Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Définition de stratégies d'accès sur des coffres-forts de sauvegarde
Vous pouvez ainsi attribuer des politiques aux coffres-forts de sauvegarde et aux ressources qu'ils contiennent. AWS Backup L'attribution de politiques vous permet d'accorder l'accès aux utilisateurs afin qu'ils puissent créer des plans de sauvegarde et des sauvegardes à la demande, mais de limiter leur capacité à supprimer des points de récupération après leur création.
Pour plus d'informations sur l'utilisation de politiques permettant d'accorder ou de restreindre l'accès aux ressources, consultez Stratégies basées sur l'identité et Stratégies basées sur une ressource dans le Guide de l'utilisateur IAM. Vous pouvez également contrôler l'accès à l'aide de balises.
Vous pouvez utiliser les exemples de politiques suivants comme guide pour limiter l'accès aux ressources lorsque vous travaillez avec des AWS Backup coffres-forts. Contrairement aux autres politiques basées sur l'IAM, les politiques AWS Backup d'accès ne prennent pas en charge l'ajout d'un caractère générique dans la clé. Action
Pour obtenir la liste des ARN (Amazon Resource Names) que vous pouvez utiliser pour identifier des points de récupération pour différents types de ressources, veuillez vous reporter à AWS Backup ARN des ressources afin de connaître les points de récupération spécifiques aux ressources.
Les politiques d'accès au coffre-fort contrôlent uniquement l'accès des utilisateurs aux AWS Backup API. Certains types de sauvegarde, tels que les instantanés Amazon Elastic Block Store (Amazon EBS) et Amazon Relational Database Service (Amazon RDS), sont également accessibles via les API de ces services. Vous pouvez créer des stratégies d'accès distinctes dans IAM qui contrôlent l'accès à ces API afin d'exercer un contrôle total sur l'accès à ces types de sauvegardes.
Quelle que soit la politique d'accès du AWS Backup coffre, l'accès entre comptes pour toute action autre que backup:CopyIntoBackupVault sera rejeté, c'est-à-dire qu'il AWS Backup rejettera toute autre demande provenant d'un compte différent du compte de la ressource référencée.
Rubriques
Rejet de l'accès à un type de ressource dans un coffre-fort de sauvegarde
Cette politique rejette l'accès aux opérations d'API spécifiées pour tous les instantanés Amazon EBS d'un coffre-fort de sauvegarde.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }
Rejet de l'accès à un coffre-fort de sauvegarde
Cette stratégie rejette l'accès aux opérations d'API spécifiées visant un coffre-fort de sauvegarde.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }
Rejet de l'accès pour supprimer des points de récupération dans un coffre-fort de sauvegarde
L'accès aux coffres-forts et la possibilité de supprimer des points de récupération qui y sont stockés sont déterminés par l'accès que vous accordez aux utilisateurs.
Suivez les étapes ci-après pour créer une stratégie d'accès basée sur les ressources sur un coffre-fort de sauvegarde qui empêche la suppression de toutes les sauvegardes dans le coffre-fort de sauvegarde.
Pour créer une stratégie d'accès basée sur les ressources pour un coffre-fort de sauvegarde
Connectez-vous à la AWS Management Console AWS Backup console et ouvrez-la à l'adresse https://console.aws.amazon.com/backup
. -
Dans le panneau de navigation de gauche, choisissez Backup vaults (Coffres-forts de sauvegarde).
-
Choisissez un coffre-fort de sauvegarde dans la liste.
-
Dans la section Access policy (Stratégie d'accès), collez l'exemple JSON suivant. Cette stratégie empêche toute personne qui n'est pas le mandataire principal de supprimer un point de récupération dans le coffre-fort de sauvegarde cible.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }Pour autoriser les identités IAM de liste à l'aide de leur ARN, utilisez la clé de condition
aws:PrincipalArnglobale dans l'exemple suivant.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }Pour plus d'informations sur l'obtention d'un ID unique pour une entité IAM, consultez Obtention de l'identifiant unique dans le Guide de l'utilisateur IAM.
Si vous souhaitez limiter cette possibilité à des types de ressources spécifiques, au lieu de
"Resource": "*", vous pouvez inclure explicitement les types de points de récupération à rejeter. Par exemple, pour les instantanés Amazon EBS, modifiez le type de ressource comme suit."Resource": ["arn:aws:ec2::Region::snapshot/*"] -
Choisissez Attach policy (Attacher une politique).
