Acciones, recursos y claves de condición para AWS Backup - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS Backup

AWS Backup (prefijo de servicio: backup) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Backup

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
CopyFromBackupVault [solo permiso] Concede permiso para copiar desde un almacén de copia de seguridad. Write

backup:CopyTargets

backup:CopyTargetOrgPaths

CopyIntoBackupVault [solo permiso] Concede permiso para copiar en un almacén de copia de seguridad. Write

aws:RequestTag/${TagKey}

CreateBackupPlan Concede permiso para crear un nuevo plan de copia de seguridad. Write

backupPlan*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBackupSelection Concede permiso para crear una nueva asignación de recursos en un plan de copia de seguridad. Write

backupPlan*

iam:PassRole

CreateBackupVault Concede permiso para crear un nuevo almacén de copia de seguridad. Escritura

backupVault*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFramework Concede permiso para crear un nuevo marco Escritura

framework*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateReportPlan Concede permiso para crear un nuevo plan de informes Escritura

reportPlan*

aws:RequestTag/${TagKey}

aws:TagKeys

backup:FrameworkArns

DeleteBackupPlan Concede permiso para eliminar un plan de copia de seguridad. Write

backupPlan*

DeleteBackupSelection Concede permiso para eliminar una asignación de recursos a partir de un plan de copia de seguridad. Write

backupPlan*

DeleteBackupVault Concede permiso para eliminar un almacén de copia de seguridad. Write

backupVault*

DeleteBackupVaultAccessPolicy Concede permiso para eliminar la política de acceso al almacén de copia de seguridad. Permissions management

backupVault*

DeleteBackupVaultLockConfiguration Concede permiso para quitar la configuración de bloqueo de un almacén de copia de seguridad Escritura

backupVault*

DeleteBackupVaultNotifications Concede permiso para quitar notificaciones del almacén de copia de seguridad Escritura

backupVault*

DeleteFramework Concede permiso para eliminar un marco Escritura

framework*

DeleteRecoveryPoint Concede permiso para eliminar un punto de recuperación de un almacén de copia de seguridad. Escritura

recoveryPoint*

DeleteReportPlan Concede permiso para eliminar un plan de informes Escritura

reportPlan*

DescribeBackupJob Concede permiso para describir un trabajo de copia de seguridad. Read
DescribeBackupVault Concede permiso para describir un nuevo almacén de copia de seguridad con el nombre especificado. Read

backupVault*

DescribeCopyJob Concede permiso para describir un trabajo de copia. Lectura
DescribeFramework Concede permiso para describir un marco con el nombre especificado Lectura

framework*

DescribeGlobalSettings Concede permiso para describir la configuración global. Read
DescribeProtectedResource Concede permiso para describir un recurso protegido. Read
DescribeRecoveryPoint Concede permiso para describir un punto de recuperación. Read

recoveryPoint*

DescribeRegionSettings Concede permiso para describir la configuración de la región. Lectura
DescribeReportJob Concede permiso para describir un trabajo de informes Lectura
DescribeReportPlan Concede permiso para describir un plan de informes con el nombre especificado Lectura

reportPlan*

DescribeRestoreJob Concede permiso para describir un trabajo de restauración. Read
DisassociateRecoveryPoint Concede permiso para desasociar un punto de recuperación de un almacén de copia de seguridad. Write

recoveryPoint*

ExportBackupPlanTemplate Concede permiso para exportar un plan de copia de seguridad como un JSON. Read
GetBackupPlan Concede permiso para obtener un plan de copia de seguridad. Read

backupPlan*

GetBackupPlanFromJSON Concede permiso para transformar un JSON en un plan de copia de seguridad. Read
GetBackupPlanFromTemplate Concede permiso para transformar una plantilla en un plan de copia de seguridad. Read
GetBackupSelection Concede permiso para obtener una asignación de recursos para el plan de copia de seguridad. Read

backupPlan*

GetBackupVaultAccessPolicy Concede permiso para obtener la política de acceso al almacén de copia de seguridad. Read

backupVault*

GetBackupVaultNotifications Concede permiso para obtener notificaciones de almacén de copia de seguridad. Read

backupVault*

GetRecoveryPointRestoreMetadata Concede permiso para obtener metadatos de restauración del punto de recuperación. Read

recoveryPoint*

GetSupportedResourceTypes Concede permiso para obtener tipos de recursos compatibles. Read
ListBackupJobs Concede permiso para enumerar los trabajos de copia de seguridad. List
ListBackupPlanTemplates Concede permiso para enumerar las plantillas de plan de copia de seguridad proporcionadas por AWS Backup List
ListBackupPlanVersions Concede permiso para enumerar versiones del plan de copia de seguridad. List

backupPlan*

ListBackupPlans Concede permiso para enumerar planes de copia de seguridad. List
ListBackupSelections Concede permiso para enumerar asignaciones de recursos para un plan de copia de seguridad específico. List

backupPlan*

ListBackupVaults Concede permiso para enumerar los almacenes de copia de seguridad List
ListCopyJobs Concede permiso para enumerar trabajos de copia. List
ListFrameworks Concede permiso para enumerar marcos List
ListProtectedResources Concede permiso para enumerar recursos protegidos mediante AWS Backup List
ListRecoveryPointsByBackupVault Concede permiso para enumerar los puntos de recuperación dentro de un almacén de copia de seguridad. List

backupVault*

ListRecoveryPointsByResource Concede permiso para enumerar los puntos de recuperación de un recurso. List
ListReportJobs Concede permiso para enumerar trabajos de informes List
ListReportPlans Concede permiso para enumerar planes de informes List
ListRestoreJobs Concede permiso para enumerar trabajos de restauración. List
ListTags Concede permiso para obtener una lista de etiquetas para un recurso Read

backupPlan

backupVault

framework

recoveryPoint

reportPlan

PutBackupVaultAccessPolicy Concede permiso para agregar una política de acceso al almacén de copia de seguridad. Permissions management

backupVault*

PutBackupVaultLockConfiguration Concede permiso para agregar la configuración de bloqueo en un almacén de copia de seguridad Escritura

backupVault*

PutBackupVaultNotifications Concede permiso para agregar un tema SNS al almacén de copia de seguridad. Write

backupVault*

StartBackupJob Concede permiso para iniciar un nuevo trabajo de copia de seguridad. Write

backupVault*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

StartCopyJob Concede permiso para copiar una copia de seguridad a partir de un almacén de copia de seguridad de origen a un almacén de copia de seguridad de destino. Escritura

recoveryPoint*

iam:PassRole

StartReportJob Concede permiso para iniciar un nuevo trabajo de informes Escritura

reportPlan*

StartRestoreJob Concede permiso para iniciar un nuevo trabajo de restauración. Write

recoveryPoint*

iam:PassRole

StopBackupJob Concede el permiso para detener un trabajo de copia de seguridad. Write
TagResource Concede permiso para etiquetar un recurso Etiquetado

backupPlan

backupVault

framework

recoveryPoint

reportPlan

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Concede permiso para eliminar etiquetas en un recurso Etiquetado

backupPlan

backupVault

framework

recoveryPoint

reportPlan

aws:TagKeys

UpdateBackupPlan Concede permiso para actualizar un plan de copia de seguridad. Escritura

backupPlan*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateFramework Concede permiso para actualizar un marco Escritura

framework*

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateGlobalSettings Concede permiso para actualizar la configuración global actual de la cuenta de AWS Write
UpdateRecoveryPointLifecycle Concede permiso para actualizar el ciclo de vida del punto de recuperación. Write

recoveryPoint*

UpdateRegionSettings Concede permiso para actualizar la configuración actual de suscripción de servicio para la región. Escritura
UpdateReportPlan Concede permiso para actualizar un plan de informe Escritura

reportPlan*

backup:FrameworkArns

Tipos de recursos definidos por AWS Backup

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
backupVault arn:${Partition}:backup:${Region}:${Account}:backup-vault:${BackupVaultName}

aws:ResourceTag/${TagKey}

backupPlan arn:${Partition}:backup:${Region}:${Account}:backup-plan:${BackupPlanId}

aws:ResourceTag/${TagKey}

recoveryPoint arn:${Partition}:${Vendor}:${Region}:*:${ResourceType}:${RecoveryPointId}

aws:ResourceTag/${TagKey}

framework arn:${Partition}:backup:${Region}:${Account}:framework:${FrameworkName}-${FrameworkId}

aws:ResourceTag/${TagKey}

reportPlan arn:${Partition}:backup:${Region}:${Account}:report-plan:${ReportPlanName}-${ReportPlanId}

aws:ResourceTag/${TagKey}

Claves de condición para AWS Backup

AWS Backup define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por el conjunto de valores permitidos para cada una de las etiquetas. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por las etiquetas asociadas al recurso Cadena
aws:TagKeys Filtra el acceso por la presencia de etiquetas obligatorias en la solicitud ArrayOfString
backup:CopyTargetOrgPaths Filtra el acceso por unidad organizativa. ArrayOfString
backup:CopyTargets Filtra el acceso por el ARN de un almacén de copia de seguridad. ArrayOfARN
backup:FrameworkArns Filtra el acceso por los ARN del marco ArrayOfARN