Atribuir recursos a um plano de backup - AWS Backup
Atribuir recursos usando o consoleAtribuir recursos de forma programáticaAtribuindo recursos usando AWS CloudFormationCotas de atribuição de recursos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atribuir recursos a um plano de backup

A atribuição de recursos especifica quais recursos AWS Backup serão protegidos usando seu plano de backup. AWS Backup oferece configurações padrão simples e controles refinados para atribuir recursos ao seu plano de backup. Sempre que seu plano de backup é executado, ele examina todos Conta da AWS os recursos que correspondem aos seus critérios de atribuição de recursos. Esse nível de automação permite que você defina seu plano de backup e a atribuição de recursos exatamente uma vez. AWS Backup resume o trabalho de encontrar e fazer backup de novos recursos adequados à sua atribuição de recursos definida anteriormente.

Você pode atribuir qualquer tipo de recurso AWS Backup compatível que você tenha optado por AWS Backup gerenciar. Para obter instruções sobre como optar por mais tipos AWS Backup de recursos compatíveis, consulte Introdução 1: Opção de serviço.

O AWS Backup console tem duas maneiras de incluir tipos de recursos em um plano de backup: atribuir explicitamente o tipo de recurso em um plano de backup ou incluir todos os recursos. Veja os pontos abaixo para entender como essas seleções funcionam com as inclusões no serviço.

  • Se as atribuições de recursos forem baseadas somente em tags, as configurações de inclusão no serviço serão aplicadas.

  • Se um tipo de recurso for explicitamente atribuído a um plano de backup, ele será incluído no backup mesmo que o opt-in não esteja habilitado para esse serviço específico. Isso não se aplica ao Aurora, ao Neptune e ao Amazon DocumentDB. Para que esses serviços sejam incluídos, o opt-in deve estar ativado.

  • Se o tipo de recurso e as tags forem especificados em uma atribuição de recurso, os tipos de recursos especificados serão filtrados primeiro e, em seguida, as tags filtrarão ainda mais esses recursos.

    As configurações de aceitação do serviço são ignoradas na maioria dos tipos de recursos. No entanto, o Aurora, o Neptune e o Amazon DocumentDB exigem a aceitação do serviço.

  • Quando uma conta usa AWS Backup (cria um cofre de backup ou um plano de backup) em uma região, a conta é automaticamente incluída em todos os tipos de recursos suportados pela AWS Backup região naquele momento. Os serviços suportados adicionados a essa região posteriormente não serão incluídos automaticamente em um plano de backup. Você pode optar por optar por esses tipos de recursos assim que eles se tornarem compatíveis.

  • Para o Amazon FSx for NetApp ONTAP, ao usar a seleção de recursos com base em tags, aplique tags em volumes individuais em vez de em todo o sistema de arquivos.

Sua atribuição de recursos pode incluir (ou excluir) tipos de recursos e recursos.

  • Um tipo de recurso inclui cada instância ou recurso de um AWS serviço AWS Backup compatível ou aplicativo de terceiros. Por exemplo, o tipo de recurso do DynamoDB se refere a todas as suas tabelas do DynamoDB.

  • Um recurso é uma instância única de um tipo de recurso, como uma de suas tabelas do DynamoDB. É possível especificar um recurso usando seu ID de recurso exclusivo.

É possível refinar ainda mais sua atribuição de recursos usando tags e operadores condicionais.

Atribuir recursos usando o console

Como navegar até a página Atribuir recursos:

  1. Abra o AWS Backup console em https://console.aws.amazon.com/backup.

  2. Escolha planos de backup.

  3. Escolha Criar plano de backup.

  4. Selecione qualquer modelo na lista suspensa Escolher modelo e, em seguida, escolha Criar plano.

  5. Digite um Nome de plano de backup.

  6. Selecione Criar plano.

  7. Selecione Atribuir recursos.

Para começar sua atribuição de recursos, na seção Geral:

  1. Digite o nome de uma atribuição de recurso.

  2. Escolha a Função padrão ou Escolha um perfil do IAM.

    nota

    Se você escolher um perfil do IAM, verifique se ele tem permissão para fazer backup de todos os recursos que você está prestes a atribuir. Se o perfil encontrar um recurso para o qual não tenha permissão para acessar, haverá falha.

Para atribuir seus recursos, na seção Atribuir recursos, selecione uma das duas opções em Definir seleção de recursos:

  • Incluir todos os tipos de recursos. Essa opção configura seu plano de backup para proteger todos os recursos AWS Backup suportados atuais e futuros atribuídos ao seu plano de backup. Use essa opção para proteger de forma rápida e fácil seu conjunto de dados.

    Ao escolher essa opção, você pode, opcionalmente, refinar a seleção usando tags como a próxima etapa.

  • Incluir tipos de recursos específicos. Ao escolher essa opção, você deve selecionar tipos de recursos específicos com as seguintes etapas:

    1. Usando o menu suspenso Selecionar tipos de recursos, atribua um ou mais tipos de recursos.

      Importante

      O RDS, o Aurora, o Neptune e o DocumentDB compartilham o mesmo nome do recurso da Amazon (ARN). Optar por gerenciar um desses tipos de recursos com o AWS Backup inclui todos eles ao atribuí-lo a um plano de backup. Para refinar sua seleção, use tags e operadores condicionais.

      Ao terminar, AWS Backup apresenta a lista dos tipos de recursos selecionados e sua configuração padrão, que é proteger todos os recursos de cada tipo de recurso selecionado.

    2. Opcionalmente, se você quiser excluir recursos específicos de um tipo de recurso selecionado:

      1. Use o menu suspenso Escolher recursos e desmarque a opção padrão.

      2. Selecione os recursos específicos a serem atribuídos ao seu plano de backup.

    3. Opcionalmente, é possível Excluir IDs de recursos específicos dos tipos de recursos selecionados. Use essa opção se quiser excluir um ou alguns recursos de muitos, pois isso pode ser mais rápido do que selecionar muitos recursos durante a etapa anterior. Você deve incluir um tipo de recurso antes de excluir recursos desse tipo de recurso. Exclua uma ID de recurso usando as seguintes etapas:

      1. Em Excluir IDs de recursos específicos dos tipos de recursos selecionados, escolha um ou mais dos tipos de recursos que você incluiu usando Selecionar tipos de recursos.

      2. Para cada tipo de recurso, use o menu Escolher recursos para selecionar um ou mais recursos a serem excluídos.

Além das escolhas anteriores, é possível fazer seleções ainda mais granulares usando o recurso opcional Refinar seleção usando tags. Esse recurso permite que você refine sua seleção atual para incluir um subconjunto de seus recursos usando tags.

As tags são pares de chave/valor que podem ser atribuídas a recursos específicos para ajudar você a identificar, organizar e filtrar seus recursos. As tags diferenciam letras maiúsculas de minúsculas. Para obter mais informações, consulte Marcar recursos da AWS na Referência geral da AWS .

Quando você refina sua seleção usando duas ou mais tags, o efeito é uma condição AND. Por exemplo, se refinar sua seleção usando duas tags, env: prod e role: application, você só atribuirá recursos com AMBAS as tags ao seu plano de backup.

Como refinar sua seleção usando tags:

  1. Em Refinar seleção usando tags, escolha uma Chave na lista suspensa.

  2. Escolha uma Condição para o valor na lista suspensa.

    • O valor se refere à próxima entrada, o valor do seu par de chave/valor.

    • A condição pode ser Equals, Contains, Begins with, Ends with ou seu inverso: Does not equal, Does not contain, Does not begin with ou Does not end with.

  3. Escolha um Valor na lista suspensa.

  4. Para refinar ainda mais usando outra tag, escolha Adicionar tag.

Atribuir recursos de forma programática

É possível definir uma atribuição de recursos em um documento JSON. Esse exemplo de atribuição de recursos atribui todas as instâncias do Amazon EC2 ao plano de backup BACKUP-PLAN-ID:

{
  "BackupPlanId":"BACKUP-PLAN-ID",
  "BackupSelection":{
    "SelectionName":"resources-list-selection", 
    "IamRoleArn":"arn:aws:iam::ACCOUNT-ID:role/IAM-ROLE-ARN",
    "Resources":[
      "arn:aws:ec2:*:*:instance/*"
    ]
  }
}

Supondo que esse JSON esteja armazenado como backup-selection.json, você poderá atribuir esses recursos ao seu plano de backup usando o seguinte comando da CLI:

aws backup create-backup-selection --cli-input-json file://PATH-TO-FILE/backup-selection.json

Veja a seguir exemplos de atribuições de recursos, junto com o documento JSON correspondente. Para facilitar a leitura dessa tabela, os exemplos omitem os campos "BackupPlanId", "SelectionName", e "IamRoleArn". O curinga * representa zero ou mais caracteres que não sejam espaços em branco.

exemplo Exemplo: Selecionar todos os recursos em minha conta
{
  "BackupSelection":{
    "Resources":[
      "*"
    ]
  }
}
exemplo Exemplo: selecionar todos os recursos em minha conta, mas excluir volumes do EBS
{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "NotResources":[
      "arn:aws:ec2:*:*:volume/*"
    ]
  }
}
exemplo Exemplo: selecione todos os recursos marcados com"backup":"true", mas exclua os volumes do EBS
{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "NotResources":[
      "arn:aws:ec2:*:*:volume/*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        }
      ]
    }
  }
}
exemplo Exemplo: selecione todos os volumes do EBS e instâncias de banco de dados do RDS marcados com ambos e "backup":"true""stage":"prod"

A aritmética booleana é semelhante à das políticas do IAM, com aquelas em "Resources" combinadas usando um OR booliano e aquelas em "Conditions" combinadas com um AND booliano.

A expressão "arn:aws:rds:*:*:db:*" de "Resources" seleciona somente instâncias de banco de dados do RDS porque não há recursos do Aurora, Neptune ou DocumentDB correspondentes.

{
  "BackupSelection":{
    "Resources":[
      "arn:aws:ec2:*:*:volume/*",
      "arn:aws:rds:*:*:db:*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        },
        {
          "ConditionKey":"aws:ResourceTag/stage",
          "ConditionValue":"prod"
        }
      ]
    }
  }
}
exemplo Exemplo: Selecione todos os volumes do EBS e instâncias do RDS marcados com"backup":"true", mas não "stage":"test"
{
  "BackupSelection":{
    "Resources":[
      "arn:aws:ec2:*:*:volume/*",
      "arn:aws:rds:*:*:db:*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        }
      ],
      "StringNotEquals":[
        {
          "ConditionKey":"aws:ResourceTag/stage",
          "ConditionValue":"test"
        }
      ]
    }
  }
}
exemplo Exemplo: selecione todos os recursos marcados com "key1" e um valor que comece com"include", mas não com, "key2" e um valor que contenha a palavra "exclude"

Você pode usar o caractere curinga no início, no final e no meio de uma string. Observe o uso do caractere curinga (*) no include* e *exclude* no exemplo acima. Você também pode usar o caractere curinga no meio de uma string, conforme mostrado no exemplo anterior, arn:aws:rds:*:*:db:*.

{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "Conditions":{
      "StringLike":[
        {
          "ConditionKey":"aws:ResourceTag/key1",
          "ConditionValue":"include*"
        }
      ],
      "StringNotLike":[
        {
          "ConditionKey":"aws:ResourceTag/key2",
          "ConditionValue":"*exclude*"
        }
      ]
    }
  }
}
exemplo Exemplo: Selecione todos os recursos marcados com, "backup":"true" exceto sistemas de arquivos FSx e recursos do RDS, Aurora, Neptune e DocumentDB

Os itens em NotResources são combinados usando o booliano OR.

{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "NotResources":[
      "arn:aws:fsx:*",
      "arn:aws:rds:*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        }
      ]
    }
  }
}
exemplo Exemplo: selecione todos os recursos marcados com uma tag "backup" e qualquer valor
{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "Conditions":{
      "StringLike":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"*"
        }
      ]
    }
  }
}
exemplo Exemplo: selecione todos os sistemas de arquivos FSx, o cluster Aurora e todos os recursos marcados com "my-aurora-cluster""backup":"true", exceto os recursos marcados com "stage":"test"
{
  "BackupSelection":{
    "Resources":[
      "arn:aws:fsx:*",
      "arn:aws:rds:*:*:cluster:my-aurora-cluster"
    ],
    "ListOfTags":[
      {
        "ConditionType":"StringEquals",
        "ConditionKey":"backup",
        "ConditionValue":"true"
      }
    ],
    "Conditions":{
      "StringNotEquals":[
        {
          "ConditionKey":"aws:ResourceTag/stage",
          "ConditionValue":"test"
        }
      ]
    }
  }
}
exemplo Exemplo: Selecione todos os recursos marcados com a tag"backup":"true", exceto os volumes do EBS marcados com "stage":"test"

Use dois comandos da CLI para criar duas seleções para selecionar esse grupo de recursos. A primeira seleção se aplica a todos os recursos, exceto aos volumes do EBS. A segunda seleção se aplica aos volumes do EBS.

{
  "BackupSelection":{
    "Resources":[
      "*"
    ],
    "NotResources":[
      "arn:aws:ec2:*:*:volume/*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        }
      ]
    }
  }
}
{
  "BackupSelection":{
    "Resources":[
      "arn:aws:ec2:*:*:volume/*"
    ],
    "Conditions":{
      "StringEquals":[
        {
          "ConditionKey":"aws:ResourceTag/backup",
          "ConditionValue":"true"
        }
      ],
      "StringNotEquals":[
        {
          "ConditionKey":"aws:ResourceTag/stage",
          "ConditionValue":"test"
        }
      ]
    }
  }
}

Atribuindo recursos usando AWS CloudFormation

Esse end-to-end AWS CloudFormation modelo cria uma atribuição de recursos, um plano de backup e um cofre de backup de destino:

  • Um cofre de backup chamado CloudFormationTestBackupVault.

  • Um plano de backup chamado CloudFormationTestBackupPlan. Esse plano conterá duas regras de backup, ambas fazendo backups diariamente às 12h UTC e os retendo por 210 dias.

  • Uma seleção de recursos chamada BackupSelectionName.

    • A atribuição de recursos faz backup dos seguintes recursos:

      • Qualquer recurso marcado com o par de chave/valor backupplan:dsi-sandbox-daily.

      • Qualquer recurso marcado com o valor prod ou valores que começam com prod/.

    • A atribuição de recursos não faz backup dos seguintes recursos:

      • Qualquer cluster do RDS, Aurora, Neptune ou DocumentDB.

      • Qualquer recurso marcado com o valor test ou valores que começam com test/.

Description: "Template that creates Backup Selection and its dependencies"
Parameters:
  BackupVaultName:
    Type: String
    Default: "CloudFormationTestBackupVault"
  BackupPlanName:
    Type: String
    Default: "CloudFormationTestBackupPlan"
  BackupSelectionName: 
    Type: String
    Default: "CloudFormationTestBackupSelection"
  BackupPlanTagValue:
    Type: String
    Default: "test-value-1"
  RuleName1:
    Type: String
    Default: "TestRule1"
  RuleName2:
    Type: String
    Default: "TestRule2"
  ScheduleExpression:
    Type: String
    Default: "cron(0 12 * * ? *)"
  StartWindowMinutes:
    Type: Number
    Default: 60
  CompletionWindowMinutes:
    Type: Number
    Default: 120
  RecoveryPointTagValue:
    Type: String
    Default: "test-recovery-point-value"
  MoveToColdStorageAfterDays:
    Type: Number
    Default: 120
  DeleteAfterDays:
    Type: Number
    Default: 210
Resources:
  CloudFormationTestBackupVault:
    Type: "AWS::Backup::BackupVault"
    Properties:
      BackupVaultName: !Ref BackupVaultName
  BasicBackupPlan:
    Type: "AWS::Backup::BackupPlan"
    Properties:
      BackupPlan:
        BackupPlanName: !Ref BackupPlanName
        BackupPlanRule:
          - RuleName: !Ref RuleName1
            TargetBackupVault: !Ref BackupVaultName
            ScheduleExpression: !Ref ScheduleExpression
            StartWindowMinutes: !Ref StartWindowMinutes
            CompletionWindowMinutes: !Ref CompletionWindowMinutes
            RecoveryPointTags:
              test-recovery-point-key-1: !Ref RecoveryPointTagValue
            Lifecycle:
              MoveToColdStorageAfterDays: !Ref MoveToColdStorageAfterDays
              DeleteAfterDays: !Ref DeleteAfterDays
          - RuleName: !Ref RuleName2
            TargetBackupVault: !Ref BackupVaultName
            ScheduleExpression: !Ref ScheduleExpression
            StartWindowMinutes: !Ref StartWindowMinutes
            CompletionWindowMinutes: !Ref CompletionWindowMinutes
            RecoveryPointTags:
              test-recovery-point-key-1: !Ref RecoveryPointTagValue
            Lifecycle:
              MoveToColdStorageAfterDays: !Ref MoveToColdStorageAfterDays
              DeleteAfterDays: !Ref DeleteAfterDays
      BackupPlanTags:
        test-key-1: !Ref BackupPlanTagValue
    DependsOn: CloudFormationTestBackupVault
 
  TestRole:
    Type: "AWS::IAM::Role"
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: "Allow"
            Principal:
              Service:
                - "backup.amazonaws.com"
            Action:
              - "sts:AssumeRole"
      ManagedPolicyArns:
        - !Sub "arn:${AWS::Partition}:iam::aws:policy/service-role/AWSBackupServiceRolePolicyForBackup"
  BasicBackupSelection:
    Type: 'AWS::Backup::BackupSelection'
    Properties:
      BackupPlanId: !Ref BasicBackupPlan
      BackupSelection:
        SelectionName: !Ref BackupSelectionName
        IamRoleArn: !GetAtt TestRole.Arn
        ListOfTags:
          - ConditionType: STRINGEQUALS
            ConditionKey: backupplan
            ConditionValue: dsi-sandbox-daily
        NotResources:
          - 'arn:aws:rds:*:*:cluster:*'
        Conditions:
          StringEquals:
            - ConditionKey: 'aws:ResourceTag/path'
              ConditionValue: prod
          StringNotEquals:
            - ConditionKey: 'aws:ResourceTag/path'
              ConditionValue: test
          StringLike:
            - ConditionKey: 'aws:ResourceTag/path'
              ConditionValue: prod/*
          StringNotLike:
            - ConditionKey: 'aws:ResourceTag/path'
              ConditionValue: test/*

Cotas de atribuição de recursos

As cotas a seguir se aplicam a uma atribuição de recurso único:

  • 500 Nomes de recurso da Amazon (ARNs) sem curingas

  • 30 ARNs com expressões curinga

  • 30 condições

  • 30 tags por atribuição de recurso (e um número ilimitado de recursos por tag)