Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Seguridad en AWS Backup
<a name="security-considerations"></a>

La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.

La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores independientes prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de conformidad aplicables AWS Backup, consulte los [AWS servicios incluidos en el ámbito de aplicación por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad con respecto a AWS Backup incluye, pero no se limita a, lo siguiente. Usted también es responsable de otros factores incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables. 
  + Responder a las comunicaciones que reciba de AWS.
  + Administrar las credenciales que usted y su equipo utilizan. Para obtener más información, consulte [Administración de identidad y acceso en AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-iam.html).
  + Configurar los planes de copia de seguridad y las asignaciones de recursos para que reflejen las políticas de protección de datos de su organización. Para obtener más información, consulte [Administración de planes de copia de seguridad](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html).
  + Probar periódicamente la capacidad de encontrar determinados puntos de recuperación y restaurarlos. Para obtener más información, consulte [Trabajar con copias de seguridad](https://docs.aws.amazon.com/aws-backup/latest/devguide/recovery-points.html).
  + Incorporar AWS Backup los procedimientos en los procedimientos escritos de recuperación ante desastres y continuidad empresarial de su organización. Para empezar, consulte [Introducción a AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html).
  + Asegúrese de que sus empleados estén familiarizados con los procedimientos organizativos y hayan practicado utilizarlos AWS Backup junto con ellos en caso de una emergencia. Para obtener más información, consulte [AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html).

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS Backup. Los siguientes temas muestran cómo configurarlo AWS Backup para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS Backup recursos. 

**Topics**
+ [Validación de conformidad](backup-compliance.md)
+ [Protección de datos](data-protection.md)
+ [Identity and Access Management](backup-iam.md)
+ [Seguridad de la infraestructura](infrastructure-security.md)
+ [Integridad](backup-integrity.md)
+ [Retenciones legales](legalhold.md)
+ [Protección contra malware](malware-protection.md)
+ [Resiliencia](disaster-recovery-resiliency.md)

# Validación de conformidad para AWS Backup
<a name="backup-compliance"></a>

Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .

Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).

# Protección de datos en AWS Backup
<a name="data-protection"></a>

AWS Backup se ajusta al [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model/), que incluye normas y directrices para la protección de datos. AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los AWS servicios. AWS mantiene el control de los datos alojados en esta infraestructura, incluidos los controles de configuración de seguridad para gestionar el contenido y los datos personales de los clientes. AWS los clientes y los socios de AWS Partner Network (APN), que actúan como controladores o procesadores de datos, son responsables de cualquier dato personal que introduzcan en la Nube de AWS. 

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure cuentas de usuario individuales con AWS Identity and Access Management (IAM). Esto ayuda a garantizar que a cada usuario solo se le otorguen los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utilice una capa de conexión segura (SSL)/seguridad de la capa de transporte (TLS) para comunicarse con los recursos de AWS .
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados de los AWS servicios.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campo **Nombre**. Esto incluye cuando trabaja con AWS Backup u otros AWS servicios mediante la consola, la API o AWS SDKs. AWS CLI Es posible que cualquier dato que ingrese en AWS Backup o en otros servicios se incluya en los registros de diagnóstico. Cuando proporcione una URL a un servidor externo, no incluya información de credenciales en la URL para validar la solicitud para ese servidor.

Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al [modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el *blog de seguridad de AWS *.

# Cifrado de copias de seguridad en AWS Backup
<a name="encryption"></a>

## Cifrado de independiente
<a name="independent-encryption"></a>

AWS Backup ofrece un cifrado independiente para los [tipos de recursos que permiten una AWS Backup administración completa](backup-feature-availability.md#features-by-resource). El cifrado independiente significa que los puntos de recuperación (copias de seguridad) que se crean AWS Backup pueden tener un método de cifrado distinto del determinado por el cifrado del recurso de origen. Por ejemplo, la copia de seguridad de un bucket de Amazon S3 puede tener un método de cifrado diferente al del bucket de origen que cifró con el cifrado de Amazon S3. Este cifrado se controla mediante la configuración de AWS KMS claves en la bóveda de copias de seguridad donde se almacena la copia de seguridad.

Las copias de seguridad de los tipos de recursos que no se gestionan por completo AWS Backup suelen heredar la configuración de cifrado de su recurso de origen. Puede configurar estos ajustes de cifrado según las instrucciones de ese servicio, como [Cifrado de Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) en la *Guía del usuario de Amazon EBS*.

Su rol de IAM debe tener acceso a la Clave de KMS que se utiliza para hacer copias de seguridad del objeto y restaurarlo. De lo contrario, el trabajo se realizará correctamente, pero no se realizará una copia de seguridad de los objetos ni se restaurará. Los permisos de la política de IAM y la política de claves de KMS deben ser coherentes. Para obtener más información, consulte [Specifying KMS keys in IAM policy statements](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html) en la *Guía para desarrolladores de AWS Key Management Service *.

En la siguiente tabla se muestra cada tipo de recurso admitido, cómo está configurado el cifrado para las copias de seguridad y si se admite el cifrado independiente para las copias de seguridad. Cuando AWS Backup cifra de forma independiente una copia de seguridad, utiliza el algoritmo de cifrado AES-256 estándar del sector. Para obtener más información sobre el cifrado AWS Backup, consulte Copias de seguridad [entre regiones](cross-region-backup.md) y [entre cuentas.](create-cross-account-backup.md)


| Tipo de recurso | Cómo configurar el cifrado | Cifrado independiente AWS Backup  | 
| --- | --- | --- | 
| Amazon Simple Storage Service (Amazon S3) | Las copias de seguridad de Amazon S3 se cifran mediante una clave AWS KMS (AWS Key Management Service) asociada a la bóveda de copias de seguridad. La clave AWS KMS puede ser una clave administrada por el cliente o una clave AWS administrada asociada al servicio. AWS Backup AWS Backup cifra todas las copias de seguridad incluso si los buckets de Amazon S3 de origen no están cifrados. |  compatible | 
| VMware máquinas virtuales | Las copias de seguridad de VM están siempre cifradas. La clave de AWS KMS cifrado para las copias de seguridad de las máquinas virtuales se configura en el AWS Backup almacén en el que se almacenan las copias de seguridad de las máquinas virtuales. |  compatible | 
| Amazon DynamoDB después de habilitar [Copia de seguridad avanzada de DynamoDB](advanced-ddb-backup.md) |  Las copias de seguridad de DynamoDB siempre están cifradas. La clave de AWS KMS cifrado de las copias de seguridad de DynamoDB se configura en AWS Backup el almacén en el que se almacenan las copias de seguridad de DynamoDB.  |  compatible | 
| Amazon DynamoDB sin habilitar [Copia de seguridad avanzada de DynamoDB](advanced-ddb-backup.md) |  Las copias de seguridad de DynamoDB se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar la tabla de DynamoDB de origen. Las instantáneas de tablas de DynamoDB sin cifrar también están sin cifrar.  AWS Backup Para crear una copia de seguridad de una tabla de DynamoDB cifrada, debe añadir los `kms:Decrypt` permisos `kms:GenerateDataKey` y la función de IAM utilizada para la copia de seguridad. Como alternativa, puede utilizar el rol de servicio predeterminado. AWS Backup   | No compatible | 
| Amazon Elastic File System (Amazon EFS) | Las copias de seguridad de Amazon EFS siempre están cifradas. La clave de AWS KMS cifrado de las copias de seguridad de Amazon EFS se configura en el AWS Backup almacén en el que se almacenan las copias de seguridad de Amazon EFS. |  compatible | 
| Amazon Elastic Block Store (Amazon EBS) | De forma predeterminada, las copias de seguridad de Amazon EBS se cifran con la clave que se utilizó para cifrar el volumen de origen, o no se cifran. Durante la restauración, puede especificar una clave de KMS para anular el método de cifrado predeterminado. | No compatible | 
| Amazon Elastic Compute Cloud (Amazon EC2) AMIs | AMIs no están cifrados. Las instantáneas de EBS se cifran según las reglas de cifrado predeterminadas para las copias de seguridad de EBS (consulte la entrada correspondiente a EBS). Las instantáneas de EBS de datos y volúmenes raíz se pueden cifrar y adjuntar a una AMI.  | No compatible | 
| Amazon Relational Database Service (Amazon RDS) | Las instantáneas de Amazon RDS se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar la base de datos de Amazon RDS de origen. Las instantáneas de bases de datos de Amazon RDS sin cifrar también están sin cifrar. | No compatible | 
| Amazon Aurora | Las instantáneas de clúster de Aurora se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon Aurora de origen. Las instantáneas de clústeres de Aurora sin cifrar también están sin cifrar. | No compatible | 
| AWS Storage Gateway | Las instantáneas de Storage Gateway se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el volumen de Storage Gateway de origen. Las instantáneas de volúmenes de Storage Gateway sin cifrar también están sin cifrar. No es necesario utilizar una clave administrada por el cliente en todos los servicios para habilitar Storage Gateway. Basta con replicar la copia de seguridad de Storage Gateway en un almacén donde se haya configurado una clave de KMS. Esto se debe a que Storage Gateway no tiene una clave AWS KMS administrada específica del servicio.  | No compatible | 
| Amazon FSx | Las funciones de cifrado de los sistemas de FSx archivos de Amazon varían según el sistema de archivos subyacente. Para obtener más información sobre tu sistema de FSx archivos de Amazon en particular, consulta la [Guía FSx del usuario](https://docs.aws.amazon.com/fsx/) correspondiente. | No compatible | 
| Amazon DocumentDB | Las instantáneas de clúster de Amazon DocumentDB se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon DocumentDB de origen. Las instantáneas de clústeres de Amazon DocumentDB sin cifrar también están sin cifrar. | No compatible | 
| Amazon Neptune | Las instantáneas de clúster de Neptune se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Neptune de origen. Las instantáneas de clústeres de Neptune sin cifrar también están sin cifrar. | No compatible | 
| Amazon Timestream | Las copias de seguridad de las instantáneas de la tabla de Timestream siempre están cifradas. La clave de AWS KMS cifrado de las copias de seguridad de Timestream se configura en la bóveda de copias de seguridad en la que se almacenan las copias de seguridad de Timestream. |  compatible | 
| Amazon Redshift | Las instantáneas de clúster de Amazon Redshift se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el clúster de Amazon Redshift de origen. Las instantáneas de clústeres de Amazon Redshift sin cifrar también están sin cifrar. | No compatible | 
| Amazon Redshift sin servidor | Las instantáneas de Redshift sin servidor se cifran automáticamente con la misma clave de cifrado que se utilizó para cifrar el origen. | No compatible | 
| CloudFormation | CloudFormation las copias de seguridad siempre están cifradas. La clave de CloudFormation cifrado de las CloudFormation copias de seguridad se configura en el CloudFormation almacén en el que se almacenan las CloudFormation copias de seguridad. |  compatible | 
| Bases de datos de SAP HANA en instancias de Amazon EC2 | Las copias de seguridad de las bases de datos de SAP HANA siempre están cifradas. La clave de AWS KMS cifrado para las copias de seguridad de las bases de datos de SAP HANA se configura en el AWS Backup almacén en el que se almacenan las copias de seguridad de las bases de datos. |  compatible | 

**sugerencia**  
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) le ayuda a detectar automáticamente las copias de seguridad no cifradas.

## Cifrado para copias de una copia de seguridad en una cuenta diferente o Región de AWS
<a name="copy-encryption"></a>

Al copiar las copias de seguridad entre cuentas o regiones, las cifra AWS Backup automáticamente para la mayoría de los tipos de recursos, incluso si la copia de seguridad original no está cifrada. AWS Backup cifra la copia con la clave KMS del almacén de destino.

Antes de copiar una copia de seguridad de una cuenta a otra (tarea de copia entre cuentas) o de copiar una copia de seguridad de una región a otra (tarea de copia entre regiones), tenga en cuenta las siguientes condiciones, muchas de las cuales dependen de si el tipo de recurso de la copia de seguridad (punto de recuperación) está [completamente administrado AWS Backup o no](backup-feature-availability.md#features-by-resource).
+ La copia de una copia de seguridad a otra Región de AWS se cifra con la clave del almacén de destino.
+ Si se trata de una copia de un punto de recuperación (copia de seguridad) de un recurso **gestionado en su totalidad AWS Backup, puede optar por** cifrarla con una [clave gestionada por el cliente (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) o una clave AWS Backup gestionada (`aws/backup`).

  Para obtener una copia de un punto de recuperación de un recurso que **no esté completamente gestionado** AWS Backup, la clave asociada al almacén de destino debe ser una CMK o la clave gestionada del servicio propietario del recurso subyacente. Por ejemplo, si está copiando una instancia de EC2, no se puede utilizar una clave administrada por Backup. En su lugar, se debe usar una clave de CMK o Amazon EBS KMS (`aws/ebs`) para evitar errores en el trabajo de copia.
+ No se admite la copia multicuenta con claves AWS administradas en el caso de los recursos que no estén gestionados por completo. AWS Backup La [política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) de una clave administrada de AWS es inmutable, lo que impide que se copie la clave entre cuentas. Si tus recursos están cifrados con claves AWS administradas y deseas realizar una copia multicuenta, puedes [cambiarlas por una clave gestionada por el](https://repost.aws/knowledge-center/update-encryption-key-rds) cliente, que se puede utilizar para copiar entre cuentas. O bien, puede seguir las instrucciones de [Protección de instancias de Amazon RDS cifradas con copias de seguridad entre cuentas y regiones para](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/) seguir utilizando AWS las claves gestionadas. 
+ Las copias de los clústeres de Amazon Aurora, Amazon DocumentDB y Amazon Neptune sin cifrar también están sin cifrar.

## AWS Backup declaraciones de permisos, concesiones y denegaciones
<a name="backup-permissions-grants-deny-statements"></a>

Para evitar errores en los trabajos, puede examinar la política AWS KMS clave para asegurarse de que cuenta con los permisos necesarios y que no contiene ninguna declaración de denegación que impida que las operaciones se realicen correctamente.

Los errores en los trabajos pueden producirse debido a la aplicación de una o más instrucciones de rechazo a la clave de KMS o a la revocación de la [concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) de la clave.

En una política de acceso AWS gestionado, por ejemplo [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html), se incluyen acciones de permiso que AWS Backup permiten interactuar con AWS KMS la creación de una concesión de una clave KMS en nombre de un cliente como parte de las operaciones de copia de seguridad, copia y almacenamiento.

La política de claves requiere, como mínimo, los siguientes permisos:
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`

Si las políticas de rechazo son necesarias, tendrá que incluir en una lista los roles necesarios para las operaciones de copia de seguridad y de restauración.

Estos elementos pueden tener el siguiente aspecto:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
          "Sid": "KmsPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:ListKeys",
              "kms:DescribeKey",
              "kms:GenerateDataKey",
              "kms:ListAliases"
          ],
          "Resource": "*"
      },
      {
          "Sid": "KmsCreateGrantPermissions",
          "Effect": "Allow",
          "Principal": {
              "AWS": "arn:aws:iam::123456789012:root"
          },
          "Action": [
              "kms:CreateGrant"
          ],
          "Resource": "*",
          "Condition": {
              "ForAnyValue:StringEquals": {
                  "kms:EncryptionContextKeys": "aws:backup:backup-vault"
              },
              "Bool": {
                  "kms:GrantIsForAWSResource": true
              },
              "StringLike": {
                  "kms:ViaService": "backup.*.amazonaws.com"
              }
          }
      }
    ]
}
```

------

Estos permisos deben formar parte de la clave, ya sea que esté AWS gestionada o gestionada por el cliente.

1. Asegúrese de que los permisos necesarios formen parte de la política de claves de KMS.

   1. Ejecute el comando `get-key-policy` ([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) de la CLI de KMS para ver la política de claves asociada a la clave de KMS especificada.

   1. Revise los permisos devueltos.

1. Asegúrese de que no haya instrucciones de rechazo que afecten a las operaciones.

   1. Ejecute (o vuelva a ejecutar) el comando `get-key-policy` ([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) de la CLI para ver la política de claves asociada a la clave de KMS especificada.

   1. Revise la política.

   1. Elimine las instrucciones de rechazo pertinentes de la política de claves de KMS.

1. Si es necesario, ejecute [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) para reemplazar o actualizar la política de claves con los permisos revisados y las instrucciones de rechazo eliminadas.

Además, la clave asociada al rol que inicia un trabajo de copia entre regiones debe tener `"kms:ResourcesAliases": "alias/aws/backup"` en el permiso `DescribeKey`.

# Cifrado de credenciales del hipervisor de máquinas virtuales
<a name="bgw-hypervisor-encryption-page"></a>

Las máquinas virtuales [administradas por un hipervisor](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html) utilizan una [AWS Backup Gateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html) para conectar los sistemas en las instalaciones a AWS Backup. Es importante que los hipervisores cuenten con la misma seguridad sólida y fiable. Esta seguridad se puede lograr cifrando el hipervisor, ya sea mediante claves AWS propias o administradas por el cliente.

## AWS claves propias y administradas por el cliente
<a name="bgw-encryption-keys"></a>

AWS Backup proporciona cifrado para las credenciales del hipervisor a fin de proteger la información confidencial de inicio de sesión de los clientes mediante claves **AWS de cifrado propias**. En su lugar, tiene la opción de utilizar **claves administradas por el cliente**.

**De forma predeterminada, las claves que se utilizan para cifrar las credenciales en el hipervisor son AWS claves propias.** AWS Backup utiliza estas claves para cifrar automáticamente las credenciales del hipervisor. No puede ver, administrar ni usar las claves AWS propias, ni puede auditar su uso. Sin embargo, no tiene que realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran sus datos. Para obtener más información, consulta las claves AWS propias en la [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt).

Como alternativa, las credenciales se pueden cifrar mediante claves *administradas por el cliente*. AWS Backup admite el uso de claves simétricas administradas por el cliente que usted crea, posee y administra para realizar el cifrado. Como usted tiene el control total de este cifrado, puede realizar tareas como las siguientes:
+ Establecer y mantener políticas de claves
+ Establecer y mantener concesiones y políticas de IAM
+ Habilitar y deshabilitar políticas de claves
+ Rotar el material criptográfico
+ Adición de etiquetas de 
+ Crear alias de clave
+ Programar la eliminación de claves

Cuando utilizas una clave gestionada por el cliente, AWS Backup valida si tu rol tiene permiso para descifrar con esta clave (antes de ejecutar una tarea de copia de seguridad o restauración). Debe agregar la acción `kms:Decrypt` al rol utilizado para iniciar un trabajo de copia de seguridad o restauración.

Como la acción `kms:Decrypt` no se puede agregar al rol de copia de seguridad predeterminado, debe usar un rol distinto del rol de copia de seguridad predeterminado para usar las claves administradas por el cliente.

Para obtener más información, consulte las [claves administradas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en la * Guía para desarrolladores de AWS Key Management Service *.

## Concesión necesaria cuando se utilizan claves administradas por el cliente
<a name="encryption-grant"></a>

AWS KMS requiere una [concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para utilizar la clave gestionada por el cliente. Al importar una [configuración de hipervisor](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html) cifrada con una clave gestionada por el cliente, AWS Backup crea una concesión en tu nombre enviando una [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitud a AWS KMS. AWS Backup utiliza las concesiones para acceder a una clave de KMS en una cuenta de cliente. 

Puede revocar el acceso a la concesión o eliminar el acceso a AWS Backup la clave gestionada por el cliente en cualquier momento. Si lo hace, todas las puertas de enlace asociadas al hipervisor ya no podrán acceder al nombre de usuario y la contraseña del hipervisor cifrados por la clave administrada por el cliente, lo que afectará a sus trabajos de copia de seguridad y restauración. En concreto, los trabajos de copia de seguridad y restauración que realice en las máquinas virtuales de este hipervisor darán como resultado un error.

La puerta de enlace de la copia de seguridad utiliza la operación `RetireGrant` para eliminar una concesión cuando se elimina un hipervisor.

## Monitorización de claves de cifrado
<a name="monitoring-encryption-keys"></a>

Cuando utilizas una clave gestionada por el AWS KMS cliente con tus AWS Backup recursos, puedes utilizar [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para realizar un seguimiento de las solicitudes que se AWS Backup envían a AWS KMS.

Busca AWS CloudTrail eventos con los siguientes `"eventName"` campos para supervisar AWS KMS las operaciones solicitadas para acceder AWS Backup a los datos cifrados por tu clave gestionada por el cliente:
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`

# Gestión de identidad y acceso en AWS Backup
<a name="backup-iam"></a>

El acceso a AWS Backup requiere credenciales. Estas credenciales deben tener permisos para acceder a los recursos de AWS como, por ejemplo, una base de datos de Amazon DynamoDB o un sistema de archivos de Amazon EFS. Además, los puntos de recuperación creados AWS Backup por algunos servicios AWS Backup compatibles no se pueden eliminar mediante el servicio de origen (como Amazon EFS). Puede eliminar esos puntos de recuperación utilizando AWS Backup.

En las siguientes secciones se proporcionan detalles sobre cómo utilizar [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) y cómo ayudar AWS Backup a proteger el acceso a los recursos.

**aviso**  
AWS Backup utiliza la misma función de IAM que eligió al asignar recursos para administrar el ciclo de vida de sus puntos de recuperación. Si elimina o modifica esa función, AWS Backup no podrá administrar el ciclo de vida de los puntos de recuperación. Cuando esto ocurra, intentará utilizar un rol vinculado al servicio para administrar su ciclo de vida. En un pequeño porcentaje de casos, es posible que esto tampoco funcione y deje puntos de recuperación `EXPIRED` en el almacenamiento, lo que podría generar costos no deseados. Para eliminar los puntos de recuperación `EXPIRED`, elimínelos manualmente mediante el procedimiento descrito en [Eliminación de copias de seguridad](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).

**Topics**
+ [Autenticación](authentication.md)
+ [Control de acceso](access-control.md)
+ [Roles de servicio de IAM](iam-service-roles.md)
+ [Políticas administradas para AWS Backup](security-iam-awsmanpol.md)
+ [Uso de roles vinculados a servicios para AWS Backup](using-service-linked-roles.md)
+ [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md)

# Autenticación
<a name="authentication"></a>

El acceso a AWS Backup los AWS servicios de los que está realizando una copia de seguridad requieren credenciales que AWS pueda utilizar para autenticar sus solicitudes. Puede acceder AWS con cualquiera de los siguientes tipos de identidades:
+ **Cuenta de AWS usuario root**: cuando te registras AWS, proporcionas una dirección de correo electrónico y una contraseña asociadas a tu AWS cuenta. Se trata de su *usuario raíz de la Cuenta de AWS *. Sus credenciales proporcionan acceso completo a todos tus AWS recursos.
**importante**  
Por razones de seguridad, recomendamos que utilice el usuario raíz solo para crear un *administrador*. El administrador es un *usuario de IAM* con permisos completos en su Cuenta de AWS. Entonces, podrá utilizar este usuario administrador para crear otros roles y usuarios de IAM con permisos limitados. Para obtener más información, consulte [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) y [Creación del primer grupo y usuario de administrador de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) en la *Guía del usuario de IAM*.
+ **Usuario de IAM**: un [usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) es una identidad dentro de su Cuenta de AWS que tiene permisos personalizados específicos (por ejemplo, permisos para crear un almacén de copias de seguridad para almacenar sus copias de seguridad). [Puede utilizar un nombre de usuario y una contraseña de IAM para iniciar sesión en AWS páginas web seguras [Consola de administración de AWS](https://console.aws.amazon.com/), como los [foros de AWS debate](https://forums.aws.amazon.com/) o el AWS Support Centro.](https://console.aws.amazon.com/support/home#/)

  Además de un nombre de usuario y una contraseña, también puede generar [claves de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) para cada usuario. Puede utilizar estas teclas al acceder a AWS los servicios mediante programación, ya sea a través [de una de las varias opciones SDKs](https://aws.amazon.com/developer/tools/) o mediante la ([AWS Command Line InterfaceAWS CLI)](https://aws.amazon.com/cli/). El SDK y las herramientas de la AWS CLI usan claves de acceso para firmar criptográficamente la solicitud. Si no utiliza las herramientas de AWS , debe firmar usted mismo la solicitud. Para obtener más información acerca de la autenticación de solicitudes, consulte [Proceso de firma Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) en la *Referencia general de AWS*.
+ **Rol de IAM**: un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es otra identidad de IAM que puede crear en la cuenta y que tiene permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una persona determinada. Una función de IAM le permite obtener claves de acceso temporales que se pueden utilizar para acceder a los AWS servicios y recursos. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:
  + Acceso de usuario federado: en lugar de crear un usuario de IAM, puede utilizar identidades de usuario preexistentes Directory Service, del directorio de usuarios de su empresa o de un proveedor de identidades web. A estas identidades se les llama *usuarios federados*. AWS asigna una función a un usuario federado cuando se solicita acceso a través de un [proveedor de identidad](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Para obtener más información acerca de los usuarios federados, consulte [Usuarios federados y roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) en la *Guía del usuario de IAM*.
  + Administración multicuenta: puedes usar un rol de IAM en tu cuenta para conceder otros Cuenta de AWS permisos a fin de administrar los recursos de tu cuenta. Para ver un ejemplo, consulte el [tutorial: Delegar el acceso a todos los roles de Cuentas de AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) en la Guía del usuario de *IAM*.
  + AWS acceso al servicio: puede utilizar un rol de IAM en su cuenta para conceder a un AWS servicio permisos de acceso a los recursos de su cuenta. Para obtener más información, consulte [Creación de un rol para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la Guía del *usuario de IAM*.
  + Aplicaciones que se ejecutan en Amazon Elastic Compute Cloud (Amazon EC2): puede utilizar un rol de IAM para administrar las credenciales temporales de las aplicaciones que se ejecutan en una instancia de Amazon EC2 y que realizan solicitudes de API. AWS Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia de EC2. Para asignar un AWS rol a una instancia EC2 y ponerlo a disposición de todas sus aplicaciones, debe crear un perfil de instancia adjunto a la instancia. Un perfil de instancia contiene la función y permite a los programas que se encuentran en ejecución en la instancia EC2 obtener credenciales temporales. Para obtener más información, consulte [Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias de Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) en la *Guía del usuario de IAM*.

    

# Control de acceso
<a name="access-control"></a>

Puedes tener credenciales válidas para autenticar tus solicitudes, pero a menos que tengas los permisos adecuados, no podrás acceder a AWS Backup recursos como las bóvedas de respaldo. Tampoco puedes hacer copias de seguridad de AWS recursos como los volúmenes de Amazon Elastic Block Store (Amazon EBS).

Cada AWS recurso es propiedad de un Cuenta de AWS, y los permisos para crear o acceder a un recurso se rigen por las políticas de permisos. El administrador de una cuenta puede adjuntar políticas de permisos a las identidades AWS Identity and Access Management (de IAM) (es decir, a los usuarios, grupos y roles). Y algunos servicios también permiten asociar políticas de permisos a recursos. 

Un *administrador de la cuenta* (o usuario administrador) es un usuario con permisos de administrador. Para obtener más información, consulte [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.

En las secciones siguientes se explica cómo funcionan las políticas de acceso y como puede utilizarlas para proteger sus copias de seguridad. 

**Topics**
+ [Recursos y operaciones](#access-control-resources)
+ [Propiedad del recurso](#access-control-owner)
+ [Especificación de los elementos de las políticas: acciones, efectos y entidades principales](#access-control-specify-backup-actions)
+ [Especificación de las condiciones de una política](#specifying-conditions)
+ [Permisos de la API: referencia de acciones, recursos y condiciones](#backup-api-permissions-ref)
+ [Permisos de copia de etiquetas](#copy-tags)
+ [Políticas de acceso](#access-policies)

## Recursos y operaciones
<a name="access-control-resources"></a>

Un recurso es un objeto que existe dentro de un servicio. AWS Backup los recursos incluyen planes de respaldo, bóvedas de respaldo y copias de seguridad. *Backup* es un término general que se refiere a los distintos tipos de recursos de respaldo que existen en AWS. Por ejemplo, las instantáneas de Amazon EBS, las instantáneas de Amazon Relational Database Service (Amazon RDS) y las copias de seguridad de Amazon DynamoDB son todos tipos de recursos de copia de seguridad. 

En AWS Backup, las copias de seguridad también se denominan *puntos de recuperación*. Cuando lo usa AWS Backup, también trabaja con los recursos de otros AWS servicios que intenta proteger, como los volúmenes de Amazon EBS o las tablas de DynamoDB. Estos recursos tienen nombres de recursos de Amazon (ARNs) exclusivos asociados a ellos. ARNs identifique los AWS recursos de forma exclusiva. Debe tener un ARN cuando sea preciso especificar un recurso de forma inequívoca para todo AWS, como en las políticas de IAM o las llamadas a la API. 

En la siguiente tabla se muestran recursos, subrecursos, formato de ARN y un ID único de ejemplo.


**AWS Backup recurso ARNs**  

| Tipo de recurso | Formato de ARN | ID único de ejemplo | 
| --- | --- | --- | 
| Plan de copias de seguridad | arn:aws:backup:region:account-id:backup-plan:\$1 |  | 
| Almacén de copias de seguridad | arn:aws:backup:region:account-id:backup-vault:\$1 |  | 
| Punto de recuperación para Amazon EBS | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 | 
| Punto de recuperación para imágenes de Amazon EC2 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 | 
| Punto de recuperación para Amazon RDS | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Punto de recuperación para Aurora | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Punto de recuperación para Aurora DSQL | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a | 
| Punto de recuperación para Storage Gateway | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 | 
| Punto de recuperación para DynamoDB sin [Copia de seguridad avanzada de DynamoDB](advanced-ddb-backup.md) | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 | 
| Punto de recuperación para DynamoDB con [Copia de seguridad avanzada de DynamoDB](advanced-ddb-backup.md) habilitado | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 | 
| Punto de recuperación para Amazon EFS | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e | 
| Punto de recuperación para Amazon FSx | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 | 
| Punto de recuperación para máquina virtual | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b | 
| Punto de recuperación para la copia de seguridad continua de Amazon S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 | 
| Punto de recuperación para la copia de seguridad periódica de S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 | 
| Punto de recuperación para Amazon DocumentDB | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Punto de recuperación para Neptune | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Punto de recuperación para Amazon Redshift | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Punto de recuperación para Amazon Redshift sin servidor | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Punto de recuperación para Amazon Timestream | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta | 
| Punto de recuperación para la AWS CloudFormation plantilla | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 
| Punto de recuperación para la base de datos de SAP HANA en una instancia de Amazon EC2 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 

Todos los recursos que permiten una AWS Backup administración completa tienen puntos de recuperación en ese formato`arn:aws:backup:region:account-id::recovery-point:*`, lo que facilita la aplicación de políticas de permisos para proteger esos puntos de recuperación. Para ver qué recursos admiten la AWS Backup administración completa, consulte esa sección de la [Disponibilidad de características por recurso](backup-feature-availability.md#features-by-resource) tabla.

AWS Backup proporciona un conjunto de operaciones para trabajar con AWS Backup los recursos. Para ver la lista de las operaciones disponibles, consulte AWS Backup [Acciones](API_Operations.md).

## Propiedad del recurso
<a name="access-control-owner"></a>

 Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de la [entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (es decir, el usuario Cuenta de AWS raíz, un usuario de IAM o un rol de IAM) que autentica la solicitud de creación de recursos. Los siguientes ejemplos ilustran cómo funciona:
+ Si utiliza sus credenciales de usuario Cuenta de AWS raíz Cuenta de AWS para crear un almacén de respaldo, será el Cuenta de AWS propietario del almacén.
+ Si crea un usuario de IAM en su cuenta Cuenta de AWS y le concede permisos para crear una bóveda de copias de seguridad, el usuario podrá crear una bóveda de copias de seguridad. Sin embargo, la cuenta de AWS a la que pertenece el usuario será la propietaria del recurso del almacén de copias de seguridad.
+ Si crea una función de IAM Cuenta de AWS con permisos para crear una bóveda de copias de seguridad, cualquier persona que pueda asumir esa función podrá crear una bóveda. Usted Cuenta de AWS, al que pertenece el rol, es propietario del recurso de la bóveda de respaldo. 

## Especificación de los elementos de las políticas: acciones, efectos y entidades principales
<a name="access-control-specify-backup-actions"></a>

Para cada AWS Backup recurso (consulte[Recursos y operaciones](#access-control-resources)), el servicio define un conjunto de operaciones de API (consulte[Acciones](API_Operations.md)). Para conceder permisos para estas operaciones de la API, AWS Backup define un conjunto de acciones que puede especificar en una política. Para realizar una operación API pueden ser necesarios permisos para más de una acción.

A continuación se indican los elementos más básicos de la política:
+ Recurso: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte [Recursos y operaciones](#access-control-resources).
+ Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar.
+ Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
+ Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte [IAM JSON Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) (Referencia de la política JSON de IAM) en la *Guía del usuario de IAM*.

Para ver una tabla que muestra todas las acciones de la AWS Backup API, consulte[Permisos de la API: referencia de acciones, recursos y condiciones](#backup-api-permissions-ref).

## Especificación de las condiciones de una política
<a name="specifying-conditions"></a>

Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en la que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte [Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*. 

AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición globales, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.

AWS Backup define su propio conjunto de claves de condición. Para ver una lista de claves de AWS Backup condición, consulte las [claves de condición AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys) en la *Referencia de autorización de servicio*.

## Permisos de la API: referencia de acciones, recursos y condiciones
<a name="backup-api-permissions-ref"></a>

Cuando configure [Control de acceso](#access-control) y escriba una política de permisos que se pueda asociar a una identidad de IAM (políticas basadas en identidad), puede utilizar la siguiente tabla como referencia. La lista de la tabla cada operación de la AWS Backup API, las acciones correspondientes para las que puedes conceder permisos para realizar la acción y el AWS recurso para el que puedes conceder los permisos. Las acciones se especifican en el campo `Action` de la política y el valor del recurso se especifica en el campo `Resource` de la política. Si el campo `Resource` está en blanco, puede usar el comodín (`*`) para incluir todos los recursos.

Puedes usar claves AWS de condición generales en tus AWS Backup políticas para expresar las condiciones. Para obtener una lista completa de las claves AWS anchas, consulta las [claves disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) en la Guía del usuario de *IAM*. 

Utilice las barras de desplazamiento para ver el resto de la tabla.


**AWS Backup API y permisos necesarios para realizar acciones**  

| AWS Backup Operaciones de API | Permisos necesarios (acciones de API) | Recursos | 
| --- | --- | --- | 
|  [CreateBackupPlan](API_CreateBackupPlan.md)  | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupSelection](API_CreateBackupSelection.md)  | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupVault](API_CreateBackupVault.md)  |  `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey`  |  arn:aws:backup:region:account-id:backup-vault:\$1 En `backup-storage`: \$1 Para `kms`: `arn:aws:kms:region:account-id:key/keystring` | 
|  [DeleteBackupPlan](API_DeleteBackupPlan.md)  | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupSelection](API_DeleteBackupSelection.md)  | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupVault](API_DeleteBackupVault.md)  | backup:DeleteBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md)  | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md)  |  backup:DeleteBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md)  |  backup:DeleteRecoveryPoint1  | 2 | 
|  [DescribeBackupJob](API_DescribeBackupJob.md)  | backup:DescribeBackupJob |  | 
|  [DescribeBackupVault](API_DescribeBackupVault.md)  |  backup:DescribeBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DescribeProtectedResource](API_DescribeProtectedResource.md)  | backup:DescribeProtectedResource |  | 
|  [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md)  |  backup:DescribeRecoveryPoint1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [DescribeRestoreJob](API_DescribeRestoreJob.md)  | backup:DescribeRestoreJob |  | 
|  [DescribeRegionSettings](API_DescribeRegionSettings.md)  |  backup:DescribeRegionSettings  |  | 
|  [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md)  | backup:ExportBackupPlanTemplate |  | 
|  [GetBackupPlan](API_GetBackupPlan.md)  | backup:GetBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md)  | backup:GetBackupPlanFromJSON |  | 
|  [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md)  | backup:GetBackupPlanFromTemplate |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupSelection](API_GetBackupSelection.md)  | backup:GetBackupSelection |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md)  |  backup:GetBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md)  |  backup:GetBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md)  |  backup:GetRecoveryPointRestoreMetadata1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md)  | backup:GetSupportedResourceTypes |  | 
|  [ListBackupJobs](API_ListBackupJobs.md)  | backup:ListBackupJobs |  | 
|  [ListBackupPlans](API_ListBackupPlans.md)  | backup:ListBackupPlans |  | 
|  [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md)  | backup:ListBackupPlanTemplates |  | 
|  [ListBackupPlanVersions](API_ListBackupPlanVersions.md)  | backup:ListBackupPlanVersions |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupSelections](API_ListBackupSelections.md)  | backup:ListBackupSelections |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupVaults](API_ListBackupVaults.md)  | backup:ListBackupVaults |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListProtectedResources](API_ListProtectedResources.md)  | backup:ListProtectedResources |  | 
|  [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md)  |  backup:ListRecoveryPointsByBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md)  | backup:ListRecoveryPointsByResource |  | 
|  [ListRestoreJobs](API_ListRestoreJobs.md)  | backup:ListRestoreJobs |  | 
|  [ListTags](API_ListTags.md)  | backup:ListTags |  | 
|  [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md)  |  backup:PutBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md)  |  backup:PutBackupVaultLockConfiguration1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md)  |  backup:PutBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartBackupJob](API_StartBackupJob.md)  | backup:StartBackupJob |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartRestoreJob](API_StartRestoreJob.md)  | backup:StartRestoreJob |  `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3  | 
|  [StopBackupJob](API_StopBackupJob.md)  | backup:StopBackupJob |  | 
|  [TagResource](API_TagResource.md)  | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 | 
|  [UntagResource](API_UntagResource.md)  | backup:UntagResource |  | 
|  [UpdateBackupPlan](API_UpdateBackupPlan.md)  | backup:UpdateBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md)  |  backup:UpdateRecoveryPointLifecycle1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [UpdateRegionSettings](API_UpdateRegionSettings.md)  |  `backup:UpdateRegionSettings` `backup:DescribeRegionSettings`  |  | 

1 Utiliza la política de acceso a almacenes existentes.

2 Consulte el [AWS Backup recurso ARNs](#resource-arns-table) punto de recuperación específico del recurso. ARNs

3 `StartRestoreJob` también debe tener el par clave-valor en los metadatos del recurso. Para obtener los metadatos del recurso, llame a la API `GetRecoveryPointRestoreMetadata`.

Para obtener más información, consulte [Acciones, recursos y claves de condición de AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html) en la *Referencia de autorizaciones de servicio*.

## Permisos de copia de etiquetas
<a name="copy-tags"></a>

Cuando AWS Backup realiza un trabajo de copia de seguridad o copia, intenta copiar las etiquetas del recurso de origen (o del punto de recuperación en el caso de una copia) al punto de recuperación.

**nota**  
AWS Backup **no** copia las etiquetas de forma nativa durante los trabajos de restauración. Para ver una arquitectura basada en eventos que copie las etiquetas durante los trabajos de restauración, consulte [Cómo conservar las etiquetas de recursos en AWS Backup](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/) los trabajos de restauración.

Durante un trabajo de copia de seguridad o copia, AWS Backup agrega las etiquetas que especifique en su plan de copia de seguridad (o plan de copia, o copia de seguridad bajo demanda) con las etiquetas del recurso de origen. Sin embargo, AWS impone un límite de 50 etiquetas por recurso, que AWS Backup no se puede superar. Cuando un trabajo de copia de seguridad o copia agrega etiquetas del plan y del recurso de origen, podría detectar más de 50 etiquetas en total, no podrá completar el trabajo y dará como resultado un error. Esto es coherente con las mejores AWS prácticas de etiquetado en general.
+ Su recurso tiene más de 50 etiquetas después de agregar las etiquetas de los trabajos de respaldo con las etiquetas de los recursos de origen. AWS admite hasta 50 etiquetas por recurso.
+ La función de IAM que le proporciones AWS Backup carece de permisos para leer las etiquetas de origen o establecer las etiquetas de destino. Para obtener más información y un ejemplo de las políticas del rol de IAM, consulte [Políticas administradas](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies).

Puede utilizar su plan de copia de seguridad (se han añadido etiquetas a los puntos de recuperación) para crear etiquetas que contradigan a las etiquetas del recurso de origen. Cuando ambas estén en conflicto, prevalecerán las etiquetas del plan de copia de seguridad. Utilice esta técnica si prefiere no copiar el valor de una etiqueta del recurso de origen. Especifique la misma clave de etiqueta, pero con un valor diferente o vacío, utilizando su plan de copia de seguridad.


**Permisos necesarios para asignar etiquetas a copias de seguridad**  

| Tipo de recurso | Permiso necesario | 
| --- | --- | 
| Sistema de archivos de Amazon EFS | `elasticfilesystem:DescribeTags` | 
| Sistema de FSx archivos Amazon | `fsx:ListTagsForResource` | 
| Base de datos de Amazon RDS y clúster de Amazon Aurora |  `rds:AddTagsToResource` `rds:ListTagsForResource`  | 
| Volumen de Storage Gateway | `storagegateway:ListTagsForResource` | 
| Instancia de Amazon EC2 y volumen de Amazon EBS |  `EC2:CreateTags` `EC2:DescribeTags`  | 

DynamoDB no admite la asignación de etiquetas a las copias de seguridad a menos que habilite primero la [Copia de seguridad avanzada de DynamoDB](advanced-ddb-backup.md).

Cuando una copia de seguridad de Amazon EC2 crea un punto de recuperación de imágenes y un conjunto de instantáneas, AWS Backup copia las etiquetas en la AMI resultante. AWS Backup también copia las etiquetas de los volúmenes asociados a la instancia de Amazon EC2 en las instantáneas resultantes.

## Políticas de acceso
<a name="access-policies"></a>

Una *política de permisos* describe quién tiene acceso a qué. Las políticas que se asocian a una identidad de IAM se denominan *políticas basadas en identidades* (o políticas de IAM). Las políticas asociadas a un recurso se denominan políticas basadas en *recursos*. AWS Backup admite tanto las políticas basadas en la identidad como las políticas basadas en los recursos.

**nota**  
En esta sección se analiza el uso de la IAM en el contexto de. AWS Backup No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte [¿Qué es IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) en la *Guía del usuario de IAM*. Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte [Referencia de políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.

### Políticas basadas en identidades (políticas de IAM)
<a name="identity-based-policies"></a>

Las políticas basadas en identidad son políticas que puede asociar a identidades de IAM, como usuarios o roles. Por ejemplo, puede definir una política que permita a un usuario ver los AWS recursos y realizar copias de seguridad, pero que le impida restaurar las copias de seguridad.

Para obtener más información sobre usuarios, grupos, roles y permisos, consulte [Identidades (usuarios, grupos y roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la *Guía del usuario de IAM*.

Para obtener más información acerca de cómo utilizar políticas de IAM para controlar el acceso a las copias de seguridad, consulte [Políticas administradas para AWS Backup](security-iam-awsmanpol.md).

### Políticas basadas en recursos
<a name="resource-based-policies"></a>

AWS Backup admite políticas de acceso basadas en recursos para las bóvedas de respaldo. De este modo, puede definir una política de acceso que puede controlar qué usuarios tienen qué tipo de acceso a cualquiera de las copias de seguridad organizadas en un almacén de copias de seguridad. Las políticas de acceso basadas en recursos para almacenes de copia de seguridad ofrecen una manera fácil de controlar el acceso a sus copias de seguridad. 

Las políticas de acceso a Backup Vault controlan el acceso de los usuarios cuando usted lo usa AWS Backup APIs. También se puede acceder a algunos tipos de copias de seguridad, como las instantáneas de Amazon Elastic Block Store (Amazon EBS) y Amazon Relational Database Service (Amazon RDS), mediante esos servicios». APIs Puede crear políticas de acceso independientes en IAM que controlen el acceso a ellas para controlar completamente el acceso a APIs las copias de seguridad.

Para obtener información sobre cómo crear una política de acceso para almacenes de copias de seguridad, consulte [Políticas de acceso a almacenes](create-a-vault-access-policy.md).

# Roles de servicio de IAM
<a name="iam-service-roles"></a>

Una función AWS Identity and Access Management (IAM) es similar a la de un usuario, en el sentido de que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en él. AWS No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Una función de servicio es una función que asume un AWS servicio para realizar acciones en su nombre. Como servicio que realiza las operaciones de copia de seguridad en su nombre, AWS Backup requiere transferirle un rol que debe adoptar al realizar las operaciones de copia de seguridad en su nombre. Para obtener más información acerca de los roles de IAM, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) en la *guía del usuario de IAM*. 

El rol al que se transfiera AWS Backup debe tener una política de IAM con los permisos que le permitan realizar las acciones asociadas AWS Backup a las operaciones de copia de seguridad, como crear, restaurar o caducar copias de seguridad. Se requieren permisos diferentes para cada uno de los AWS servicios compatibles AWS Backup . El rol también debe AWS Backup figurar como entidad de confianza, lo que AWS Backup permite asumirlo. 

Al asignar recursos a un plan de copia de seguridad, o si realiza una copia de seguridad, copia o restauración bajo demanda, debe asignar una función de servicio que tenga acceso para realizar las operaciones subyacentes en los recursos especificados. AWS Backup utiliza esta función para crear, etiquetar y eliminar recursos de su cuenta.

## Usa AWS roles para controlar el acceso a las copias de seguridad
<a name="using-roles-to-control-access"></a>

Puede utilizar roles para controlar el acceso a sus copias de seguridad definiendo roles muy acotados y especificando quién puede transferir dicho rol a AWS Backup. Por ejemplo, puede crear un rol que solo conceda permisos para realizar copias de seguridad de las bases de datos de Amazon Relational Database Service (Amazon RDS) y que solo conceda permiso a los propietarios de las bases de datos de Amazon RDS para transferir ese rol. AWS Backup AWS Backup proporciona varias políticas administradas predefinidas para cada uno de los servicios compatibles. Puede asociar estas políticas administradas a los roles que cree. Esto facilita la creación de funciones específicas del servicio que tengan los permisos correctos que AWS Backup se necesitan. 

Para obtener más información sobre las políticas AWS administradas para AWS Backup, consulte. [Políticas administradas para AWS Backup](security-iam-awsmanpol.md)

## Función de servicio predeterminada para AWS Backup
<a name="default-service-roles"></a>

Cuando utilice la AWS Backup consola por primera vez, puede optar por AWS Backup crear un rol de servicio predeterminado para usted. Este rol tiene los permisos AWS Backup necesarios para crear y restaurar copias de seguridad en su nombre.

**nota**  
El rol predeterminado se crea automáticamente si usa la Consola de administración de AWS. Puede crear el rol predeterminado con AWS Command Line Interface (AWS CLI), pero debe hacerlo manualmente.

Si prefiere usar roles personalizados, como roles independientes para diferentes tipos de recursos, también puede hacerlo y transferir sus roles personalizados a AWS Backup. Para ver ejemplos de roles que permiten la copia de seguridad y la restauración para tipos de recursos individuales, consulte la tabla [Políticas administradas por el cliente](security-iam-awsmanpol.md#customer-managed-policies).

El Nombre del rol de servicio predeterminado es`AWSBackupDefaultServiceRole` . Este rol de servicio contiene dos políticas administradas [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)y [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

`AWSBackupServiceRolePolicyForBackup`incluye una política de IAM que otorga AWS Backup permisos para describir el recurso del que se está haciendo la copia de seguridad y la posibilidad de crear, eliminar, describir o añadir etiquetas a una copia de seguridad, independientemente de la AWS KMS clave con la que esté cifrada. 

`AWSBackupServiceRolePolicyForRestores`incluye una política de IAM que concede AWS Backup permisos para crear, eliminar o describir el nuevo recurso que se está creando a partir de una copia de seguridad, independientemente de la AWS KMS clave con la que esté cifrado. También incluye permisos para etiquetar el recurso recién creado.

Para restaurar una instancia de Amazon EC2, debe lanzar una instancia nueva. 

## Creación del rol de servicio en la consola
<a name="creating-default-service-role-console"></a>

 Las acciones específicas que se realizan en la AWS Backup consola crean el rol de servicio AWS Backup predeterminado. 

**Para crear el rol de servicio AWS Backup predeterminado en su AWS cuenta**

1. Abre la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Para crear el rol de su cuenta, asigne recursos a un plan de copia de seguridad o cree una copia de seguridad bajo demanda.

   1. Cree un plan de copia de seguridad y asigne recursos a la copia de seguridad. Consulte [Create a backup plan](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html).

   1. Como alternativa, cree una copia de seguridad bajo demanda. Consulte [Creación de una copia de seguridad bajo demanda](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html).

1.  Siga estos pasos para comprobar que ha creado `AWSBackupDefaultServiceRole` en su cuenta: 

   1. Espere unos minutos. Para obtener más información, consulte [Los cambios que realizo no están siempre visibles inmediatamente](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency) en la *Guía del usuario de AWS Identity and Access Management.*

   1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

   1. En el menú de navegación izquierdo, elija **Roles**.

   1. En la barra de búsqueda, escriba `AWSBackupDefaultServiceRole`. Si existe esta selección, ha creado el rol AWS Backup predeterminado y ha completado este procedimiento.

   1. Si `AWSBackupDefaultServiceRole` sigue sin aparecer, agregue los siguientes permisos al usuario de IAM o al rol de IAM que utilice para acceder a la consola.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement":[
          {
            "Effect":"Allow",
            "Action":[
              "iam:CreateRole",
              "iam:AttachRolePolicy",
              "iam:PassRole"
            ],
            "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
          },
          {
            "Effect":"Allow",
            "Action":[
              "iam:ListRoles"
            ],
            "Resource":"*"
          }
        ]
      }
      ```

------

      Para las regiones de China, *aws* sustitúyalo por*aws-cn*. Para AWS GovCloud (US) las regiones, *aws* sustitúyalo por*aws-us-gov*.

   1. Si no puede agregar permisos a su usuario de IAM o rol de IAM, pida a su administrador que cree manualmente un rol con un nombre *distinto* de `AWSBackupDefaultServiceRole` y asocie ese rol a estas políticas administradas:
      + `AWSBackupServiceRolePolicyForBackup`
      + `AWSBackupServiceRolePolicyForRestores`

# Políticas administradas para AWS Backup
<a name="security-iam-awsmanpol"></a>

Las políticas administradas son políticas independientes basadas en la identidad que puede adjuntar a varios usuarios, grupos y funciones de su organización. Cuenta de AWS Al asociar una política a una entidad principal, concederá a la entidad los permisos que están definidos en la política.

*AWS las políticas gestionadas las* crea y administra. AWS No puede cambiar los permisos definidos en las políticas AWS gestionadas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política.

*Las políticas administradas por el cliente* te proporcionan controles detallados para configurar el acceso a las copias de seguridad. AWS Backup Por ejemplo, puede utilizarlas para dar acceso al administrador de copias de seguridad de su base de datos a las copias de seguridad de Amazon RDS, pero no a las de Amazon EFS.

Para obtener más información, consulte [Políticas administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) en la *Guía del usuario de IAM*.

## AWS políticas gestionadas
<a name="aws-managed-policies"></a>

AWS Backup proporciona las siguientes políticas AWS administradas para casos de uso comunes. Estas políticas facilitan la definición de los permisos adecuados y controlan el acceso a sus copias de seguridad. Existen dos tipos de políticas administradas. Un tipo está diseñado para asignarlo a usuarios para controlar su acceso a AWS Backup. El otro tipo de política administrada está diseñado para asociarlo a los roles que transfiere a AWS Backup. En la siguiente tabla se muestran todas las políticas administradas que AWS Backup proporciona y describe la forma en que se definen. Encontrará estas políticas administradas en la sección **Políticas** de la consola de IAM.

**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForS3 Backup](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)

### AWSBackupAuditAccess
<a name="AWSBackupAuditAccess"></a>

Esta política otorga permisos a los usuarios para crear controles y marcos que definan sus expectativas de AWS Backup recursos y actividades, y para auditar AWS Backup los recursos y las actividades comparándolos con los controles y marcos definidos. Esta política otorga permisos AWS Config y servicios similares para describir las expectativas de los usuarios y realizar las auditorías.

Esta política también otorga permisos para entregar informes de auditoría a Amazon S3 y servicios similares, y permite a los usuarios buscar y abrir sus informes de auditoría.

Para ver los permisos de esta política, consulte [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html) en la *Referencia de la política administrada de AWS *.

### AWSBackupDataTransferAccess
<a name="AWSBackupDataTransferAccess"></a>

Esta política proporciona permisos para la transferencia de datos del plano de AWS Backup almacenamiento APIs, lo que permite al agente AWS Backint completar la transferencia de los datos de respaldo con el plano AWS Backup de almacenamiento. Puede asociar esta política a los roles que asumen las instancias de Amazon EC2 que ejecutan SAP HANA con el agente Backint.

Para ver los permisos de esta política, consulte [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html) en la *Referencia de la política administrada de AWS *.

### AWSBackupFullAccess
<a name="AWSBackupFullAccess"></a>

El administrador de copias de seguridad tiene pleno acceso a AWS Backup las operaciones, incluida la creación o edición de planes de copia de seguridad, la asignación de AWS recursos a los planes de copia de seguridad y la restauración de las copias de seguridad. Los administradores de las copias de seguridad tienen la responsabilidad de determinar e imponer medidas de conformidad definiendo planes de copias de seguridad que cumplan los requisitos empresariales y normativos de su organización. Los administradores de Backup también se aseguran de que AWS los recursos de su organización estén asignados al plan adecuado.

Para ver los permisos de esta política, consulte [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html) en la *Referencia de la política administrada de AWS *.

### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
<a name="AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync"></a>

Esta política otorga permiso a Backup Gateway para sincronizar los metadatos de las máquinas virtuales en su nombre.

Para ver los permisos de esta política, consulte [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html) en la *Referencia de la política administrada de AWS *.

### AWSBackupGuardDutyRolePolicyForScans
<a name="AWSBackupGuardDutyRolePolicyForScans"></a>

Esta política debe añadirse a una nueva función de digitalización que conceda GuardDuty permiso a Amazon para leer y escanear tus copias de seguridad. Deberás adjuntar esta función de escaneo a tu plan de copias de seguridad dentro de la configuración de escaneo o protección contra malware. Cuando AWS Backup inicia un análisis, transfiere esta función de análisis a Amazon GuardDuty.

Para ver los permisos de esta política, consulte [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) en la *Referencia de la política administrada de AWS *.

### AWSBackupOperatorAccess
<a name="AWSBackupOperatorAccess"></a>

Los operadores de copia de seguridad son usuarios que son responsables de garantizar una correcta copia de seguridad de los recursos de los que son responsables. Los operadores de backup tienen permisos para asignar AWS recursos a los planes de backup que crea el administrador de backup. También tienen permisos para crear copias de seguridad bajo demanda de sus AWS recursos y para configurar el período de retención de las copias de seguridad bajo demanda. Los operadores de copia de seguridad no tienen permisos para crear o editar los planes de copias de seguridad o eliminar copias de seguridad programadas después de que se hayan creado. Los operadores de copia de seguridad puede restaurar las copias de seguridad. Puede limitar los tipos de recursos que un operador de copia de seguridad puede asignar a un plan de copia de seguridad o restaurar desde una copia de seguridad. Para ello, se permite que solo se transfieran determinadas funciones de servicio AWS Backup que tengan permisos para un tipo de recurso determinado.

Para ver los permisos de esta política, consulte [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html) en la *Referencia de la política administrada de AWS *.

### AWSBackupOrganizationAdminAccess
<a name="AWSBackupOrganizationAdminAccess"></a>

El administrador de la organización tiene pleno acceso a AWS Organizations las operaciones, incluidas la creación, edición o eliminación de políticas de copia de seguridad, la asignación de políticas de copia de seguridad a las cuentas y unidades organizativas y la supervisión de las actividades de copia de seguridad dentro de la organización. Los administradores de la organización son responsables de proteger las cuentas de la misma mediante la definición y asignación de políticas de copia de seguridad que cumplan con los requisitos reglamentarios y empresariales de su organización.

Para ver los permisos de esta política, consulte [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html) en la *Referencia de la política administrada de AWS *.

### AWSBackupRestoreAccessForSAPHANA
<a name="AWSBackupRestoreAccessForSAPHANA"></a>

Esta política otorga AWS Backup permiso para restaurar una copia de seguridad de SAP HANA en Amazon EC2.

Para ver los permisos de esta política, consulte [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html) en la referencia de *políticas AWS gestionadas*.

### AWSBackupSearchOperatorAccess
<a name="AWSBackupSearchOperatorAccess"></a>

El rol de operador de búsqueda tiene acceso para crear índices de copias de seguridad y búsquedas en los metadatos de copia de seguridad indexados.

Esta política contiene los permisos necesarios para estas funciones.

Para ver los permisos de esta política, consulte [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html) en la *Referencia de la política administrada de AWS *.

### AWSBackupServiceLinkedRolePolicyForBackup
<a name="AWSBackupServiceLinkedRolePolicyForBackup"></a>

Esta política se adjunta a la función vinculada al servicio denominada AWSServiceRoleforBackup para permitir llamar AWS Backup a los AWS servicios en su nombre para gestionar sus copias de seguridad. Para obtener más información, consulte [Uso de roles para hacer copias de seguridad y copiar](using-service-linked-roles-AWSServiceRoleForBackup.md).

Para ver los permisos de esta política, consulta la Referencia [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)de *políticas AWS gestionadas*.

### AWSBackupServiceLinkedRolePolicyForBackupTest
<a name="AWSBackupServiceLinkedRolePolicyForBackupTest"></a>

Para ver los permisos de esta política, consulte [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html) en la *Referencia de la política administrada de AWS *.

### AWSBackupServiceRolePolicyForBackup
<a name="AWSBackupServiceRolePolicyForBackup"></a>

Proporciona AWS Backup permisos para crear copias de seguridad de todos los tipos de recursos compatibles en su nombre.

Para ver los permisos de esta política, consulte [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) en la *Referencia de la política administrada de AWS *.

### AWSBackupServiceRolePolicyForItemRestores
<a name="AWSBackupServiceRolePolicyForItemRestores"></a>

**Descripción**

Esta política otorga a los usuarios permisos para restaurar archivos y elementos individuales de una instantánea (punto de recuperación de copias de seguridad periódicas) en un bucket de Amazon S3 nuevo o existente o en un volumen de Amazon EBS nuevo. Estos permisos incluyen: permisos de lectura en Amazon EBS para instantáneas administradas mediante permisos de lectura/escritura de AWS Backup en buckets de Amazon S3, y permisos de generación y descripción para claves de AWS KMS .

**Uso de esta política**

Puede asociar `AWSBackupServiceRolePolicyForItemRestores` a los usuarios, grupos y roles.

**Detalles de la política**
+ **Tipo:** política AWS gestionada
+ **Fecha y hora de creación:** 21 de noviembre de 2024 a las 22:45 UTC
+ **Ediciones:** primera instancia
+ **ARN**: `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`

**Versión de la política:** v1 (predeterminada)

La versión de esta política define los permisos para la política. Cuando el usuario o el rol con la política solicita el acceso a un AWS recurso, AWS comprueba la versión predeterminada de la política para determinar si permite la solicitud o no.

**Documento de política de JSON:**

#### AWSBackupServiceRolePolicyForItemRestores JSON
<a name="AWSBackupServiceRolePolicyForItemRestoresJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "S3ReadonlyPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "S3PermissionsForFileLevelRestore",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "KMSDataKeyForS3AndEC2Permissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com",
                        "s3.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForIndexing
<a name="AWSBackupServiceRolePolicyForIndexing"></a>

**Descripción**

Esta política otorga a los usuarios permisos para indexar las instantáneas, también conocidas como puntos de recuperación periódicos. Estos permisos incluyen: permisos de lectura en Amazon EBS para instantáneas gestionados mediante permisos de AWS Backup lectura/escritura en buckets de Amazon S3, y permisos de generación y descripción para claves. AWS KMS 

**Uso de esta política**

Puede asociar `AWSBackupServiceRolePolicyForIndexing` a los usuarios, grupos y roles.

**Detalles de la política**
+ **Tipo:** política AWS gestionada
+ **Ediciones:** primera instancia
+ **ARN**: `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`

**Versión de la política:** v1 (predeterminada)

La versión de esta política define los permisos para la política. Cuando el usuario o el rol con la política solicita el acceso a un AWS recurso, AWS comprueba la versión predeterminada de la política para determinar si permite la solicitud o no.

**Documento de política de JSON:**

#### AWSBackupServiceRolePolicyForIndexing JSON
<a name="AWSBackupServiceRolePolicyForIndexingJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSDataKeyForEC2Permissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForRestores
<a name="AWSBackupServiceRolePolicyForRestores"></a>

Proporciona AWS Backup permisos para restaurar copias de seguridad de todos los tipos de recursos compatibles en su nombre.

Para ver los permisos de esta política, consulte [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) en la *Referencia de la política administrada de AWS *.

En el caso de las restauraciones de instancias EC2, también debe incluir los siguientes permisos para lanzar la instancia EC2:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPassRole",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/role-name",
      "Effect": "Allow"
    }
  ]
}
```

------

### AWSBackupServiceRolePolicyForS3 Backup
<a name="AWSBackupServiceRolePolicyForS3Backup"></a>

Esta política contiene los permisos necesarios AWS Backup para realizar copias de seguridad de cualquier bucket de S3. Esto incluye el acceso a todos los objetos de un depósito y a cualquier AWS KMS clave asociada.

Para ver los permisos de esta política, consulte [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) en la Referencia de *políticas AWS gestionadas*.

### AWSBackupServiceRolePolicyForS3Restore
<a name="AWSBackupServiceRolePolicyForS3Restore"></a>

Esta política contiene los permisos necesarios AWS Backup para restaurar una copia de seguridad de S3 en un bucket. Esto incluye los permisos de lectura y escritura en los depósitos y el uso de cualquier AWS KMS clave en relación con las operaciones de S3.

Para ver los permisos de esta política, consulte [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) en la Referencia de políticas *AWS gestionadas*.

### AWSBackupServiceRolePolicyForScans
<a name="AWSBackupServiceRolePolicyForScans"></a>

La política debe estar asociada a la función de IAM que utilice en la selección de recursos de su plan de respaldo. Esta función otorga permiso a AWS Backup para iniciar escaneos en Amazon GuardDuty. 

Para ver los permisos de esta política, consulte [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) en la *Referencia de la política administrada de AWS *.

### AWSServiceRolePolicyForBackupReports
<a name="AWSServiceRolePolicyForBackupReports"></a>

AWS Backup usa esta política para el rol [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html)vinculado al servicio. Esta función vinculada al servicio otorga AWS Backup permisos para supervisar e informar sobre la conformidad de la configuración, los trabajos y los recursos de las copias de seguridad con sus marcos.

Para ver los permisos de esta política, consulte [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) en la *Referencia de la política administrada de AWS *.

### AWSServiceRolePolicyForBackupRestoreTesting
<a name="AWSServiceRolePolicyForBackupRestoreTesting"></a>

Para ver los permisos de esta política, consulte [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) en la *Referencia de la política administrada de AWS *.

## Políticas administradas por el cliente
<a name="customer-managed-policies"></a>

En las siguientes secciones se describen los permisos de copia de seguridad y restauración recomendados para los AWS servicios y las aplicaciones de terceros compatibles con ellos. AWS Backup Puede utilizar las políticas AWS gestionadas existentes como modelo al crear sus propios documentos de políticas y, a continuación, personalizarlos para restringir aún más el acceso a sus AWS recursos.

**importante**  
Cuando utilices funciones de IAM personalizadas AWS Backup, además de los permisos, debes incluir permisos específicos para cada recurso. AWS Backup Por ejemplo, al llamar a `backup:ListTags` en un recurso de Amazon RDS, su rol de IAM personalizada también debe incluir el permiso `rds:ListTagsForResource`. Si bien estos permisos están incluidos en la función de AWS Backup servicio predeterminada, deben añadirse de forma explícita a las políticas administradas por el cliente. Los permisos de recursos subyacentes necesarios dependen del AWS servicio y la operación específicos que se estén realizando.

### Amazon Aurora
<a name="aurora-customer-managed-policies"></a>

**Copia de seguridad**

Comience con las siguientes afirmaciones de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restore**  
Comience con la `RDSPermissions` declaración de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon Aurora DSQL
<a name="aurora-dsql-customer-managed-policies"></a>

**Copia de seguridad**

Comience con las siguientes declaraciones de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restore**  
Comience con la `DSQLRestorePermissions` declaración de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon DynamoDB
<a name="ddb-customer-managed-policies"></a>

**Copia de seguridad**

Comience con las siguientes declaraciones de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`

**Restore**

Comience con las siguientes declaraciones de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`

### Amazon EBS
<a name="ebs-customer-managed-policies"></a>

**Copia de seguridad**

Comience con las siguientes declaraciones de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restore**  
Comience con la `EBSPermissions` declaración de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

Agregue la siguiente instrucción. 

```
{
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
},
```

### Amazon EC2
<a name="ec2-customer-managed-policies"></a>

**Copia de seguridad**

Comience con las siguientes declaraciones de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restore**

Comience con las siguientes declaraciones de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`

Agregue la siguiente instrucción. 

```
{
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::account-id:role/role-name"
},
```

*role-name*Sustitúyalo por el nombre del rol del perfil de instancia de EC2 que se adjuntará a la instancia de EC2 restaurada. No se trata de la función de AWS Backup servicio, sino de la función de IAM que proporciona permisos a las aplicaciones que se ejecutan en la instancia EC2.

### Amazon EFS
<a name="efs-customer-managed-policies"></a>

**Copia de seguridad**

Comience con las siguientes afirmaciones de: [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restore**  
Comience con la `EFSPermissions` declaración de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon FSx
<a name="fsx-customer-managed-policies"></a>

**Copia de seguridad**

Comience con las siguientes declaraciones de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`

**Restore**

Comience con las siguientes declaraciones de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`

### Amazon Neptune
<a name="neptune-customer-managed-policies"></a>

**Copia de seguridad**

Comience con las siguientes declaraciones de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restore**  
Comience con la `RDSPermissions` declaración de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon RDS
<a name="rds-customer-managed-policies"></a>

**Copia de seguridad**

Comience con las siguientes declaraciones de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restore**  
Comience con la `RDSPermissions` declaración de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon S3
<a name="s3-customer-managed-policies"></a>

**Copia de seguridad**  
Comience con [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html).

Añada las instrucciones `BackupVaultPermissions` y `BackupVaultCopyPermissions` si necesita copiar las copias de seguridad a una cuenta diferente.

**Restore**  
[Comience con S3Restore AWSBackupServiceRolePolicyFor.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html)

### AWS Storage Gateway
<a name="storage-gateway-customer-managed-policies"></a>

**Copia de seguridad**

Comience con las siguientes declaraciones de: [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

Agregue la siguiente instrucción. 

```
{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
},
```

**Restore**

Comience con las siguientes declaraciones de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`

### Máquina virtual
<a name="vm-customer-managed-policies"></a>

**Copia de seguridad**  
Comience con la `BackupGatewayBackupPermissions` declaración de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html).

**Restore**  
Comience con la `GatewayRestorePermissions` declaración de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Copia de seguridad cifrada
<a name="customer-managed-policies-encrypted-backup"></a>

**Para restaurar una copia de seguridad cifrada, siga uno de estos procedimientos:**
+ Añada su función a la lista de permitidos para la política AWS KMS clave
+ Añada las siguientes instrucciones [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)a su función de IAM para las restauraciones:
  + `KMSDescribePermissions`
  + `KMSPermissions`
  + `KMSCreateGrantPermissions`

## Actualizaciones de políticas para AWS Backup
<a name="policy-updates"></a>

Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas AWS Backup desde que este servicio comenzó a realizar el seguimiento de estos cambios.


| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting): actualización de una política actual |  AWS Backup agregó el siguiente permiso a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten a AWS Backup Restore Testing eliminar las bases de datos arrendatarias de RDS una vez finalizada la prueba de restauración.  | 18 de marzo de 2026 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten AWS Backup iniciar escaneos de malware en los puntos de recuperación.  | 23 de febrero de 2026 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans): política nueva |  AWS Backup se ha añadido una nueva política AWS gestionada que permite a Amazon GuardDuty leer y escanear las copias de seguridad de los clientes. AWS Backup transfiere una función con esta política GuardDuty al iniciar las operaciones`StartMalwareScan`. Esto es necesario para proporcionar todos los permisos necesarios para los escaneos de malware en los puntos de recuperación de los recursos de Amazon EC2, Amazon EBS y Amazon S3. Para obtener más información, consulte la política gestionada. [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)  | 19 de noviembre de 2025 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans): política nueva |  AWS Backup se agregó una nueva política AWS administrada que permite AWS Backup iniciar escaneos de malware en los puntos de recuperación. Esto es necesario para proporcionar todos los permisos necesarios para los escaneos de malware en los puntos de recuperación de los recursos de Amazon EC2, Amazon EBS y Amazon S3. Para obtener más información, consulte la política gestionada. [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)  | 19 de noviembre de 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual |  Se agregó `malware-protection.guardduty.amazonaws.com` a`IamPassRolePermissions`, lo cual es necesario para iniciar los trabajos de escaneo de malware.   | 19 de noviembre de 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos son necesarios para iniciar las tareas de análisis de malware.  | 19 de noviembre de 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten AWS Backup realizar copias de seguridad y restaurar los clústeres de Amazon EKS.  | 10 de noviembre de 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten AWS Backup realizar copias de seguridad y restaurar los clústeres de Amazon EKS.  | 10 de noviembre de 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten AWS Backup crear copias de seguridad de los clústeres de Amazon EKS y sus recursos asociados en nombre de los clientes.  | 10 de noviembre de 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten AWS Backup crear copias de seguridad de los clústeres de Amazon EKS y sus recursos asociados en nombre de los clientes.  | 10 de noviembre de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten AWS Backup realizar operaciones de restauración para los clústeres de Amazon EKS y sus recursos asociados en nombre de los clientes.  | 10 de noviembre de 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual |  AWS Backup agregó el siguiente permiso a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Este permiso AWS Backup permite sincronizar la información del administrador delegado con Organizations para las funciones de administración multicuenta.  | 9 de septiembre de 2025 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans): política nueva |  AWS Backup se ha añadido una nueva política AWS gestionada que permite a Amazon GuardDuty leer y escanear las copias de seguridad de los clientes. AWS Backup transfiere una función con esta política GuardDuty al iniciar las operaciones`StartMalwareScan`. Esto es necesario para proporcionar todos los permisos necesarios para los escaneos de malware en los puntos de recuperación de los recursos de Amazon EC2, Amazon EBS y Amazon S3. Para obtener más información, consulte la política gestionada. [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)  | 24 de noviembre de 2025 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans): política nueva |  AWS Backup se agregó una nueva política AWS administrada que permite AWS Backup iniciar escaneos de malware en los puntos de recuperación. Esto es necesario para proporcionar todos los permisos necesarios para los escaneos de malware en los puntos de recuperación de los recursos de Amazon EC2, Amazon EBS y Amazon S3. Para obtener más información, consulte la política gestionada. [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)  | 24 de noviembre de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos son necesarios AWS Backup para realizar operaciones de restauración orquestadas en varias regiones de los recursos de DSQL en nombre de los clientes.  | 17 de julio de 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos son necesarios para la AWS Backup integración con AWS Account Management , por AWS Organizations lo que los clientes tienen la opción de obtener la aprobación multipartita (MPA) como parte de sus bóvedas cerradas de forma lógica.  | 17 de junio de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— Actualización de una política existente: |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos son necesarios para que los clientes puedan restaurar las instantáneas de las zonas de disponibilidad múltiple (Multi-AZ) de Amazon FSx for OpenZFS a través de ellas. AWS Backup  | 27 de mayo de 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten AWS Backup realizar copias de seguridad y restaurar los recursos de Amazon Aurora DSQL.  | 21 de mayo de 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten AWS Backup realizar copias de seguridad y restaurar los recursos de Amazon Aurora DSQL.  | 21 de mayo de 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten AWS Backup crear, eliminar, recuperar y gestionar instantáneas de Amazon Aurora DSQL en nombre de los clientes.  | 21 de mayo de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten AWS Backup crear, eliminar, recuperar, cifrar, descifrar y gestionar instantáneas de Amazon Aurora DSQL en nombre de los clientes.  | 21 de mayo de 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos permiten administrar AWS Backup las copias de seguridad de Aurora DSQL a intervalos especificados por el cliente.  | 21 de mayo de 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos son necesarios para que los clientes designados tengan acceso total a las copias de seguridad de Amazon Redshift sin servidor, incluidos los permisos de lectura necesarios y la posibilidad de eliminar los puntos de recuperación de Amazon Redshift sin servidor (copias de seguridad de instantáneas).   | 31 de marzo de 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos son necesarios para que los clientes designados dispongan de todos los permisos de copia de seguridad necesarios para Amazon Redshift sin servidor, incluidos los permisos de lectura necesarios.  | 31 de marzo de 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos son necesarios AWS Backup para gestionar las instantáneas de Amazon Redshift Serverless en los intervalos especificados por el cliente.  | 31 de marzo de 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos son necesarios para poder crear AWS Backup , eliminar, recuperar y gestionar instantáneas de Amazon Redshift Serverless en nombre de los clientes.  | 31 de marzo de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual |  AWS Backup agregó los siguientes permisos a esta política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/aws-backup/latest/devguide/security-iam-awsmanpol.html) Estos permisos son necesarios para poder AWS Backup restaurar las instantáneas de Amazon Redshift y Amazon Redshift Serverless en nombre del cliente.  | 31 de marzo de 2025 | 
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— Se agregó una nueva política administrada AWS  | AWS Backup agregó la política AWSBackupSearchOperatorAccess AWS gestionada. | 27 de febrero de 2025 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual  |  AWS Backup agregó el permiso `rds:AddTagsToResource` para admitir la copia de seguridad multicuenta de instantáneas multiusuario de Amazon RDS. Este permiso es necesario para completar las operaciones cuando un cliente decide crear una copia entre cuentas de una instantánea de RDS de varios inquilinos.  | 8 de enero de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual |  AWS Backup agregó los permisos `rds:CreateTenantDatabase` y `rds:DeleteTenantDatabase` a esta política para respaldar el proceso de restauración de los recursos de Amazon RDS. Estos permisos son necesarios para completar las operaciones del cliente a fin de restaurar las instantáneas de varios inquilinos.  | 8 de enero de 2025 | 
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— Se ha añadido una nueva política AWS gestionada | AWS Backup agregó la política AWSBackupServiceRolePolicyForItemRestores AWS gestionada. | 26 de noviembre de 2024 | 
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— Se ha añadido una nueva política AWS gestionada | AWS Backup agregó la política AWSBackupServiceRolePolicyForIndexing AWS gestionada. | 26 de noviembre de 2024 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual |  AWS Backup agregó permiso `backup:TagResource` a esta política. El permiso es necesario para obtener permisos de etiquetado durante la creación de un punto de recuperación.  | 17 de mayo de 2024 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): actualización a una política existente  |  AWS Backup permiso añadido `backup:TagResource` a esta política. El permiso es necesario para obtener permisos de etiquetado durante la creación de un punto de recuperación.  | 17 de mayo de 2024 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual  |  AWS Backup permiso agregado `backup:TagResource` a esta política. El permiso es necesario para obtener permisos de etiquetado durante la creación de un punto de recuperación.  | 17 de mayo de 2024 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual | Agregó el permiso `rds:DeleteDBInstanceAutomatedBackups`.  Este permiso es necesario AWS Backup para admitir copias de seguridad continuas y point-in-time-restore de instancias de Amazon RDS.  | 1 de mayo de 2024 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual | AWS Backup actualizó el nombre de recurso de Amazon (ARN) con el permiso `storagegateway:ListVolumes` de `arn:aws:storagegateway:*:*:gateway/*` a para adaptarse a un cambio `*` en el modelo de API de Storage Gateway. | 1 de mayo de 2024 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual | AWS Backup actualizó el nombre de recurso de Amazon (ARN) con el permiso `storagegateway:ListVolumes` de `arn:aws:storagegateway:*:*:gateway/*` a para adaptarse a un cambio `*` en el modelo de API de Storage Gateway. | 1 de mayo de 2024 | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting): actualización de una política actual |  Se agregaron los siguientes permisos para describir y enumerar los puntos de recuperación y los recursos protegidos a fin de llevar a cabo los planes de pruebas de restauración: `backup:DescribeRecoveryPoint`, `backup:DescribeProtectedResource`, `backup:ListProtectedResources` y `backup:ListRecoveryPointsByResource`. Se agregó el permiso `ec2:DescribeSnapshotTierStatus` para admitir el almacenamiento en niveles de archivo de Amazon EBS. Se agregó el permiso `rds:DescribeDBClusterAutomatedBackups` para admitir las copias de seguridad continuas de Amazon Aurora. Se agregaron los siguientes permisos para admitir las pruebas de restauración de las copias de seguridad de Amazon Redshift: `redshift:DescribeClusters` y `redshift:DeleteCluster`. Se agregó el permiso `timestream:DeleteTable` para admitir las pruebas de restauración de las copias de seguridad de Amazon Timestream.  | 14 de febrero de 2024 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual  |  Agregó los permisos `ec2:DescribeSnapshotTierStatus` y `ec2:RestoreSnapshotTier`. Estos permisos son necesarios para que los usuarios tengan la opción de restaurar los recursos de Amazon EBS almacenados AWS Backup desde el almacenamiento de archivos. En el caso de las restauraciones de instancias EC2, también debe incluir los permisos que se muestran en la siguiente declaración de política para lanzar la instancia EC2:  | 27 de noviembre de 2023 | 
|  [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual  |  Agregó los permisos `ec2:DescribeSnapshotTierStatus` y `ec2:ModifySnapshotTier` para habilitar una opción de almacenamiento adicional para que los recursos de Amazon EBS en copia de seguridad realicen la transición al nivel de almacenamiento de archivo. Estos permisos son necesarios para que los usuarios tengan la opción de realizar la transición de los recursos de Amazon EBS almacenados AWS Backup al almacenamiento de archivos.  | 27 de noviembre de 2023 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual  |  Agregó los permisos `ec2:DescribeSnapshotTierStatus` y `ec2:ModifySnapshotTier` para habilitar una opción de almacenamiento adicional para que los recursos de Amazon EBS en copia de seguridad realicen la transición al nivel de almacenamiento de archivo. Estos permisos son necesarios para que los usuarios tengan la opción de realizar la transición de los recursos de Amazon EBS almacenados AWS Backup al almacenamiento de archivos. Se agregaron los permisos `rds:DescribeDBClusterSnapshots` y`rds:RestoreDBClusterToPointInTime`, que son necesarios para la PITR (point-in-time restauraciones) de los clústeres de Aurora.  | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting): política nueva |  Proporciona los permisos necesarios para realizar las pruebas de restauración. Los permisos incluyen las acciones `list, read, and write` para que los siguientes servicios se incluyan en las pruebas de restauración: Aurora, DocumentDB, DynamoDB, Amazon EBS, Amazon EC2, Amazon EFS, para Lustre, para Windows File Server FSx , para FSx ONTAP FSx , para OpenZFS, Amazon FSx Neptune, Amazon RDS y Amazon S3.  | 27 de noviembre de 2023 | 
|  [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual  |  Se ha añadido `restore-testing.backup.amazonaws.com` a `IamPassRolePermissions` y `IamCreateServiceLinkedRolePermissions`. Esta adición es necesaria para realizar pruebas de restauración en nombre de los clientes. AWS Backup   | 27 de noviembre de 2023 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual | Se agregaron los permisos `rds:DescribeDBClusterSnapshots` y`rds:RestoreDBClusterToPointInTime`, que son necesarios para la PITR (point-in-time restauraciones) de los clústeres de Aurora. | 6 de septiembre de 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual | Se agregó el permiso`rds:DescribeDBClusterAutomatedBackups`, que es necesario para realizar copias de seguridad y point-in-time restauración continuas de los clústeres de Aurora. | 6 de septiembre de 2023 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual | Se agregó el permiso`rds:DescribeDBClusterAutomatedBackups`, que es necesario para realizar copias de seguridad y point-in-time restauración continuas de los clústeres de Aurora. | 6 de septiembre de 2023 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual |  Agregó el permiso `rds:DescribeDBClusterAutomatedBackups`. Este permiso es necesario para AWS Backup admitir la copia de seguridad y la point-in-time restauración continuas de los clústeres de Aurora. Se agregó el permiso `rds:DeleteDBClusterAutomatedBackups` para permitir que el AWS Backup ciclo de vida elimine y desasocie los puntos de recuperación continua de Amazon Aurora cuando finalice un período de retención. Este permiso es necesario para que el punto de recuperación de Aurora evite la transición a un estado `EXIPIRED`. Agregó el permiso `rds:ModifyDBCluster` que permite a AWS Backup interactuar con los clústeres de Aurora. Esta adición permite a los usuarios habilitar o deshabilitar las copias de seguridad continuas en función de las configuraciones deseadas.  | 6 de septiembre de 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual |  Agregó la acción `ram:GetResourceShareAssociations` para conceder al usuario permiso para obtener asociaciones de recursos compartidos para un nuevo tipo de almacén.  | 8 de agosto de 2023 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual |  Agregó la acción `ram:GetResourceShareAssociations` para conceder al usuario permiso para obtener asociaciones de recursos compartidos para un nuevo tipo de almacén.  | 8 de agosto de 2023 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): actualización a una política existente  |  Agregó el permiso `s3:PutInventoryConfiguration` para mejorar las velocidades de rendimiento de las copias de seguridad mediante el uso de un inventario de buckets.  | 1 de agosto de 2023 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual  |  Agregó las siguientes acciones para conceder al usuario permisos para agregar etiquetas para restaurar los recursos: `storagegateway:AddTagsToResource`, `elasticfilesystem:TagResource`, `ec2:CreateTags` solo para `ec2:CreateAction` que incluye `RunInstances` o `CreateVolume`, `fsx:TagResource` y `cloudformation:TagResource`.  | 22 de mayo de 2023 | 
|  [AWSBackupAuditAccess](#AWSBackupAuditAccess): actualización de una política actual  |  Se reemplazó la selección de recursos de la API `config:DescribeComplianceByConfigRule` por un recurso comodín para facilitar al usuario la selección de los recursos.  | 11 de abril de 2023 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual  |  Agregó el siguiente permiso para restaurar Amazon EFS mediante una clave administrada por el cliente: `kms:GenerateDataKeyWithoutPlaintext`. Ayuda a garantizar que los usuarios dispongan de los permisos necesarios para restaurar los recursos de Amazon EFS.  | 27 de marzo de 2023 | 
|  [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports): actualización de una política actual  |  Se actualizaron las `config:DescribeConfigRuleEvaluationStatus` acciones `config:DescribeConfigRules` y para permitir que AWS Backup Audit Manager acceda a las reglas administradas por AWS Backup Audit Manager AWS Config .  | 9 de marzo de 2023 | 
|  [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore): actualización a una política existente  |  Agregó los siguientes permisos: `kms:Decrypt`, `s3:PutBucketOwnershipControls` y `s3:GetBucketOwnershipControls` a la política `AWSBackupServiceRolePolicyForS3Restore`. Estos permisos son necesarios para permitir la restauración de objetos cuando se utiliza el cifrado de KMS en la copia de seguridad original y para restaurar objetos cuando la propiedad del objeto está configurada en el bucket original en lugar de en la ACL.  | 13 de febrero de 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual | Se agregaron los siguientes permisos para programar copias de seguridad mediante VMware etiquetas de máquinas virtuales y para admitir la limitación del ancho de banda basada en la programación:`backup-gateway:GetHypervisorPropertyMappings`,,,`backup-gateway:GetVirtualMachine`, `backup-gateway:PutHypervisorPropertyMappings` y. `backup-gateway:GetHypervisor` `backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule`  | 15 de diciembre de 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual | Se agregaron los siguientes permisos para programar copias de seguridad mediante VMware etiquetas de máquinas virtuales y para admitir la limitación del ancho de banda basada en la programación:,, y. `backup-gateway:GetHypervisorPropertyMappings` `backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule`  | 15 de diciembre de 2022 | 
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync): política nueva |  Proporciona permisos para que AWS Backup Gateway sincronice los metadatos de las máquinas virtuales de las redes locales con Backup Gateway.  | 15 de diciembre de 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual | Se agregaron los siguientes permisos para admitir los trabajos de copia de seguridad de Timestream: `timestream:StartAwsBackupJob`, `timestream:GetAwsBackupStatus`, `timestream:ListTables`, `timestream:ListDatabases`, `timestream:ListTagsForResource`, `timestream:DescribeTable`, `timestream:DescribeDatabase` y `timestream:DescribeEndpoints`.  | 13 de diciembre de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual | Se agregaron los siguientes permisos para admitir los trabajos de restauración de Timestream: `timestream:StartAwsRestoreJob`, `timestream:GetAwsRestoreStatus`, `timestream:ListTables`, `timestream:ListTagsForResource`, `timestream:ListDatabases`, `timestream:DescribeTable`, `timestream:DescribeDatabase`, `s3:GetBucketAcl` y `timestream:DescribeEndpoints`.  | 13 de diciembre de 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual | Se agregaron los siguientes permisos para admitir los trabajos de restauración de Timestream: `timestream:ListTables`, `timestream:ListDatabases`, `s3:ListAllMyBuckets` y `timestream:DescribeEndpoints`.  | 13 de diciembre de 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual | Se agregaron los siguientes permisos para admitir los recursos de Timestream: `timestream:ListDatabases`, `timestream:ListTables`, `s3:ListAllMyBuckets` y `timestream:DescribeEndpoints`.  | 13 de diciembre de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual | Se agregaron los siguientes permisos para admitir los recursos de Timestream: `timestream:ListDatabases`, `timestream:ListTables`, `timestream:ListTagsForResource`, `timestream:DescribeDatabase`, `timestream:DescribeTable`, `timestream:GetAwsBackupStatus`, `timestream:GetAwsRestoreStatus` y `timestream:DescribeEndpoints`.  | 13 de diciembre de 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual | Se agregaron los siguientes permisos para admitir los recursos de Amazon Redshift: `redshift:DescribeClusters`, `redshift:DescribeClusterSubnetGroups`, `redshift:DescribeNodeConfigurationOptions`, `redshift:DescribeOrderableClusterOptions`, `redshift:DescribeClusterParameterGroups`, `redshift:DescribeClusterTracks`, `redshift:DescribeSnapshotSchedules` y `ec2:DescribeAddresses`.  | 27 de noviembre de 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual | Se agregaron los siguientes permisos para admitir los recursos de Amazon Redshift: `redshift:DescribeClusters`, `redshift:DescribeClusterSubnetGroups`, `redshift:DescribeNodeConfigurationOptions`, `redshift:DescribeOrderableClusterOptions`, `redshift:DescribeClusterParameterGroups,`, `redshift:DescribeClusterTracks`, `redshift:DescribeSnapshotSchedules` y `ec2:DescribeAddresses`.  | 27 de noviembre de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual |  Se agregaron los siguientes permisos para admitir los recursos de Amazon Redshift: `redshift:RestoreFromCluster Snapshot`, `redshift:RestoreTableFromClusterSnapshot`, `redshift:DescribeClusters` y `redshift:DescribeTableRestoreStatus`.  | 27 de noviembre de 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual |  Se agregaron los siguientes permisos para admitir los trabajos de copia de seguridad de Amazon Redshift: `redshift:CreateClusterSnapshot`, `redshift:DescribeClusterSnapshots`, `redshift:DescribeTags`, `redshift:DeleteClusterSnapshot`, `redshift:DescribeClusters` y `redshift:CreateTags`.  | 27 de noviembre de 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual | Se agregó el siguiente permiso para respaldar CloudFormation los recursos:`cloudformation:ListStacks`.  | 27 de noviembre de 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual | Se agregó el siguiente permiso para respaldar CloudFormation los recursos:`cloudformation:ListStacks`. | 27 de noviembre de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual | Se agregaron los siguientes permisos para respaldar CloudFormation los recursos: `redshift:DescribeClusterSnapshots``redshift:DescribeTags`,`redshift:DeleteClusterSnapshot`, y`redshift:DescribeClusters`.  | 27 de noviembre de 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual | Se agregaron los siguientes permisos para admitir los trabajos de respaldo de la pila de CloudFormation aplicaciones: `cloudformation:GetTemplate``cloudformation:DescribeStacks`, y`cloudformation:ListStackResources`.  | 16 de noviembre de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual | Se agregaron los siguientes permisos para admitir los trabajos de respaldo de la pila de CloudFormation aplicaciones: `cloudformation:CreateChangeSet` y `cloudformation:DescribeChangeSet`  | 16 de noviembre de 2022 | 
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess): actualización de una política actual | Se agregaron los siguientes permisos a esta política para permitir a los administradores de la organización utilizar la característica de administrador delegado: `organizations:ListDelegatedAdministrator`, `organizations:RegisterDelegatedAdministrator` y `organizations:DeregisterDelegatedAdministrator`  | 27 de noviembre de 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual | Se agregaron los siguientes permisos para admitir SAP HANA en instancias de Amazon EC2: `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:BackupDatabase`, `ssm-sap:UpdateHanaBackupSettings`, `ssm-sap:GetDatabase` y `ssm-sap:ListTagsForResource`.  | 20 de noviembre de 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual | Se agregaron los siguientes permisos para admitir SAP HANA en instancias de Amazon EC2: `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:GetDatabase` y `ssm-sap:ListTagsForResource`.  | 20 de noviembre de 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual | Se agregaron los siguientes permisos para admitir SAP HANA en instancias de Amazon EC2: `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:GetDatabase` y `ssm-sap:ListTagsForResource`.  | 20 de noviembre de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual | Se agregó el siguiente permiso para admitir SAP HANA en instancias de Amazon EC2: `ssm-sap:GetOperation`.  | 20 de noviembre de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual | Se agregó el siguiente permiso para que Backup Gateway admita los trabajos de restauración de puerta de enlace de copia de seguridad en una instancia EC2: `ec2:CreateTags`.  | 20 de noviembre de 2022 | 
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess): actualización de una política actual | Se agregaron los siguientes permisos para admitir la transferencia segura de datos de almacenamiento para los recursos de SAP HANA On Amazon EC2: `backup-storage:StartObject`, `backup-storage:PutChunk`, `backup-storage:GetChunk`, `backup-storage:ListChunks`, `backup-storage:ListObjects`, `backup-storage:GetObjectMetadata` y `backup-storage:NotifyObjectComplete`.  | 20 de noviembre de 2022 | 
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA): actualización a una política existente | Se agregaron los siguientes permisos para que los propietarios de los recursos realicen la restauración de los recursos de SAP HANA en Amazon EC2: `backup:Get*`, `backup:List*`, `backup:Describe*`, `backup:StartBackupJob`, `backup:StartRestoreJob`, `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:BackupDatabase`, `ssm-sap:RestoreDatabase`, `ssm-sap:UpdateHanaBackupSettings`, `ssm-sap:GetDatabase` y `ssm-sap:ListTagsForResource`.  | 20 de noviembre de 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): actualización a una política existente  |  Se agregó el permiso `s3:GetBucketAcl` para admitir las operaciones de respaldo AWS Backup de Amazon S3.  | 24 de agosto de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual  |  Se agregaron las siguientes acciones para conceder acceso para la creación de una instancia de base de datos que admita la funcionalidad de varias zonas de disponibilidad (Multi-AZ): `rds:CreateDBInstance`  | 20 de julio de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual  |  Se agregó el permiso `s3:GetBucketTagging` para conceder al usuario permiso para seleccionar los buckets de los que realizar copias de seguridad con un recurso comodín. Sin este permiso, los usuarios que seleccionen los buckets de los que se va a hacer una copia de seguridad con un recurso comodín no podrán hacer esto.  | 6 de mayo de 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual  |  Se agregaron recursos de volumen en el ámbito de `fsx:ListTagsForResource` las acciones existentes `fsx:CreateBackup` y se agregaron nuevas acciones FSx para respaldar las copias de seguridad `fsx:DescribeVolumes` a nivel de volumen de ONTAP.  | 27 de abril de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual  |  Se han añadido las siguientes acciones para conceder a los usuarios permisos de restauración de FSx los volúmenes de ONTAP`fsx:DescribeVolumes`, `fsx:CreateVolumeFromBackup``fsx:DeleteVolume`, y. `fsx:UntagResource`  | 27 de abril de 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): actualización a una política existente  |  Se agregaron las siguientes acciones para conceder al usuario permisos para recibir notificaciones de cambios en sus buckets de Amazon S3 durante las operaciones de copia de seguridad: `s3:GetBucketNotification` y `s3:PutBucketNotification`.  | 25 de febrero de 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): nueva política  |  Se agregó las siguientes acciones para conceder al usuario permisos para restaurar sus buckets de Amazon S3: `s3:GetInventoryConfiguration`, `s3:PutInventoryConfiguration`, `s3:ListBucketVersions`, `s3:ListBucket`, `s3:GetBucketTagging`, `s3:GetBucketVersioning`, `s3:GetBucketNotification`,`s3:GetBucketLocation` y `s3:ListAllMyBuckets` Se agregaron las siguientes acciones para conceder al usuario permisos para hacer copias de seguridad de sus objetos de Amazon S3: `s3:GetObject`, `s3GetObjectAcl`, `s3:GetObjectVersionTagging`, `s3:GetObjectVersionAcl`, `s3:GetObjectTagging` y `s3:GetObjectVersion`.  Se agregaron las siguientes acciones para conceder al usuario permisos para hacer copias de seguridad de sus datos cifrados de Amazon S3: `kms:Decrypt` y `kms:DescribeKey`.  Se agregaron las siguientes acciones para conceder al usuario permisos para realizar copias de seguridad incrementales de sus datos de Amazon S3 utilizando EventBridge las reglas de Amazon: `events:DescribeRule` `events:EnableRule` `events:PutRule` `events:DeleteRule``events:PutTargets`,`events:RemoveTargets`,`events:ListTargetsByRule`,`events:DisableRule`,,`cloudwatch:GetMetricData`, y`events:ListRules`.  | 17 de febrero de 2022 | 
| [AWSBackupServiceRolePolicyForS3Restore: nueva](#AWSBackupServiceRolePolicyForS3Restore) política  |  Se agregaron las siguientes acciones para conceder al usuario permisos para restaurar sus buckets de Amazon S3: `s3:CreateBucket`, `s3:ListBucketVersions`, `s3:ListBucket`, `s3:GetBucketVersioning`, `s3:GetBucketLocation` y `s3:PutBucketVersioning`. Se agregaron las siguientes acciones para conceder al usuario permisos para restaurar sus buckets de Amazon S3: `s3:GetObject`, `s3:GetObjectVersion`, `s3:DeleteObject`, `s3:PutObjectVersionAcl`, `s3:GetObjectVersionAcl`, `s3:GetObjectTagging`, `s3:PutObjectTagging`, `s3:GetObjectAcl`, `s3:PutObjectAcl`, `s3:PutObject` y `s3:ListMultipartUploadParts`. Se agregaron las siguientes acciones para conceder al usuario permisos para cifrar sus datos de Amazon S3 restaurados: `kms:Decrypt`, `kms:DescribeKey` y `kms:GenerateDataKey`.  | 17 de febrero de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual  |  Se agregó `s3:ListAllMyBuckets` para conceder al usuario permisos para ver una lista de sus buckets y elegir cuáles asignar a un plan de copia de seguridad.  | 14 de febrero de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual  |  Se agregó `backup-gateway:ListVirtualMachines` para conceder al usuario permisos para ver una lista de sus máquinas virtuales y elegir cuáles asignar a un plan de copia de seguridad. Se agregó `backup-gateway:ListTagsForResource` para conceder al usuario permisos para enumerar las etiquetas de sus máquinas virtuales.  | 30 de noviembre de 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual  |  Se agregó `backup-gateway:Backup` para otorgar al usuario permisos para restaurar las copias de seguridad de sus máquinas virtuales. AWS Backup también se agregó `backup-gateway:ListTagsForResource` para conceder al usuario permisos para enumerar las etiquetas asignadas a las copias de seguridad de sus máquinas virtuales.  | 30 de noviembre de 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual  |  Se agregó `backup-gateway:Restore` para conceder al usuario permisos para restaurar las copias de seguridad de sus máquinas virtuales.  | 30 de noviembre de 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual  |  Se agregaron las siguientes acciones para conceder a los usuarios permisos para usar AWS Backup Gateway para realizar copias de seguridad, restaurar y administrar sus máquinas virtuales: `backup-gateway:AssociateGatewayToServer`, `backup-gateway:CreateGateway`, `backup-gateway:DeleteGateway`, `backup-gateway:DeleteHypervisor`, `backup-gateway:DisassociateGatewayFromServer`, `backup-gateway:ImportHypervisorConfiguration`, `backup-gateway:ListGateways`, `backup-gateway:ListHypervisors`, `backup-gateway:ListTagsForResource`, `backup-gateway:ListVirtualMachines`, `backup-gateway:PutMaintenanceStartTime`, `backup-gateway:TagResource`, `backup-gateway:TestHypervisorConfiguration`, `backup-gateway:UntagResource`, `backup-gateway:UpdateGatewayInformation` y `backup-gateway:UpdateHypervisor`.  | 30 de noviembre de 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual  |  Se agregó las siguientes acciones para conceder al usuario permisos para hacer copias de seguridad de sus máquinas virtuales: `backup-gateway:ListGateways`, `backup-gateway:ListHypervisors`, `backup-gateway:ListTagsForResource` y `backup-gateway:ListVirtualMachines`.  | 30 de noviembre de 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual  |  Se agregó `dynamodb:ListTagsOfResource` para conceder al usuario permisos para enumerar las etiquetas de sus tablas de DynamoDB para realizar copias de seguridad mediante las funciones avanzadas de copia AWS Backup de seguridad de DynamoDB.  | 23 de noviembre de 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual  |  Se agregó `dynamodb:StartAwsBackupJob` para conceder al usuario permisos para hacer copias de seguridad de sus tablas de DynamoDB mediante características avanzadas de copia de seguridad. Se agregó `dynamodb:ListTagsOfResource` para conceder al usuario permisos para copiar etiquetas de sus tablas de DynamoDB de origen a sus copias de seguridad.  | 23 de noviembre de 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual  |  Se ha añadido `dynamodb:RestoreTableFromAwsBackup` para conceder permisos al usuario para restaurar las tablas de DynamoDB de las que se ha hecho una copia de seguridad mediante las funciones avanzadas AWS Backup de copia de seguridad de DynamoDB.  | 23 de noviembre de 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual  |  Se ha añadido `dynamodb:RestoreTableFromAwsBackup` para conceder permisos al usuario para restaurar las tablas de DynamoDB de las que se ha hecho una copia de seguridad mediante las funciones avanzadas AWS Backup de copia de seguridad de DynamoDB.  | 23 de noviembre de 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual  |  Se eliminaron las acciones existentes `backup:GetRecoveryPointRestoreMetadata` y `rds:DescribeDBSnapshots` porque eran redundantes.  AWS Backup no necesitaba ambas `backup:GetRecoveryPointRestoreMetadata` y `backup:Get*` formaba parte de ellas. `AWSBackupOperatorAccess` Además, AWS Backup no necesitaba ambos `rds:DescribeDBSnapshots` y `rds:describeDBSnapshots` como parte de`AWSBackupOperatorAccess`.  | 23 de noviembre de 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual  |  Se agregaron las nuevas acciones `elasticfilesystem:DescribeFileSystems``dynamodb:ListTables`,`storagegateway:ListVolumes`,`ec2:DescribeVolumes`, `ec2:DescribeInstances` `rds:DescribeDBInstances``rds:DescribeDBClusters`, y `fsx:DescribeFileSystems` para permitir a los clientes ver y elegir de una lista de los recursos AWS Backup compatibles a la hora de seleccionar qué recursos asignar a un plan de respaldo.  | 10 de noviembre de 2021 | 
| [AWSBackupAuditAccess](#AWSBackupAuditAccess): política nueva  |  Se agregó `AWSBackupAuditAccess` para conceder al usuario permisos para usar AWS Backup Audit Manager. Los permisos incluyen la capacidad de configurar marcos de conformidad y generar informes.  | 24 de agosto de 2021 | 
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports): política nueva  |  Se agregó `AWSServiceRolePolicyForBackupReports` para conceder permisos para un rol vinculado al servicio a fin de automatizar la monitorización de la configuración, los trabajos y los recursos de la copia de seguridad para que cumplan los marcos configurados por el usuario.  | 24 de agosto de 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual  |  Se agregó `iam:CreateServiceLinkedRole` para crear un rol vinculado al servicio (en la medida de lo posible) para automatizar la eliminación de los puntos de recuperación vencidos. Sin esta función vinculada al servicio, AWS Backup no se pueden eliminar los puntos de recuperación caducados después de que los clientes eliminen la función de IAM original que utilizaron para crear sus puntos de recuperación.  | 5 de julio de 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual  |  Se agregó la nueva acción `dynamodb:DeleteBackup` para conceder el permiso `DeleteRecoveryPoint` para automatizar la eliminación de los puntos de recuperación de DynamoDB vencidos en función de la configuración del ciclo de vida del plan de copia de seguridad.  | 5 de julio de 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual  |  Se eliminaron las acciones existentes `backup:GetRecoveryPointRestoreMetadata` y `rds:DescribeDBSnapshots` porque eran redundantes. AWS Backup no necesitaba ambos `backup:GetRecoveryPointRestoreMetadata` y `backup:Get*` como parte de `AWSBackupOperatorAccess` Además, AWS Backup no necesitaba ambos `rds:DescribeDBSnapshots` y `rds:describeDBSnapshots` como parte de `AWSBackupOperatorAccess`  | 25 de mayo de 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): actualización de una política actual  |  Se eliminaron las acciones existentes `backup:GetRecoveryPointRestoreMetadata` y `rds:DescribeDBSnapshots` porque eran redundantes. AWS Backup no necesitaba ambos `backup:GetRecoveryPointRestoreMetadata` y `backup:Get*` como parte de`AWSBackupOperatorAccess`. Además, AWS Backup no necesitaba ambos `rds:DescribeDBSnapshots` y `rds:describeDBSnapshots` como parte de`AWSBackupOperatorAccess`.  | 25 de mayo de 2021 | 
| [AWSBackupServiceRolePolicyForRestores](): actualización de una política actual  |  Se ha añadido la nueva acción `fsx:TagResource` para conceder `StartRestoreJob` permiso que te permita aplicar etiquetas a los sistemas de FSx archivos de Amazon durante el proceso de restauración.  | 24 de mayo de 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): actualización de una política actual  |  Se agregaron las nuevas acciones `ec2:DescribeImages` y `ec2:DescribeInstances` para conceder el permiso `StartRestoreJob` que le permite restaurar las instancias de Amazon EC2 desde los puntos de recuperación.  | 24 de mayo de 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual  |  Se ha añadido la nueva acción `fsx:CopyBackup` para conceder `StartCopyJob` permiso que te permita copiar los puntos de FSx recuperación de Amazon entre regiones y cuentas.  | 12 de abril de 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): actualización de una política actual  |  Se ha añadido la nueva acción `fsx:CopyBackup` para conceder `StartCopyJob` permiso que te permita copiar los puntos de FSx recuperación de Amazon entre regiones y cuentas.  | 12 de abril de 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): actualización de una política actual  |  Se actualizó para cumplir con el siguiente requisito:  AWS Backup Para crear una copia de seguridad de una tabla de DynamoDB cifrada, debe añadir los `kms:Decrypt` permisos `kms:GenerateDataKey` y la función de IAM utilizada para la copia de seguridad.  | 10 de marzo de 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): actualización de una política actual  |  Se actualizó para cumplir con los siguientes requisitos:  AWS Backup Para configurar copias de seguridad continuas para su base de datos de Amazon RDS, compruebe que el permiso de API `rds:ModifyDBInstance` existe en la función de IAM definida en la configuración de su plan de backup. Para restaurar las copias de seguridad continuas de Amazon RDS, debe agregar el permiso `rds:RestoreDBInstanceToPointInTime` al rol de IAM que envió para el trabajo de restauración. En la AWS Backup consola, para describir el intervalo de tiempo disponible para la point-in-time recuperación, debe incluir el permiso de la `rds:DescribeDBInstanceAutomatedBackups` API en la política gestionada por IAM.  | 10 de marzo de 2021 | 
|  AWS Backup comenzó a rastrear los cambios  |  AWS Backup comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.  | 10 de marzo de 2021 | 

# Uso de roles vinculados a servicios para AWS Backup
<a name="using-service-linked-roles"></a>

AWS Backup [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Backup Los roles vinculados al servicio están predefinidos AWS Backup e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. 

**Topics**
+ [Uso de roles para hacer copias de seguridad y copiar](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [Uso de funciones para AWS Backup Audit Manager](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [Uso de roles para pruebas de restauración](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)

# Uso de roles para hacer copias de seguridad y copiar
<a name="using-service-linked-roles-AWSServiceRoleForBackup"></a>

AWS Backup [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Backup Los roles vinculados al servicio están predefinidos AWS Backup e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. 

Un rol vinculado a un servicio facilita la configuración AWS Backup , ya que no es necesario añadir manualmente los permisos necesarios. AWS Backup define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Backup puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto protege sus AWS Backup recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Permisos de rol vinculados al servicio para AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackup"></a>

AWS Backup utiliza el rol vinculado al servicio denominado **AWSServiceRoleForBackup**para crear y eliminar copias de seguridad de sus AWS recursos en su nombre.

El rol AWSService RoleForBackup vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `backup.amazonaws.com`

Para ver los permisos de esta política, consulte la Referencia [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)de *políticas AWS administradas*.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Crear un rol vinculado a un servicio para AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackup"></a>

No necesita crear manualmente un rol vinculado a servicios. Al enumerar los recursos de los que realizar copias de seguridad, configurar copias de seguridad entre cuentas o realizar copias de seguridad en la Consola de administración de AWS, la API o la AWS API AWS CLI, se AWS Backup crea automáticamente el rol vinculado al servicio. 

**importante**  
 Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando pones en una lista los recursos que deseas guardar, configuras una copia de seguridad multicuenta o realizas copias de seguridad, vuelve a AWS Backup crear el rol vinculado al servicio para ti. 

## Editar un rol vinculado a un servicio para AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackup"></a>

AWS Backup no permite editar el rol vinculado al AWSService RoleForBackup servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte la [Descripción sobre cómo editar un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) en la *Guía del usuario de IAM*.

## Eliminar un rol vinculado a un servicio para AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackup"></a>

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.

### Limpiar un rol vinculado a servicios
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackup"></a>

Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol. En primer lugar, debe eliminar todos los puntos de recuperación. Luego, debe eliminar todos sus almacenes de copias de seguridad.

**nota**  
Si el AWS Backup servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

**Para eliminar AWS Backup los recursos utilizados por la AWSService RoleForBackup (consola)**

1. Para eliminar todos los puntos de recuperación y los almacenes de copias de seguridad (excepto su almacén predeterminado), siga el procedimiento que se describe en [Eliminación de un almacén](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault).

1. Para eliminar el almacén predeterminado, utilice el siguiente comando en la AWS CLI:

   ```
   aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
   ```

**Para eliminar AWS Backup los recursos utilizados por AWSService RoleForBackup (AWS CLI)**

1. Para eliminar todos los puntos de recuperación, utilice [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html).

1. Para eliminar todos los almacenes de copias de seguridad, utilice [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html).

**Para eliminar AWS Backup los recursos utilizados por la AWSService RoleForBackup (API)**

1. Para eliminar todos los puntos de recuperación, utilice `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`.

1. Para eliminar todos los almacenes de copias de seguridad, utilice `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`.

### Eliminación manual de un rol vinculado a servicios
<a name="slr-manual-delete-AWSServiceRoleForBackup"></a>

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSService RoleForBackup servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) en la *Guía del usuario de IAM*.

## Regiones compatibles para los roles vinculados al servicio AWS Backup
<a name="slr-regions-AWSServiceRoleForBackup"></a>

AWS Backup admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Regiones y características compatibles con AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Uso de funciones para AWS Backup Audit Manager
<a name="using-service-linked-roles-AWSServiceRoleForBackupReports"></a>

AWS Backup [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Backup Los roles vinculados al servicio están predefinidos AWS Backup e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. 

Un rol vinculado a un servicio facilita la configuración AWS Backup , ya que no es necesario añadir manualmente los permisos necesarios. AWS Backup define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Backup puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto protege sus AWS Backup recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Permisos de rol vinculados al servicio para AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupReports"></a>

AWS Backup utiliza el rol vinculado al servicio denominado **AWSServiceRoleForBackupReports**: AWS Backup proporciona permiso para crear controles, marcos e informes.

El rol AWSService RoleForBackupReports vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `reports.backup.amazonaws.com`

Para ver los permisos de esta política, consulte [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) en la *Referencia de la política administrada de AWS *.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Crear un rol vinculado a un servicio para AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupReports"></a>

No necesita crear manualmente un rol vinculado a servicios. Al crear un marco o un plan de informes en la Consola de administración de AWS, la o la AWS API AWS CLI, se AWS Backup crea automáticamente el rol vinculado al servicio. 

**importante**  
 Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un marco o un plan de informes, vuelve a AWS Backup crear el rol vinculado al servicio automáticamente. 

## Edición de un rol vinculado a un servicio para AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupReports"></a>

AWS Backup no permite editar el rol vinculado al AWSService RoleForBackupReports servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte la [Edición de una descripción del rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) en la *Guía del usuario de IAM*.

## Eliminar un rol vinculado a un servicio para AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupReports"></a>

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.

### Limpiar un rol vinculado a servicios
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupReports"></a>

Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol. Debe eliminar todos los marcos y los planes de informes.

**nota**  
Si el AWS Backup servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

**Para eliminar AWS Backup los recursos utilizados por la AWSService RoleForBackupReports (consola)**

1. Para eliminar todos los marcos, consulte [Eliminación de marcos](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html).

1. Para eliminar todos los planes de informes, consulte [Eliminación de los planes de informes](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html).

**Para eliminar AWS Backup los recursos utilizados por AWSService RoleForBackupReports (AWS CLI)**

1. Para eliminar todos los marcos, utilice [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html).

1. Para eliminar todos los planes de informes, utilice [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html).

**Para eliminar AWS Backup los recursos utilizados por la AWSService RoleForBackupReports (API)**

1. Para eliminar todos los marcos, utilice [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html).

1. Para eliminar todos los planes de informes, utilice [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html).

### Eliminación manual de un rol vinculado a servicios
<a name="slr-manual-delete-AWSServiceRoleForBackupReports"></a>

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSService RoleForBackupReports servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) en la *Guía del usuario de IAM*.

## Regiones compatibles para los roles vinculados al servicio AWS Backup
<a name="slr-regions-AWSServiceRoleForBackupReports"></a>

AWS Backup admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Regiones y características compatibles con AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Uso de roles para pruebas de restauración
<a name="using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Backup Los roles vinculados al servicio están predefinidos AWS Backup e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. 

Un rol vinculado a un servicio facilita la configuración AWS Backup , ya que no es necesario añadir manualmente los permisos necesarios. AWS Backup define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Backup puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto protege sus AWS Backup recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Permisos de rol vinculados al servicio para AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup utiliza el rol vinculado al servicio denominado **AWSServiceRoleForBackupRestoreTesting**: proporciona permisos de respaldo para realizar pruebas de restauración.

El rol vinculado al servicio **AWSServiceRoleForBackupRestoreTesting** depende de los siguientes servicios para asumir el rol:
+ `restore-testing.backup.amazonaws.com`

Para ver los permisos de esta política, consulte [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) en la *Referencia de la política administrada de AWS *.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Crear un rol vinculado a un servicio para AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

No necesita crear manualmente un rol vinculado a servicios. Cuando realizas pruebas de restauración en la Consola de administración de AWS, la o la AWS API AWS CLI, se AWS Backup crea automáticamente el rol vinculado al servicio. 

**importante**  
 Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando realizas las pruebas de restauración, vuelve a AWS Backup crear el rol vinculado al servicio para ti.

## Edición de un rol vinculado a un servicio para AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup no permite editar el rol vinculado al AWSService RoleForBackupRestoreTesting servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte la [Descripción sobre cómo editar un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) en la *Guía del usuario de IAM*.

## Eliminar un rol vinculado a un servicio para AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.

### Limpiar un rol vinculado a servicios
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupRestoreTesting"></a>

Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol. Debe eliminar todos los planes de prueba de restauración.

**nota**  
Si el AWS Backup servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

**Para eliminar AWS Backup los recursos utilizados por la AWSService RoleForBackupRestoreTesting (consola)**
+ Para eliminar todos los planes de prueba de restauración, consulte [Pruebas de restauración](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html).

**Para eliminar AWS Backup los recursos utilizados por AWSService RoleForBackupRestoreTesting (AWS CLI)**
+ Para eliminar planes de prueba de restauración, utilice `delete-restore-testing-plan`.

**Para eliminar AWS Backup los recursos utilizados por la AWSService RoleForBackupRestoreTesting (API)**
+ Para eliminar planes de prueba de restauración, utilice `DeleteRestoreTestingPlan`.

### Eliminación manual de un rol vinculado a servicios
<a name="slr-manual-delete-AWSServiceRoleForBackupRestoreTesting"></a>

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al **AWSServiceRoleForBackupRestoreTesting**servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) en la *Guía del usuario de IAM*.

## Regiones compatibles para los roles vinculados al servicio AWS Backup
<a name="slr-regions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Regiones y características compatibles con AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Prevención de la sustitución confusa entre servicios
<a name="cross-service-confused-deputy-prevention"></a>

El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar un confuso problema de diputado. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que le ayudan a proteger los datos de todos los servicios cuyos directores de servicio tengan acceso a los recursos de su cuenta.

Recomendamos utilizar las claves de contexto de condición [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)y las claves contextuales en las políticas de recursos para limitar los permisos que se AWS Backup otorgan a otro servicio al recurso. Si se utilizan ambas claves contextuales de condición global, el valor `aws:SourceAccount` y la cuenta del valor `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utilicen en la misma declaración de política.

El valor de `aws:SourceArn` debe ser una AWS Backup bóveda cuando se utilizan AWS Backup para publicar temas de Amazon SNS en su nombre.

La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de `aws:SourceArn` con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si especifica varios recursos, utiliza la clave de condición de contexto global `aws:SourceArn` con comodines (`*`) para las partes desconocidas del ARN. Por ejemplo, `arn:aws::servicename::123456789012:*`. 

El siguiente ejemplo de política muestra cómo puede utilizar las claves de contexto `aws:SourceArn` y las condiciones `aws:SourceAccount` globales AWS Backup para evitar el confuso problema de los diputados. Esta política permite al responsable del servicio, backup-storage.amazonaws.com, realizar acciones de KMS únicamente cuando el responsable del servicio actúa en nombre de la cuenta 123456789012 de los almacenes de copias de seguridad: AWS 

# Seguridad de la infraestructura en AWS Backup
<a name="infrastructure-security"></a>

Como servicio gestionado, AWS Backup está protegido por la seguridad de la red AWS global. Para obtener más información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de la infraestructura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) en el marco de buena * AWS arquitectura del pilar de la seguridad*.

Utiliza las llamadas a la API AWS publicadas para acceder a AWS Backup través de la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.2 o con una versión posterior. Los clientes también deben admitir conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos. 

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

# Integridad de los datos en AWS Backup
<a name="backup-integrity"></a>

## AWS Backup objetivo de integridad de los datos
<a name="backup-integrity-goal"></a>

AWS Backup busca mantener la integridad durante la transmisión, el almacenamiento y el procesamiento de sus datos. AWS Backup trata los datos de los recursos almacenados como información crítica independiente del contenido, ya que ofrecemos el mismo alto nivel de seguridad a los clientes, independientemente del tipo de datos que almacenen. Velamos por la seguridad de nuestros clientes y hemos implementado sofisticadas medidas técnicas y físicas contra el acceso no autorizado. Usted mantiene un control total sobre la forma en que se clasifican sus datos, las regiones en las que se almacenan y la forma en que se controlan, archivan y protegen contra su divulgación.

## AWS Backup implementación de la integridad de los datos
<a name="backup-integrity-implementation"></a>

AWS Backup trabaja en conjunto con otros servicios AWS y con Amazon para mantener la integridad de los datos que almacena y con los que interactúa. Las herramientas utilizadas pueden variar e incluyen, entre otras:
+ Validación continua de los objetos con respecto a su suma de verificación para evitar que los objetos se corrompan
+ Sumas de verificación internas para confirmar la integridad de los datos en tránsito y en reposo
+ Las sumas de verificación se calculan a partir de los datos de las copias de seguridad creadas desde el almacén principal
+ Siempre se verifica que las sumas de verificación sean correctas antes de utilizar los datos correspondientes. Si encontramos datos que no coinciden con su suma de verificación, los sustituimos por una copia correcta. Si no sustituimos la copia correcta, no realizaremos los trabajos correspondientes
+ Intento automático de restablecer los niveles normales de redundancia del almacenamiento de objetos en caso de que el disco esté dañado o se detecte un error en el dispositivo
+ Almacenamiento redundante de datos en varias ubicaciones físicas
+ Mejora de la durabilidad de los objetos en varias zonas de disponibilidad durante la escritura inicial, que se combina con una mayor replicación en caso de que el dispositivo no esté disponible o se detecte una degradación de bits
+ Sumas de verificación de todo el tráfico de la red para detectar paquetes de datos con daños durante el almacenamiento o la recuperación de los datos

AWS Backup almacena datos de forma nativa para Amazon DynamoDB con funciones avanzadas, Amazon EFS, Amazon S3, Amazon Timestream y máquinas virtuales que se ejecutan conectadas a través de Backup Gateway. VMware AWS Backup facilita las copias de seguridad de los datos almacenados con otros servicios, como Amazon Aurora, Amazon DocumentDB, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon FSx for Windows File Server, Amazon for FSx Lustre, Amazon for FSx OpenZFS, Amazon for FSx ONTAP, Amazon NetApp Neptune, Amazon RDS y Amazon Redshift.

## AWS Backup Confirmación objetiva y auditoría de la integridad de los datos
<a name="backup-integrity-audit"></a>

Los datos almacenados directamente AWS Backup y los datos almacenados en asociación con otros AWS servicios con los que AWS Backup interactúa están sujetos al riguroso proceso de Amazon Simple Storage Service (Amazon S3) que sustenta la integridad de los datos. Un auditor externo independiente confirma esta integridad mediante un informe anual de auditoría de SOC, que está disponible en [AWS Artifact](https://aws.amazon.com/artifact/).

# Obligaciones legales y AWS Backup
<a name="legalhold"></a>

## Descripción general de las retenciones legales
<a name="legalhold-overview"></a>

Una retención legal es una herramienta administrativa que ayuda a evitar que las copias de seguridad se eliminen mientras están retenidas. Mientras la retención esté en vigor, las copias de seguridad retenidas no se pueden eliminar y las políticas de ciclo de vida que podrían alterar el estado de las copias de seguridad (como la transición a un estado `Deleted`) se retrasan hasta que se elimine la retención legal.

Las retenciones legales se pueden aplicar a una o más copias de seguridad (también conocidas como puntos de recuperación) creadas AWS Backup si sus ciclos de vida lo permiten. Las retenciones legales no afectan a las [copias de seguridad continuas](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html).

Cuando se crea una retención legal, esta puede tener en cuenta criterios de filtrado específicos, como los tipos de recursos y los recursos. IDs Además, puede definir el intervalo de fechas de creación de las copias de seguridad que desee incluir en una retención legal. 

Las retenciones legales solo se aplican a la copia de seguridad original en la que se colocan. Cuando una copia de seguridad se copia entre regiones o cuentas (si el recurso lo admite), no se retiene ni lleva consigo su retención legal. Una retención legal, como otros recursos, tiene asociado un nombre de recurso de Amazon (ARN) único. Solo los puntos de recuperación creados por AWS Backup pueden formar parte de una retención legal.

Tenga en cuenta que, si bien el [Bloqueo de almacenes de AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) proporciona protecciones adicionales e inmutabilidad de un almacén, una retención legal ofrece adicional contra la eliminación de copias de seguridad individuales (puntos de recuperación). La retención legal no vence y retiene los datos de la copia de seguridad de forma indefinida. La retención permanece activa hasta que la libere un usuario con suficientes permisos.

## Retenciones legales múltiples
<a name="legalhold-multiple"></a>

Una copia de seguridad puede tener más de una retención legal. Las retenciones legales y las copias de seguridad tienen una relación de muchos a muchos, lo que significa que una copia de seguridad puede tener más de una retención legal e incluir más de una copia de seguridad.

Una copia de seguridad no se puede eliminar siempre que tenga al menos una retención legal. Una vez eliminadas todas las retenciones legales sobre una copia de seguridad, queda sujeta a las propiedades de su ciclo de vida de retención. Mantenga al menos una retención legal para evitar que se elimine la copia de seguridad. Se pueden aplicar retenciones legales a un punto de recuperación retenido después de la fecha de retención del ciclo de vida de la copia de seguridad (debido a una retención legal existente).

Cada cuenta puede tener un máximo de 50 retenciones legales activas a la vez.

## Creación de una retención legal
<a name="legalhold-creation"></a>

Se puede añadir una retención legal a una copia de seguridad existente (punto de recuperación). 

 Las copias de seguridad (puntos de recuperación) con un estado `DELETING` o `EXPIRED` no se incluirán en la retención legal. Es posible que los puntos de recuperación (copias de seguridad) con el estado `CREATING` no se incluyan en la retención legal, según el momento en que se completen.

Los usuarios que tengan los permisos de IAM necesarios pueden agregar retenciones legales.

### Creación de una retención legal mediante la consola de
<a name="legalhold-console"></a>

**Para crear una retención legal**

1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. En el panel de la izquierda de la consola, busca Mi cuenta. Seleccione **Retenciones legales**.

1. Seleccione **Añadir retención legal**.

1. Se mostrarán tres paneles: **Detalles de la retención legal**, **Ámbito de la retención legal** y **Etiquetas de retención legal**.

   1. En **Detalles de la retención legal**, introduzca el título de la retención legal y una descripción de la misma en los cuadros de texto correspondientes.

   1. En el panel **Ámbito de la retención legal**, elija cómo desea seleccionar el recurso que va a incluir en la retención. Al crear una retención, debe elegir el método que usó para seleccionar los recursos que estarán incluidos en la retención legal. Puede elegir incluir una de las siguientes opciones:
      + Tipos de recursos específicos y IDs
      + Determinados almacenes de copia de seguridad
      + Todos los tipos de recursos o todos los almacenes de copia de seguridad en su cuenta

   1. Especifique el intervalo de fechas de la retención legal. Introduzca las fechas en el formato AAAA:MM:DD (las fechas son inclusivas).

   1. Si lo desea, puede agregar etiquetas para la retención en **Etiquetas de retención legal**. Las etiquetas pueden ayudar a categorizar el almacén para futura referencia y organización. Puede agregar hasta 50 etiquetas.

1. Cuando esté satisfecho con la configuración de la nueva retención legal, haga clic en el botón **Agregar nueva retención**.

### Cree una retención legal utilizando el AWS CLI
<a name="create-legalhold-api"></a>

Puede crear una retención legal mediante el [create-legal-hold](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-legal-hold.html)comando.

```
aws backup create-legal-hold --title "my title" \
    --description "my description" \
    --recovery-point-selection "VaultNames=string,DateRange={FromDate=timestamp,ToDate=timestamp}"
```

## Visualización de las retenciones legales
<a name="legalhold-view"></a>

Puede ver los detalles de la retención legal en la AWS Backup consola o mediante programación.

### Visualización de las retenciones legales en la consola
<a name="legalhold-view-console"></a>

Para ver todas las retenciones legales de una cuenta mediante la consola de Backup,

1. [Abre la AWS Backup consola en /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. En la parte izquierda del panel, en **Mi cuenta**, haga clic en **Retenciones legales**.

1. La tabla de **retenciones legales** muestra el título, el estado, la descripción, el identificador y la fecha de creación de las retenciones existentes. Haga clic en el quilate (flecha hacia abajo) situado junto al encabezado de la tabla para filtrar la tabla por la columna seleccionada.

### Visualización de las retenciones legales mediante programación
<a name="legalhold-view-api"></a>

Para ver todas las retenciones legales mediante programación, puedes usar las siguientes llamadas a la API: y. [ListLegalHolds[GetLegalHold](API_GetLegalHold.md)](API_ListLegalHolds.md)

La siguiente plantilla de JSON se puede utilizar para `GetLegalHold`.

```
GET /legal-holds/{legalHoldId} HTTP/1.1

Request

empty body

Response

{
    Title: string,
    Status: LegalHoldStatus, 
    Description: string, // 280 chars max
    CancelDescription: string, // this is provided during cancel // 280 chars max
    LegalHoldId: string,
    LegalHoldArn: string,
    CreatedTime: number,
    CanceledTime: number,
    
   ResourceSelection: {
        VaultArns: [ string ]
        Resources: [ string ]
   }, 
   ResourceFilters: {
        DateRange: {
          FromDate: number,
          ToDate: number
        }
   }
}
```

La siguiente plantilla de JSON se puede utilizar para `ListLegalHolds`.

```
GET /legal-holds/
  &maxResults=MaxResults
  &nextToken=NextToken


Request

empty body
url params: 
  MaxResults: number  // optional,
  NextToken: string  // optional

status: Valid values: CREATING | ACTIVE | CANCELED | CANCELING
maxResults: 1-1000



Response

{
  NextToken: token,
  LegalHolds: [
    Title: string,
    Status: string, 
    Description: string, // 280 chars max
    CancelDescription: string, // this is provided during cancel // 280 chars max
    LegalHoldId: string,
    LegalHoldArn: string,
    CreatedTime: number,
    CanceledTime: number,
  ]

}
```

A continuación se muestran los posibles valores de estado.


| Status | Description (Descripción) | 
| --- | --- | 
| CREATING | Los puntos de recuperación solicitados están en proceso de retención, y las solicitudes de eliminación de esos puntos de recuperación podrían prosperar, ya que la retención no ha terminado de crearse. | 
| ACTIVE | Se ha creado la retención legal. Se retienen todos los puntos de recuperación incluidos en esta retención legal. | 
| CANCELADO | Las retenciones legales están en proceso de eliminación, y las solicitudes de eliminación de puntos de recuperación bajo retención podrían tener éxito. | 
| CANCELADO | La retención legal se libera por completo y ya no surte efecto. Los puntos de recuperación se pueden eliminar. | 

## Liberación de una retención legal
<a name="legalhold-release"></a>

Las retenciones legales se mantendrán en vigor hasta que las elimine un usuario con suficientes permisos. La eliminación de una retención legal también se conoce como cancelación, borrado o liberación de una retención legal. Al eliminar una retención legal, se elimina de todas las copias de seguridad a las que se asoció. Todas las copias de seguridad que hayan caducado durante la retención legal se eliminarán en un plazo de 24 horas tras la retirada de la retención legal.

### Liberación de una retención legal mediante la consola de
<a name="release-legalhold-console"></a>

**Para liberar una retención mediante la consola**

1. [Abre la AWS Backup consola en /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Introduzca la descripción que le gustaría asociar a la liberación.

1. Revise los detalles y, a continuación, haga clic en **Liberar retención**.

1. Cuando aparezca el cuadro de diálogo Liberar retención, escriba `confirm` en el cuadro de texto para confirmar su intención de liberar la retención. 

   1. Marque la casilla que confirma que desea cancelar la retención. 

En la página **Retenciones legales** puede ver todas sus retenciones. Si la liberación se ha realizado correctamente, el estado de esa retención se mostrará como `Released`.

### Liberación de una retención legal de forma programática
<a name="release-legalhold-api"></a>

Para eliminar una retención mediante programación, use la llamada a la API [CancelLegalHold](API_CancelLegalHold.md).

Utilice la siguiente plantilla de JSON.

```
DELETE /legal-holds/{legalHoldId}


Request

{
   CancelDescription: String
   DeleteAfterDays: number // optional
}


DeleteAfterDays: optional. 
  Defaults to 180 days. how long to keep legal hold record after canceled.
  This applies to the actual legal hold record only.
  Recovery points are unlocked as soon as cancelation processes and are not subject to this date.

Response 

Empty body

200 if successful
other standard codes
```

# Protección contra malware en AWS Backup
<a name="malware-protection"></a>

Amazon Malware Protection analiza tus copias de seguridad con GuardDuty malware. El uso de Amazon GuardDuty Malware Protection for AWS Backup le permite automatizar el escaneo de los puntos de recuperación a través de los flujos de trabajo de respaldo existentes o iniciar escaneos bajo demanda de copias de seguridad creadas anteriormente. Esta solución AWS nativa ayuda a garantizar que sus copias de seguridad estén limpias de posibles programas maliciosos, lo que le permite cumplir con los requisitos de conformidad y responder a los incidentes maliciosos con mayor rapidez, al garantizar la recuperación de datos limpios.

Para ver una lista de los tipos de recursos y las regiones compatibles, visite la [página de disponibilidad de funciones](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html).

**Topics**
+ [Integración con Amazon GuardDuty](#malware-guardduty-integration)
+ [Acceso instantáneo](backup-instant-access.md)
+ [¿Cómo utilizar el escaneo de malware?](#malware-how-to-use)
+ [Acceso](#malware-access)
+ [Escaneos incrementales frente a escaneos completos](#malware-scan-types)
+ [Supervisar sus escaneos de malware](#malware-monitoring)
+ [Comprender los resultados del escaneo](#malware-scan-results)
+ [Solución de problemas de escaneo](#malware-troubleshooting)
+ [Medición](#malware-metering)
+ [Cuotas](#malware-quotas)
+ [Pasos de uso de la consola y la CLI para los tipos de análisis de malware](#malware-console-cli-usage)

## Integración con Amazon GuardDuty
<a name="malware-guardduty-integration"></a>

AWS Backup se integra con Amazon GuardDuty Malware Protection para proporcionar detección de amenazas para sus puntos de recuperación. Cuando inicias un análisis de malware, llamas AWS Backup automáticamente a la `StartMalwareScan` API GuardDuty de Amazon una vez completada cada copia de seguridad y le pasas los detalles del punto de recuperación y las credenciales de tu función de escáner. Amazon comienza GuardDuty entonces a leer, descifrar y escanear todos los archivos y objetos de la copia de seguridad.

Cuando Amazon GuardDuty accede a tus datos de respaldo, se inicia sesión en ese acceso AWS CloudTrail para mayor visibilidad.

Para obtener más información sobre esta integración, consulte la [documentación de Amazon GuardDuty Malware Protection](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-backup.html).

# Permisos de acceso instantáneo a Backup
<a name="backup-instant-access"></a>

Al utilizar Amazon GuardDuty Malware Protection for AWS Backup con copias de seguridad de S3, Amazon GuardDuty accede a las copias de seguridad de S3 mediante tres APIs métodos: CreateBackupAccessPoint DescribeBackupAccessPoint, y DeleteBackupAccessPoint.

Amazon GuardDuty utiliza CreateBackupAccessPoint para acceder a tus datos de copia de seguridad cifrados. Durante el trabajo de escaneo, se GuardDuty utiliza DescribeBackupAccessPoint para verificar que el punto de acceso se haya creado correctamente. Una vez que se complete el escaneo, GuardDuty llama DeleteBackupAccessPoint para eliminar su acceso a la copia de seguridad.

Este flujo de trabajo se aplica tanto a las copias de seguridad de S3 como a las de EC2/EBS almacenadas en un almacén cerrado de forma lógica.

## ¿Cómo utilizar el escaneo de malware?
<a name="malware-how-to-use"></a>

Cuando utilizas Amazon GuardDuty Malware Protection con AWS Backup, puedes escanear automáticamente tus copias de seguridad en busca de malware. Esta integración le ayuda a detectar códigos maliciosos en sus copias de seguridad e identificar puntos de recuperación limpios para las operaciones de restauración.

Amazon GuardDuty Malware Protection admite dos flujos de trabajo principales para escanear las copias de seguridad:
+ **Escaneo automático de malware mediante planes de respaldo**: habilite el escaneo de malware en los planes de respaldo para automatizar la detección de malware con ellos AWS Backup. Cuando está activado, inicia AWS Backup automáticamente un GuardDuty escaneo de Amazon cada vez que se completa correctamente la copia de seguridad. Puedes configurar el escaneo completo o incremental según las reglas específicas del plan de copias de seguridad, que determinan la frecuencia con la que se escanean las copias de seguridad. Para obtener más información sobre los tipos de escaneo, consulte [Escaneos incrementales frente a escaneos completos](#malware-scan-types) a continuación. AWS Backup recomienda activar el análisis automático de malware en los planes de copia de seguridad para detectar de forma proactiva las amenazas tras la creación de la copia de seguridad.
+ **Escaneos bajo demanda**: ejecute escaneos bajo demanda para escanear manualmente las copias de seguridad existentes, eligiendo entre escaneos completos o incrementales. AWS Backup recomienda utilizar escaneos bajo demanda para identificar la última copia de seguridad limpia. Cuando escanee antes de una operación de restauración, utilice un análisis completo para examinar toda la copia de seguridad con el modelo de detección de amenazas más reciente.

## Acceso
<a name="malware-access"></a>

Antes de empezar con la protección contra el malware, su cuenta debe tener los permisos necesarios para realizar las operaciones.

AWS Backup El análisis de software malicioso requiere dos funciones de IAM para analizar los puntos de recuperación en busca de posibles programas maliciosos:
+ En primer lugar, la política [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)o la política [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)gestionada deben estar asociadas a su función de backup actual o nueva. Esta es la misma función que se encuentra en la asignación de recursos para su plan de respaldo en la consola o mediante la [BackupSelection API](API_CreateBackupSelection.md). Esta política gestionada permite AWS Backup iniciar escaneos de malware con Amazon GuardDuty.
+ En segundo lugar, se requiere una nueva función de escáner con una política [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)gestionada de confianza`malware-protection.guardduty.amazonaws.com`. Es la misma función que se encuentra en la parte de protección contra el malware de su plan de respaldo en la consola o en la configuración de escaneo de su [BackupPlan API](API_CreateBackupPlan.md). Esta función se transfiere AWS Backup a Amazon GuardDuty cuando se inicia un escaneo, lo que proporciona acceso a las copias de seguridad.

## Escaneos incrementales frente a escaneos completos
<a name="malware-scan-types"></a>

Con el escaneo de malware, tiene la opción de elegir entre escaneos incrementales o completos en función de sus requisitos de seguridad y consideraciones de costo.

**Los escaneos incrementales** analizan solo los datos que han cambiado entre el punto de recuperación objetivo y el punto de recuperación base. Estos escaneos son más rápidos y rentables para el escaneo normal, lo que los hace ideales para realizar copias de seguridad periódicas frecuentes en las que se desee escanear los datos recién respaldados.

Incluso cuando se selecciona el escaneo incremental, AWS Backup realiza un escaneo completo en las siguientes situaciones:
+ **Análisis por primera vez:** el análisis inicial de un recurso es siempre un análisis completo, lo que permite GuardDuty a Amazon establecer una línea base de posibles amenazas. A continuación, los escaneos posteriores se realizarán de forma incremental.
+ **Línea base caducada:** si su punto de recuperación de referencia se escaneó hace más de 365 días, se realizará una exploración completa. Como Amazon GuardDuty conserva la información de búsqueda solo durante 365 días, se debe establecer una nueva línea base para garantizar la precisión de los resultados de escaneo.
+ **Línea base eliminada:** si el punto de recuperación base se elimina antes de que comience el siguiente análisis incremental, se realizará automáticamente un análisis completo.

**Los escaneos completos** examinan todo el punto de recuperación, independientemente de los escaneos anteriores. Si bien estos escaneos ofrecen una cobertura integral, tardan más en completarse e incurren en costos más altos. Puede realizar escaneos completos bajo demanda o programarlos a través de sus planes de respaldo. AWS Backup recomienda configurar escaneos periódicos completos en sus planes de copia de seguridad a intervalos prolongados para garantizar que todos los datos de la copia de seguridad se escaneen periódicamente con el modelo de identificación de malware más reciente.

Para lograr una seguridad óptima frente a una gestión de costes, tenga en cuenta la frecuencia de las copias de seguridad al elegir los tipos de análisis.

**nota**  
Actualmente, los puntos de recuperación continua de Amazon S3 no admiten el escaneo de malware. Para escanear las copias de seguridad continuas de Amazon S3, configure las copias de seguridad periódicas de sus recursos de Amazon S3 y habilite el análisis de malware en esas copias de seguridad periódicas. Puede utilizar una [combinación de copias de seguridad continuas y periódicas](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html) para sus buckets de Amazon S3.

**nota**  
El análisis incremental de malware no es compatible con los puntos de recuperación de Amazon EC2 que se encuentren en una bóveda aislada de [forma lógica ni con los puntos de recuperación de Amazon EC2 copiados](https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html). 

## Supervisar sus escaneos de malware
<a name="malware-monitoring"></a>

Una vez activado el escaneo, tanto AWS Backup Amazon como Amazon GuardDuty proporcionan mecanismos de supervisión y notificación que puedes usar para realizar un seguimiento de tus resultados:
+ **AWS Backup Consola:** La AWS Backup consola funciona con `ListScanJobs` y `DescribeScanJob` APIs. Puede visitar la sección Protección contra el malware para ver la lista de trabajos de escaneo, que representa el estado del trabajo y los resultados del escaneo. AWS Backup también es compatible con una `ListScanJobSummaries` API, aunque no está disponible en la consola.
+ **AWS Backup Audit Manager:** puede configurar un informe de escaneo para ver todos los trabajos de escaneo de malware AWS Backup iniciados en las últimas 24 horas.
+ **Amazon GuardDuty Console:** si Amazon base GuardDuty está activado, puedes ver los detalles en los resultados del análisis de malware e investigar el malware en la página de GuardDuty hallazgos de Amazon. Puedes ver información como la amenaza y el nombre del archivo, la ruta del archivo, los datos objects/files escaneados, los bytes escaneados, etc. Ten en cuenta que esta información detallada sobre amenazas no está disponible en Internet y debes tener los GuardDuty permisos de Amazon correspondientes para verla. AWS Backup
+ **Amazon EventBridge:** AWS Backup Tanto Amazon como Amazon GuardDuty emiten EventBridge eventos, lo que permite alertar de forma sincrónica a los administradores de copias de seguridad y seguridad. Puede configurar reglas personalizadas para recibir notificaciones cuando se completen los escaneos o se detecte malware.
+ **AWS CloudTrail:** AWS Backup Tanto Amazon como Amazon GuardDuty emiten CloudTrail eventos, lo que te permite monitorizar el acceso a la API.

## Comprender los resultados del escaneo
<a name="malware-scan-results"></a>

Sus trabajos de escaneo AWS Backup tendrán un estado de escaneo y un resultado de escaneo.

### Estados de escaneo
<a name="malware-scan-states"></a>

El estado de escaneo indica el estado de la tarea y puede tener valores de: `CREATED``COMPLETED`,`COMPLETED_WITH_ISSUES`,`RUNNING`,`FAILED`, o`CANCELED`.

Existen varias situaciones en las que el trabajo de escaneo terminará con el estado `COMPLETED_WITH_ISSUES` siguiente:

En el caso de las copias de seguridad de Amazon S3, existen size/type limitaciones de objetos que impiden que se escaneen los objetos. Cuando se omita al menos un objeto en un escaneo, el trabajo de escaneo correspondiente se marcará como`COMPLETED_WITH_ISSUES`. En el caso de las copias de seguridad de Amazon EC2/Amazon EBS, existen size/quantity limitaciones de volumen que hacen que se omitan los volúmenes durante el escaneo. Estas situaciones darán como resultado un trabajo de copia de seguridad de Amazon EC2/Amazon EBS. `COMPLETED_WITH_ISSUES`

Si tu trabajo termina con el estado `COMPLETED_WITH_ISSUES` y necesitas más información sobre los motivos, tendrás que obtener esos detalles del trabajo de escaneo correspondiente a través de Amazon GuardDuty.

**nota**  
Los trabajos de escaneo incremental solo escanean la diferencia de datos entre dos copias de seguridad. Por lo tanto, si un trabajo de escaneo incremental no encuentra ninguna de las situaciones descritas anteriormente, finalizará en ese estado `COMPLETE` y no lo heredará del punto `COMPLETED_WITH_ISSUES` de recuperación base.

En raras ocasiones, Amazon GuardDuty puede experimentar problemas internos al escanear archivos y objetos, y es posible que se agoten los intentos de volver a intentarlo. Cuando esto ocurre, el trabajo de escaneo aparece como `FAILED` en AWS Backup y `COMPLETED_WITH_ISSUES` en Amazon GuardDuty. Esta diferencia de estado te permite ver los resultados de los escaneos disponibles en Amazon GuardDuty e indica que no todos los archivos y objetos compatibles se escanearon correctamente.

### Resultados del escaneo
<a name="malware-scan-results-detail"></a>

Los resultados del escaneo indican un resultado agregado de Amazon GuardDuty y pueden tener valores de:`THREATS_FOUND`, o`NO_THREATS_FOUND`.

Los resultados del análisis indican si se ha detectado un posible malware en sus puntos de recuperación. Un `NO_THREATS_FOUND` estado significa que no se ha detectado ningún malware potencial, mientras que `THREATS_FOUND` indica que se ha descubierto un malware potencial. Para obtener información detallada sobre las amenazas, acceda a los GuardDuty resultados completos de Amazon a través de la GuardDuty consola de Amazon o APIs. Los resultados del escaneo también están disponibles a través de EventBridge eventos, lo que le permite crear flujos de trabajo automatizados que respondan a las copias de seguridad infectadas.

Amazon GuardDuty conserva los resultados durante 365 días y rastrea los archivos u objetos mediante escaneos incrementales para monitorear si se eliminan las amenazas o si cambian las firmas del malware. Por ejemplo, si se detecta malware en la copia de seguridad 2, se mostrará el resultado del análisis`THREATS_FOUND`. Al realizar un análisis incremental de la copia de seguridad 3 utilizando la copia de seguridad 2 como base, el resultado del análisis se mantiene `THREATS_FOUND` a menos que se haya eliminado la amenaza de los datos.

## Solución de problemas de escaneo
<a name="malware-troubleshooting"></a>

Los errores de escaneo más comunes incluyen permisos de IAM insuficientes, límites de servicio y problemas de acceso a los recursos.

**Los errores de permisos** se producen cuando la función de copia de seguridad carece de `AWSBackupServiceRolePolicyForScans` permisos o la función de escáner no tiene `AWSBackupGuardDutyRolePolicyForScans` las relaciones de confianza adecuadas.

**Los errores del límite de servicio** se producen cuando se superan los 150 escaneos simultáneos por cuenta o los 5 escaneos simultáneos por tipo de recurso; los trabajos de escaneo permanecerán intactos hasta `CREATED` que haya capacidad disponible.

**Los errores de acceso denegado** pueden indicar puntos de recuperación cifrados sin AWS KMS los permisos adecuados o puntos de recuperación principales eliminados en el caso de escaneos incrementales.

**Los errores de tiempo** de espera pueden producirse con puntos de recuperación muy grandes o durante períodos de alta GuardDuty carga de Amazon.

Para solucionar problemas, compruebe el estado del trabajo de escaneo mediante la `DescribeScanJob` API, verifique las configuraciones de las funciones de IAM, asegúrese de que los puntos de recuperación existan y sean accesibles y considere la posibilidad de cambiar a escaneos completos si faltan las referencias principales del escaneo incremental.

Supervise el uso simultáneo de escaneos e implemente la fluctuación en los flujos de trabajo automatizados para evitar sobrepasar los límites de servicio.

## Medición
<a name="malware-metering"></a>

Amazon GuardDuty proporciona y factura la protección contra el malware. No verás ningún AWS Backup cargo relacionado con el uso de esta función. Todo el uso se puede ver en GuardDuty la facturación de Amazon. Para obtener más información, visita los [ GuardDuty precios de Amazon](https://aws.amazon.com/guardduty/pricing/).

## Cuotas
<a name="malware-quotas"></a>

 AWS Backup Tanto Amazon como Amazon GuardDuty tienen límites de cuota para Amazon GuardDuty Malware Protection para AWS Backup.

Para obtener más información, visita [AWS Backup cuotas y cuotas](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html) de [Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_limits.html).

## Pasos de uso de la consola y la CLI para los tipos de análisis de malware
<a name="malware-console-cli-usage"></a>

En las siguientes secciones se muestran los pasos para configurar los diferentes tipos de análisis de malware mediante la consola y AWS CLI.

### ¿Cómo configurar los escaneos de malware
<a name="malware-setup-scans"></a>

**Consola**  


1. Vaya a la AWS Backup consola → Planes de backup

1. Cree un nuevo plan de respaldo o seleccione un plan existente

1. Activa la opción **de protección contra malware**

1. Seleccione la **función de escáner** para elegir una nueva función de escáner. Asegúrese de que tanto la función de copia de seguridad como la de escáner tengan los permisos adecuados, tal y como se explica en la sección[Acceso](#malware-access).

1. Seleccione los tipos de **recursos escaneables**. Esto filtrará el escaneo de malware según los criterios de selección de recursos que haya elegido. Por ejemplo, si su selección de tipo de recurso escaneable es Amazon EBS, pero la selección de recursos de su plan incluye Amazon EBS y Amazon S3, solo se realizarán escaneos de malware de Amazon EBS.

1. Defina el **tipo de escaneo para cada regla de respaldo**. Puede elegir entre escaneo completo, incremental o sin escaneo. La selección del tipo de escaneo significa que el escaneo se realizará con la frecuencia programada de la regla de respaldo asociada.

1. Guarde el plan de respaldo

**AWS CLI**  


**CreateBackupPlan**

Puede crear un plan de respaldo con el escaneo de malware habilitado mediante el [create-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html)comando.

```
aws backup create-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlan": {
                          "BackupPlanName": "scan-initial-test-demo",
                          "Rules": [
                            {
                              "RuleName": "full",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(0 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": {
                                "DeleteAfterDays": 3,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "FULL_SCAN"
                                }
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 100,
                              "CompletionWindowMinutes": 5000,
                              "Lifecycle": {
                                "DeleteAfterDays": 2,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                }
                              ]
                            }
                          ],
                          "ScanSettings": [
                            {
                              "MalwareScanner": "GUARDDUTY",
                              "ResourceTypes": ["EBS", "EC2", "S3"],
                              "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
```

**UpdateBackupPlan**

Puede actualizar un plan de respaldo con la detección de malware habilitada mediante el [update-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)comando.

```
aws backup update-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
                        "BackupPlan": {
                        "BackupPlanName": "scan-initial-test-demo",
                        "Rules": 
                          [
                            {"RuleName": "full",
                            "TargetBackupVaultName": "Default",
                            "ScheduleExpression": "cron(0 * * * ? *)",
                            "StartWindowMinutes": 60,
                            "CompletionWindowMinutes": 3000,
                            "Lifecycle": 
                              {
                              "DeleteAfterDays": 6,
                              "OptInToArchiveForSupportedResources": false},
                            "RecoveryPointTags": 
                              {"key1": "foo",
                              "key2": "foo"},
                            "EnableContinuousBackup": false,
                            "ScanActions": 
                              [
                                {"MalwareScanner": "GUARDDUTY",
                                "ScanMode": "FULL_SCAN"}
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": 
                                {
                                "DeleteAfterDays": 9,
                                "OptInToArchiveForSupportedResources": false},
                              "RecoveryPointTags": 
                                {"key1": "foo",
                                "key2": "foo"},
                              "EnableContinuousBackup": false,
                              "ScanActions": 
                                [
                                  {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                  }
                                ]
                            }
                          ],
                        "ScanSettings": 
                          [
                            {
                            "MalwareScanner": "GUARDDUTY",
                            "ResourceTypes": 
                              ["ALL", "EBS"],
                            "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
```

**Notas clave**  

+ Es necesario introducir el ARN de destino antes de activar las opciones de escaneo (consola)
+ Todas las configuraciones requieren tanto la función de IAM de respaldo como la de IAM del escáner
+ Se utiliza `aws backup list-scan-jobs` para ver todos los trabajos de escaneo ()AWS CLI
+ Las implicaciones económicas varían según el tipo de escaneo (incremental o completo) y la frecuencia

**AWS CLI Notas clave**  

+ Se utiliza `aws backup list-scan-jobs` para ver todos los trabajos de escaneo (AWS CLI)
+ Los resultados del escaneo están disponibles a través `describe-recovery-point` de una API con ScanResults campo
+ Todas las configuraciones requieren tanto la función de IAM de respaldo como la de IAM de escáner
+ La estructura del plan de respaldo de JSON incluye tanto ScanSettings a nivel del plan como en las reglas ScanActions 

# Resiliencia en AWS Backup
<a name="disaster-recovery-resiliency"></a>

 AWS Backup se toma muy en serio su resiliencia (y la seguridad de sus datos). 

 AWS Backup almacena sus copias de seguridad con *al menos* la misma resistencia y durabilidad que las que le proporcionaría el AWS servicio original de su recurso si lo hubiera hecho allí. 

AWS Backup está diseñado para utilizar la infraestructura AWS global a fin de replicar sus copias de seguridad en varias zonas de disponibilidad y lograr una durabilidad del 99,19% (11 nueves) en un año determinado, siempre que se respete la documentación actual. AWS Backup 

AWS Backup cifra sus planes de copia de seguridad en reposo y realiza copias de seguridad continuas de los mismos. También puede restringir el acceso a sus planes de respaldo mediante credenciales y políticas AWS Identity and Access Management (IAM). Para obtener más información, consulte [Autenticación](https://docs.aws.amazon.com/aws-backup/latest/devguide/authentication.html), [Control de acceso](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html) y [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).

La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. AWS Backup almacena sus copias de seguridad en todas las zonas de disponibilidad. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples. Para obtener más información, consulte el [Acuerdo de nivel de servicio (SLA) de AWS Backup](https://aws.amazon.com/backup/sla/).

Además, le AWS Backup permite copiar sus copias de seguridad en todas las regiones para aumentar aún más la resiliencia. Para obtener más información sobre la función de copia AWS Backup entre regiones, consulte [Creación de una copia de seguridad](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html). 

Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte [Infraestructura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).