Assegnazione di risorse a un piano di backup - AWS Backup
Assegnazione delle risorse tramite la consoleAssegnazione di risorse a livello di codiceAssegnazione di risorse utilizzando AWS CloudFormationQuote relative all'assegnazione di risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegnazione di risorse a un piano di backup

L'assegnazione delle risorse specifica quali risorse AWS Backup verranno protette utilizzando il piano di backup. AWS Backup offre sia semplici impostazioni predefinite che controlli dettagliati per assegnare risorse al piano di backup. Ogni volta che viene eseguito il piano di backup, analizza tutte le risorse che soddisfano i Account AWS criteri di assegnazione delle risorse. Questo livello di automazione consente di definire il piano di backup e l'assegnazione delle risorse esattamente una volta. AWS Backup semplifica il lavoro di ricerca e backup di nuove risorse che si adattino all'assegnazione di risorse definita in precedenza.

Puoi assegnare qualsiasi tipo di risorsa AWS Backup supportata che hai scelto di gestire. AWS Backup Per istruzioni su come attivare altri tipi di risorse AWS Backup supportati, vedi Guida introduttiva 1: Service Opt-in.

La AWS Backup console offre due modi per includere i tipi di risorse in un piano di backup: assegnare esplicitamente il tipo di risorsa in un piano di backup o includere tutte le risorse. Consulta i punti seguenti per comprendere come funzionano queste selezioni con adesioni al servizio.

  • Se le assegnazioni delle risorse si basano solo sui tag, vengono applicate le impostazioni opt-in del servizio.

  • Se un tipo di risorsa viene assegnato in modo esplicito a un piano di backup, verrà incluso nel backup anche se l'opt-in non è abilitato per quel particolare servizio. Questo non si applica ad Aurora, Neptune e Amazon DocumentDB. Affinché questi servizi siano inclusi, l'opt-in deve essere abilitato.

  • Se in un'assegnazione di risorse sono specificati sia il tipo di risorsa che i tag, i tipi di risorse specificati vengono filtrati per primi, quindi i tag filtrano ulteriormente tali risorse.

    Le impostazioni relative all'attivazione del servizio vengono ignorate per la maggior parte dei tipi di risorse. Tuttavia Aurora, Neptune e Amazon DocumentDB richiedono l'attivazione del servizio.

  • Quando un account utilizza AWS Backup (crea un archivio di backup o un piano di backup) in una regione, l'account viene automaticamente attivato per tutti i tipi di risorse supportati dalla AWS Backup regione in quel momento. I servizi supportati aggiunti a quella regione in un secondo momento non verranno inclusi automaticamente in un piano di backup. Puoi scegliere di attivare questi tipi di risorse una volta che saranno supportati.

  • Per Amazon FSx for NetApp ONTAP, quando utilizzi la selezione delle risorse basata su tag, applica i tag ai singoli volumi anziché all'intero file system.

L'assegnazione delle risorse può includere (o escludere) tipi di risorse e risorse.

  • Un tipo di risorsa include ogni istanza o risorsa di un AWS servizio AWS Backup supportato o di un'applicazione di terze parti. Ad esempio, il tipo di risorsa DynamoDB fa riferimento a tutte le tabelle DynamoDB.

  • Una risorsa è una singola istanza di un tipo di risorsa, ad esempio una delle proprie tabelle DynamoDB. È possibile specificare una risorsa utilizzando il relativo ID risorsa univoco.

È possibile rifinire ulteriormente l'assegnazione delle risorse utilizzando tag e operatori condizionali.

Assegnazione delle risorse tramite la console

Per accedere alla pagina Assegna risorse:

  1. Apri la AWS Backup console all'indirizzo https://console.aws.amazon.com/backup.

  2. Scegli Piani di backup.

  3. Scegli Crea piano di backup.

  4. Seleziona un qualsiasi modello nell'elenco a discesa Scegli modello, quindi scegli Crea piano.

  5. Digita il Nome del piano di backup.

  6. Seleziona Crea piano.

  7. Scegli Assegna risorse.

Per iniziare l'assegnazione delle risorse, nella sezione Generale:

  1. Digita un Nome assegnazione di risorsa.

  2. Scegli il Ruolo predefinito o Scegli un ruolo IAM.

    Nota

    Se scegli un ruolo IAM, verifica che disponga delle autorizzazioni per eseguire il backup di tutte le risorse che stanno per essere assegnate. Se viene rilevata una risorsa a cui non è autorizzato l'accesso, il piano di backup ha esito negativo.

Per assegnare le risorse, nella sezione Assegna risorse, scegli una delle due opzioni in Definisci selezione delle risorse:

  • Includi tutti i tipi di risorse. Questa opzione configura il piano di backup per proteggere tutte le risorse AWS Backup supportate attuali e future assegnate al piano di backup. Utilizzare questa opzione per proteggere rapidamente e facilmente il patrimonio di dati.

    Quando si sceglie questa opzione, è possibile scegliere facoltativamente come passaggio successivo Migliora la selezione utilizzando i tag.

  • Includi tipi di risorse specifici. Quando scegli questa opzione, devi operare nella sezione Selezionare tipi di risorse specifici con i seguenti passaggi:

    1. Utilizzando il menu a discesa Seleziona tipi di risorse, assegna uno o più tipi di risorse.

      Importante

      RDS, Aurora, Neptune e DocumentDB condividono lo stesso nome della risorsa Amazon (ARN). Se si acconsente alla gestione di uno di questi tipi di risorse con AWS Backup , si acconsente alla gestione di tutte le relative risorse durante l'assegnazione a un piano di backup. Per affinare la selezione, utilizza tag e operatori condizionali.

      Al termine, AWS Backup presenta l'elenco dei tipi di risorse selezionati e la relativa impostazione predefinita, che prevede la protezione di tutte le risorse per ogni tipo di risorsa selezionato.

    2. Facoltativamente, se desideri escludere risorse specifiche da un tipo di risorsa selezionato:

      1. Utilizza il menu a discesa Scegli le risorse e deseleziona l'opzione predefinita.

      2. Seleziona le risorse specifiche da assegnare al tuo piano di backup.

    3. Facoltativamente, puoi Escludi ID di risorse specifici dai tipi di risorse selezionati. Utilizza questa opzione se desideri escludere una o poche risorse tra le tante, poiché questa operazione potrebbe essere più rapida rispetto alla selezione di molte risorse nel passaggio precedente. È necessario includere un tipo di risorsa prima di poter escludere risorse da quel tipo di risorsa. Escludi un ID di risorsa utilizzando i seguenti passaggi:

      1. In Escludi ID di risorse specifici dai tipi di risorse selezionati, scegli uno o più tipi di risorse che hai incluso utilizzando Seleziona tipi di risorse.

      2. Per ogni tipo di risorsa, utilizza il menu Scegli risorse per selezionare una o più risorse da escludere.

Oltre alle scelte precedenti, puoi effettuare selezioni ancora più granulari utilizzando la funzionalità opzionale Migliora la selezione utilizzando i tag. Questa funzionalità consente di affinare la selezione corrente al fine di includere un sottoinsieme delle risorse che utilizzano i tag.

I tag sono coppie chiave-valore che puoi assegnare a risorse specifiche per aiutarti a identificare, organizzare e filtrare le risorse. I tag rispettano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta Assegnazione di tag alle risorse AWS nella Documentazione generale di riferimento di AWS .

Quando affini la selezione utilizzando due o più tag, l'effetto è una condizione AND. Ad esempio, se affini la selezione utilizzando due tag env: prod e role: application, assegni al piano di backup solo risorse che presentano ENTRAMBI i tag.

Per affinare la selezione utilizzando i tag:

  1. In Migliora la selezione utilizzando i tag, scegli una Chiave dall'elenco a discesa.

  2. Scegli una Condizione per il valore dall'elenco a discesa.

    • Il campo Valore fa riferimento al valore di input successivo, il valore della coppia chiave-valore.

    • Condizione può essere di tipo Equals, Contains, Begins with o Ends with oppure di uno dei tipi inversi: Does not equal, Does not contain, Does not begin with o Does not end with.

  3. Scegli un Valore dall'elenco a discesa.

  4. Per rifinire ulteriormente il risultato utilizzando un altro tag, scegli Aggiungi tag.

Assegnazione di risorse a livello di codice

È possibile definire un'assegnazione di risorse in un documento JSON. Questo esempio di assegnazione di risorse assegna tutte le istanze Amazon EC2 al piano di backup BACKUP-PLAN-ID:

{
  "BackupPlanId":"BACKUP-PLAN-ID",
  "BackupSelection":{
    "SelectionName":"resources-list-selection", 
    "IamRoleArn":"arn:aws:iam::ACCOUNT-ID:role/IAM-ROLE-ARN",
    "Resources":[
      "arn:aws:ec2:*:*:instance/*"
    ]
  }
}

Supponendo che questo JSON sia archiviato come backup-selection.json, puoi assegnare queste risorse al tuo piano di backup utilizzando il seguente comando CLI:

aws backup create-backup-selection --cli-input-json file://PATH-TO-FILE/backup-selection.json

Di seguito sono riportati alcuni esempi di assegnazione delle risorse, insieme al documento JSON corrispondente. Per facilitare la lettura di questa tabella, negli esempi vengono omessi i campi "BackupPlanId", "SelectionName" e "IamRoleArn". Il carattere jolly * rappresenta zero o più caratteri diversi dagli spazi bianchi.

Esempio: seleziona tutte le risorse nel mio account
{
  "BackupSelection":{
    "Resources":[
      "*"
    ]
  }
}
Esempio: seleziona tutte le risorse nel mio account, ma escludi i volumi EBS
{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "NotResources":[
      "arn:aws:ec2:*:*:volume/*"
    ]
  }
}
Esempio: seleziona tutte le risorse contrassegnate con"backup":"true", ma escludi i volumi EBS
{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "NotResources":[
      "arn:aws:ec2:*:*:volume/*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        }
      ]
    }
  }
}
Esempio: seleziona tutti i volumi EBS e le istanze DB RDS contrassegnati con entrambi e "backup":"true""stage":"prod"

L'aritmetica booleana è simile a quella delle policy IAM, in cui quelle "Resources" sono combinate utilizzando un OR booleano mentre quelle in "Conditions" sono combinate utilizzando un AND booleano.

L'espressione "Resources" "arn:aws:rds:*:*:db:*" permette la selezione delle sole istanze DB RDS perché non esistono risorse Aurora, Neptune o DocumentDB corrispondenti.

{
  "BackupSelection":{
    "Resources":[
      "arn:aws:ec2:*:*:volume/*",
      "arn:aws:rds:*:*:db:*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        },
        {
          "ConditionKey":"aws:ResourceTag/stage",
          "ConditionValue":"prod"
        }
      ]
    }
  }
}
Esempio: seleziona tutti i volumi EBS e le istanze RDS contrassegnati con ma non "backup":"true""stage":"test"
{
  "BackupSelection":{
    "Resources":[
      "arn:aws:ec2:*:*:volume/*",
      "arn:aws:rds:*:*:db:*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        }
      ],
      "StringNotEquals":[
        {
          "ConditionKey":"aws:ResourceTag/stage",
          "ConditionValue":"test"
        }
      ]
    }
  }
}
Esempio: seleziona tutte le risorse contrassegnate con "key1" e un valore che inizia con "include" ma non con "key2" e un valore che contiene la parola "exclude"

È possibile utilizzare il carattere jolly all'inizio, alla fine e al centro di una stringa. Nota l'uso del carattere jolly (*) in include* e *exclude* nell'esempio precedente. È inoltre possibile utilizzare il carattere jolly al centro di una stringa, come mostrato nell'esempio precedente, arn:aws:rds:*:*:db:*.

{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "Conditions":{
      "StringLike":[
        {
          "ConditionKey":"aws:ResourceTag/key1",
          "ConditionValue":"include*"
        }
      ],
      "StringNotLike":[
        {
          "ConditionKey":"aws:ResourceTag/key2",
          "ConditionValue":"*exclude*"
        }
      ]
    }
  }
}
Esempio: selezionare tutte le risorse contrassegnate con "backup":"true" tranne i file system FSx e le risorse RDS, Aurora, Neptune e DocumentDB

Gli elementi in NotResources vengono combinati utilizzando l'OR booleano.

{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "NotResources":[
      "arn:aws:fsx:*",
      "arn:aws:rds:*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        }
      ]
    }
  }
}
Esempio: seleziona tutte le risorse contrassegnate con un tag e un valore qualsiasi "backup"
{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "Conditions":{
      "StringLike":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"*"
        }
      ]
    }
  }
}
Esempio: selezionare tutti i file system FSx, il cluster Aurora e tutte le risorse contrassegnate con "my-aurora-cluster""backup":"true", ad eccezione delle risorse contrassegnate con "stage":"test"
{
  "BackupSelection":{
    "Resources":[
      "arn:aws:fsx:*",
      "arn:aws:rds:*:*:cluster:my-aurora-cluster"
    ],
    "ListOfTags":[
      {
        "ConditionType":"StringEquals",
        "ConditionKey":"backup",
        "ConditionValue":"true"
      }
    ],
    "Conditions":{
      "StringNotEquals":[
        {
          "ConditionKey":"aws:ResourceTag/stage",
          "ConditionValue":"test"
        }
      ]
    }
  }
}
Esempio: seleziona tutte le risorse contrassegnate con tag "backup":"true" ad eccezione dei volumi EBS contrassegnati con "stage":"test"

Per selezionare questo gruppo di risorse, utilizza due comandi CLI per creare due selezioni. La prima selezione si applica a tutte le risorse a eccezione dei volumi EBS. La seconda selezione si applica ai volumi EBS.

{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "NotResources":[
      "arn:aws:ec2:*:*:volume/*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        }
      ]
    }
  }
}
{
  "BackupSelection":{
    "Resources":[
      "arn:aws:ec2:*:*:volume/*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        }
      ],
      "StringNotEquals":[
        {
          "ConditionKey":"aws:ResourceTag/stage",
          "ConditionValue":"test"
        }
      ]
    }
  }
}

Assegnazione di risorse utilizzando AWS CloudFormation

Questo end-to-end AWS CloudFormation modello crea un'assegnazione di risorse, un piano di backup e un archivio di backup di destinazione:

  • Un archivio di backup denominato. CloudFormationTestBackupVault

  • Un piano di backup denominato CloudFormationTestBackupPlan. Questo piano contiene due regole di backup, entrambe le quali eseguono i backup ogni giorno alle 12:00 UTC e li conservano per 210 giorni.

  • Una selezione di risorse denominata BackupSelectionName.

    • L'assegnazione delle risorse esegue il backup delle seguenti risorse:

      • Qualsiasi risorsa contrassegnata con la coppia chiave-valore backupplan:dsi-sandbox-daily.

      • Qualsiasi risorsa contrassegnata con il valore prod o valori che iniziano con prod/.

    • L'assegnazione delle risorse non esegue il backup delle seguenti risorse:

      • Qualsiasi cluster RDS, Aurora, Neptune o DocumentDB.

      • Qualsiasi risorsa contrassegnata con il valore test o valori che iniziano con test/.

Description: "Template that creates Backup Selection and its dependencies"
Parameters:
  BackupVaultName:
    Type: String
    Default: "CloudFormationTestBackupVault"
  BackupPlanName:
    Type: String
    Default: "CloudFormationTestBackupPlan"
  BackupSelectionName: 
    Type: String
    Default: "CloudFormationTestBackupSelection"
  BackupPlanTagValue:
    Type: String
    Default: "test-value-1"
  RuleName1:
    Type: String
    Default: "TestRule1"
  RuleName2:
    Type: String
    Default: "TestRule2"
  ScheduleExpression:
    Type: String
    Default: "cron(0 12 * * ? *)"
  StartWindowMinutes:
    Type: Number
    Default: 60
  CompletionWindowMinutes:
    Type: Number
    Default: 120
  RecoveryPointTagValue:
    Type: String
    Default: "test-recovery-point-value"
  MoveToColdStorageAfterDays:
    Type: Number
    Default: 120
  DeleteAfterDays:
    Type: Number
    Default: 210
Resources:
  CloudFormationTestBackupVault:
    Type: "AWS::Backup::BackupVault"
    Properties:
      BackupVaultName: !Ref BackupVaultName
  BasicBackupPlan:
    Type: "AWS::Backup::BackupPlan"
    Properties:
      BackupPlan:
        BackupPlanName: !Ref BackupPlanName
        BackupPlanRule:
          - RuleName: !Ref RuleName1
            TargetBackupVault: !Ref BackupVaultName
            ScheduleExpression: !Ref ScheduleExpression
            StartWindowMinutes: !Ref StartWindowMinutes
            CompletionWindowMinutes: !Ref CompletionWindowMinutes
            RecoveryPointTags:
              test-recovery-point-key-1: !Ref RecoveryPointTagValue
            Lifecycle:
              MoveToColdStorageAfterDays: !Ref MoveToColdStorageAfterDays
              DeleteAfterDays: !Ref DeleteAfterDays
          - RuleName: !Ref RuleName2
            TargetBackupVault: !Ref BackupVaultName
            ScheduleExpression: !Ref ScheduleExpression
            StartWindowMinutes: !Ref StartWindowMinutes
            CompletionWindowMinutes: !Ref CompletionWindowMinutes
            RecoveryPointTags:
              test-recovery-point-key-1: !Ref RecoveryPointTagValue
            Lifecycle:
              MoveToColdStorageAfterDays: !Ref MoveToColdStorageAfterDays
              DeleteAfterDays: !Ref DeleteAfterDays
      BackupPlanTags:
        test-key-1: !Ref BackupPlanTagValue
    DependsOn: CloudFormationTestBackupVault
 
  TestRole:
    Type: "AWS::IAM::Role"
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: "Allow"
            Principal:
              Service:
                - "backup.amazonaws.com"
            Action:
              - "sts:AssumeRole"
      ManagedPolicyArns:
        - !Sub "arn:${AWS::Partition}:iam::aws:policy/service-role/AWSBackupServiceRolePolicyForBackup"
  BasicBackupSelection:
    Type: 'AWS::Backup::BackupSelection'
    Properties:
      BackupPlanId: !Ref BasicBackupPlan
      BackupSelection:
        SelectionName: !Ref BackupSelectionName
        IamRoleArn: !GetAtt TestRole.Arn
        ListOfTags:
          - ConditionType: STRINGEQUALS
            ConditionKey: backupplan
            ConditionValue: dsi-sandbox-daily
        NotResources:
          - 'arn:aws:rds:*:*:cluster:*'
        Conditions:
          StringEquals:
            - ConditionKey: 'aws:ResourceTag/path'
              ConditionValue: prod
          StringNotEquals:
            - ConditionKey: 'aws:ResourceTag/path'
              ConditionValue: test
          StringLike:
            - ConditionKey: 'aws:ResourceTag/path'
              ConditionValue: prod/*
          StringNotLike:
            - ConditionKey: 'aws:ResourceTag/path'
              ConditionValue: test/*

Quote relative all'assegnazione di risorse

A una singola assegnazione di risorse si applicano le seguenti quote:

  • 500 Amazon Resource Name (ARN) senza caratteri jolly

  • 30 ARN con espressioni jolly

  • 30 condizioni

  • 30 tag per assegnazione di risorse (e un numero illimitato di risorse per tag)