As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Definir políticas de acesso em cofres de backup
Com AWS Backup, você pode atribuir políticas aos cofres de backup e aos recursos que eles contêm. A atribuição de políticas permite que você faça várias coisas, como conceder acesso aos usuários para criar planos de backup e backups sob demanda, mas limite a capacidade delas de excluir pontos de recuperação depois que eles tiverem sido criados.
Para obter informações sobre como usar políticas para conceder ou restringir o acesso a recursos, consulte Políticas baseadas em identidade e políticas baseadas em recursos no Guia do usuário do IAM. Também é possível controlar o acesso usando tags.
Você pode usar os exemplos de políticas a seguir como guia para limitar o acesso aos recursos ao trabalhar com AWS Backup cofres. Ao contrário de outras políticas baseadas em IAM, as políticas de AWS Backup acesso não oferecem suporte a um curinga na chave. Action
Para obter uma lista de nomes de recursos da Amazon (ARNs) que podem ser usados para identificar pontos de recuperação de diferentes tipos de recursos, consulte AWS Backup ARNs de recursos para ARNs de pontos de recuperação específicos dos recursos.
As políticas de acesso ao Vault controlam apenas o acesso do usuário às AWS Backup APIs. Alguns tipos de backup, como snapshots do Amazon Elastic Block Store (Amazon EBS) e do Amazon Relational Database Service (Amazon RDS), também podem ser acessadas usando as APIs desses serviços. Você pode criar políticas de acesso separadas no IAM, que controlam o acesso a essas APIs, para controlar totalmente o acesso a esses tipos de backup.
Independentemente da política de acesso do AWS Backup cofre, o acesso entre contas para qualquer ação que não seja backup:CopyIntoBackupVault será rejeitado, ou seja, AWS Backup rejeitará qualquer outra solicitação de uma conta diferente da conta do recurso que está sendo referenciado.
Tópicos
Negar acesso a um tipo de recurso em um cofre de backup
Esta política nega acesso às operações de API especificadas para todos os snapshots do EBS em um cofre de backup.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }
Negar acesso a um cofre de backup
Esta política nega acesso às operações de API especificadas que visam um cofre de backup.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }
Negar acesso para excluir pontos de recuperação em um cofre de backup
O acesso aos cofres e a capacidade de excluir pontos de recuperação armazenados neles são determinados pelo acesso que você conceder aos seus usuários.
Siga estas etapas para criar uma política de acesso baseada em recursos em um cofre de backup que impede a exclusão de todos os backups no cofre.
Como criar uma política de acesso baseada em recursos em um cofre de backup
Faça login no AWS Management Console e abra o AWS Backup console em https://console.aws.amazon.com/backup
. -
No painel de navegação no lado esquerdo, selecione Cofres de backup.
-
Selecione um cofre de backup na lista.
-
Na seção de Política de acesso, cole o seguinte exemplo de JSON. Esta política impede que qualquer pessoa que não seja a principal exclua um ponto de recuperação no cofre de backup de destino.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }Para permitir listar identidades do IAM usando seu ARN, use a chave de condição global
aws:PrincipalArnno exemplo a seguir.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }Para obter informações sobre como obter um ID exclusivo para uma entidade do IAM, consulte Obter o identificador exclusivo no Guia do usuário do IAM.
Se quiser que isso seja limitado a tipos de recursos específicos, em vez de
"Resource": "*", você poderá incluir explicitamente os tipos de ponto de recuperação a serem negados. Por exemplo, para snapshots do Amazon EBS, altere o tipo de recurso para o seguinte:"Resource": ["arn:aws:ec2::Region::snapshot/*"] -
Escolha Anexar política.
