "lifecycle": { "to_delete_after_days": {"@@assign": "2"}, "move_to_cold_storage_after_days": {"@@assign": "180"} }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:t2": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:t2"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "28"}, "to_delete_after_days": {"@@assign": "180"} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Política secundaria: la política secundaria incluye solo la configuración que debe ser diferente de la política principal heredada. Debe haber una política principal heredada que proporcione la otra configuración necesaria cuando se fusiona en una política en vigor. De lo contrario, la política de copia de seguridad efectiva contiene un plan de copia de seguridad no válido que no realiza una copia de seguridad de los recursos como se esperaba.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "us-west-2", "eu-central-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "80"}, "target_backup_vault_name": {"@@assign": "Default"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "30"}, "to_delete_after_days": {"@@assign": "365"} } } } } } }
Resultado de políticas en vigor: la política en vigor incluye la configuración de ambas políticas, con la configuración proporcionada por la política secundaria anulando la configuración heredada de la principal. En este ejemplo, se producen los siguientes cambios:
-
La lista de regiones se sustituye por una lista completamente diferente. Si desea agregar una región a la lista heredada, utilice
@@appenden lugar de@@assignen la política secundaria. -
AWS Backup actúa cada dos horas en lugar de cada hora.
-
AWS Backup deja transcurrir 80 minutos para que comience la copia de seguridad en lugar de 60 minutos.
-
AWS Backup utiliza la
Defaultbóveda en lugar deFortKnox. -
El ciclo de vida se extiende tanto para la transferencia al almacenamiento en frío como para la eliminación eventual de la copia de seguridad.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-west-2", "eu-central-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/2 ? * * *)", "start_backup_window_minutes": "80", "target_backup_vault_name": "Default", "lifecycle": { "to_delete_after_days": "365", "move_to_cold_storage_after_days": "30" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault"}, "lifecycle": { "move_to_cold_storage_after_days": "28", "to_delete_after_days": "180" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } } } }
