Tetapkan kebijakan akses pada brankas cadangan

Dengan AWS Backup, Anda dapat menetapkan kebijakan ke brankas cadangan dan sumber daya yang dikandungnya. Menetapkan kebijakan memungkinkan Anda melakukan hal-hal seperti memberikan akses kepada pengguna untuk membuat paket cadangan dan pencadangan sesuai permintaan, tetapi membatasi kemampuan mereka untuk menghapus titik pemulihan setelah dibuat.

Untuk informasi tentang penggunaan kebijakan untuk memberikan atau membatasi akses ke sumber daya, lihat Kebijakan Berbasis Identitas dan Kebijakan Berbasis Sumber Daya di Panduan Pengguna IAM. Anda juga dapat mengontrol akses menggunakan tag.

Anda dapat menggunakan contoh kebijakan berikut sebagai panduan untuk membatasi akses ke sumber daya saat Anda bekerja dengan AWS Backup vault. Tidak seperti kebijakan berbasis IAM lainnya, kebijakan AWS Backup akses tidak mendukung wildcard di kunci. Action

Untuk daftar Nama Sumber Daya Amazon (ARN) yang dapat Anda gunakan untuk mengidentifikasi titik pemulihan untuk jenis sumber daya yang berbeda, lihat AWS Backup ARN sumber daya untuk ARN titik pemulihan khusus sumber daya.

Kebijakan akses Vault hanya mengontrol akses pengguna ke AWS Backup API. Beberapa jenis cadangan, seperti snapshot Amazon Elastic Block Store (Amazon EBS) dan Amazon Relational Database Service (Amazon RDS), juga dapat diakses menggunakan API dari layanan tersebut. Anda dapat membuat kebijakan akses terpisah di IAM yang mengontrol akses ke API tersebut untuk sepenuhnya mengontrol akses ke jenis cadangan tersebut.

Terlepas dari kebijakan akses AWS Backup vault, akses lintas akun untuk tindakan apa pun selain backup:CopyIntoBackupVault akan ditolak; yaitu, AWS Backup akan menolak permintaan lain dari akun yang berbeda dari akun sumber daya yang sedang direferensikan.

Tolak akses ke jenis sumber daya di brankas cadangan

Kebijakan ini menolak akses ke operasi API yang ditentukan untuk semua snapshot Amazon EBS di brankas cadangan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::Account ID:role/MyRole"
            },
            "Action": [
                "backup:UpdateRecoveryPointLifecycle",
                "backup:DescribeRecoveryPoint",
                "backup:DeleteRecoveryPoint",
                "backup:GetRecoveryPointRestoreMetadata",
                "backup:StartRestoreJob"
            ],
            "Resource": ["arn:aws:ec2:Region::snapshot/*"]
        }
    ]
}

Tolak akses ke brankas cadangan

Kebijakan ini menolak akses ke operasi API tertentu yang menargetkan brankas cadangan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::Account ID:role/MyRole"
            },
            "Action": [
                "backup:DescribeBackupVault",
                "backup:DeleteBackupVault",
                "backup:PutBackupVaultAccessPolicy",
                "backup:DeleteBackupVaultAccessPolicy",
                "backup:GetBackupVaultAccessPolicy",
                "backup:StartBackupJob",
                "backup:GetBackupVaultNotifications",
                "backup:PutBackupVaultNotifications",
                "backup:DeleteBackupVaultNotifications",
                "backup:ListRecoveryPointsByBackupVault"
            ],
            "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name"
        }
    ]
}

Tolak akses untuk menghapus titik pemulihan di brankas cadangan

Akses ke brankas dan kemampuan untuk menghapus titik pemulihan yang tersimpan di dalamnya ditentukan oleh akses yang Anda berikan kepada pengguna Anda.

Ikuti langkah-langkah berikut untuk membuat kebijakan akses berbasis sumber daya pada brankas cadangan yang mencegah penghapusan cadangan apa pun di brankas cadangan.

Untuk membuat kebijakan akses berbasis sumber daya di brankas cadangan

1. Masuk ke AWS Management Console, dan buka AWS Backup konsol di https://console.aws.amazon.com/backup.

2. Di panel navigasi di sebelah kiri, pilih Backup vaults.

3. Pilih brankas cadangan dalam daftar.

4. Di bagian Kebijakan akses, tempel contoh JSON berikut. Kebijakan ini mencegah siapa pun yang bukan prinsipal menghapus titik pemulihan di brankas cadangan target.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Deny",
               "Principal": "*",
               "Action": "backup:DeleteRecoveryPoint",
               "Resource": "*",
               "Condition": {
                   "StringNotEquals": {
                       "aws:userId": [
                          "AAAAAAAAAAAAAAAAAAAAA:",
                          "BBBBBBBBBBBBBBBBBBBBBB",
                          "112233445566"
                       ]
                   }
               }
           }
       ]
   }

   Untuk mengizinkan identitas IAM daftar menggunakan ARN mereka, gunakan kunci kondisi aws:PrincipalArn global dalam contoh berikut.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Deny",
               "Principal": "*",
               "Action": "backup:DeleteRecoveryPoint",
               "Resource": "*",
               "Condition": {
                   "ArnNotEquals": {
                       "aws:PrincipalArn": [
                          "arn:aws:iam::112233445566:role/mys3role",
                          "arn:aws:iam::112233445566:user/shaheer",
                          "112233445566"
                       ]
                   }
               }
           }
       ]
   }

   Untuk informasi tentang mendapatkan ID unik untuk entitas IAM, lihat Mendapatkan pengenal unik di Panduan Pengguna IAM.

   Jika Anda ingin membatasi ini ke jenis sumber daya tertentu, alih-alih"Resource": "*", Anda dapat secara eksplisit menyertakan jenis titik pemulihan untuk ditolak. Misalnya, untuk snapshot Amazon EBS, ubah jenis sumber daya menjadi yang berikut.

   "Resource": ["arn:aws:ec2::Region::snapshot/*"]

5. Pilih Lampirkan kebijakan.