Controllo accessi - AWS Backup
Risorse e operazioniProprietà delle risorseSpecificare elementi delle policy: azioni, effetti e principaliSpecifica delle condizioni in una policyRiferimento alle autorizzazioni APIAutorizzazioni di copia di tagPolicy di accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo accessi

È possibile disporre di credenziali valide per autenticare le richieste, ma a meno che non si disponga delle autorizzazioni appropriate, non è possibile accedere a AWS Backup risorse come gli archivi di backup. Inoltre, non è possibile eseguire il backup di AWS risorse come i volumi Amazon Elastic Block Store (Amazon EBS).

Ogni AWS risorsa è di proprietà di un Account AWS utente e le autorizzazioni per creare o accedere a una risorsa sono regolate da politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione alle identità AWS Identity and Access Management (IAM) (ovvero utenti, gruppi e ruoli). Anche alcuni servizi supportano il collegamento di policy di autorizzazione alle risorse.

Nota

Un amministratore account (o un utente amministratore) è un utente con autorizzazioni di amministratore. Per ulteriori informazioni, consulta Best practice IAM nella Guida per l'utente di IAM.

Quando si concedono le autorizzazioni, è necessario specificare gli utenti che le riceveranno e le risorse per cui si concedono, nonché le operazioni specifiche da consentire su tali risorse.

Nelle sezioni seguenti viene descritto come funzionano le policy di accesso e come si utilizzano per proteggere i backup.

Risorse e operazioni

Una risorsa è un oggetto che esiste all'interno di un servizio. AWS Backup le risorse includono piani di backup, archivi di backup e backup. Backup è un termine generico che si riferisce ai vari tipi di risorse di backup esistenti in AWS. Ad esempio, gli snapshot Amazon EBS, gli snapshot Amazon Relational Database Service (Amazon RDS) e i backup Amazon DynamoDB sono tutti tipi di risorse di backup.

Nel AWS Backup, i backup vengono anche chiamati punti di ripristino. Durante l'utilizzo AWS Backup, lavori anche con le risorse di altri AWS servizi che stai cercando di proteggere, come i volumi Amazon EBS o le tabelle DynamoDB. A tali risorse sono associati Amazon Resource Names (ARN) univoci. Gli ARN identificano in modo univoco le risorse. AWS Quando è necessario specificare una risorsa in modo inequivocabile in tutto AWS, ad esempio nelle policy IAM o nelle chiamate API, è necessario indicare un ARN.

La tabella seguente elenca le risorse, le risorse secondarie, il formato ARN e un ID univoco di esempio.

AWS Backup ARN di risorse
Tipo di risorsa Formato ARN Esempio di ID univoco
Piano di backup arn:aws:backup:region:account-id:backup-plan:*
Vault di backup arn:aws:backup:region:account-id:backup-vault:*
Punto di ripristino per Amazon EBS arn:aws:ec2:region::snapshot/* snapshot/snap-05f426fd8kdjb4224
Punto di ripristino per immagini Amazon EC2 arn:aws:ec2:region::image/ami-* image/ami-1a2b3e4f5e6f7g890
Punto di ripristino per Amazon RDS arn:aws:rds:region:account-id:snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Punto di ripristino per Aurora arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Punto di ripristino per Storage Gateway arn:aws:ec2:region::snapshot/* snapshot/snap-0d40e49137e31d9e0
Punto di ripristino per DynamoDB senza Backup di DynamoDB avanzato arn:aws:dynamodb:region:account-id:table/*/backup/* table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3
Punto di ripristino per DynamoDB con Backup di DynamoDB avanzato abilitato arn:aws:backup:region:account-id:recovery-point:* 12a34a56-7bb8-901c-cd23-4567d8e9ef01
Punto di ripristino per Amazon EFS arn:aws:backup:region:account-id:recovery-point:* d99699e7-e183-477e-bfcd-ccb1c6e5455e
Punto di ripristino per Amazon FSx arn:aws:fsx:region:account-id:backup/backup-* backup/backup-1a20e49137e31d9e0
Punto di ripristino per macchina virtuale arn:aws:backup:region:account-id:recovery-point:* 1801234a-5b6b-7dc8-8032-836f7ffc623b
Punto di ripristino per il backup continuo di Amazon S3 arn:aws:backup:region:account-id:recovery-point:* my-bucket-5ec207d0
Punto di ripristino per il backup periodico S3 arn:aws:backup:region:account-id:recovery-point:* my-bucket-20211231900000-5ec207d0

Le risorse che supportano la AWS Backup gestione completa dispongono tutte di punti di ripristino nel formato corrispondente, il che semplifica l'applicazione delle politiche di autorizzazione per proteggere tali punti di ripristinoarn:aws:backup:region:account-id::recovery-point:*. Per vedere quali risorse supportano la AWS Backup gestione completa, consulta la sezione corrispondente della Disponibilità delle funzionalità per risorsa tabella.

AWS Backup fornisce una serie di operazioni per utilizzare le AWS Backup risorse. Per un elenco di operazioni disponibili, consulta la sezione AWS Backup Azioni.

Proprietà delle risorse

È Account AWS proprietario delle risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'entità principale (ovvero l'utente Account AWS root, un utente IAM o un ruolo IAM) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:

  • Se utilizzi le tue credenziali utente Account AWS root Account AWS per creare un archivio di backup, sei il Account AWS proprietario del vault.

  • Se crei un utente IAM nel tuo account Account AWS e concedi le autorizzazioni per creare un archivio di backup a quell'utente, l'utente può creare un archivio di backup. Tieni presente, tuttavia, che l' AWS a cui appartiene l'utente è il proprietario della risorsa vault di backup.

  • Se crei un ruolo IAM in tuo Account AWS possesso delle autorizzazioni necessarie per creare un vault di backup, chiunque possa assumere il ruolo può creare un vault. Il tuo Account AWS, a cui appartiene il ruolo, possiede la risorsa del vault di backup.

Specificare elementi delle policy: azioni, effetti e principali

Per ogni AWS Backup risorsa (vediRisorse e operazioni), il servizio definisce un insieme di operazioni API (vediAzioni). Per concedere le autorizzazioni per queste operazioni API, AWS Backup definisce una serie di azioni che è possibile specificare in una politica. L'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'operazione.

Di seguito sono elencati gli elementi di base di una policy:

  • Risorsa: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa. Per ulteriori informazioni, consulta Risorse e operazioni.

  • Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare.

  • Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.

  • Principale - Nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse).

Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta Riferimento alle policy JSON IAM nella Guida per l'utente di IAM.

Per una tabella che mostra tutte le azioni dell' AWS Backup API, consultaAutorizzazioni API: riferimenti a operazioni, risorse e condizioni.

Specifica delle condizioni in una policy

Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della policy IAM per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione Condizione nella Guida per l'utente di IAM.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Non esistono chiavi di condizione specifiche per AWS Backup. Tuttavia, ci sono chiavi AWS-wide condition che puoi usare a seconda delle esigenze. Per un elenco completo delle chiavi AWS-wide, consulta AWS Global Condition Context Keys nella IAM User Guide.

Nota

AWS Backup non supporta le condizioni chiave di tag o contesto nelle politiche di accesso per nessuna delle sue azioni.

Autorizzazioni API: riferimenti a operazioni, risorse e condizioni

Quando configuri il Controllo accessi e scrivi una policy di autorizzazione che puoi collegare a un'identità IAM (policy basate su identità), puoi utilizzare l'elenco nella seguente come riferimento. L'elenco delle tabelle ogni operazione AWS Backup API, le azioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'azione e la AWS risorsa per la quale è possibile concedere le autorizzazioni. Puoi specificare le azioni nel campo Action della policy e il valore della risorsa nel campo Resource. Se il campo Resource è vuoto, puoi usare il carattere jolly (*) per includere tutte le risorse.

Puoi utilizzare i tasti AWS-wide condition nelle tue AWS Backup politiche per esprimere condizioni. Per un elenco completo delle chiavi AWS-wide, consulta Available Keys nella IAM User Guide.

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

Autorizzazioni di copia di tag

Quando AWS Backup esegue un processo di backup o copia, tenta di copiare i tag dalla risorsa di origine (o dal punto di ripristino in caso di copia) al punto di ripristino.

Nota

AWS Backup non copia nativamente i tag durante i processi di ripristino. Per un'architettura basata sugli eventi che copierà i tag durante i processi di ripristino, vedi Come conservare i tag delle risorse nei AWS Backup processi di ripristino.

Durante un processo di backup o copia, AWS Backup aggrega i tag specificati nel piano di backup (o piano di copia o backup su richiesta) con i tag della risorsa di origine. Tuttavia, AWS impone un limite di 50 tag per risorsa, che AWS Backup non può essere superato. Quando un processo di backup o copia aggrega i tag dal piano e dalla risorsa di origine, potrebbe rilevare più di 50 tag in totale. In questo caso non sarà in grado di completare il processo ed esso fallirà. Ciò è coerente con le migliori pratiche AWS di etichettatura a livello globale. Per ulteriori informazioni, consulta Limiti dei tag nella Guida di riferimento generale di AWS .

  • La tua risorsa ha più di 50 tag dopo aver aggregato i tag dei job di backup con i tag delle risorse di origine. AWS supporta fino a 50 tag per risorsa. Per ulteriori informazioni, consulta la pagina relativa ai Limiti dei tag.

  • Il ruolo IAM a cui fornisci AWS Backup non dispone delle autorizzazioni per leggere i tag di origine o impostare i tag di destinazione. Per ulteriori informazioni e esempi di policy relative ai ruoli IAM, consulta Policy gestite.

Puoi utilizzare il tuo piano di backup per creare tag che contraddicano i tag delle risorse di origine. Quando i due sono in conflitto, i tag del piano di backup hanno la precedenza. Utilizza questa tecnica se preferisci non copiare il valore di un tag dalla risorsa di origine. Specificate la stessa chiave di tag, ma un valore diverso o vuoto, utilizzando il piano di backup.

Autorizzazioni necessarie per assegnare tag ai backup
Tipo di risorsa Autorizzazione richiesta
File system Amazon EFS

elasticfilesystem:DescribeTags
File system Amazon FSx

fsx:ListTagsForResource
Database Amazon RDS for MySQL e cluster Amazon Aurora

rds:AddTagsToResource

rds:ListTagsForResource
Volume Storage Gateway

storagegateway:ListTagsForResource
Istanza Amazon EC2 e volume EBS

EC2:CreateTags

EC2:DescribeTags

DynamoDB non supporta l'assegnazione di tag ai backup a meno che non venga prima abilitato Backup di DynamoDB avanzato.

Quando un backup di Amazon EC2 crea un Image Recovery Point e un set di snapshot, AWS Backup copia i tag nell'AMI risultante. AWS Backup copia inoltre i tag dai volumi associati all'istanza Amazon EC2 negli snapshot risultanti.

Policy di accesso

La policy delle autorizzazioni descrive chi ha accesso a cosa. Le policy collegate a un'identità IAM vengono definite policy basate su identità (policy IAM). Le politiche associate a una risorsa vengono chiamate politiche basate sulle risorse. AWS Backup supporta sia politiche basate sull'identità che politiche basate sulle risorse.

Nota

Questa sezione illustra l'utilizzo di IAM nel contesto di. AWS Backup Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta Che cos'è IAM? nella Guida per l'utente di IAM. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta Riferimento alle policy JSON IAM nella Guida per l'utente di IAM.

Policy basate su identità (policy IAM)

Le policy basate su identità sono policy che si possono collegare a identità IAM, come utenti o ruoli. Ad esempio, è possibile definire una policy che consenta a un utente di visualizzare ed eseguire il backup AWS delle risorse, ma che impedisca loro di ripristinare i backup.

Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente di IAM.

Per ulteriori informazioni su come utilizzare le policy IAM per controllare l'accesso ai backup, consulta Politiche gestite per AWS Backup.

Policy basate su risorse

AWS Backup supporta politiche di accesso basate sulle risorse per gli archivi di backup. Questo permette di definire una policy di accesso che possa controllare di quali tipi di accesso a uno qualsiasi dei backup organizzati in un vault di backup dispongono gli utenti. Le policy di accesso basate su risorse per i vault di backup offrono un modo semplice per controllare l'accesso ai backup.

Le policy di accesso di Backup Vault controllano l'accesso degli utenti quando si utilizzano le AWS Backup API. È possibile accedere ad alcuni tipi di backup, ad esempio gli snapshot di Amazon Elastic Block Store (Amazon EBS) e Amazon Relational Database Service (Amazon RDS), utilizzando le API di tali servizi. È possibile creare policy di accesso separate in IAM che controllano l'accesso alle API per avere il controllo completo dell'accesso ai backup.

Per informazioni su come creare una policy di accesso per i vault di backup, consulta Imposta le policy di accesso ai vault di backup.