# Configuración de la copia de seguridad y la restauración nativas
<a name="SQLServer.Procedural.Importing.Native.Enabling"></a>

Para configurar la copia de seguridad y la restauración nativas, son necesarios tres componentes:

1. Un bucket de Amazon S3 para almacenar los archivos de copia de seguridad.

   Debe tener un bucket S3 para utilizar con sus archivos de copia de seguridad y después cargar las copias de seguridad que quiera migrar a RDS. Si ya tiene un bucket de Amazon S3, puede utilizarlo. Si no dispone de un bucket, puede [crear un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingaBucket.html). También puede hacer que se cree automáticamente un bucket cuando añada la opción `SQLSERVER_BACKUP_RESTORE` mediante la Consola de administración de AWS.

   Para obtener más información sobre el uso de S3, consulte la [Guía del usuario de Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).

1. Un rol de AWS Identity and Access Management (IAM) para acceder al bucket.

   Si ya tiene un rol de IAM, puede utilizarlo. También puede elegir que un nuevo rol de IAM se cree en su nombre cuando se agregue la opción `SQLSERVER_BACKUP_RESTORE` mediante la Consola de administración de AWS. Si lo desea, puede crear uno nuevo manualmente.

   Si desea crear un nuevo rol de IAM manualmente, siga las indicaciones de la siguiente sección. Haga lo mismo si desea asociar relaciones de confianza y directivas de permisos a un rol de IAM existente.

1. La opción `SQLSERVER_BACKUP_RESTORE` añadida a un grupo de opciones en la instancia de base de datos.

   Para activar la copia de seguridad y la restauración nativas en la instancia de base de datos, añada la opción `SQLSERVER_BACKUP_RESTORE` a un grupo de opciones en la instancia de base de datos. Para obtener más información e instrucciones, consulte [Compatibilidad con copia de seguridad y restauración nativas en SQL Server](Appendix.SQLServer.Options.BackupRestore.md).

## Creación manual de un rol de IAM para la copia de seguridad y la restauración nativas
<a name="SQLServer.Procedural.Importing.Native.Enabling.IAM"></a>

Si desea crear manualmente un nuevo rol de IAM para utilizarlo con la copia de seguridad y la restauración nativas, puede hacerlo. En este caso, se crea un rol para delegar los permisos desde el servicio de Amazon RDS a su bucket de Amazon S3. Cuando cree un rol de IAM, asocie una relación de confianza y una política de permisos. La relación de confianza permite que RDS adopte este rol. La política de permisos define las acciones que puede realizar este rol. Para obtener más información acerca de cómo crear un rol, consulte [Crear un rol para delegar permisos a un servicio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).

En el caso de la copia de seguridad y la restauración nativas, utilice relacione de confianza y políticas de permisos similares a las de los ejemplos de esta sección. En el ejemplo siguiente, vamos a usar el nombre de la entidad principal de servicio, `rds.amazonaws.com`, como alias de todas las cuentas del servicio. En los otros ejemplos, especificamos un Nombre de recurso de Amazon (ARN) para identificar otra cuenta, usuario o función con acceso a la política de confianza.

Le recomendamos que utilice las claves de contexto de condición globales de [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) en las relaciones de confianza basadas en recursos para limitar los permisos del servicio a un recurso específico. Esta es la forma más eficaz de protegerse contra el [problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).

Puede utilizar claves de contexto de condición globales y hacer que el valor de `aws:SourceArn` contenga el ID de cuenta. En estos casos, el valor de `aws:SourceAccount` y la cuenta del valor de `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utilizan en la misma instrucción.
+ Use `aws:SourceArn` si quiere acceso entre servicios para un único recurso.
+ Use `aws:SourceAccount` si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios.

En la relación de confianza, asegúrese de utilizar la clave de contexto de condición global `aws:SourceArn` con el ARN completo de los recursos que acceden al rol. Para la restauración y la copia de seguridad nativa, asegúrese de incluir tanto el grupo de opciones de base de datos como las instancias de base de datos, como se muestra en el siguiente ejemplo.

**Example Ejemplo de relación de confianza con la clave de contexto de condición global para la restauración y la copia de seguridad nativa**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rds.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": [
                        "arn:aws:rds:Region:0123456789:db:db_instance_identifier",
                        "arn:aws:rds:Region:0123456789:og:option_group_name"
                    ],
                    "aws:SourceAccount": "0123456789"
                }
            }
        }
    ]
}
```

En el siguiente ejemplo se utiliza un ARN para especificar un recurso. Para obtener más información sobre cómo usar ARN, consulte [Nombres de recursos de Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). 

**Example Ejemplo de política de permisos para la restauración y copia de seguridad nativa sin cifrado**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
        "Effect": "Allow",
        "Action":
            [
                "s3:GetObjectAttributes",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}
```

**Example política de permisos para la restauración y copia de seguridad nativa con cifrado**  
Si desea cifrar los archivos de copia de seguridad, incluya una clave de cifrado en la política de permisos. Para obtener más información acerca de las claves de cifrado, consulte la [introducción](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) en la *guía para desarrolladores de AWS Key Management Service*.  
Debe utilizar una clave de cifrado de KMS simétrica para cifrar las copias de seguridad. Amazon RDS no admite las claves de KMS asimétricas. Para obtener más información, consulte [Creación de claves KMS de cifrado simétricas](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) en la *Guía para desarrolladores de AWS Key Management Service*.  
El rol de IAM también debe ser un usuario de claves y un administrador de claves de la clave de KMS; es decir, debe estar especificado en la política de claves. Para obtener más información, consulte [Creación de claves KMS de cifrado simétricas](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) en la *Guía para desarrolladores de AWS Key Management Service*.  
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToKey",
      "Effect": "Allow",
      "Action": [
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Encrypt",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
    },
    {
      "Sid": "AllowAccessToS3",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetBucketLocation"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
    },
    {
      "Sid": "GetS3Info",
      "Effect": "Allow",
      "Action": [
        "s3:GetObjectAttributes",
        "s3:GetObject",
        "s3:PutObject",
        "s3:ListMultipartUploadParts",
        "s3:AbortMultipartUpload"
      ],
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    }
  ]
}
```

**Example política de permisos para la restauración y copia de seguridad nativa mediante puntos de acceso sin compatibilidad con el cifrado**  
Las acciones necesarias para usar los puntos de acceso de S3 son las mismas que para los buckets de S3. La ruta de recursos se actualiza para que coincida con el patrón del ARN del punto de acceso de S3.  
Los puntos de acceso deben configurarse para utilizar el **origen de la red: Internet**, ya que RDS no publica VPC privadas. El tráfico de S3 de las instancias de RDS no pasa por el Internet público, ya que pasa por VPC privadas.  
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
                ],
            "Resource": [
            "arn:aws:s3:us-east-1:111122223333:accesspoint/amzn-s3-demo-ap",
            "arn:aws:s3:::underlying-bucket"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectAttributes",
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
                ],
                "Resource": [
                "arn:aws:s3:us-east-1:111122223333:accesspoint/amzn-s3-demo-ap/*",
                    "arn:aws:s3:::underlying-bucket/*"
                    ]
                }
            ]   
}
```

**Example política de permisos para la copia de seguridad y restauración nativas usando puntos de acceso para buckets de directorios sin compatibilidad con cifrado**  
Los buckets de directorio usan un [mecanismo de autorización basado en sesiones](https://docs.aws.amazon.com//AmazonS3/latest/userguide/s3-express-authenticating-authorizing.html) diferente al de los buckets de uso general, por lo que solo se necesita el permiso “s3express:CreateSession” a nivel de bucket para la restauración de copias de seguridad nativas. Para configurar el acceso a nivel de objeto, debe usar [puntos de acceso para buckets de directorio](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-points-directory-buckets-policies.html).  
Los puntos de acceso deben configurarse para utilizar el **origen de la red: Internet**, ya que RDS no publica VPC privadas. El tráfico de S3 de las instancias de RDS no pasa por el Internet público, ya que pasa por VPC privadas.  
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
        "Effect": "Allow",
        "Action": "s3express:CreateSession",
        "Resource": 
            [
                "arn:aws:s3express:us-east-1:111122223333:accesspoint/amzn-s3-demo-accesspoint--use1-az6--xa-s3",
                "arn:aws:s3express:us-east-1:111122223333:bucket/amzn-s3-demo-bucket--use1-az6--x-s3"
            ]
        }
    ]
}
```