Controle de acesso - AWS Backup
Recursos e operaçõesPropriedade de recursosEspecificando elementos de política: ações, efeitos e entidades principaisEspecificar condições em uma políticaReferência de permissões do APICopiar permissões de tagsPolíticas de acesso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de acesso

Você pode ter credenciais válidas para autenticar suas solicitações, mas, a menos que tenha as permissões apropriadas, não poderá acessar AWS Backup recursos como cofres de backup. Você também não pode fazer backup de AWS recursos como volumes do Amazon Elastic Block Store (AmazonEBS).

Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões às AWS Identity and Access Management (IAM) identidades (ou seja, usuários, grupos e funções). E alguns serviços também são compatíveis com anexar políticas de permissões aos recursos.

O administrador de uma conta (ou o usuário administrador) é um usuário com permissões de administrador. Para obter mais informações, consulte as IAM melhores práticas no Guia IAM do usuário.

Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados às permissões concedidas e as ações específicas que deseja permitir nesses recursos.

As seções a seguir abordam como políticas de acesso funcionam e como você pode usá-las para proteger seus backups.

Recursos e operações

Um recurso é um objeto que existe dentro de um serviço. AWS Backup os recursos incluem planos de backup, cofres de backup e backups. Backup é um termo geral que se refere aos vários tipos de recursos de backup existentes em AWS. Por exemplo, os EBS snapshots da Amazon, os snapshots do Amazon Relational Database Service (RDSAmazon) e os backups do Amazon DynamoDB são todos tipos de recursos de backup.

Em AWS Backup, os backups também são chamados de pontos de recuperação. Ao usar AWS Backup, você também trabalha com os recursos de outros AWS serviços que está tentando proteger, como EBS volumes da Amazon ou tabelas do DynamoDB. Esses recursos têm nomes de recursos exclusivos da Amazon (ARNs) associados a eles. ARNsidentifique AWS recursos de forma exclusiva. Você deve ter um ARN quando precisar especificar um recurso de forma inequívoca em todos AWS, como em IAM políticas ou API chamadas.

A tabela a seguir lista recursos, sub-recursos, ARN formato e um exemplo de ID exclusivo.

AWS Backup recurso ARNs
Tipo de recurso Formato de ARN Exemplo de ID exclusivo
Plano de backup arn:aws:backup:region:account-id:backup-plan:*
Cofre de backup arn:aws:backup:region:account-id:backup-vault:*
Ponto de recuperação para Amazon EBS arn:aws:ec2:region::snapshot/* snapshot/snap-05f426fd8kdjb4224
Ponto de recuperação para EC2 imagens da Amazon arn:aws:ec2:region::image/ami-* image/ami-1a2b3e4f5e6f7g890
Ponto de recuperação para Amazon RDS arn:aws:rds:region:account-id:snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Ponto de recuperação para o Aurora arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Ponto de recuperação para o Storage Gateway arn:aws:ec2:region::snapshot/* snapshot/snap-0d40e49137e31d9e0
Ponto de recuperação para o DynamoDB sem Backup avançado do DynamoDB arn:aws:dynamodb:region:account-id:table/*/backup/* table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3
Ponto de recuperação para o DynamoDB com Backup avançado do DynamoDB habilitado arn:aws:backup:region:account-id:recovery-point:* 12a34a56-7bb8-901c-cd23-4567d8e9ef01
Ponto de recuperação para Amazon EFS arn:aws:backup:region:account-id:recovery-point:* d99699e7-e183-477e-bfcd-ccb1c6e5455e
Ponto de recuperação para Amazon FSx arn:aws:fsx:region:account-id:backup/backup-* backup/backup-1a20e49137e31d9e0
Ponto de recuperação para máquina virtual arn:aws:backup:region:account-id:recovery-point:* 1801234a-5b6b-7dc8-8032-836f7ffc623b
Ponto de recuperação para backup contínuo do Amazon S3 arn:aws:backup:region:account-id:recovery-point:* my-bucket-5ec207d0
Ponto de recuperação para backup periódico do S3 arn:aws:backup:region:account-id:recovery-point:* my-bucket-20211231900000-5ec207d0
Ponto de recuperação para Amazon DocumentDB arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Ponto de recuperação para Neptune arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Ponto de recuperação para o Amazon Redshift arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Ponto de recuperação para Amazon Timestream arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta
Ponto de recuperação para AWS CloudFormation modelo arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012
Ponto de recuperação para SAP HANA banco de dados na EC2 instância da Amazon arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012

Todos os recursos que oferecem suporte ao AWS Backup gerenciamento completo têm pontos de recuperação no formatoarn:aws:backup:region:account-id::recovery-point:*, facilitando a aplicação de políticas de permissões para proteger esses pontos de recuperação. Para ver quais recursos oferecem suporte ao AWS Backup gerenciamento completo, consulte essa seção da Disponibilidade de recursos por recurso tabela.

AWS Backup fornece um conjunto de operações para trabalhar com AWS Backup recursos. Para ver uma lista das operações disponíveis, consulte AWS Backup Ações.

Propriedade de recursos

Ele Conta da AWS possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a entidade principal (ou seja, o usuário Conta da AWS raiz, um IAM usuário ou uma IAM função) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:

  • Se você usar suas credenciais de usuário Conta da AWS raiz Conta da AWS para criar um cofre de backup, você Conta da AWS é o proprietário do cofre.

  • Se você criar um IAM usuário no seu Conta da AWS e conceder permissões para criar um cofre de backup para esse usuário, o usuário poderá criar um cofre de backup. No entanto, sua conta da AWS , à qual o usuário pertence, é a proprietária do recurso do cofre de backup.

  • Se você criar uma IAM função no seu Conta da AWS com permissões para criar um cofre de backup, qualquer pessoa que possa assumir a função poderá criar um cofre. Seu Conta da AWS, ao qual a função pertence, é proprietário do recurso de backup vault.

Especificando elementos de política: ações, efeitos e entidades principais

Para cada AWS Backup recurso (consulteRecursos e operações), o serviço define um conjunto de API operações (consulteAções). Para conceder permissões para essas API operações, AWS Backup define um conjunto de ações que você pode especificar em uma política. A execução de uma API operação pode exigir permissões para mais de uma ação.

Estes são os elementos de política mais básicos:

  • Recurso — Em uma política, você usa um Amazon Resource Name (ARN) para identificar o recurso ao qual a política se aplica. Para ter mais informações, consulte Recursos e operações.

  • Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar.

  • Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

  • Principal — Em políticas baseadas em identidade (IAMpolíticas), o usuário ao qual a política está vinculada é o principal implícito. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).

Para saber mais sobre a sintaxe e as descrições das IAM políticas, consulte a Referência IAM JSON de políticas no Guia do IAM usuário.

Para ver uma tabela mostrando todas as AWS Backup API ações, consulteAPIpermissões: referência de ações, recursos e condições.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da IAM política para especificar as condições em que uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre a especificação de condições em um idioma de política, consulte Condição no Guia do IAM Usuário.

AWS suporta chaves de condição globais e chaves de condição específicas do serviço. Para ver todas as chaves de condição globais, consulte as chaves de contexto de condição AWS global no Guia IAM do usuário.

AWS Backup define seu próprio conjunto de chaves de condição. Para ver uma lista de chaves de AWS Backup condição, consulte Chaves de condição AWS Backup na Referência de autorização de serviço.

APIpermissões: referência de ações, recursos e condições

Ao configurar Controle de acesso e escrever uma política de permissões que você pode anexar a uma IAM identidade (políticas baseadas em identidade), você pode usar a de tabelas a seguir como referência. A tabela lista cada AWS Backup API operação, as ações correspondentes para as quais você pode conceder permissões para realizar a ação e o AWS recurso para o qual você pode conceder as permissões. Você especifica as ações no campo Action da política e o valor do recurso no campo Resource da política. Se o campo Resource estiver em branco, use o caractere curinga (*) para incluir todos os recursos.

Você pode usar chaves AWS de condição abrangentes em suas AWS Backup políticas para expressar condições. Para obter uma lista completa AWS de teclas amplas, consulte Chaves disponíveis no Guia do IAM usuário.

Use as barras de rolagem para ver o restante da tabela.

1 Usa a política de acesso ao cofre existente.

2 Consulte o AWS Backup recurso ARNs ponto de recuperação específico do recurso. ARNs

3 StartRestoreJob deve ter o par de valores-chave nos metadados do recurso. Para obter os metadados do recurso, chame o. GetRecoveryPointRestoreMetadata API

4 Certos tipos de recursos exigem que a função que executa o backup tenha uma permissão de marcação específica backup:TagResource se você planeja incluir tags de recursos originais em seu backup ou adicionar tags adicionais a um backup. Qualquer backup com um backup ARN inicial arn:aws:backup:region:account-id:recovery-point: ou contínuo requer essa permissão. backup:TagResourcea permissão deve ser aplicada a "resourcetype": "arn:aws:backup:region:account-id:recovery-point:*"

Para obter mais informações, consulte Ações, recursos e chaves de condição do AWS Backup, na Referência de autorização do serviço.

Copiar permissões de tags

Ao AWS Backup realizar um trabalho de backup ou cópia, ele tenta copiar as tags do seu recurso de origem (ou ponto de recuperação, no caso de cópia) para o ponto de recuperação.

nota

AWS Backup não copia as tags de forma nativa durante os trabalhos de restauração. Para uma arquitetura orientada por eventos que copiará tags durante trabalhos de restauração, consulte Como reter tags de recursos em trabalhos de AWS Backup restauração.

Durante um trabalho de backup ou cópia, AWS Backup agrega as tags que você especifica em seu plano de backup (ou plano de cópia, ou backup sob demanda) com as tags do seu recurso de origem. No entanto, AWS impõe um limite de 50 tags por recurso, que AWS Backup não pode exceder. Quando um trabalho de backup ou de cópia agrega tags do plano e do recurso de origem, ele pode descobrir mais de 50 tags no total. Ele não conseguirá concluir o trabalho e haverá falhar no trabalho. Isso é consistente com as melhores práticas AWS de marcação em todo o mundo. Para saber mais, consulte Limites de tags no Guia de referência geral da AWS .

  • Seu recurso tem mais de 50 tags depois de agregar suas tags de trabalho de backup às tags de recursos de origem. AWS suporta até 50 tags por recurso. Para obter mais informações, consulte Limites de tags.

  • A IAM função que você fornece AWS Backup não tem permissões para ler as tags de origem ou definir as tags de destino. Para obter mais informações e exemplos de políticas de IAM função, consulte Políticas gerenciadas.

Você pode usar seu plano de backup para criar tags que contradizem suas tags do recursos de origem. Quando entram em conflito, as tags do plano de backup têm precedência. Use essa técnica se você preferir não copiar um valor de tag do seu recurso de origem. Especifique a mesma chave de tag, mas com um valor diferente ou vazio, usando o plano de backup.

Permissões necessárias para atribuir tags a backups
Tipo de recurso Permissão obrigatória
Sistema EFS de arquivos Amazon

elasticfilesystem:DescribeTags
Sistema FSx de arquivos Amazon

fsx:ListTagsForResource
RDSBanco de dados Amazon e cluster Amazon Aurora

rds:AddTagsToResource

rds:ListTagsForResource
Volume do Storage Gateway

storagegateway:ListTagsForResource
EC2Instância da Amazon e EBS volume da Amazon

EC2:CreateTags

EC2:DescribeTags

O DynamoDB não é compatível com a atribuição de tags aos backups, a menos que você habilite Backup avançado do DynamoDB primeiro.

Quando um EC2 backup da Amazon cria um ponto de recuperação de imagem e um conjunto de instantâneos, AWS Backup copia as tags para o resultadoAMI. AWS Backup também copia as tags dos volumes associados à EC2 instância da Amazon para os snapshots resultantes.

Políticas de acesso

A política de permissões descreve quem tem acesso a quê. As políticas anexadas a uma IAM identidade são chamadas de políticas baseadas em identidade (IAMpolíticas). As políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. AWS Backup suporta políticas baseadas em identidade e políticas baseadas em recursos.

nota

Esta seção discute o uso IAM no contexto de AWS Backup. Ele não fornece informações detalhadas sobre o IAM serviço. Para obter a IAM documentação completa, consulte O que éIAM? no Guia do IAM usuário. Para obter informações sobre a IAM sintaxe e as descrições das IAMJSONpolíticas, consulte Referência de políticas no Guia do IAM usuário.

Políticas baseadas em identidade (políticas) IAM

Políticas baseadas em identidade são políticas que você pode anexar a IAM identidades, como usuários ou funções. Por exemplo, você pode definir uma política que permita que um usuário visualize e faça backup de AWS recursos, mas impeça que ele restaure os backups.

Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do IAM usuário.

Para obter informações sobre como usar IAM políticas para controlar o acesso aos backups, consultePolíticas gerenciadas para AWS Backup.

Políticas baseadas em recursos

AWS Backup oferece suporte a políticas de acesso baseadas em recursos para cofres de backup. Isso permite que você defina uma política de acesso que controle quais usuários têm que tipo de acesso a qualquer um dos backups organizados em um cofre de backup. As políticas de acesso baseadas em recursos para cofres de backup fornecem uma maneira fácil de controlar o acesso aos seus backups.

As políticas de acesso ao Backup Vault controlam o acesso do usuário quando você usa AWS Backup APIs. Alguns tipos de backup, como os snapshots do Amazon Elastic Block Store (AmazonEBS) e do Amazon Relational Database Service (RDSAmazon), também podem ser acessados usando esses serviços. APIs Você pode criar políticas de acesso separadas para controlar o acesso a elas APIs para controlar totalmente o acesso aos backups. IAM

Para saber como criar uma política de acesso para cofres de backup, consulte Definir políticas de acesso em cofres de backup.