Usa AWS roles para controlar el acceso a las copias de seguridad Función de servicio predeterminada para AWS Backup Creación del rol de servicio en la consola

Roles de servicio de IAM

Una función AWS Identity and Access Management (IAM) es similar a la de un usuario, ya que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en ella. AWS No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Una función de servicio es una función que asume un AWS servicio para realizar acciones en su nombre. Como servicio que realiza las operaciones de copia de seguridad en su nombre, AWS Backup requiere transferirle un rol que debe adoptar al realizar las operaciones de copia de seguridad en su nombre. Para obtener más información acerca de los roles de IAM, consulte Roles de IAM en la guía del usuario de IAM.

El rol al que se transfiera AWS Backup debe tener una política de IAM con los permisos que le permitan realizar las acciones asociadas AWS Backup a las operaciones de copia de seguridad, como crear, restaurar o caducar copias de seguridad. Se requieren permisos diferentes para cada uno de los AWS servicios compatibles AWS Backup . El rol también debe AWS Backup figurar como entidad de confianza, lo que AWS Backup permite asumirlo.

Al asignar recursos a un plan de copia de seguridad, o si realiza una copia de seguridad, copia o restauración bajo demanda, debe asignar una función de servicio que tenga acceso para realizar las operaciones subyacentes en los recursos especificados. AWS Backup utiliza esta función para crear, etiquetar y eliminar recursos de su cuenta.

Usa AWS roles para controlar el acceso a las copias de seguridad

Puede utilizar roles para controlar el acceso a sus copias de seguridad definiendo roles muy acotados y especificando quién puede transferir dicho rol a AWS Backup. Por ejemplo, puede crear un rol que solo conceda permisos para realizar copias de seguridad de las bases de datos de Amazon Relational Database Service (Amazon RDS) y que solo conceda permiso a los propietarios de las bases de datos de Amazon RDS para transferir ese rol. AWS Backup AWS Backup proporciona varias políticas administradas predefinidas para cada uno de los servicios compatibles. Puede asociar estas políticas administradas a los roles que cree. Esto facilita la creación de funciones específicas del servicio que tengan los permisos correctos que AWS Backup se necesitan.

Para obtener más información sobre las políticas AWS administradas para AWS Backup, consulte. Políticas administradas para AWS Backup

Función de servicio predeterminada para AWS Backup

Cuando utilice la AWS Backup consola por primera vez, puede optar por AWS Backup crear un rol de servicio predeterminado para usted. Este rol tiene los permisos AWS Backup necesarios para crear y restaurar copias de seguridad en su nombre.

nota

El rol predeterminado se crea automáticamente si usa la AWS Management Console. Puede crear el rol predeterminado con AWS Command Line Interface (AWS CLI), pero debe hacerlo manualmente.

Si prefiere usar roles personalizados, como roles independientes para diferentes tipos de recursos, también puede hacerlo y transferir sus roles personalizados a AWS Backup. Para ver ejemplos de roles que permiten la copia de seguridad y la restauración para tipos de recursos individuales, consulte la tabla Políticas administradas por el cliente.

El Nombre del rol de servicio predeterminado esAWSBackupDefaultServiceRole . Este rol de servicio contiene dos políticas administradas AWSBackupServiceRolePolicyForBackupy AWSBackupServiceRolePolicyForRestores.

AWSBackupServiceRolePolicyForBackupincluye una política de IAM que otorga AWS Backup permisos para describir el recurso del que se está haciendo la copia de seguridad y la posibilidad de crear, eliminar, describir o añadir etiquetas a una copia de seguridad, independientemente de la AWS KMS clave con la que esté cifrada.

AWSBackupServiceRolePolicyForRestoresincluye una política de IAM que concede AWS Backup permisos para crear, eliminar o describir el nuevo recurso que se está creando a partir de una copia de seguridad, independientemente de la AWS KMS clave con la que esté cifrado. También incluye permisos para etiquetar el recurso recién creado.

Para restaurar una EC2 instancia de Amazon, debes lanzar una nueva instancia.

Creación del rol de servicio en la consola

Las acciones específicas que realice en la AWS Backup consola crean el rol de servicio AWS Backup predeterminado.

Para crear el rol de servicio AWS Backup predeterminado en tu AWS cuenta

Abre la AWS Backup consola en https://console.aws.amazon.com/backup.
Para crear el rol de su cuenta, asigne recursos a un plan de copia de seguridad o cree una copia de seguridad bajo demanda.
1. Cree un plan de copia de seguridad y asigne recursos a la copia de seguridad. Consulte Create a backup plan.
2. Como alternativa, cree una copia de seguridad bajo demanda. Consulte Creación de una copia de seguridad bajo demanda.
Siga estos pasos para comprobar que ha creado AWSBackupDefaultServiceRole en su cuenta:
1. Espere unos minutos. Para obtener más información, consulte Los cambios que realizo no están siempre visibles inmediatamente en la Guía del usuario de AWS Identity and Access Management.
2. Inicie sesión en la consola de IAM AWS Management Console y ábrala en. https://console.aws.amazon.com/iam/
3. En el menú de navegación izquierdo, elija Roles.
4. En la barra de búsqueda, escriba AWSBackupDefaultServiceRole. Si existe esta selección, ha creado el rol AWS Backup predeterminado y ha completado este procedimiento.
5. Si AWSBackupDefaultServiceRole sigue sin aparecer, agregue los siguientes permisos al usuario de IAM o al rol de IAM que utilice para acceder a la consola.
```
{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "iam:CreateRole",
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
    },
    {
      "Effect":"Allow",
      "Action":[
        "iam:ListRoles"
      ],
      "Resource":"*"
    }
  ]
}
```
  Para las regiones de China, aws sustitúyalo poraws-cn. Para AWS GovCloud (US) las regiones, aws sustitúyalo poraws-us-gov.
6. Si no puede agregar permisos a su usuario de IAM o rol de IAM, pida a su administrador que cree manualmente un rol con un nombre distinto de AWSBackupDefaultServiceRole y asocie ese rol a estas políticas administradas:
  - AWSBackupServiceRolePolicyForBackup
  - AWSBackupServiceRolePolicyForRestores

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Control de acceso

Políticas administradas