Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Syntaxe et exemples d'une politique de sauvegarde
Cette page décrit la syntaxe d'une politique de sauvegarde et fournit des exemples.
Syntaxe des politiques de sauvegarde
Une politique de sauvegarde est un fichier texte brut qui est structuré conformément aux règles de JSON
L'essentiel d'une politique de sauvegarde est constitué du plan de sauvegarde et de ses règles. La syntaxe du plan de sauvegarde dans une politique de AWS Organizations sauvegarde est structurellement identique à celle utilisée par AWS Backup, mais les noms des clés sont différents. Dans les descriptions des noms de clé de stratégie ci-dessous, chacun inclut le nom de clé de AWS Backup plan équivalent. Pour plus d'informations sur AWS Backup les forfaits, consultez CreateBackupPlanle guide duAWS Backup développeur.
Note
Lors de l'utilisation de JSON, les noms de clé dupliqués seront rejetés. Si vous souhaitez inclure plusieurs plans, règles ou sélections dans une seule politique, assurez-vous que le nom de chaque clé est unique.
Pour être complète et fonctionnelle, une politique de sauvegarde effective doit inclure plus qu'un simple plan de sauvegarde avec son calendrier et ses règles. La politique doit également identifier Régions AWS les ressources à sauvegarder, ainsi que le rôle AWS Identity and Access Management (IAM) qui AWS Backup peut être utilisé pour effectuer la sauvegarde.
La politique fonctionnellement complète suivante montre la syntaxe de la politique de sauvegarde de base. Si cet exemple était attaché directement à un compte, AWS Backup il sauvegarderait toutes les ressources de ce compte dans les eu-north-1 régions us-east-1 et dont la balise dataType a la valeur PII ouRED. L'exemple sauvegarde ces ressources tous les jours à 5h00 dans My_Backup_Vault et stocke également une copie dans My_Secondary_Vault. Ces deux coffres-forts sont dans le même compte que la ressource. Il stocke également une copie de la sauvegarde dans My_Tertiary_Vault dans un autre compte explicitement spécifié. Les coffres-forts doivent déjà exister dans chacun des coffres-forts spécifiés Régions AWS pour chaque Compte AWS personne recevant la politique effective. Si parmi les ressources sauvegardées il y a des instances EC2, la prise en charge de Microsoft Volume Shadow Copy Service (VSS) est activée pour les sauvegardes sur ces instances. La sauvegarde applique la balise Owner:Backup à chaque point de restauration.
{ "plans": { "PII_Backup_Plan": { "rules": { "My_Hourly_Rule": { "schedule_expression": {"@@assign": "cron(0 5 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "complete_backup_window_minutes": {"@@assign": "604800"}, "enable_continuous_backup": {"@@assign": false}, "target_backup_vault_name": {"@@assign": "My_Backup_Vault"}, "recovery_point_tags": { "Owner": { "tag_key": {"@@assign": "Owner"}, "tag_value": {"@@assign": "Backup"} } }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"} }, "copy_actions": { "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"} } }, "arn:aws:backup:us-east-1:$account:backup-vault:My_Tertiary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:111111111111:backup-vault:My_Tertiary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"} } } } } }, "regions": { "@@append": [ "us-east-1", "eu-north-1" ] }, "selections": { "tags": { "My_Backup_Assignment": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": {"@@assign": "enabled"} } }, "backup_plan_tags": { "stage": { "tag_key": {"@@assign": "Stage"}, "tag_value": {"@@assign": "Beta"} } } } } }
La syntaxe d'une politique de sauvegarde inclut les composants suivants :
-
Variables
$account: dans certaines chaînes de texte des politiques, vous pouvez utiliser la variable$accountpour représenter le Compte AWScourant. Lorsqu'un plan est AWS Backup exécuté dans la stratégie effective, il remplace automatiquement cette variable par le plan actuel Compte AWS dans lequel s'exécutent la politique effective et ses plans.Important
Vous pouvez utiliser la variable
$accountuniquement dans des éléments de politique pouvant inclure un Amazon Resource Name (ARN), tels que ceux qui spécifient le coffre-fort de sauvegarde dans lequel stocker la sauvegarde ou le rôle IAM disposant des autorisations nécessaires pour effectuer la sauvegarde.Par exemple, ce qui suit exige qu'un coffre nommé
My_Vaultexiste dans chaque coffre Compte AWS auquel la politique s'applique.arn:aws:backup:us-west-2:$account:vault:My_Vault"Nous vous recommandons d'utiliser des ensembles de AWS CloudFormation piles et de les intégrer à Organizations pour créer et configurer automatiquement des coffres-forts de sauvegarde et des rôles IAM pour chaque compte membre de l'organisation. Pour de plus amples informations, consultez Créer un ensemble de piles avec des autorisations autogérées dans le Guide de l'utilisateurAWS CloudFormation .
-
Opérateurs d'héritage : les politiques de sauvegarde peuvent utiliser à la fois les opérateurs de définition de valeur d'héritage et les opérateurs de contrôle enfants.
-
plansAu niveau supérieur, la clé de la politique est la clé
plans. Une politique de sauvegarde doit toujours commencer avec ce nom de clé fixe en haut du fichier de politique. Sous cette clé, vous pouvez avoir un ou plusieurs plans de sauvegarde. -
Chaque plan sous la clé de niveau supérieur
plansa un nom de clé qui comprend le nom du plan de sauvegarde attribué par l'utilisateur. Dans l'exemple précédent, le nom du plan de sauvegarde estPII_Backup_Plan. Vous pouvez avoir plusieurs plans dans une politique, chacun avec ses propresrules,regions,selectionsettags.Ce nom de clé de plan de sauvegarde dans une politique de sauvegarde correspond à la valeur de la
BackupPlanNameclé dans un AWS Backup plan.Chaque plan peut contenir les éléments suivants :
-
rules: cette clé contient un ensemble de règles. Chaque règle se traduit par une tâche planifiée, avec une heure de début et une fenêtre dans laquelle sauvegarder les ressources identifiées par les élémentsselectionsetregionsdans la politique de sauvegarde effective. -
regions— Cette clé contient une liste de tableaux des Régions AWS ressources qui peuvent être sauvegardées par cette politique. -
selections: cette clé contient un ou plusieurs ensembles de ressources (dans lesregionsspécifiées) qui sont sauvegardés par lesrulesspécifiées. -
advanced_backup_settings: cette clé contient des paramètres spécifiques aux sauvegardes exécutées sur certaines ressources. -
backup_plan_tags: cet élément spécifie des balises qui sont attachées au plan de sauvegarde lui-même.
-
-
rulesLa clé de politique
rulescorrespond à la cléRulesd'un plan AWS Backup . Vous pouvez avoir une ou plusieurs règles sous la clérules. Chaque règle devient une tâche planifiée pour effectuer une sauvegarde des ressources sélectionnées.Chaque règle contient une clé dont le nom est celui de la règle. Dans l'exemple précédent, le nom de la règle est « My_Hourly_Rule ». La valeur de la clé de la règle est l'ensemble suivant d'éléments de règle :
-
schedule_expression— Cette clé de politique correspond à laScheduleExpressionclé d'un AWS Backup plan.Spécifie l'heure de début de la sauvegarde. Cette clé contient l'opérateur de valeur d'@@assignhéritage et une valeur de chaîne avec une expression CRON
qui indique quand AWS Backup lancer une tâche de sauvegarde. Le format général de la chaîne CRON est : « cron( ) ». Chaque paramètre est un chiffre ou un caractère générique. Par exemple, cron(0 5 ? * 1,3,5 *)démarre la sauvegarde à 5 heures tous les lundis, mercredis et vendredis.cron(0 0/1 ? * * *)démarre la sauvegarde toutes les heures à l'heure pile, tous les jours de la semaine. -
target_backup_vault_name— Cette clé de politique correspond à laTargetBackupVaultNameclé d'un AWS Backup plan.Spécifie le nom du coffre-fort de sauvegarde dans lequel stocker la sauvegarde. Vous créez la valeur en utilisant AWS Backup. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur de chaîne avec un nom de coffre-fort.
Important
Le coffre-fort doit déjà exister lorsque le plan de sauvegarde est lancé pour la première fois. Nous vous recommandons d'utiliser des ensembles de AWS CloudFormation piles et de les intégrer à Organizations pour créer et configurer automatiquement des coffres-forts de sauvegarde et des rôles IAM pour chaque compte membre de l'organisation. Pour de plus amples informations, consultez Créer un ensemble de piles avec des autorisations autogérées dans le Guide de l'utilisateurAWS CloudFormation .
-
start_backup_window_minutes— Cette clé de politique correspond à laStartWindowMinutesclé d'un AWS Backup plan.(Facultatif) Spécifie le nombre de minutes à attendre avant d'annuler une tâche qui ne démarre pas correctement. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de minutes.
-
complete_backup_window_minutes: cette clé de politique correspond à la cléCompletionWindowMinutesd'un plan AWS Backup .(Facultatif) Spécifie le nombre de minutes après le démarrage d'une tâche de sauvegarde avant qu'elle doive s'achever ou être annulée par AWS Backup. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de minutes.
-
enable_continuous_backup— Cette clé de politique correspond à laEnableContinuousBackupclé d'un AWS Backup plan.(Facultatif) Spécifie s'il AWS Backup crée des sauvegardes continues.
Trueprovoque AWS Backup la création de sauvegardes continues capables de point-in-time restauration (PITR).False(ou non spécifiée) provoque AWS Backup la création de sauvegardes instantanées.Note
Étant donné que les sauvegardes compatibles PITR peuvent être conservées pendant 35 jours au maximum, vous devez choisir
Falseou ne spécifier aucune valeur si vous définissez l'une des options suivantes :-
Définir
delete_after_daysà une valeur supérieure à 35 -
Définir
move_to_cold_storage_after_daysà n'importe quelle valeur.
Pour plus d'informations sur les sauvegardes continues, consultez P oint-in-time recovery dans le Guide duAWS Backup développeur.
-
-
lifecycle— Cette clé de politique correspond à laLifecycleclé d'un AWS Backup plan.(Facultatif) Spécifie à AWS Backup quel moment cette sauvegarde passe en stockage à froid et à quel moment elle expire.
-
move_to_cold_storage_after_days— Cette clé de politique correspond à laMoveToColdStorageAfterDaysclé d'un AWS Backup plan.Spécifie le nombre de jours après la sauvegarde, avant que AWS Backup déplace le point de restauration vers le stockage à froid. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de jours.
-
delete_after_days— Cette clé de politique correspond à laDeleteAfterDaysclé d'un AWS Backup plan.Spécifie le nombre de jours après la sauvegarde, avant que AWS Backup supprime le point de restauration. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de jours. Si vous effectuez la transition d'une sauvegarde vers un stockage à froid, elle doit y rester au moins 90 jours, de sorte que cette valeur doit être supérieure d'au moins 90 jours à la valeur
move_to_cold_storage_after_days.
-
-
copy_actions— Cette clé de politique correspond à laCopyActionsclé d'un AWS Backup plan.(Facultatif) Spécifie qui AWS Backup doit copier la sauvegarde vers un ou plusieurs emplacements supplémentaires. Chaque emplacement de copie de sauvegarde est décrit comme suit :
-
Une clé dont le nom identifie de manière unique cette action de copie. Pour l'instant, le nom de la clé doit être l'Amazon Resource Name (ARN) du coffre-fort de sauvegarde. Cette clé contient deux entrées.
-
target_backup_vault_arn: cette clé de politique correspond à la cléDestinationBackupVaultArnd'un plan AWS Backup .(Facultatif) Spécifie le coffre dans lequel est AWS Backup stockée une copie supplémentaire de la sauvegarde. La valeur de cette clé contient l'opérateur de valeur d'héritage @@assign et l'ARN du coffre-fort.
-
Pour référencer un coffre dans Compte AWS lequel s'exécute la politique de sauvegarde, utilisez la
$accountvariable de l'ARN à la place du numéro d'identification du compte. Lors de l' AWS Backup exécution du plan de sauvegarde, il remplace automatiquement la variable par le numéro d'identification du compte Compte AWS dans lequel la politique est exécutée. Cela permet à la sauvegarde de s'exécuter correctement lorsque la politique de sauvegarde s'applique à plusieurs comptes d'une organisation. -
Pour référencer un coffre-fort dans un autre Compte AWS de la même organisation, utilisez le numéro d'ID de compte réel dans l'ARN.
Important
-
Si cette clé est manquante, une version en minuscules de l'ARN contenu dans le nom de clé parent est utilisée. Étant donné que les ARN sont sensibles à la casse, cette chaîne peut ne pas correspondre à l'ARN réel du coffre-fort et le plan peut donc échouer. C'est pourquoi nous vous recommandons de toujours fournir cette clé et cette valeur.
-
Le coffre-fort de sauvegarde de destination de la copie doit déjà exister la première fois que vous lancez le plan de sauvegarde. Nous vous recommandons d'utiliser des ensembles de piles AWS CloudFormation et l'intégration de ce service avec Organizations pour créer et configurer automatiquement des coffres-forts de sauvegarde et des rôles IAM pour chaque compte membre de l'organisation. Pour de plus amples informations, consultez Créer un ensemble de piles avec des autorisations autogérées dans le Guide de l'utilisateurAWS CloudFormation .
-
-
lifecycle— Cette clé de politique correspond à laLifecycleclé située sous laCopyActionclé dans un AWS Backup plan.(Facultatif) Spécifie à AWS Backup quel moment cette copie d'une sauvegarde passe en stockage à froid et à quel moment elle expire.
-
move_to_cold_storage_after_days: cette clé de politique correspond à la cléMoveToColdStorageAfterDaysd'un plan AWS Backup .Spécifie le nombre de jours après la sauvegarde avant de AWS Backup déplacer le point de restauration vers un stockage à froid. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de jours.
-
delete_after_days: cette clé de politique correspond à la cléDeleteAfterDaysd'un plan AWS Backup .Spécifie le nombre de jours après la sauvegarde avant de AWS Backup supprimer le point de restauration. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de jours. Si vous effectuez la transition d'une sauvegarde vers un stockage à froid, elle doit y rester au moins 90 jours, de sorte que cette valeur doit être supérieure d'au moins 90 jours à la valeur
move_to_cold_storage_after_days.
-
-
-
-
recovery_point_tags— Cette clé de politique correspond à laRecoveryPointTagsclé d'un AWS Backup plan.(Facultatif) Spécifie AWS Backup les balises associées à chaque sauvegarde créée à partir de ce plan. La valeur de cette clé contient un ou plusieurs des éléments suivants :
-
Identifiant de cette paire nom de clé/valeur. Pour chaque élément sous
recovery_point_tags, ce nom est le nom de la clé de balise en minuscules, même si latag_keya une casse différente. Cet identifiant n'est pas sensible à la casse. Dans l'exemple précédent, cette paire de clés était identifiée par le nomOwner. Chaque paire de clés contient les éléments suivants :-
tag_key: spécifie le nom de la clé de balise à attacher au plan de sauvegarde. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur de chaîne. La valeur est sensible à la casse. -
tag_value: spécifie la valeur qui est attachée au plan de sauvegarde et associée à latag_key. Cette clé contient l'un des opérateurs de valeur d'héritage et une ou plusieurs valeurs à remplacer, ajouter ou supprimer de la politique effective. Les valeurs sont sensibles à la casse.
-
-
-
-
regionsLa clé de
regionsstratégie Régions AWS indique laquelle AWS Backup recherche les ressources qui répondent aux conditions de laselectionsclé. Cette clé contient n'importe quel opérateur de valeur d'héritage et une ou plusieurs valeurs de chaîne pour Région AWS les codes, par exemple :["us-east-1", "eu-north-1"]. -
selectionsLa clé de politique
selectionsspécifie les ressources qui sont sauvegardées par les règles de plan de cette politique. Cette touche correspond approximativement à l'BackupSelectionobjet dans AWS Backup. Les ressources sont spécifiées par une requête concernant les noms et valeurs de clé de balise correspondants. La cléselectionscontient une clé sous elle :tags.-
tags: spécifie les balises qui identifient les ressources et le rôle IAM qui a l'autorisation d'interroger les ressources et de les sauvegarder. La valeur de cette clé contient un ou plusieurs des éléments suivants :-
Identifiant de cet élément de balise. Cet identifiant sous
tagsest le nom de la clé de balise en minuscules, même si la balise à interroger a une casse différente. Cet identifiant n'est pas sensible à la casse. Dans l'exemple précédent, un élément était identifié par le nomMy_Backup_Assignment. Chaque identifiant soustagscontient les éléments suivants :-
iam_role_arn: spécifie le rôle IAM qui a l'autorisation d'accéder aux ressources identifiées par la requête de balise dans les Régions AWS spécifiées par la cléregions. Cette valeur contient l'opérateur de valeur d'@@assignhéritage et une valeur de chaîne contenant l'ARN du rôle. AWS Backup utilise ce rôle pour rechercher et découvrir les ressources et pour effectuer la sauvegarde.Vous pouvez utiliser la variable
$accountdans l'ARN à la place du numéro d'ID de compte. Lorsque le plan de sauvegarde est exécuté par AWS Backup, il remplace automatiquement la variable par le numéro d'identification du compte Compte AWS dans lequel la politique est exécutée.Important
Le rôle doit déjà exister lorsque vous lancez le plan de sauvegarde pour la première fois. Nous vous recommandons d'utiliser des ensembles de AWS CloudFormation piles et de les intégrer à Organizations pour créer et configurer automatiquement des coffres-forts de sauvegarde et des rôles IAM pour chaque compte membre de l'organisation. Pour de plus amples informations, consultez Créer un ensemble de piles avec des autorisations autogérées dans le Guide de l'utilisateurAWS CloudFormation .
-
tag_key: spécifie le nom de la clé de balise à rechercher. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur de chaîne. La valeur est sensible à la casse. -
tag_value— Spécifie la valeur qui doit être associée à un nom de clé correspondanttag_key. AWS Backup inclut la ressource dans la sauvegarde uniquement si les deuxtag_keyettag_valuecorrespondent. Cette clé contient l'un des opérateurs de valeur d'héritage et une ou plusieurs valeurs à remplacer, ajouter ou supprimer de la politique effective. Les valeurs sont sensibles à la casse.
-
-
-
-
advanced_backup_settings: spécifie des paramètres pour des scénarios de sauvegarde spécifiques. Cette clé contient un ou plusieurs paramètres. Chaque paramètre est une chaîne d'objet JSON avec les éléments suivants :-
Nom de la clé d'objet : chaîne qui spécifie le type de ressource auquel les paramètres avancés suivants s'appliquent.
-
Valeur de l'objet : chaîne d'objet JSON contenant un ou plusieurs paramètres de sauvegarde spécifiques au type de ressource associé.
À l'heure actuelle, le seul paramètre de sauvegarde avancé pris en charge active les sauvegardes Microsoft VSS (Volume Shadow Copy Service) pour Windows ou SQL Server exécutées sur une instance Amazon EC2. Le nom de la clé doit être le type de ressource
"ec2"et la valeur spécifie que la prise en charge de"windows_vss"est soitenabledsoitdisabledpour les sauvegardes effectuées sur ces instances Amazon EC2. Pour plus d'informations sur cette fonction, consultez.Création de sauvegardes Windows VSS dans le Guide du développeurAWS Backup ."advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } -
-
backup_plan_tags: spécifie les balises qui sont attachées au plan de sauvegarde lui-même. Cela n'affecte en aucune façon les balises spécifiées dans les règles ou sélections.(Facultatif) Vous pouvez attacher des balises à vos plans de sauvegarde. La valeur de cette clé est un ensemble d'éléments.
Le nom de clé pour chaque élément sous
backup_plan_tagsest le nom de clé de balise en minuscules, même si la balise à interroger a une casse différente. Cet identifiant n'est pas sensible à la casse. La valeur de chacune de ces entrées se compose des clés suivantes :-
tag_key: spécifie le nom de la clé de balise à attacher au plan de sauvegarde. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur de chaîne. Cette valeur est sensible à la casse. -
tag_value: spécifie la valeur qui est attachée au plan de sauvegarde et associée à latag_key. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur de chaîne. Cette valeur est sensible à la casse.
-
Exemples de politiques de sauvegarde
Les exemples de politiques de sauvegarde qui suivent sont fournis à titre informatif uniquement. Dans certains des exemples suivants, la mise en forme des espaces JSON peut être compressée pour économiser de l'espace.
Exemple 1 : Politique affectée à un nœud parent
L'exemple suivant montre une politique de sauvegarde affectée à l'un des nœuds parents d'un compte.
Politique parente : cette politique peut être attachée à la racine de l'organisation ou à une UO parente de tous les comptes prévus.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" } } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } } } }
Si aucune autre politique n'est héritée ou attachée aux comptes, la politique effective affichée dans chaque cas applicable Compte AWS ressemble à l'exemple suivant. L'expression CRON provoque l'exécution de la sauvegarde une fois par heure à l'heure pile. L'ID de compte 123456789012 sera l'ID de compte réel de chaque compte.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "to_delete_after_days": "2", "move_to_cold_storage_after_days": "180" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "to_delete_after_days": "28", "move_to_cold_storage_after_days": "180" } }, "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault" }, "lifecycle": { "to_delete_after_days": "28", "move_to_cold_storage_after_days": "180" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": { "windows_vss": "enabled" } } } } }
Exemple 2 : Une politique parente est fusionnée avec une politique enfant
Dans l'exemple suivant, une politique parent héritée et une politique enfant héritées ou directement associées à une Compte AWS fusion pour former la politique effective.
Politique parente : cette politique peut être attachée à la racine de l'organisation ou à une UO parente.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "to_delete_after_days": { "@@assign": "180" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "to_delete_after_days": { "@@assign": "180" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Politique enfant : cette politique peut être attachée directement au compte ou à une UO dans n'importe quel niveau inférieur à celui auquel la politique parente est attachée.
{ "plans": { "Monthly_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "eu-central-1" ] }, "rules": { "Monthly": { "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "to_delete_after_days": { "@@assign": "365" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "to_delete_after_days": { "@@assign": "365" } } } } } }, "selections": { "tags": { "MonthlyDatatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" }, "tag_key": { "@@assign": "BackupType" }, "tag_value": { "@@assign": [ "MONTHLY", "RED" ] } } } } } } }
Politique effective résultante : la politique effective appliquée aux comptes contient deux plans, chacun avec son propre ensemble de règles et son ensemble de ressources auquel appliquer les règles.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "to_delete_after_days": "2", "move_to_cold_storage_after_days": "180" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": "28", "to_delete_after_days": "180" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } }, "Monthly_Backup_Plan": { "regions": [ "us-east-1", "eu-central-1" ], "rules": { "monthly": { "schedule_expression": "cron(0 5 1 * ? *)", "start_backup_window_minutes": "480", "target_backup_vault_name": "Default", "lifecycle": { "to_delete_after_days": "365", "move_to_cold_storage_after_days": "30" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn": { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": "30", "to_delete_after_days": "365" } } } } }, "selections": { "tags": { "monthlydatatype": { "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole", "tag_key": "BackupType", "tag_value": [ "MONTHLY", "RED" ] } } } } } }
Exemple 3 : Une politique parente empêche toute modification par une politique enfant
Dans l'exemple suivant, une politique parente héritée utilise les opérateurs de contrôle enfants pour appliquer tous les paramètres et empêche leur modification ou remplacement par une politique enfant.
Politique parente : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. La présence de "@@operators_allowed_for_child_policies": ["@@none"] à chaque nœud de la politique signifie qu'une politique enfant ne peut apporter aucune modification au plan. Une politique enfant ne peut pas non plus ajouter des plans supplémentaires à la politique effective. Cette politique devient la politique effective pour chaque UO et chaque compte sous l'UO à laquelle elle est rattachée.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@none"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { "@@operators_allowed_for_child_policies": ["@@none"], "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "@@operators_allowed_for_child_policies": ["@@none"], "Hourly": { "@@operators_allowed_for_child_policies": ["@@none"], "schedule_expression": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "60" }, "target_backup_vault_name": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "FortKnox" }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "to_delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" } }, "copy_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "@@operators_allowed_for_child_policies": ["@@none"], "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault", "@@operators_allowed_for_child_policies": ["@@none"] }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "to_delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" } } } } } }, "selections": { "@@operators_allowed_for_child_policies": ["@@none"], "tags": { "@@operators_allowed_for_child_policies": ["@@none"], "datatype": { "@@operators_allowed_for_child_policies": ["@@none"], "iam_role_arn": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "dataType" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "@@operators_allowed_for_child_policies": ["@@none"], "ec2": { "@@operators_allowed_for_child_policies": ["@@none"], "windows_vss": { "@@assign": "enabled", "@@operators_allowed_for_child_policies": ["@@none"] } } } } } }
Politique effective résultante : si des politiques de sauvegarde enfants existent, elles sont ignorées et la politique parente devient la politique effective.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "to_delete_after_days": "2", "move_to_cold_storage_after_days": "180" }, "copy_actions": { "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:vault:secondary_vault", "lifecycle": { "move_to_cold_storage_after_days": "28", "to_delete_after_days": "180" } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": {"windows_vss": "enabled"} } } } }
Exemple 4 : Une politique parente empêche les modifications d'un plan de sauvegarde par une politique enfant
Dans l'exemple suivant, une politique parente héritée utilise les opérateurs de contrôle enfants pour appliquer les paramètres d'un plan unique et les empêche d'être modifiés ou remplacés par une politique enfant. La politique enfant peut encore ajouter des plans supplémentaires.
Politique parente : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. Cet exemple est similaire au précédent où tous les opérateurs d'héritage enfants sont bloqués, sauf au niveau supérieur plans. Le paramètre @@append à ce niveau permet aux politiques enfants d'ajouter d'autres plans à l'ensemble dans la politique effective. Toutes les modifications du plan hérité sont toujours bloquées.
Les sections du plan sont tronquées pour plus de clarté.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@append"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { ... }, "rules": { ... }, "selections": { ... } } } }
Politique enfant : cette politique peut être attachée directement au compte ou à une UO dans n'importe quel niveau inférieur à celui auquel la politique parente est attachée. Cette politique enfant définit un nouveau plan.
Les sections du plan sont tronquées pour plus de clarté.
{ "plans": { "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Politique effective résultante : la politique effective inclut les deux plans.
{ "plans": { "PII_Backup_Plan": { "regions": { ... }, "rules": { ... }, "selections": { ... } }, "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Exemple 5 : Une politique enfant remplace les paramètres d'une politique parente
Dans l'exemple suivant, une politique enfant utilise des opérateurs de définition de valeur pour remplacer certains des paramètres hérités d'une politique parente.
Politique parente : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. Tous les paramètres peuvent être remplacés par une politique enfant, car le comportement par défaut, en l'absence d'un opérateur de contrôle enfant qui l'empêche, est d'autoriser la politique enfant à @@assign, @@append ou @@remove. La politique parente contient tous les éléments requis pour un plan de sauvegarde valable, de sorte qu'elle sauvegarde vos ressources correctement si elles sont héritées en l'état.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "target_backup_vault_name": {"@@assign": "FortKnox"}, "lifecycle": { "to_delete_after_days": {"@@assign": "2"}, "move_to_cold_storage_after_days": {"@@assign": "180"} }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:t2": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:t2"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "28"}, "to_delete_after_days": {"@@assign": "180"} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Politique enfant : la politique enfant inclut uniquement les paramètres qui doivent être différents de ceux de la politique parente héritée. Il doit y avoir une politique parente héritée qui fournit les autres paramètres requis lors de la fusion dans une politique effective. Sinon, la politique de sauvegarde effective contient un plan de sauvegarde non valable qui ne sauvegarde pas vos ressources comme prévu.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "us-west-2", "eu-central-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "80"}, "target_backup_vault_name": {"@@assign": "Default"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "30"}, "to_delete_after_days": {"@@assign": "365"} } } } } } }
Politique effective résultante : la politique effective inclut les paramètres des deux politiques, ceux fournis par la politique enfant remplaçant les paramètres hérités de la politique parente. Dans cet exemple, les modifications suivantes se produisent :
-
La liste des régions est remplacée par une liste complètement différente. Si vous souhaitez ajouter une région à la liste héritée, utilisez
@@appendau lieu de@@assigndans la politique enfant. -
AWS Backup se produit toutes les deux heures au lieu d'une heure.
-
AWS Backup accorde 80 minutes pour démarrer la sauvegarde au lieu de 60 minutes.
-
AWS Backup utilise le
Defaultcoffre au lieu deFortKnox. -
Le cycle de vie est prolongé pour le transfert vers le stockage à froid et la suppression à terme de la sauvegarde.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-west-2", "eu-central-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/2 ? * * *)", "start_backup_window_minutes": "80", "target_backup_vault_name": "Default", "lifecycle": { "to_delete_after_days": "365", "move_to_cold_storage_after_days": "30" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault"}, "lifecycle": { "move_to_cold_storage_after_days": "28", "to_delete_after_days": "180" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } } } }
