Membuat, memperbarui, dan menghapus kebijakan backup

Dalam topik ini:

• Setelah Anda mengaktifkan kebijakan backup untuk organisasi Anda, Anda dapat membuat kebijakan.

• Bila persyaratan backup berubah, Anda dapat memperbarui kebijakan yang ada.

• Ketika Anda tidak lagi memerlukan kebijakan dan setelah Anda melepaskannya dari semua unit organisasi (OUs) dan akun, Anda dapat menghapusnya.

Membuat kebijakan backup

Izin minimum

Untuk membuat kebijakan backup, Anda perlu izin untuk menjalankan tindakan-tindakan berikut:

• organizations:CreatePolicy

AWS Management Console

Anda dapat membuat kebijakan cadangan dengan AWS Management Console salah satu dari dua cara:

• Editor visual yang memungkinkan Anda memilih opsi dan menghasilkan teks JSON kebijakan untuk Anda.

• Editor teks yang memungkinkan Anda membuat sendiri teks JSON kebijakan secara langsung.

Editor visual membuat prosesnya mudah, namun membatasi fleksibilitas Anda. Ini adalah cara yang bagus untuk membuat kebijakan pertama Anda dan merasa nyaman menggunakannya. Setelah Anda memahami cara kerjanya dan mulai dibatasi oleh apa yang disediakan editor visual, Anda dapat menambahkan fitur lanjutan ke kebijakan Anda dengan mengedit teks JSON kebijakan sendiri. Editor visual hanya menggunakan operator pengaturan-nilai @@assign, dan tidak menyediakan akses apa pun ke operator kontrol anak. Anda dapat menambahkan operator kontrol anak hanya jika Anda mengedit teks JSON kebijakan secara manual.

Untuk membuat kebijakan backup

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

2. Pada halaman Kebijakan Backup, pilih Buat Kebijakan.

3. Pada halaman Bua kebijakan, masukkan Nama kebijakan dan Deskripsi kebijakan opsional.

4. (Opsional) Anda dapat menambahkan satu tag atau lebih ke kebijakan tersebut dengan memilih Tambahkan tag dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan null. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi lebih lanjut tentang penandaan, lihat Penandaan pada sumber daya AWS Organizations.

5. Anda dapat membangun kebijakan dengan menggunakan Editor visual seperti yang diterangkan dalam prosedur ini. Anda juga dapat memasukkan atau menempelkan teks kebijakan di JSONtab. Untuk informasi tentang sintaksis kebijakan backup, lihat Sintaksis kebijakan Backup dan contoh.

   Jika Anda memilih untuk menggunakan Editor visual, pilih opsi backup yang sesuai untuk skenario Anda. Sebuah paket backup terdiri dari tiga bagian. Untuk informasi selengkapnya tentang elemen-elemen paket backup ini, lihat Membuat paket backup dan Menetapkan sumber daya di Panduan Developer AWS Backup .

   1. Detail umum paket Backup

      • Nama paket Backup dapat terdiri dari alfanumerik, tanda hubung, dan karakter garis bawah saja.

      • Anda harus memilih setidaknya satu Wilayah paket Backup dari daftar. Paket dapat mencadangkan sumber daya hanya dalam yang dipilih Wilayah AWS.

   2. Satu atau lebih aturan backup yang menentukan bagaimana dan kapan AWS Backup beroperasi. Setiap aturan backup mendefinisikan item berikut:

      • Jadwal yang mencakup frekuensi backup dan jendela waktu di mana backup dapat terjadi.

      • Nama ruang penyimpanan backup yang akan digunakan. Nama ruang penyimpanan Backup dapat terdiri dari alfanumerik, tanda hubung, dan karakter garis bawah saja. Ruang penyimpanan backup harus ada sebelum paket dapat berhasil dijalankan. Buat lemari besi menggunakan AWS Backup konsol atau AWS CLI perintah.

      • (Opsional) Satu atau lebih Salin ke wilayah berlaku untuk juga menyalin backup ke ruang penyimpanan di Wilayah AWS lainnya.

      • Satu pasangan kunci dan nilai tag atau lebih yang akan dilampirkan ke titik pemulihan backup dibuat setiap kali paket backup ini berjalan.

      • Opsi siklus hidup yang menentukan kapan backup beralih ke penyimpanan dingin, dan saat backup habis masa berlakunya.

      Pilih Tambahkan aturan untuk menambahkan setiap aturan yang Anda butuhkan pada paket.

      Untuk informasi lebih lanjut tentang aturan backup, lihat Aturan Backup di Panduan Developer AWS Backup .

   3. Sebuah tugas sumber daya yang menentukan sumber daya mana yang harus di-backup oleh AWS Backup dengan paket ini. Penugasan dibuat dengan menentukan pasangan tag yang AWS Backup digunakan untuk menemukan dan mencocokkan sumber daya

      • Nama tugas sumber daya dapat terdiri dari alfanumerik, tanda hubung, dan karakter garis bawah saja.

      • Tentukan IAMperan yang AWS Backup akan digunakan untuk melakukan pencadangan dengan namanya.

        Di konsol, Anda tidak menentukan seluruh Amazon Resource Name (ARN). Anda harus menyertakan nama peran dan prefiks-nya yang menentukan jenis peran. Prefiks biasanya role atau service-role, dan mereka terpisah dari nama peran dengan garis miring ('/'). Misalnya, Anda dapat memasukkan role/MyRoleName atau service-role/MyManagedRoleName. Ini dikonversi menjadi penuh ARN untuk Anda saat disimpan di dasarJSON.

        penting

        IAMPeran yang ditentukan harus sudah ada di akun tempat kebijakan diterapkan. Jika tidak, paket backup mungkin berhasil memulai tugas backup, tetapi tugas backup tersebut akan gagal.

      • Tentukan satu atau lebih pasangan Kunci tag sumber daya dan Nilai tag untuk mengidentifikasi sumber daya yang ingin Anda backup. Jika ada lebih dari satu nilai tag, pisahkan nilai-nilai tersebut dengan koma.

      Pilih Tambahkan tugas untuk menambahkan setiap tugas sumber daya dikonfigurasi ke paket backup.

      Untuk informasi lebih lanjut, lihat Menetapkan Sumber Daya untuk Paket Backup di Panduan Developer AWS Backup .

6. Setelah selesai membuat kebijakan, pilih Buat kebijakan. Kebijakan tersebut muncul di daftar kebijakan backup yang tersedia.

AWS CLI & AWS SDKs

Untuk membuat kebijakan backup

Anda menggunakan salah satu hal berikut untuk membuat kebijakan backup:

• AWS CLI: buat-kebijakan

  Buat rencana cadangan sebagai JSON teks yang mirip dengan yang berikut ini, dan simpan dalam file teks. Untuk aturan lengkap untuk sintaksis, lihat Sintaksis kebijakan Backup dan contoh.

  {
      "plans": {
          "PII_Backup_Plan": {
              "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
              "rules": {
                  "Hourly": {
                      "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                      "start_backup_window_minutes": { "@@assign": "480" },
                      "complete_backup_window_minutes": { "@@assign": "10080" },
                      "lifecycle": {
                          "move_to_cold_storage_after_days": { "@@assign": "180" },
                          "delete_after_days": { "@@assign": "270" }
                      },
                      "target_backup_vault_name": { "@@assign": "FortKnox" },
                      "copy_actions": {
                          "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                              "lifecycle": {
                                  "move_to_cold_storage_after_days": { "@@assign": "10" },
                                  "delete_after_days": { "@@assign": "100" }
                              }
                          }
                      }
                  }
              },
              "selections": {
                  "tags": {
                      "datatype": {
                          "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                          "tag_key": { "@@assign": "dataType" },
                          "tag_value": { "@@assign": [ "PII" ] }
                      }
                  }
              }
          }
      }
  }

  Rencana cadangan ini menetapkan bahwa AWS Backup harus mencadangkan semua sumber daya yang terpengaruh Akun AWS yang ada di yang ditentukan Wilayah AWS dan yang memiliki tag dataType dengan nilaiPII.

  Selanjutnya, impor rencana pencadangan file JSON kebijakan untuk membuat kebijakan cadangan baru di organisasi. Perhatikan ID kebijakan di akhir kebijakan ARN dalam output.

  $ aws organizations create-policy \
      --name "MyBackupPolicy" \
      --type BACKUP_POLICY \
      --description "My backup policy" \
      --content file://policy.json{
      "Policy": {
          "PolicySummary": {
              "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
              "Description": "My backup policy",
              "Name": "MyBackupPolicy",
              "Type": "BACKUP_POLICY"
          }
          "Content": "...a condensed version of the JSON policy document you provided in the file...",
      }
  }

• AWS SDKs: CreatePolicy

Apa yang harus dilakukan selanjutnya

Setelah membuat kebijakan backup, Anda dapat menerapkan kebijakan Anda. Untuk melakukan itu, Anda dapat melampirkan kebijakan ke akar organisasi, unit organisasi (OUs), Akun AWS di dalam organisasi Anda, atau kombinasi dari semua itu.

Memperbarui kebijakan backup

Saat masuk ke akun pengelolaan organisasi Anda, Anda dapat mengedit kebijakan yang memerlukan perubahan di organisasi Anda.

Izin minimum

Untuk memperbarui kebijakan backup, Anda harus memiliki izin untuk menjalankan tindakan-tindakan berikut:

• organizations:UpdatePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang ARN mencakup kebijakan untuk memperbarui (atau “*”)

• organizations:DescribePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang ARN mencakup kebijakan untuk memperbarui (atau “*”)

AWS Management Console

Untuk memperbarui kebijakan backup

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

2. Pada halaman Kebijakan Backup, pilih nama kebijakan yang ingin Anda perbarui.

3. Pilih Sunting kebijakan.

4. Anda dapat memasukkan Nama kebijakan, Deskripsi kebijakan baru. Anda dapat mengubah konten kebijakan dengan menggunakan editor Visual atau dengan langsung mengedit JSON.

5. Setelah selesai memperbarui kebijakan, pilih Simpan perubahan.

AWS CLI & AWS SDKs

Untuk memperbarui kebijakan backup

Anda dapat menggunakan salah satu yang berikut ini untuk memperbarui kebijakan backup:

• AWS CLI: update-policy

  Contoh berikut mengganti nama kebijakan backup.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --name "Renamed policy"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Type": "BACKUP_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
      }
  }

  Contoh berikut menambahkan atau mengubah deskripsi untuk kebijakan backup.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --description "My new description"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Description": "My new description",
              "Type": "BACKUP_POLICY",
              "AwsManaged": false
          },
         "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
      }
  }

  Contoh berikut mengubah dokumen JSON kebijakan yang dilampirkan pada kebijakan cadangan. Dalam contoh ini, konten diambil dari file bernama policy.json dengan teks berikut:

  {
      "plans": {
          "PII_Backup_Plan": {
              "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
              "rules": {
                  "Hourly": {
                      "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                      "start_backup_window_minutes": { "@@assign": "480" },
                      "complete_backup_window_minutes": { "@@assign": "10080" },
                      "lifecycle": {
                          "move_to_cold_storage_after_days": { "@@assign": "180" },
                          "delete_after_days": { "@@assign": "270" },
                          "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                      },
                      "target_backup_vault_name": { "@@assign": "FortKnox" },
                      "copy_actions": {
                          "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                              "lifecycle": {
                                  "move_to_cold_storage_after_days": { "@@assign": "10" },
                                  "delete_after_days": { "@@assign": "100" },
                                  "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                              }
                          }
                      }
                  }
              },
              "selections": {
                  "tags": {
                      "datatype": {
                          "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                          "tag_key": { "@@assign": "dataType" },
                          "tag_value": { "@@assign": [ "PII" ] }
                      }
                  }
              }
          }
      }
  }

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --content file://policy.json
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Description": "My new description",
              "Type": "BACKUP_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
  }

• AWS SDKs: UpdatePolicy

Mengedit tag yang dilampirkan ke kebijakan backup

Saat masuk ke akun pengelolaan organisasi Anda, Anda dapat menambahkan atau menghapus tag yang dilampirkan ke kebijakan backup. Untuk informasi lebih lanjut tentang penandaan, lihat Penandaan pada sumber daya AWS Organizations.

Izin minimum

Untuk mengedit tag yang dilampirkan ke kebijakan backup di organisasi Anda, Anda harus memiliki izin berikut:

• organizations:DescribeOrganization (konsol saja — untuk menavigasi ke kebijakan)

• organizations:DescribePolicy (konsol saja — untuk menavigasi ke kebijakan)

• organizations:TagResource

• organizations:UntagResource

AWS Management Console

Untuk mengedit tag yang dilampirkan ke kebijakan backup

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

2. Halaman Kebijakan Backup

3. Pilih nama kebijakan dengan tag yang ingin Anda edit.

   Halaman detail kebijakan akan muncul.

4. Di bagian tab Tanda, pilih Kelola tanda.

5. Anda dapat melakukan salah satu tindakan berikut di halaman ini:

   • Edit nilai untuk tag dengan memasukkan nilai baru menggantikan yang lama. Anda tidak dapat memodifikasi kunci. Untuk mengubah kunci, Anda harus menghapus tag dengan kunci yang lama dan menambahkan tag dengan kunci yang baru.

   • Hapus tag yang ada dengan memilih Hapus.

   • Tambahkan kunci tag dan pasangan nilai baru. Pilih Tambahkan tag, lalu masukkan nama kunci baru dan nilai opsional dalam kotak yang disediakan. Jika Anda membiarkan kotak Nilai kosong, nilai-nya adalah string kosong; itu bukan null.

6. Pilih Simpan perubahan setelah Anda melakukan semua penambahan, penghapusan, dan pengeditan yang ingin Anda buat.

AWS CLI & AWS SDKs

Untuk mengedit tag yang dilampirkan ke kebijakan backup

Anda dapat menggunakan salah satu perintah berikut untuk mengedit tag yang dilampirkan ke kebijakan backup:

• AWS CLI: tag-resource dan untag-resource

• AWS SDKs: TagResourcedan UntagResource

Menghapus kebijakan backup

Saat masuk ke akun pengelolaan organisasi Anda, Anda dapat menghapus kebijakan yang tidak diperlukan lagi di organisasi Anda.

Sebelum Anda dapat menghapus kebijakan, Anda harus melepasnya terlebih dahulu dari semua entitas terlampir.

Izin minimum

Untuk menghapus kebijakan tag, Anda harus memiliki izin untuk menjalankan tindakan berikut:

• organizations:DeletePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang ARN mencakup kebijakan untuk menghapus (atau “*”)

AWS Management Console

Untuk menghapus kebijakan backup

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

2. Pada halaman Kebijakan Backup, pilih nama kebijakan yang ingin Anda hapus.

3. Anda harus terlebih dahulu melepaskan kebijakan cadangan yang ingin Anda hapus dari semua root,OUs, dan akun. Pilih tab Target, pilih tombol radio yang ada di samping setiap root, OU, atau akun yang ditampilkan di daftar Target, dan kemudian pilih Lepaskan. Dalam kotak dialog konfirmasi, pilih Lepaskan. Ulangi sampai Anda menghapus semua target.

4. Pilih Hapus di bagian atas halaman.

5. Pada kotak dialog konfirmasi, masukkan nama kebijakan, dan kemudian pilih Hapus.

AWS CLI & AWS SDKs

Untuk menghapus kebijakan cadangan

Contoh kode berikut menunjukkan cara menggunakanDeletePolicy.

.NET

AWS SDK for .NET

catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara pengaturan dan menjalankannya di Repositori Contoh Kode AWS.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

• Untuk API detailnya, lihat DeletePolicydi AWS SDK for .NET APIReferensi.

CLI

AWS CLI

Untuk menghapus kebijakan

Contoh berikut menunjukkan cara menghapus kebijakan dari organisasi. Contoh ini mengasumsikan bahwa Anda sebelumnya melepaskan kebijakan dari semua entitas:

aws organizations delete-policy --policy-id p-examplepolicyid111

• Untuk API detailnya, lihat DeletePolicydi Referensi AWS CLI Perintah.

Python

SDKuntuk Python (Boto3)

catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara pengaturan dan menjalankannya di Repositori Contoh Kode AWS.

def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

• Untuk API detailnya, lihat DeletePolicy AWSSDKReferensi Python (Boto3). API