Recursos y operaciones Propiedad del recurso Especificación de los elementos de las políticas: acciones, efectos y entidades principales Especificación de las condiciones de una política Referencia de permisos de API Permisos de copia de etiquetas Políticas de acceso

Control de acceso

Puedes tener credenciales válidas para autenticar tus solicitudes, pero a menos que tengas los permisos adecuados, no podrás acceder a AWS Backup recursos como las bóvedas de respaldo. Tampoco puedes hacer copias de seguridad de AWS recursos como los volúmenes de Amazon Elastic Block Store (AmazonEBS).

Cada AWS recurso es propiedad de un Cuenta de AWS, y los permisos para crear o acceder a un recurso se rigen por las políticas de permisos. Un administrador de cuentas puede adjuntar políticas de permisos a AWS Identity and Access Management (IAM) identidades (es decir, usuarios, grupos y roles). Y algunos servicios también permiten asociar políticas de permisos a recursos.

Un administrador de la cuenta (o usuario administrador) es un usuario con permisos de administrador. Para obtener más información, consulte las prácticas IAM recomendadas en la Guía del IAM usuario.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.

En las secciones siguientes se explica cómo funcionan las políticas de acceso y como puede utilizarlas para proteger sus copias de seguridad.

Temas

Recursos y operaciones
Propiedad del recurso
Especificación de los elementos de las políticas: acciones, efectos y entidades principales
Especificación de las condiciones de una política
APIpermisos: referencia a acciones, recursos y condiciones
Permisos de copia de etiquetas
Políticas de acceso

Recursos y operaciones

Un recurso es un objeto que existe dentro de un servicio. AWS Backup los recursos incluyen planes de respaldo, bóvedas de respaldo y copias de seguridad. Backup es un término general que se refiere a los distintos tipos de recursos de respaldo que existen en AWS. Por ejemplo, las instantáneas de Amazon, EBS las instantáneas de Amazon Relational Database Service (RDSAmazon) y las copias de seguridad de Amazon DynamoDB son todos tipos de recursos de copia de seguridad.

En AWS Backup, las copias de seguridad también se denominan puntos de recuperación. Cuando lo usa AWS Backup, también trabaja con los recursos de otros AWS servicios que intenta proteger, como los EBS volúmenes de Amazon o las tablas de DynamoDB. Estos recursos tienen nombres de recursos de Amazon (ARNs) exclusivos asociados a ellos. ARNsidentifique los AWS recursos de forma exclusiva. Debe disponer de una ARN cuando necesite especificar un recurso de forma inequívoca en todos los ámbitos AWS, como en IAM las políticas o API las llamadas.

En la siguiente tabla se enumeran los recursos, los subrecursos, el ARN formato y un ejemplo de identificador único.

AWS Backup recurso ARNs
Tipo de recurso	ARNformato	ID único de ejemplo
Plan de copias de seguridad	`arn:aws:backup:region:account-id:backup-plan:*`
Almacén de copias de seguridad	`arn:aws:backup:region:account-id:backup-vault:*`
Punto de recuperación para Amazon EBS	`arn:aws:ec2:region::snapshot/*`	`snapshot/snap-05f426fd8kdjb4224`
Punto de recuperación para EC2 imágenes de Amazon	`arn:aws:ec2:region::image/ami-*`	`image/ami-1a2b3e4f5e6f7g890`
Punto de recuperación para Amazon RDS	`arn:aws:rds:region:account-id:snapshot:awsbackup:*`	`awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453`
Punto de recuperación para Aurora	`arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:*`	`awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453`
Punto de recuperación para Storage Gateway	`arn:aws:ec2:region::snapshot/*`	`snapshot/snap-0d40e49137e31d9e0`
Punto de recuperación para DynamoDB sin Copia de seguridad avanzada de DynamoDB	`arn:aws:dynamodb:region:account-id:table//backup/`	`table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3`
Punto de recuperación para DynamoDB con Copia de seguridad avanzada de DynamoDB habilitado	`arn:aws:backup:region:account-id:recovery-point:*`	`12a34a56-7bb8-901c-cd23-4567d8e9ef01`
Punto de recuperación para Amazon EFS	`arn:aws:backup:region:account-id:recovery-point:*`	`d99699e7-e183-477e-bfcd-ccb1c6e5455e`
Punto de recuperación para Amazon FSx	`arn:aws:fsx:region:account-id:backup/backup-*`	`backup/backup-1a20e49137e31d9e0`
Punto de recuperación para máquina virtual	`arn:aws:backup:region:account-id:recovery-point:*`	`1801234a-5b6b-7dc8-8032-836f7ffc623b`
Punto de recuperación para la copia de seguridad continua de Amazon S3	`arn:aws:backup:region:account-id:recovery-point:*`	`amzn-s3-demo-bucket-5ec207d0`
Punto de recuperación para la copia de seguridad periódica de S3	`arn:aws:backup:region:account-id:recovery-point:*`	`amzn-s3-demo-bucket-20211231900000-5ec207d0`
Punto de recuperación para Amazon DocumentDB	`arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:*`	`awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012`
Punto de recuperación de Neptuno	`arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:*`	`awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012`
Punto de recuperación para Amazon Redshift	`arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:*`	`awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012`
Punto de recuperación para Amazon Timestream	`arn:aws:backup:region:account-id:recovery-point:*`	`recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta`
Punto de recuperación de la plantilla AWS CloudFormation	`arn:aws:backup:region:account-id:recovery-point:*`	`recovery-point:1a2b3cde-f405-6789-012g-3456hi789012`
Punto de recuperación para la SAP HANA base de datos en la EC2 instancia de Amazon	`arn:aws:backup:region:account-id:recovery-point:*`	`recovery-point:1a2b3cde-f405-6789-012g-3456hi789012`

Todos los recursos que permiten una AWS Backup administración completa tienen puntos de recuperación en ese formatoarn:aws:backup:region:account-id::recovery-point:*, lo que facilita la aplicación de políticas de permisos para proteger esos puntos de recuperación. Para ver qué recursos admiten una AWS Backup administración completa, consulte esa sección de la Disponibilidad de características por recurso tabla.

AWS Backup proporciona un conjunto de operaciones para trabajar con AWS Backup los recursos. Para ver la lista de las operaciones disponibles, consulte AWS Backup Acciones.

Propiedad del recurso

Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de la entidad principal (es decir, el usuario Cuenta de AWS raíz, un IAM usuario o un IAM rol) que autentica la solicitud de creación del recurso. Los siguientes ejemplos ilustran cómo funciona:

Si utiliza sus credenciales de usuario Cuenta de AWS raíz Cuenta de AWS para crear un almacén de respaldo, Cuenta de AWS es el propietario del almacén.
Si crea un IAM usuario en su cuenta Cuenta de AWS y le concede permisos para crear una bóveda de copias de seguridad, el usuario podrá crear una bóveda de copias de seguridad. Sin embargo, la cuenta de AWS a la que pertenece el usuario será la propietaria del recurso del almacén de copias de seguridad.
Si crea un IAM rol en su cuenta Cuenta de AWS con permisos para crear un almacén de copias de seguridad, cualquier persona que pueda asumir ese rol podrá crear un almacén. Usted Cuenta de AWS, al que pertenece el rol, es propietario del recurso de la bóveda de respaldo.

Especificación de los elementos de las políticas: acciones, efectos y entidades principales

Para cada AWS Backup recurso (consulteRecursos y operaciones), el servicio define un conjunto de API operaciones (consulteAcciones). Para conceder permisos para estas API operaciones, AWS Backup define un conjunto de acciones que puede especificar en una política. La realización de una API operación puede requerir permisos para más de una acción.

A continuación se indican los elementos más básicos de la política:

Recurso: en una política, se utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte Recursos y operaciones.
Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar.
Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que está vinculada la política es el principal implícito. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).

Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia IAM JSON de políticas en la Guía del IAM usuario.

Para ver una tabla que muestra todas las AWS Backup API acciones, consulteAPIpermisos: referencia a acciones, recursos y condiciones.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la IAM política para especificar las condiciones en las que una política debe entrar en vigor. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar las condiciones en el lenguaje de una política, consulte Condición en la Guía del IAM usuario.

AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición globales, consulte las claves de contexto de condición AWS globales en la Guía del IAMusuario.

AWS Backup define su propio conjunto de claves de condición. Para ver una lista de claves de AWS Backup condición, consulte las claves de condición AWS Backup en la Referencia de autorización de servicio.

APIpermisos: referencia a acciones, recursos y condiciones

Al configurar Control de acceso y redactar una política de permisos que pueda adjuntar a una IAM identidad (políticas basadas en la identidad), puede utilizar la siguiente de tablas como referencia. La lista de la tabla cada AWS Backup API operación, las acciones correspondientes para las que puede conceder permisos para realizar la acción y el AWS recurso para el que puede conceder los permisos. Las acciones se especifican en el campo Action de la política y el valor del recurso se especifica en el campo Resource de la política. Si el campo Resource está en blanco, puede usar el comodín (*) para incluir todos los recursos.

Puede utilizar claves AWS de condición generales en sus AWS Backup políticas para expresar las condiciones. Para obtener una lista completa de las claves AWS anchas, consulta las claves disponibles en la Guía del IAMusuario.

Utilice las barras de desplazamiento para ver el resto de la tabla.

AWS Backup APIy los permisos necesarios para realizar acciones
AWS Backup APIoperaciones	Permisos (APIacciones) necesarios	Recursos
CreateBackupPlan	`backup:CreateBackupPlan`	`arn:aws:backup:region:account-id:backup-plan:*`
CreateBackupSelection	`backup:CreateBackupSelection`	`arn:aws:backup:region:account-id:backup-plan:*`
CreateBackupVault	`backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey`	`arn:aws:backup:region:account-id:backup-vault:` En `backup-storage`: Para `kms`: `arn:aws:kms:region:account-id:key/keystring`
DeleteBackupPlan	`backup:DeleteBackupPlan`	`arn:aws:backup:region:account-id:backup-plan:*`
DeleteBackupSelection	`backup:DeleteBackupSelection`	`arn:aws:backup:region:account-id:backup-plan:*`
DeleteBackupVault	`backup:DeleteBackupVault`¹	`arn:aws:backup:region:account-id:backup-vault:*`
DeleteBackupVaultAccessPolicy	`backup:DeleteBackupVaultAccessPolicy`	`arn:aws:backup:region:account-id:backup-vault:*`
DeleteBackupVaultNotifications	`backup:DeleteBackupVaultNotifications`¹	`arn:aws:backup:region:account-id:backup-vault:*`
DeleteRecoveryPoint	`backup:DeleteRecoveryPoint`¹	²
DescribeBackupJob	`backup:DescribeBackupJob`
DescribeBackupVault	`backup:DescribeBackupVault`¹	`arn:aws:backup:region:account-id:backup-vault:*`
DescribeProtectedResource	`backup:DescribeProtectedResource`
DescribeRecoveryPoint	`backup:DescribeRecoveryPoint`¹	`arn:aws:backup:region:account-id:backup-vault:*` ²
DescribeRestoreJob	`backup:DescribeRestoreJob`
DescribeRegionSettings	`backup:DescribeRegionSettings`
ExportBackupPlanTemplate	`backup:ExportBackupPlanTemplate`
GetBackupPlan	`backup:GetBackupPlan`	`arn:aws:backup:region:account-id:backup-plan:*`
GetBackupPlanFromJSON	`backup:GetBackupPlanFromJSON`
GetBackupPlanFromTemplate	`backup:GetBackupPlanFromTemplate`	`arn:aws:backup:region:account-id:backup-plan:*`
GetBackupSelection	`backup:GetBackupSelection`	`arn:aws:backup:region:account-id:backup-plan:*`
GetBackupVaultAccessPolicy	`backup:GetBackupVaultAccessPolicy`¹	`arn:aws:backup:region:account-id:backup-vault:*`
GetBackupVaultNotifications	`backup:GetBackupVaultNotifications`¹	`arn:aws:backup:region:account-id:backup-vault:*`
GetRecoveryPointRestoreMetadata	`backup:GetRecoveryPointRestoreMetadata`¹	`arn:aws:backup:region:account-id:backup-vault:*`
GetSupportedResourceTypes	`backup:GetSupportedResourceTypes`
ListBackupJobs	`backup:ListBackupJobs`
ListBackupPlans	`backup:ListBackupPlans`
ListBackupPlanTemplates	`backup:ListBackupPlanTemplates`
ListBackupPlanVersions	`backup:ListBackupPlanVersions`	`arn:aws:backup:region:account-id:backup-plan:*`
ListBackupSelections	`backup:ListBackupSelections`	`arn:aws:backup:region:account-id:backup-plan:*`
ListBackupVaults	`backup:ListBackupVaults`	`arn:aws:backup:region:account-id:backup-vault:*`
ListProtectedResources	`backup:ListProtectedResources`
ListRecoveryPointsByBackupVault	`backup:ListRecoveryPointsByBackupVault`¹	`arn:aws:backup:region:account-id:backup-vault:*`
ListRecoveryPointsByResource	`backup:ListRecoveryPointsByResource`
ListRestoreJobs	`backup:ListRestoreJobs`
ListTags	`backup:ListTags`
PutBackupVaultAccessPolicy	`backup:PutBackupVaultAccessPolicy`¹	`arn:aws:backup:region:account-id:backup-vault:*`
PutBackupVaultNotifications	`backup:PutBackupVaultNotifications`¹	`arn:aws:backup:region:account-id:backup-vault:*`
StartBackupJob	`backup:StartBackupJob`	`arn:aws:backup:region:account-id:backup-vault:*`
StartRestoreJob	`backup:StartRestoreJob`	`arn:aws:backup:region:account-id:backup-vault:` `arn:aws:backup:region:account-id:recovery-point:` ³
StopBackupJob	`backup:StopBackupJob`
TagResource	`backup:TagResource`⁴	`arn:aws:backup:region:account-id:recovery-point:*`⁴
UntagResource	`backup:UntagResource`
UpdateBackupPlan	`backup:UpdateBackupPlan`	`arn:aws:backup:region:account-id:backup-plan:*`
UpdateRecoveryPointLifecycle	`backup:UpdateRecoveryPointLifecycle`¹	`arn:aws:backup:region:account-id:backup-vault:*` ²
UpdateRegionSettings	`backup:UpdateRegionSettings` `backup:DescribeRegionSettings`

¹ Utiliza la política de acceso a la bóveda existente.

² Consulte AWS Backup recurso ARNs para conocer el punto de recuperación específico del recurso. ARNs

³ StartRestoreJob debe tener el par clave-valor en los metadatos del recurso. Para obtener los metadatos del recurso, llame al. GetRecoveryPointRestoreMetadata API

⁴ Algunos tipos de recursos requieren que el rol que realiza la copia de seguridad tenga un permiso de etiquetado específico backup:TagResource si planea incluir etiquetas de recursos originales en la copia de seguridad o agregar etiquetas adicionales a una copia de seguridad. Cualquier copia de seguridad que ARN comience por arn:aws:backup:region:account-id:recovery-point: o que sea continua requiere este permiso. backup:TagResourceel permiso debe aplicarse a "resourcetype": "arn:aws:backup:region:account-id:recovery-point:*"

Para obtener más información, consulte Acciones, recursos y claves de condición de AWS Backup en la Referencia de autorizaciones de servicio.

Permisos de copia de etiquetas

Cuando AWS Backup realiza un trabajo de copia de seguridad o copia, intenta copiar las etiquetas del recurso de origen (o del punto de recuperación en el caso de una copia) al punto de recuperación.

nota

AWS Backup no copia las etiquetas de forma nativa durante los trabajos de restauración. Para ver una arquitectura basada en eventos que copie las etiquetas durante los trabajos de restauración, consulte Cómo conservar las etiquetas de recursos en AWS Backup los trabajos de restauración.

Durante un trabajo de copia de seguridad o copia, AWS Backup agrega las etiquetas que especifique en su plan de copia de seguridad (o plan de copia, o copia de seguridad bajo demanda) con las etiquetas del recurso de origen. Sin embargo, AWS impone un límite de 50 etiquetas por recurso, que AWS Backup no se puede superar. Cuando un trabajo de copia de seguridad o copia agrega etiquetas del plan y del recurso de origen, podría detectar más de 50 etiquetas en total, no podrá completar el trabajo y dará como resultado un error. Esto es coherente con las mejores AWS prácticas de etiquetado en general. Para obtener más información, consulte Tag limits en la Guía de referencia general de AWS .

Su recurso tiene más de 50 etiquetas después de agregar las etiquetas de los trabajos de respaldo con las etiquetas de los recursos de origen. AWS admite hasta 50 etiquetas por recurso. Para obtener más información, consulte Tag limits.
La IAM función que asigne AWS Backup carece de permisos para leer las etiquetas de origen o establecer las etiquetas de destino. Para obtener más información y ejemplos de políticas de IAM roles, consulte Políticas administradas.

Puede utilizar su plan de copia de seguridad para crear etiquetas que contradigan las etiquetas del recurso de origen. Cuando ambas estén en conflicto, prevalecerán las etiquetas del plan de copia de seguridad. Utilice esta técnica si prefiere no copiar el valor de una etiqueta del recurso de origen. Especifique la misma clave de etiqueta, pero con un valor diferente o vacío, utilizando su plan de copia de seguridad.

Permisos necesarios para asignar etiquetas a copias de seguridad
Tipo de recurso	Permiso necesario
Sistema de EFS archivos Amazon	`elasticfilesystem:DescribeTags`
Sistema de FSx archivos Amazon	`fsx:ListTagsForResource`
RDSBase de datos de Amazon y clúster de Amazon Aurora	`rds:AddTagsToResource` `rds:ListTagsForResource`
Volumen de Storage Gateway	`storagegateway:ListTagsForResource`
EC2Instancia de Amazon y EBS volumen de Amazon	`EC2:CreateTags` `EC2:DescribeTags`

DynamoDB no admite la asignación de etiquetas a las copias de seguridad a menos que habilite primero la Copia de seguridad avanzada de DynamoDB.

Cuando una EC2 copia de seguridad de Amazon crea un punto de recuperación de imágenes y un conjunto de instantáneas, AWS Backup copia las etiquetas en las resultantesAMI. AWS Backup también copia las etiquetas de los volúmenes asociados a la EC2 instancia de Amazon en las instantáneas resultantes.

Políticas de acceso

Una política de permisos describe quién tiene acceso a qué. Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (políticas)IAM. Las políticas adjuntas a un recurso se denominan políticas basadas en recursos. AWS Backup admite tanto las políticas basadas en la identidad como las políticas basadas en los recursos.

nota

En esta sección se analiza el uso IAM en el contexto de. AWS Backup No proporciona información detallada sobre el IAM servicio. Para obtener IAM la documentación completa, consulte ¿Qué esIAM? en la Guía IAM del usuario. Para obtener información sobre IAM la sintaxis y las descripciones de las IAMJSONpolíticas, consulte la referencia de políticas en la Guía del IAM usuario.

Políticas basadas en la identidad (políticas) IAM

Las políticas basadas en la identidad son políticas que se pueden adjuntar a las IAM identidades, como los usuarios o los roles. Por ejemplo, puede definir una política que permita a un usuario ver los AWS recursos y realizar copias de seguridad, pero que le impida restaurar las copias de seguridad.

Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte Identidades (usuarios, grupos y funciones) en la Guía del IAM usuario.

Para obtener información sobre cómo utilizar IAM las políticas para controlar el acceso a las copias de seguridad, consultePolíticas administradas para AWS Backup.

Políticas basadas en recursos

AWS Backup admite políticas de acceso basadas en recursos para las bóvedas de respaldo. De este modo, puede definir una política de acceso que puede controlar qué usuarios tienen qué tipo de acceso a cualquiera de las copias de seguridad organizadas en un almacén de copias de seguridad. Las políticas de acceso basadas en recursos para almacenes de copia de seguridad ofrecen una manera fácil de controlar el acceso a sus copias de seguridad.

Las políticas de acceso a Backup Vault controlan el acceso de los usuarios cuando usted lo usa AWS Backup APIs. También se puede acceder a algunos tipos de copias de seguridad, como las instantáneas de Amazon Elastic Block Store (AmazonEBS) y RDS Amazon Relational Database Service (Amazon), mediante esos servicios». APIs Puede crear políticas de acceso independientes IAM que controlen el acceso a ellas para controlar completamente APIs el acceso a las copias de seguridad.

Para obtener información sobre cómo crear una política de acceso para almacenes de copias de seguridad, consulte Políticas de acceso a almacenes.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Autenticación

IAMfunciones de servicio