Contrôle d’accès - AWS Backup
Ressources et opérationsPropriété des ressourcesSpécification des éléments d’une politique : actions, effets et principauxSpécification de conditions dans une politiqueRéférence des autorisations d'APIAutorisations de copie de balisespolitiques d'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d’accès

Vous pouvez disposer d'informations d'identification valides pour authentifier vos demandes, mais si vous ne disposez pas des autorisations appropriées, vous ne pouvez pas accéder aux AWS Backup ressources telles que les coffres-forts de sauvegarde. Vous ne pouvez pas non plus sauvegarder AWS des ressources telles que les volumes Amazon Elastic Block Store (Amazon EBS).

Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisation aux identités AWS Identity and Access Management (IAM) (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Certains services prennent également en charge l'attachement de stratégies d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté d'autorisations d'administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.

Lorsque vous accordez des autorisations, vous décidez qui doit les obtenir, à quelles ressources ces autorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.

Les sections suivantes expliquent le fonctionnement des stratégies d'accès et leur utilisation pour protéger vos sauvegardes.

Ressources et opérations

Une ressource est un objet qui existe au sein d'un service. AWS Backup les ressources incluent les plans de sauvegarde, les coffres-forts de sauvegarde et les sauvegardes. Backup est un terme général qui fait référence aux différents types de ressources de sauvegarde qui existent dans AWS. Par exemple, les instantanés Amazon EBS, les instantanés Amazon Relational Database Service (Amazon RDS) et les sauvegardes Amazon DynamoDB sont tous des types de ressources de sauvegarde.

Dans AWS Backup, les sauvegardes sont également appelées points de restauration. Lors de l'utilisation AWS Backup, vous travaillez également avec les ressources d'autres AWS services que vous essayez de protéger, tels que les volumes Amazon EBS ou les tables DynamoDB. Des noms Amazon Resource Name (ARN) uniques sont associés à ces ressources. Les ARN identifient les AWS ressources de manière unique. Vous devez disposer d'un ARN pour spécifier une ressource sans aucune ambiguïté au sein d' AWS, par exemple dans les politiques IAM ou les appels d'API.

Le tableau suivant répertorie les ressources, les sous-ressources, le format ARN et un exemple d'ID unique.

AWS Backup ARN des ressources
Type de ressource Format ARN Exemple d'ID unique
Plan de sauvegarde arn:aws:backup:region:account-id:backup-plan:*
Coffre-fort de sauvegarde arn:aws:backup:region:account-id:backup-vault:*
Point de récupération pour Amazon EBS arn:aws:ec2:region::snapshot/* snapshot/snap-05f426fd8kdjb4224
Point de récupération pour les images Amazon EC2 arn:aws:ec2:region::image/ami-* image/ami-1a2b3e4f5e6f7g890
Point de récupération pour Amazon RDS arn:aws:rds:region:account-id:snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Point de récupération pour Aurora arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Point de récupération pour Storage Gateway arn:aws:ec2:region::snapshot/* snapshot/snap-0d40e49137e31d9e0
Point de récupération pour DynamoDB sans Sauvegarde DynamoDB avancée arn:aws:dynamodb:region:account-id:table/*/backup/* table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3
Point de récupération pour DynamoDB avec Sauvegarde DynamoDB avancée activé arn:aws:backup:region:account-id:recovery-point:* 12a34a56-7bb8-901c-cd23-4567d8e9ef01
Point de récupération pour Amazon EFS arn:aws:backup:region:account-id:recovery-point:* d99699e7-e183-477e-bfcd-ccb1c6e5455e
Point de récupération pour Amazon FSx arn:aws:fsx:region:account-id:backup/backup-* backup/backup-1a20e49137e31d9e0
Point de récupération pour une machine virtuelle arn:aws:backup:region:account-id:recovery-point:* 1801234a-5b6b-7dc8-8032-836f7ffc623b
Point de récupération pour la sauvegarde continue Amazon S3 arn:aws:backup:region:account-id:recovery-point:* my-bucket-5ec207d0
Point de récupération pour la sauvegarde périodique S3 arn:aws:backup:region:account-id:recovery-point:* my-bucket-20211231900000-5ec207d0

Les ressources qui prennent en charge AWS Backup la gestion complète comportent toutes des points de récupération au formatarn:aws:backup:region:account-id::recovery-point:*, ce qui vous permet d'appliquer plus facilement des politiques d'autorisation pour protéger ces points de récupération. Pour savoir quelles ressources prennent en charge AWS Backup la gestion complète, consultez cette section du Disponibilité des fonctionnalités par ressource tableau.

AWS Backup fournit un ensemble d'opérations permettant de travailler avec AWS Backup les ressources. Pour obtenir la liste des opérations disponibles, consultez AWS Backup Actions.

Propriété des ressources

Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'entité principale (c'est-à-dire l'utilisateur Compte AWS root, un utilisateur IAM ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous utilisez les informations d'identification de l'utilisateur Compte AWS root Compte AWS pour créer un coffre-fort de sauvegarde, vous Compte AWS en êtes le propriétaire.

  • Si vous créez un utilisateur IAM dans votre coffre Compte AWS et que vous accordez à cet utilisateur l'autorisation de créer un coffre de sauvegarde, celui-ci peut créer un coffre de sauvegarde. Toutefois, votre compte  AWS , auquel l'utilisateur appartient, est propriétaire de la ressource que constitue le coffre-fort de sauvegarde.

  • Si vous créez un rôle IAM Compte AWS avec les autorisations nécessaires pour créer un coffre-fort de sauvegarde, toute personne susceptible d'assumer ce rôle peut créer un coffre-fort. Vous Compte AWS, à qui appartient le rôle, êtes propriétaire de la ressource du coffre de sauvegarde.

Spécification des éléments d’une politique : actions, effets et principaux

Pour chaque AWS Backup ressource (voirRessources et opérations), le service définit un ensemble d'opérations d'API (voirActions). Pour accorder des autorisations pour ces opérations d'API AWS Backup , définissez un ensemble d'actions que vous pouvez spécifier dans une politique. Une opération d’API peut exiger des autorisations pour plusieurs actions.

Voici les éléments les plus élémentaires d'une politique :

  • Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour plus d’informations, consultez Ressources et opérations.

  • Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser.

  • Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.

  • Principal – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource).

Pour plus d'informations sur la syntaxe des politiques IAM et pour obtenir des descriptions, consultez Référence de politique JSON IAM dans le manuel Guide de l'utilisateur IAM.

Pour un tableau présentant toutes les actions de l' AWS Backup API, consultezAutorisations d'API  : référence des actions, ressources et conditions.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez Condition dans le Guide de l'utilisateur IAM.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés de condition spécifiques à AWS Backup. Cependant, il existe des AWS clés de condition larges que vous pouvez utiliser le cas échéant. Pour obtenir la liste complète des clés «  AWS wide », voir AWS Global Condition Context Keys dans le guide de l'utilisateur IAM.

Note

AWS Backup ne prend en charge aucune condition de balise ou de clé de contexte dans les politiques d'accès pour aucune de ses actions.

Autorisations d'API  : référence des actions, ressources et conditions

Lorsque vous configurez Contrôle d’accès et que vous créez une stratégie d'autorisation que vous pouvez attacher à une identité IAM (stratégies basées sur une identité), vous pouvez utiliser la liste de ci-dessous comme référence. Le tableau chaque opération d' AWS Backup API, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action et la AWS ressource pour laquelle vous pouvez accorder les autorisations. Vous spécifiez les actions dans le champ Action de la politique ainsi que la valeur des ressources dans le champ Resource de la politique. Si le champ Resource est vide, vous pouvez utiliser le caractère générique (*) pour inclure toutes les ressources.

Vous pouvez utiliser des AWS clés de condition larges dans vos AWS Backup polices pour exprimer des conditions. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles dans le guide de l'utilisateur IAM.

Utilisez les barres de défilement pour voir le reste du tableau.

Autorisations de copie de balises

Lorsqu'il AWS Backup exécute une tâche de sauvegarde ou de copie, il tente de copier les balises de votre ressource source (ou point de récupération dans le cas d'une copie) vers votre point de restauration.

Note

AWS Backup ne copie pas les balises de manière native pendant les tâches de restauration. Pour une architecture axée sur les événements qui copiera les balises pendant les tâches de restauration, voir Comment conserver les balises de ressources dans les tâches de AWS Backup restauration.

Au cours d'une tâche de sauvegarde ou de copie, AWS Backup agrège les balises que vous spécifiez dans votre plan de sauvegarde (ou plan de copie, ou sauvegarde à la demande) avec les balises de votre ressource source. Cependant, AWS impose une limite de 50 balises par ressource, qui AWS Backup ne peut pas être dépassée. Lorsqu'une tâche de sauvegarde ou de copie regroupe les balises du plan et de la ressource source, elle peut découvrir plus de 50 balises au total ; elle ne pourra pas terminer la tâche et échouera. Cela est conforme aux meilleures pratiques en matière de balisage à grande AWSéchelle. Pour en savoir plus, consultez Limites de balises dans le Guide de référence générale AWS .

  • Votre ressource possède plus de 50 balises après avoir agrégé vos balises de tâche de sauvegarde avec vos balises de ressource source. AWS prend en charge jusqu'à 50 balises par ressource. Pour plus d'informations, consultez Limites de balises.

  • Le rôle IAM que vous attribuez n'est AWS Backup pas autorisé à lire les balises source ou à définir les balises de destination. Pour plus d'informations et des exemples de politiques de rôle IAM, consultez Politiques gérées.

Vous pouvez utiliser votre plan de sauvegarde pour créer des balises qui contredisent les balises de vos ressources source. Lorsque les deux sont en conflit, les balises de votre plan de sauvegarde ont priorité. Utilisez cette technique si vous préférez ne pas copier la valeur d'une balise depuis votre ressource source. Spécifiez la même clé de balise, mais une valeur différente ou vide, à l'aide de votre plan de sauvegarde.

Autorisations requises pour attribuer des balises aux sauvegardes
Type de ressource Autorisation obligatoire
Système de fichiers Amazon EFS

elasticfilesystem:DescribeTags
Système de fichiers Amazon FSx

fsx:ListTagsForResource
Base de données Amazon RDS et cluster Amazon Aurora

rds:AddTagsToResource

rds:ListTagsForResource
Volume Storage Gateway

storagegateway:ListTagsForResource
Instance Amazon EC2 et volume Amazon EBS

EC2:CreateTags

EC2:DescribeTags

DynamoDB ne prend pas en charge l'attribution de balises aux sauvegardes, sauf si vous activez d'abord Sauvegarde DynamoDB avancée.

Lorsqu'une sauvegarde Amazon EC2 crée un point de restauration d'image et un ensemble de snapshots, elle AWS Backup copie les balises dans l'AMI qui en résulte. AWS Backup copie également les balises des volumes associés à l'instance Amazon EC2 vers les instantanés qui en résultent.

politiques d'accès

Une permissions policy (politique d'autorisation) décrit qui a accès à quoi. Les politiques attachées à une identité IAM sont appelées des politiques basées sur l'identité (politiques IAM). Les politiques associées à une ressource sont appelées politiques basées sur les ressources. AWS Backup prend en charge à la fois les politiques basées sur l'identité et les politiques basées sur les ressources.

Note

Cette section décrit l'utilisation d'IAM dans le contexte de AWS Backup. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, veuillez consulter Qu'est-ce qu'IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, veuillez consulter Référence de politique JSON IAM dans le Guide de l'utilisateur IAM.

Politiques basées sur une identité (politiques IAM)

Les politiques basées sur une identité sont des politiques que vous pouvez attacher à une identité IAM, par exemple à des utilisateurs ou des rôles. Par exemple, vous pouvez définir une politique qui permet à un utilisateur de visualiser et de sauvegarder AWS des ressources, mais l'empêche de restaurer des sauvegardes.

Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez Identités (utilisateurs, groupes et rôles) dans le Guide de l'utilisateur IAM.

Pour plus d'informations sur l'utilisation de politiques IAM pour contrôler l'accès aux sauvegardes, consultez Politiques gérées pour AWS Backup.

Politiques basées sur les ressources

AWS Backup prend en charge les politiques d'accès basées sur les ressources pour les coffres-forts de sauvegarde. Vous pouvez ainsi définir une stratégie d'accès qui peut contrôler quels utilisateurs disposent d'un type d'accès particulier aux sauvegardes organisées dans un coffre-fort de sauvegarde. Les stratégies d'accès basées sur une ressource pour les coffres-forts de sauvegarde permettent de contrôler de manière simple l'accès à vos sauvegardes.

Les politiques d'accès au coffre de sauvegarde contrôlent l'accès des utilisateurs lorsque vous utilisez AWS Backup des API. Certains types de sauvegarde, tels que les instantanés Amazon Elastic Block Store (Amazon EBS) et Amazon Relational Database Service (Amazon RDS), sont également accessibles via les API de ces services. Vous pouvez créer des stratégies d'accès distinctes dans IAM qui contrôlent l'accès à ces API afin d'exercer un contrôle total sur l'accès aux sauvegardes.

Pour savoir comment créer une stratégie d'accès pour les coffres-forts de sauvegarde, consultez Définition de stratégies d'accès sur des coffres-forts de sauvegarde.