Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de acceso a almacenes
Con él AWS Backup, puede asignar políticas a las bóvedas de respaldo y a los recursos que contienen. La asignación de políticas le permite hacer cosas como conceder acceso a los usuarios para crear planes de copia de seguridad y copias de seguridad bajo demanda, pero limitar su capacidad de eliminar puntos de recuperación una vez creados.
Para obtener información sobre el uso de políticas para conceder o restringir el acceso a recursos, consulte Políticas basadas en identidad y políticas basadas en recursos en la Guía del usuario de IAM. También puede controlar el acceso mediante etiquetas.
Puede utilizar las siguientes políticas de ejemplo como guía para limitar el acceso a los recursos cuando trabaje con AWS Backup almacenes. A diferencia de otras políticas basadas en la IAM, las políticas de AWS Backup acceso no admiten el uso de un comodín en la clave. Action
Para obtener una lista de los nombres de recursos de Amazon (ARNs) que puede utilizar para identificar los puntos de recuperación de distintos tipos de recursos, consulte el punto AWS Backup recurso ARNs de recuperación específico del recurso. ARNs
Las políticas de acceso a Vault solo controlan el acceso de los usuarios a. AWS Backup APIs También se puede acceder a algunos tipos de copias de seguridad, como las instantáneas de Amazon Elastic Block Store (Amazon EBS) y Amazon Relational Database Service (Amazon RDS), mediante estos servicios. APIs Puede crear políticas de acceso independientes en IAM que controlen el acceso a dichas políticas para controlar completamente el acceso APIs a esos tipos de copias de seguridad.
Independientemente de la política de acceso del AWS Backup almacén, se backup:CopyIntoBackupVault rechazará el acceso entre cuentas para cualquier acción que no sea la que no sea la del recurso al que se hace referencia. Es decir, se AWS Backup rechazará cualquier otra solicitud de una cuenta que no sea la cuenta del recurso al que se hace referencia.
Temas
Denegación del acceso a un tipo de recurso en un almacén de copias de seguridad
Esta política deniega el acceso a las operaciones de API especificadas para todas las instantáneas de Amazon EBS de un almacén de copias de seguridad.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }
Denegación del acceso a un almacén de copias de seguridad
Esta política deniega el acceso a las operaciones de API especificadas dirigidas a un almacén de copias de seguridad.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }
Denegación del acceso para eliminar puntos de recuperación en un almacén de copias de seguridad
El acceso a los almacenes y la capacidad de eliminar puntos de recuperación almacenados en ellos se determinará en función del acceso que conceda a los usuarios.
Siga estos pasos para crear una política de acceso basada en recursos en un almacén de copias de seguridad que impida la eliminación de todas las copias de seguridad del almacén.
Para crear una política de acceso basada en recursos en un almacén de copias de seguridad
Inicie sesión en y abra la AWS Management Console AWS Backup consola en https://console.aws.amazon.com/backup.
-
En el panel de navegación de la izquierda, elija Backup vaults (Almacenes de copias de seguridad).
-
Elija un almacén de copias de seguridad en la lista.
-
En la sección Access policy (Política de acceso), pegue el siguiente ejemplo de JSON. Esta política impide que cualquier persona que no sea la entidad principal elimine un punto de recuperación en el almacén de copias de seguridad de destino.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }Para permitir que las identidades de IAM de la lista utilicen su ARN, utilice la clave de condición global
aws:PrincipalArndel siguiente ejemplo.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }Para obtener información acerca de cómo obtener un ID único para una entidad de IAM, consulte Obtener el identificador único en la Guía del usuario de IAM.
Si desea limitar esto a tipos de recursos específicos, en lugar de
"Resource": "*", puede incluir explícitamente los tipos de puntos de recuperación que se van a denegar. Por ejemplo, para las instantáneas de Amazon EBS, cambie el tipo de recurso por lo siguiente."Resource": ["arn:aws:ec2::Region::snapshot/*"] -
Elija Asociar política.
