Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy di accesso dei vault
Con AWS Backup, è possibile assegnare politiche agli archivi di backup e alle risorse che contengono. L'assegnazione di policy permette di eseguire operazioni come concedere l'accesso agli utenti per creare piani di backup e backup on demand, ma limita la possibilità di eliminare i punti di ripristino dopo la creazione.
Per informazioni sull'utilizzo delle politiche per concedere o limitare l'accesso alle risorse, vedere Politiche basate sull'identità e Politiche basate sulle risorse nella Guida per l'utente. IAM Puoi controllare l'accesso anche utilizzando i tag.
È possibile utilizzare le politiche di esempio seguenti come guida per limitare l'accesso alle risorse quando si lavora con i vault. AWS Backup A differenza di altre politiche IAM basate, le politiche di AWS Backup accesso non supportano l'uso di caratteri jolly nella Action chiave.
Per un elenco di Amazon Resource Names (ARNs) che puoi utilizzare per identificare i punti di ripristino per diversi tipi di risorse, consulta AWS Backup risorsa ARNs la sezione dedicata ai punti di ripristino specifici della risorsa. ARNs
Le politiche di accesso di Vault controllano solo l'accesso degli utenti a. AWS Backup APIs È possibile accedere anche ad alcuni tipi di backup, come gli snapshot di Amazon Elastic Block Store (AmazonEBS) e RDS Amazon Relational Database Service (Amazon), utilizzando APIs uno di questi servizi. È possibile creare policy di accesso separate per controllare l'accesso a quelle per APIs controllare completamente l'accesso a tali tipi di backup. IAM
Indipendentemente dalla politica di accesso del AWS Backup vault, l'accesso tra account per qualsiasi azione diversa backup:CopyIntoBackupVault verrà rifiutato, ovvero AWS Backup rifiuterà qualsiasi altra richiesta proveniente da un account diverso dall'account della risorsa a cui si fa riferimento.
Argomenti
Negare l'accesso a un tipo di risorsa in un vault di backup
Questa politica nega l'accesso alle API operazioni specificate per tutte le EBS istantanee di Amazon in un archivio di backup.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }
Negare l'accesso a un vault di backup
Questa politica nega l'accesso alle API operazioni specificate destinate a un archivio di backup.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }
Negare l'accesso all'eliminazione dei punti di ripristino in un vault di backup
La possibilità di accedere ai vault e di eliminare i punti di ripristino in essi archiviati è determinata dal tipo di accesso concesso agli utenti.
Segui questi passaggi per creare una policy di accesso basata sulle risorse in un vault di backup che impedisca l'eliminazione di qualsiasi backup al suo interno.
Per creare una policy di accesso basata su risorse per un vault di backup
-
Nel riquadro di navigazione a sinistra scegliere Vault di backup.
-
Scegliere un vault di backup nell'elenco.
-
Nella sezione Politica di accesso, incolla il seguente JSON esempio. Questa policy impedisce a chiunque non sia l'entità principale di eliminare un punto di ripristino nel vault di backup di destinazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }Per consentire alle IAM identità degli elenchi di utilizzarleARN, utilizzate la chiave
aws:PrincipalArnglobal condition nell'esempio seguente.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }Per informazioni su come ottenere un ID univoco per un'IAMentità, vedi Ottenere l'identificatore univoco nella Guida per l'IAMutente.
Se si desidera limitare l'accesso a tipi di risorsa specifici, invece di
"Resource": "*", è possibile includere esplicitamente i tipi di punti di ripristino a cui negare l'accesso. Ad esempio, per le EBS istantanee di Amazon, modifica il tipo di risorsa nel modo seguente."Resource": ["arn:aws:ec2::Region::snapshot/*"] -
Scegli Collega policy.
