IAMfunciones de servicio - AWS Backup
Usa AWS roles para controlar el acceso a las copias de seguridadFunción de servicio predeterminada para AWS BackupCreación del rol de servicio en la consola

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

IAMfunciones de servicio

Un rol AWS Identity and Access Management (IAM) es similar al de un usuario, ya que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en él AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Una función de servicio es una función que asume un AWS servicio para realizar acciones en su nombre. Como servicio que realiza las operaciones de copia de seguridad en su nombre, AWS Backup requiere transferirle un rol que debe adoptar al realizar las operaciones de copia de seguridad en su nombre. Para obtener más información sobre IAM las funciones, consulte IAMlas funciones en la Guía del IAM usuario.

El rol al que se transfiera AWS Backup debe tener una IAM política con los permisos que permitan realizar las acciones asociadas AWS Backup a las operaciones de copia de seguridad, como la creación, restauración o caducidad de las copias de seguridad. Se requieren permisos diferentes para cada uno de los AWS servicios AWS Backup compatibles. El rol también debe AWS Backup figurar como entidad de confianza, lo que AWS Backup permite asumirlo.

Al asignar recursos a un plan de copia de seguridad, o si realiza una copia de seguridad, copia o restauración bajo demanda, debe asignar una función de servicio que tenga acceso para realizar las operaciones subyacentes en los recursos especificados. AWS Backup utiliza esta función para crear, etiquetar y eliminar recursos de su cuenta.

Usa AWS roles para controlar el acceso a las copias de seguridad

Puede utilizar roles para controlar el acceso a sus copias de seguridad definiendo roles muy acotados y especificando quién puede transferir dicho rol a AWS Backup. Por ejemplo, puede crear un rol que solo conceda permisos para realizar copias de seguridad de las bases de datos del Amazon Relational Database Service (RDSAmazon) y que solo conceda permiso a los propietarios de las bases de datos de RDS Amazon para transferir ese rol AWS Backup. AWS Backup proporciona varias políticas gestionadas predefinidas para cada uno de los servicios compatibles. Puede asociar estas políticas administradas a los roles que cree. Esto facilita la creación de funciones específicas del servicio que tengan los permisos correctos que AWS Backup se necesitan.

Para obtener más información sobre las políticas AWS administradas para AWS Backup, consulte. Políticas administradas para AWS Backup

Función de servicio predeterminada para AWS Backup

Cuando utilice la AWS Backup consola por primera vez, puede optar por AWS Backup crear un rol de servicio predeterminado para usted. Este rol tiene los permisos AWS Backup necesarios para crear y restaurar copias de seguridad en su nombre.

nota

El rol predeterminado se crea automáticamente si usa la AWS Management Console. Puede crear el rol predeterminado con AWS Command Line Interface (AWS CLI), pero debe hacerlo manualmente.

Si prefiere usar roles personalizados, como roles independientes para diferentes tipos de recursos, también puede hacerlo y transferir sus roles personalizados a AWS Backup. Para ver ejemplos de roles que permiten la copia de seguridad y la restauración para tipos de recursos individuales, consulte la tabla Políticas administradas por el cliente.

El rol de servicio predeterminado se denominaAWSBackupDefaultServiceRole. Este rol de servicio contiene dos políticas administradas AWSBackupServiceRolePolicyForBackupy AWSBackupServiceRolePolicyForRestores.

AWSBackupServiceRolePolicyForBackupincluye una IAM política que otorga AWS Backup permisos para describir el recurso del que se está haciendo la copia de seguridad y la posibilidad de crear, eliminar, describir o añadir etiquetas a una copia de seguridad, independientemente de la AWS KMS clave con la que esté cifrada.

AWSBackupServiceRolePolicyForRestoresincluye una IAM política que concede AWS Backup permisos para crear, eliminar o describir el nuevo recurso que se está creando a partir de una copia de seguridad, independientemente de la AWS KMS clave con la que esté cifrado. También incluye permisos para etiquetar el recurso recién creado.

Para restaurar una EC2 instancia de Amazon, debes lanzar una nueva instancia.

Creación del rol de servicio en la consola

Las acciones específicas que realice en la AWS Backup consola crean el rol de servicio AWS Backup predeterminado.

Para crear el rol de servicio AWS Backup predeterminado en su AWS cuenta

  1. Abre la AWS Backup consola en https://console.aws.amazon.com/backup.

  2. Para crear el rol de su cuenta, asigne recursos a un plan de copia de seguridad o cree una copia de seguridad bajo demanda.

    1. Cree un plan de copia de seguridad y asigne recursos a la copia de seguridad. Consulte Crear un plan de respaldo.

    2. Como alternativa, cree una copia de seguridad bajo demanda. Consulte Creación de una copia de seguridad bajo demanda.

  3. Siga estos pasos para comprobar que ha creado AWSBackupDefaultServiceRole en su cuenta:

    1. Espere unos minutos. Para obtener más información, consulte Los cambios que realizo no están siempre visibles inmediatamente en la Guía del usuario de AWS Identity and Access Management.

    2. Inicie sesión en AWS Management Console y abra la IAM consola en https://console.aws.amazon.com/iam/.

    3. En el menú de navegación izquierdo, elija Roles.

    4. En la barra de búsqueda, escriba AWSBackupDefaultServiceRole. Si existe esta selección, ha creado el rol AWS Backup predeterminado y ha completado este procedimiento.

    5. Si AWSBackupDefaultServiceRole sigue sin aparecer, añada los siguientes permisos al IAM usuario o IAM rol que utilice para acceder a la consola.

      {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "iam:CreateRole",
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
    },
    {
      "Effect":"Allow",
      "Action":[
        "iam:ListRoles"
      ],
      "Resource":"*"
    }
  ]
}

      Para las regiones de China, sustituya aws with aws-cn. Para AWS GovCloud (US) las regiones, sustituya aws with aws-us-gov.

    6. Si no puede añadir permisos a su IAM usuario o IAM función, pídale a su administrador que cree manualmente una función con un nombre distinto de estas políticas administradas AWSBackupDefaultServiceRole y que la asocie a estas políticas administradas:

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores