Criação, atualização e exclusão de políticas de backup - AWS Organizations

Criação, atualização e exclusão de políticas de backup

Neste tópico:

Como criar uma política de backup

Permissões mínimas

Para criar uma política de backup, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console

Você pode criar uma política de backup no AWS Management Console de uma das duas maneiras:

  • Um editor visual que permite escolher opções e gera o texto da política JSON para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você só pode adicioná-los se editar manualmente o texto de política JSON.

Para criar uma política de backup

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Backup policies (Políticas de backup), escolha Create policy (Criar política).

  3. Na página Create policy (Criar política), insira um nome de política e uma descrição, opcional, para a política.

  4. (Opcional) você pode adicionar uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações sobre marcação, consulte Marcar recursos do AWS Organizations.

  5. Você pode criar a política usando o Editor Visual, conforme descrito neste procedimento. Você também pode inserir ou colar texto de política na guia JSON . Para obter informações sobre a sintaxe de política de backup, consulte Sintaxe e exemplos de políticas de backup.

    Se você optar por usar o Editor Visual, selecione as opções de backup apropriadas para seu cenário. Um plano de backup consiste em três partes. Para obter mais informações sobre esses elementos do plano de backup, consulte Criação de um plano de backup e Atribuição de recursos no Guia do desenvolvedor do AWS Backup.

    1. Detalhes gerais do plano de backup

      • O Nome do plano de backup pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados.

      • Você deve selecionar pelo menos uma Região do plano de backup na lista. O plano pode fazer backup de recursos somente nas Regiões da AWS selecionadas.

    2. Uma ou mais regras de backup que especificam como e quando o AWS Backup deve operar. Cada regra de backup define os seguintes itens:

      • Uma programação que inclui a frequência do backup e a janela de tempo em que o backup pode ocorrer.

      • O nome do cofre de backup a ser usado. O nome do cofre de backup pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados. O cofre de backup deve existir antes que o plano possa ser executado com êxito. Crie o cofre usando o console do AWS Backup ou comandos da AWS CLI.

      • (Opcional) Uma ou mais regras de Copiar para região também copiam o backup para cofres em outras Regiões da AWS.

      • Um ou mais pares de chave de tag e valor a serem anexados aos pontos de recuperação de backup criados sempre que esse plano de backup for executado.

      • Opções de ciclo de vida que especificam quando o backup faz a transição para o armazenamento frio e quando o backup expira.

      Escolha Add rule (Adicionar regra) para adicionar cada regra necessária ao plano.

      Para obter mais informações sobre backup, consulte Regras de backup no Guia do desenvolvedor do AWS Backup.

    3. Uma atribuição de recurso que especifica os recursos dos quais o AWS Backup deve fazer backup com este plano. A atribuição é feita especificando pares de tags que o AWS Backup usa para localizar e combinar recursos

      • O nome da atribuição do recurso pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados.

      • Especifique a função do IAM a ser usada pelo AWS Backup para executar o backup pelo nome.

        No console, você não especifica o nome do recurso da Amazon (ARN) inteiro. Você deve incluir o nome da função e o prefixo que especifica o tipo de função. Os prefixos são tipicamente role ou service-role, e eles são separados do nome da função por uma barra ('/'). Por exemplo, você pode inserir role/MyRoleName ou service-role/MyManagedRoleName. Isso é convertido em um ARN completo para você quando armazenado no JSON subjacente.

        Importante

        A função do IAM especificada já deve existir na conta à qual a política é aplicada. Caso contrário, o plano de backup pode iniciar com êxito trabalhos de backup, mas esses trabalhos de backup falharão.

      • Especifique uma ou mais chaves de tag de recurso e valores de tag para identificar os recursos dos quais você deseja que seja feito backup. Se houver mais de um valor de tag, separe-os com vírgulas.

      Selecione Add assignment (Adicionar atribuição) para adicionar cada atribuição de recurso configurada ao plano de backup.

      Para obter mais informações, consulte Atribuir recursos a um plano de backup no Guia do desenvolvedor do AWS Backup.

  6. Quando terminar de criar sua política, escolha Create policy (Criar política). A política aparecerá na lista de políticas de backup disponíveis.

AWS CLI & AWS SDKs

Para criar uma política de backup

Você pode usar um dos seguintes procedimentos para criar uma política de backup:

  • AWS CLI: create-policy

    Crie um plano de backup como texto JSON semelhante ao seguinte e armazene-o em um arquivo de texto. Para obter regras completas para a sintaxe, consulte Sintaxe e exemplos de políticas de backup.

    { "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": { "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "10" }, "delete_after_days": { "@@assign": "100" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII" ] } } } } } } }

    Esse plano de backup especifica que o AWS Backup deve fazer backup de todos os recursos nas Contas da AWS afetadas que estão nas Regiões da AWS especificadas e que têm a tag dataType com valor de PII.

    Em seguida, importe o plano de backup do arquivo de política JSON para criar uma nova política na organização. Observe o ID da política no final do ARN da política na saída.

    $ aws organizations create-policy \ --name "MyBackupPolicy" \ --type BACKUP_POLICY \ --description "My backup policy" \ --content file://policy.json{ "Policy": { "PolicySummary": { "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5", "Description": "My backup policy", "Name": "MyBackupPolicy", "Type": "BACKUP_POLICY" } "Content": "...a condensed version of the JSON policy document you provided in the file...", } }
  • AWS SDKs: CreatePolicy

O que fazer em seguida

Depois de criar uma política de backup, você pode colocar sua política em vigor. Para isso, você pode anexar a política à raiz da organização, unidades organizacionais (UOs), Contas da AWS dentro da organização ou uma combinação de tudo isso.

Como atualizar uma política de backup

Quando faz login na conta de gerenciamento da sua organização, você pode editar uma política que exija alterações na sua organização.

Permissões mínimas

Para atualizar uma política de backup, você deve ter permissão para executar as seguintes ações:

  • organizations:UpdatePolicy com um elemento Resource na mesma declaração de política que inclui o ARN da política a ser atualizada (ou "*")

  • organizations:DescribePolicy com um elemento Resource na mesma declaração de política que inclui o ARN da política a ser atualizada (ou "*")

AWS Management Console

Para atualizar uma política de backup

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Backup policies (Políticas de backup), escolha o nome da política que deseja atualizar.

  3. Escolha Editar política.

  4. Você pode inserir um novo nome da política, descrição da política. Você pode alterar o conteúdo da política usando o Editor visual ou editando diretamente o JSON.

  5. Quando terminar de atualizar a política, escolha Salvar alterações.

AWS CLI & AWS SDKs

Para atualizar uma política de backup

Você pode usar uma das seguintes opções para atualizar uma política de backup:

  • AWS CLI: update-policy

    O exemplo a seguir renomeia uma política de backup.

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed policy" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" } }

    O exemplo a seguir adiciona ou muda a descrição de uma política de backup.

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new description" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" } }

    O exemplo a seguir altera o documento de política JSON anexado a uma política de backup. Neste exemplo, o conteúdo é retirado de um arquivo chamado policy.json com o seguinte texto:

    { "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": { "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "10" }, "delete_after_days": { "@@assign": "100" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII" ] } } } } } } }
    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --content file://policy.json { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" }
  • AWS SDKs: UpdatePolicy

Edição de tags anexadas a uma política de backup

Quando faz login na conta de gerenciamento da sua organização, você pode adicionar ou remover as tags anexadas a uma política de backup. Para obter mais informações sobre marcação, consulte Marcar recursos do AWS Organizations.

Permissões mínimas

Para editar as tags anexadas a uma política de backup de sua organização da AWS, você deve ter as seguintes permissões:

  • organizations:DescribeOrganization (somente console – para navegar até a política)

  • organizations:DescribePolicy (somente console – para navegar até a política)

  • organizations:TagResource

  • organizations:UntagResource

AWS Management Console

Para editar as tags anexadas a uma política de backup

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Página Backup policies (Políticas de backup)

  3. Escolha o nome da política com as tags que você deseja editar.

    A página de detalhes da política é exibida.

  4. Na guia Tags (Tags), selecione Manage tags (Gerenciar tags).

  5. Você pode executar qualquer uma das seguintes ações nesta página:

    • Edite o valor de qualquer tag inserindo um novo valor sobre o antigo. Não é possível modificar a chave. Para alterar uma chave, você deve excluir a tag com a chave antiga e adicionar uma tag com a nova chave.

    • Remova uma tag existente escolhendo Remove (Remover).

    • Adicione um novo par de chave e valor de tag. Escolha Add tag (Adicionar tag) e insira o novo nome da chave e o valor opcional nas caixas fornecidas. Se você deixar a caixa Value (Valor) vazia, o valor é uma sequência vazia, não é null.

  6. Escolha Save changes (Salvar alterações) depois de ter feito todas as adições, remoções e edições que deseja fazer.

AWS CLI & AWS SDKs

Para editar as tags anexadas a uma política de backup

Você pode usar um dos seguintes comandos para editar uma política de backup:

Como excluir uma política de backup

Quando faz login na conta de gerenciamento da sua organização, você pode excluir uma política que não seja mais necessária em sua organização.

Antes de excluir uma política, você deve primeiro desvinculá-la de todas as entidades anexadas.

Permissões mínimas

Para excluir uma política, você deve ter permissão para executar a seguinte ação:

  • organizations:DeletePolicy com um elemento Resource na mesma declaração de política que inclui o ARN da política a ser excluída (ou "*")

AWS Management Console

Para excluir uma política de backup

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Backup policies (Políticas de backup), escolha o nome da política que deseja excluir.

  3. Você primeiro deve desvincular a política de backup que deseja excluir de todas as raízes, UOs e contas. Escolha a guia Targets (Alvos), escolha o botão de opção ao lado de cada raiz, UO ou conta que é mostrada na lista Targets (Alvos) e escolha Detach (Desvincular). Na caixa de diálogo de confirmação, escolha Detach (Desvincular). Repita até remover todos os alvos.

  4. Escolha Delete (Excluir), no alto da página.

  5. Na caixa de diálogo de confirmação, insira o nome da política e escolha Delete (Excluir).

AWS CLI & AWS SDKs

Para excluir uma política de backup

Você pode usar uma das seguintes opções para excluir uma política:

  • AWS CLI: delete-policy

    O exemplo a seguir exclui a política especificada. Ele só funciona se a política não estiver anexada a nenhuma raiz, UO ou conta.

    $ aws organizations delete-policy \ --policy-id p-i9j8k7l6m5

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS SDKs: DeletePolicy