Ejemplos y sintaxis de políticas de copia de seguridad
En esta página se describe la sintaxis de la política de copia de seguridad y se proporcionan ejemplos.
Sintaxis de las políticas de copia de seguridad
Una política de copia de seguridad es un archivo de texto sin formato que se estructura de acuerdo con las reglas de JSON
El bloque de una política de copia de seguridad es el plan de copia de seguridad y sus reglas. La sintaxis del plan de copia de seguridad dentro de una política de copia de seguridad de AWS Organizations es estructuralmente idéntica a la sintaxis utilizada por AWS Backup, pero los nombres de claves son diferentes. En las descripciones de los nombres de claves de políticas que aparecen a continuación, cada uno incluye el nombre de clave del plan de AWS Backup equivalente. Para obtener más información acerca de los planes de AWS Backup, consulte CreateBackupPlan en la Guía del desarrollador AWS Backup.
nota
Al usar JSON, se rechazarán los nombres de clave duplicados. Si desea incluir varios planes, reglas o selecciones en una sola política, asegúrese de que el nombre de cada clave sea único.
Para ser completa y funcional, una política de copia de seguridad en vigor debe incluir algo más que un plan de copia de seguridad con su programación y sus reglas. La política también debe identificar las Regiones de AWS y los recursos a los que se debe realizar una copia de seguridad, así como el rol de AWS Identity and Access Management (IAM) que AWS Backup puede utilizar para realizar la copia de seguridad.
La siguiente política funcionalmente completa muestra la sintaxis básica de las políticas de copia de seguridad. Si este ejemplo se asociara directamente a una cuenta, AWS Backup haría una copia de seguridad de todos los recursos de esa cuenta en las regiones us-east-1 y eu-north-1 que tengan la etiqueta dataType con un valor de PII o RED. Realiza una copia de seguridad de esos recursos diariamente a las 5.00 h en My_Backup_Vault y también almacena una copia en My_Secondary_Vault. Las dos bóvedas se encuentran en la misma cuenta que el recurso. También almacena una copia de la copia de seguridad en la My_Tertiary_Vault en una cuenta diferente, explícitamente especificada. Los almacenes ya deben existir en cada una de las Regiones de AWS especificadas para cada Cuenta de AWS que reciba la política en vigor. Si alguno de los recursos respaldados son instancias EC2, la compatibilidad con Microsoft Volume Shadow Copy Service (VSS) está habilitada para las copias de seguridad de esas instancias. La copia de seguridad aplica la etiqueta Owner:Backup a cada punto de recuperación.
{ "plans": { "PII_Backup_Plan": { "rules": { "My_Hourly_Rule": { "schedule_expression": {"@@assign": "cron(0 5 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "complete_backup_window_minutes": {"@@assign": "604800"}, "enable_continuous_backup": {"@@assign": false}, "target_backup_vault_name": {"@@assign": "My_Backup_Vault"}, "recovery_point_tags": { "Owner": { "tag_key": {"@@assign": "Owner"}, "tag_value": {"@@assign": "Backup"} } }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } }, "arn:aws:backup:us-east-1:111111111111:backup-vault:My_Tertiary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:111111111111:backup-vault:My_Tertiary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "regions": { "@@append": [ "us-east-1", "eu-north-1" ] }, "selections": { "tags": { "My_Backup_Assignment": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": {"@@assign": "enabled"} } }, "backup_plan_tags": { "stage": { "tag_key": {"@@assign": "Stage"}, "tag_value": {"@@assign": "Beta"} } } } } }
La sintaxis de política de copia de seguridad incluye los siguientes componentes:
-
Variables
$account: en ciertas cadenas de texto de las políticas, puede usar la función$accountpara representar la Cuenta de AWS actual. Cuando AWS Backup ejecuta un plan en la política en vigor, reemplaza automáticamente esta variable por la Cuenta de AWS actual en la que se ejecutan la política en vigor y sus planes.importante
Solo puede utilizar la variable
$accounten elementos de la política que puedan incluir un nombre de recurso de Amazon (ARN), como aquellos que especifican el almacén de copia de seguridad en el que almacenar la copia de seguridad, o el rol de IAM con permisos para realizar la copia de seguridad.Por ejemplo, en el siguiente caso se requiere que exista un almacén llamado
My_Vaulten cada Cuenta de AWS a la que se aplique la política.arn:aws:backup:us-west-2:$account:vault:My_Vault"Se recomienda utilizar conjuntos de pilas de stack sets AWS CloudFormation y su integración con Organizations para crear y configurar automáticamente almacenes de copia de seguridad y roles de IAM para cada cuenta miembro de la organización. Para obtener más información, consulte Crear un conjunto de pilas con permisos autoadministrados en la Guía del usuario AWS CloudFormation.
-
Operadores de herencia: las políticas de copia de seguridad pueden utilizar tanto la herencia de Operadores de configuración de valores como los Operadores de control secundarios.
-
plansEn el nivel superior, la clave de la política es la clave
plans. Una política de copia de seguridad debe comenzar siempre con este nombre de clave fijado en la parte superior del archivo de la política. Puede tener uno o más planes de copia de seguridad con esta clave. -
Cada plan con la clave de nivel superior
planstiene un nombre de clave que consiste en el nombre del plan de copia de seguridad asignado por el usuario. En el ejemplo anterior, el nombre del plan de copia de seguridad esPII_Backup_Plan. Puede tener varios planes en una política, cada uno con sus propiasrules,regions,selections, ytags.Este nombre de clave del plan de copia de seguridad de una política de copia de seguridad se asigna al valor de la clave
BackupPlanNamede un plan de AWS Backup.Cada plan puede contener los siguientes elementos:
-
rules— Esta clave contiene una colección de reglas. Cada regla se traduce en una tarea programada, con una hora de inicio y una ventana de tiempo en la que realizar la copia de seguridad de los recursos identificados por los elementosselectionsyregionsde la política de copia de seguridad en vigor. -
regions— Esta clave contiene una lista de matriz de Regiones de AWS cuyos recursos pueden ser respaldados por esta política. -
selections— Esta clave contiene una o más colecciones de recursos (dentro de laregionsespecífica) que se hace una copia de seguridad enrules. -
advanced_backup_settings— Esta clave contiene la configuración específica de las copias de seguridad que se ejecutan en determinados recursos. -
backup_plan_tags: Esto especifica etiquetas adjuntas al plan de copia de seguridad en sí.
-
-
rulesLa clave de política
rulesse asigna a la claveRulesde un plan de AWS Backup. Puede tener una o más reglas con la claverules. Cada regla se convierte en una tarea programada para realizar una copia de seguridad de los recursos seleccionados.Cada regla contiene una clave cuyo nombre es el nombre de la regla. En el ejemplo anterior, el nombre de la regla es “My_Hourly_Rule”. El valor de la clave de regla es la siguiente recopilación de elementos de regla:
-
schedule_expression– Esta clave de política se asigna a la claveScheduleExpressionde un plan de AWS Backup.Especifica la hora de inicio de la copia de seguridad. Esta clave contiene el operador de valor heredado de@@assign y un valor de cadena con una expresión CRON
que especifica cuándo AWS Backup iniciará un trabajo de copia de seguridad. El formato general de la cadena CRON es: "cron( )". Cada uno es un número o comodín. Por ejemplo, cron(0 5 ? * 1,3,5 *)inicia la copia de seguridad a las 5.00 h todos los lunes, miércoles y viernes.cron(0 0/1 ? * * *)inicia la copia de seguridad cada hora a la hora, todos los días de la semana. -
target_backup_vault_name– Esta clave de política se asigna a la claveTargetBackupVaultNamede un plan de AWS BackupEspecifica el nombre del almacén de copia de seguridad en el que se almacenará la copia de seguridad. Para crear el valor, utilice AWS Backup. Esta clave contiene el operador de valor heredado de @@assign y un valor de cadena con un nombre de almacén.
importante
Cuando el plan de copia de seguridad se inicia por primera vez, el almacén ya debe existir. Se recomienda utilizar conjuntos de pilas de stack sets AWS CloudFormation y su integración con Organizations para crear y configurar automáticamente almacenes de copia de seguridad y roles de IAM para cada cuenta miembro de la organización. Para obtener más información, consulte Crear un conjunto de pilas con permisos autoadministrados en la Guía del usuario AWS CloudFormation.
-
start_backup_window_minutes– Esta clave de política se asigna a la claveStartWindowMinutesde un plan de AWS Backup(Opcional) Especifica el número de minutos que se deben esperar antes de cancelar un trabajo que no se inicia correctamente. Esta clave contiene el operador de valor heredado de @@assign y un valor con un número entero de minutos.
-
complete_backup_window_minutes– Esta clave de política se asigna a la claveCompletionWindowMinutesde un plan de AWS Backup(Opcional) Especifica el número de minutos después de los que un trabajo de copia de seguridad se inicia correctamente antes de que deba completarse o AWS Backup lo cancele. Esta clave contiene el operador de valor heredado de @@assign y un valor con un número entero de minutos.
-
enable_continuous_backup– Esta clave de política se asigna a la claveEnableContinuousBackupde un plan de AWS Backup(Opcional) Especifica si AWS Backup crea copias de seguridad continuas.
Truecausa que AWS Backup cree copias de seguridad continuas capaces de realizar una restauración a un momento dado (PITR).False(o no especificadas) causa que AWS Backup cree copias de seguridad instantáneas.nota
Debido a que las copias de seguridad habilitadas para PITR se pueden conservar durante un máximo de 35 días, debe elegir
Falseo no especificar un valor si establece una de las siguientes opciones:-
Defina
delete_after_daysen un valor mayor de 35. -
Establezca
move_to_cold_storage_after_daysen cualquier valor.
Para obtener más información acerca de las copias de seguridad continuas, consulte Recuperación a un momento dado en la Guía para desarrolladores AWS Backup.
-
-
lifecycle– Esta clave de política se asigna a la claveLifecyclede un plan de AWS Backup(Opcional) Especifica cuándo AWS Backup traslada esta copia de seguridad al almacenamiento en frío y cuándo expira.
-
move_to_cold_storage_after_days– Esta clave de política se asigna a la claveMoveToColdStorageAfterDaysde un plan de AWS Backup.Especifica el número de días después de que se produzca la copia de seguridad antes de que AWS Backup mueva el punto de recuperación al almacenamiento en frío. Esta clave contiene el operador de valores de herencia de@@assign y un valor con un número entero de días.
-
delete_after_days– Esta clave de política se asigna a la claveDeleteAfterDaysde un plan de AWS BackupEspecifica el número de días después de que se produzca la copia de seguridad antes de que AWS Backup elimine el punto de recuperación. Esta clave contiene el operador de valores de herencia de@@assign y un valor con un número entero de días. Este valor debe ser al menos 90 días posterior al número de días especificado en
move_to_cold_storage_after_days. -
opt_in_to_archive_for_supported_resources– Esta clave de política se asigna a la claveOptInToArchiveForSupportedResourcesde un plan de AWS Backup.Si el valor se asigna como
true, su plan de copia de seguridad lleva a cabo la transición de los recursos compatibles al nivel de almacenamiento de archivo (en frío) de acuerdo con la configuración del ciclo de vida. Para obtener más información sobre el nivel de Archivo de instantáneas de Amazon EBS, consulte Archivar instantáneas de Amazon EBS en la Guía del usuario de Amazon EBS.Solo se puede habilitar esta configuración si se cumplen las siguientes condiciones:
Su política de copias de seguridad tiene una frecuencia de un mes o más.
move_to_cold_storage_after_daysdebe existir.delete_after_daysmenosmove_to_cold_storage_after_dayses mayor o igual a 90 días.
Esta clave contiene el operador de valor heredado de @@assign y un valor de
trueofalse.
-
-
copy_actions– Esta clave de política se asigna a la claveCopyActionsde un plan de AWS Backup(Opcional) Especifica que AWS Backup debe copiar la copia de seguridad en una o más ubicaciones adicionales. Cada ubicación de copia de seguridad se describe de la siguiente manera:
-
Clave cuyo nombre identifica de forma exclusiva esta acción de copia. En este momento, el nombre de clave debe ser el nombre de recurso de Amazon (ARN) del almacén de copia de seguridad. Esta clave contiene dos entradas.
-
target_backup_vault_arn– Esta clave de política se asigna a la claveDestinationBackupVaultArnde un plan de AWS Backup(Opcional) Especifica el almacén en el que AWS Backup almacena una copia adicional de la copia de seguridad. El valor de esta clave contiene el Operador de valores de herencia @@assign y el ARN de la bóveda.
-
Para hacer referencia a un almacén en la ventana Cuenta de AWS en el que se está ejecutando la política de copia de seguridad, utilice la variable
$accounten el ARN en lugar del número de ID de cuenta. Cuando AWS Backup ejecuta el plan de copia de seguridad, reemplaza automáticamente la variable con el número de ID de Cuenta de AWS en la que se está ejecutando la política. Esto permite que la copia de seguridad se ejecute correctamente cuando la política de copia de seguridad se aplica a más de una cuenta de una organización. -
Para hacer referencia a un almacén en un Cuenta de AWS diferente en la misma organización, utilice el número de ID de cuenta real en el ARN.
importante
-
Si falta esta clave, se utiliza una versión en minúsculas del ARN en el nombre de la clave principal. Debido a que los ARN distinguen entre mayúsculas y minúsculas, es posible que esta cadena no coincida con el ARN real del error y el plan falla. Por esta razón, le recomendamos que proporcione siempre esta clave y valor.
-
El almacén de copia de seguridad que quiere copiar a la copia de seguridad ya debe existir la primera vez que inicie el plan de copia de seguridad. Se recomienda utilizar conjuntos de pilas de stack sets AWS CloudFormation y su integración con Organizations para crear y configurar automáticamente almacenes de copia de seguridad y roles de IAM para cada cuenta miembro de la organización. Para obtener más información, consulte Crear un conjunto de pilas con permisos autoadministrados en la Guía del usuario AWS CloudFormation.
-
-
lifecycle– Esta clave de política se asigna a la claveLifecyclebajo la claveCopyActionde un plan de AWS Backup.(Opcional) Especifica cuándo AWS Backup traslada esta copia de una copia de seguridad al almacenamiento en frío y cuándo expira.
-
move_to_cold_storage_after_days– Esta clave de política se asigna a la claveMoveToColdStorageAfterDaysde un plan de AWS Backup.Especifica el número de días después de la fecha de creación de la copia de seguridad antes de que AWS Backup mueva el punto de recuperación al almacenamiento en frío. Esta clave contiene el operador de valores de herencia de@@assign y un valor con un número entero de días.
-
delete_after_days– Esta clave de política se asigna a la claveDeleteAfterDaysde un plan de AWS BackupEspecifica el número de días después de que se produzca la copia de seguridad antes de que AWS Backup elimine el punto de recuperación. Esta clave contiene el operador de valores de herencia de@@assign y un valor con un número entero de días. Si realiza la transición de una copia de seguridad al almacenamiento en frío, debe permanecer allí un mínimo de 90 días, por lo que este valor debe ser un mínimo de 90 días mayor que el valor
move_to_cold_storage_after_days.
-
-
-
-
recovery_point_tags– Esta clave de política se asigna a la claveRecoveryPointTagsde un plan de AWS Backup(Opcional) Especifica las etiquetas que AWS Backup asocia a cada copia de seguridad que crea a partir de este plan. El valor de esta clave contiene uno o varios de los siguientes elementos:
-
Un identificador para este par de nombre de clave y valor. Este nombre para cada elemento de
recovery_point_tagses el nombre de la clave de etiqueta en minúscula, incluso aunque latag_keytenga un tratamiento de mayúsculas y minúsculas diferente. Este identificador no distingue entre mayúsculas y minúsculas. En el ejemplo anterior, este par de claves se identificó con el nombreOwner. Cada par de claves contiene los siguientes elementos:-
tag_key: especifica el nombre de clave de etiqueta que se adjuntará al plan de copia de seguridad. Esta clave contiene el operador de valor heredado de @@assign y un valor de cadena. El valor distingue entre mayúsculas y minúsculas. -
tag_value– Especifica el valor que se adjunta al plan de copia de seguridad y que está asociado altag_key. Esta clave contiene cualquiera de los operadores de valor heredado y uno o más valores para reemplazar, adjuntar o quitar de la política en vigor. Estos valores distinguen entre mayúsculas y minúsculas.
-
-
-
-
regionsLa clave de política
regionsespecifica qué Regiones de AWS busca AWS Backup para encontrar los recursos que coinciden con las condiciones de la claveselections. Esta clave contiene cualquiera de los operadores de valor de herencia y uno o más valores de cadena para códigos de Región de AWS, por ejemplo:["us-east-1", "eu-north-1"]. -
selectionsLa clave de política
selectionsespecifica los recursos de los que se realiza una copia de seguridad mediante las reglas de plan de esta política. Esta clave corresponde prácticamente al objeto BackupSelection de AWS Backup. Los recursos se especifican mediante una consulta para hacer coincidir los nombres y valores de clave de etiqueta. Laselectionscontiene una clave debajo de ella:tags.-
tags: especifica las etiquetas que identifican los recursos y el rol de IAM que tiene permiso para consultar los recursos y realizar una copia de seguridad de ellos. El valor de esta clave contiene uno o varios de los siguientes elementos:-
Un identificador para este elemento de etiqueta. Este identificador de
tagses el nombre de clave de etiqueta en minúsculas, incluso aunque la etiqueta que se consulta tiene un tratamiento de mayúsculas y minúsculas diferente. Este identificador no distingue entre mayúsculas y minúsculas. En el ejemplo anterior, se identificó un elemento con el nombreMy_Backup_Assignment. Cada identificador detagscontiene los siguientes elementos:-
iam_role_arn: especifica el rol de IAM que tiene permiso para acceder a los recursos identificados por la consulta de etiquetas en la Regiones de AWS especificada por la claveregions. Este valor contiene el operador de valor heredado de@@assign y un valor de cadena que contiene el ARN del rol. AWS Backup utiliza este rol para consultar y descubrir los recursos y para realizar la copia de seguridad.Puede usar la variable
$accounten el ARN en lugar del número de ID de cuenta. Cuando AWS Backup ejecuta el plan de copia de seguridad, reemplaza automáticamente la variable con el número de ID de cuenta real de la Cuenta de AWS en la que se está ejecutando la política.importante
El rol ya debe existir cuando inicie el plan de copia de seguridad la primera vez. Se recomienda utilizar conjuntos de pilas de stack sets AWS CloudFormation y su integración con Organizations para crear y configurar automáticamente almacenes de copia de seguridad y roles de IAM para cada cuenta miembro de la organización. Para obtener más información, consulte Crear un conjunto de pilas con permisos autoadministrados en la Guía del usuario AWS CloudFormation.
-
tag_key— Especifica el nombre de clave de etiqueta que se va a buscar. Esta clave contiene el operador de valor heredado de @@assign y un valor de cadena. El valor distingue entre mayúsculas y minúsculas. -
tag_value— Especifica el valor que se debe asociar a un nombre de clave que coincida contag_key. AWS Backup incluye el recurso en la copia de seguridad solo si tantotag_keycomotag_valuecoinciden. Esta clave contiene cualquiera de los operadores de valor heredado y uno o más valores para reemplazar, adjuntar o quitar de la política en vigor. Estos valores distinguen entre mayúsculas y minúsculas.
-
-
-
-
advanced_backup_settings: especifica la configuración de escenarios de copia de seguridad específicos. Esta clave contiene una o varias opciones de configuración. Cada configuración es una cadena de objetos JSON con los siguientes elementos:-
Nombre de clave de objeto: cadena que especifica el tipo de recurso al que se aplica la siguiente configuración avanzada.
-
Valor del objeto: cadena de objeto JSON que contiene una o más configuraciones de copia de seguridad específicas del tipo de recurso asociado.
En este momento, la única configuración avanzada de copia de seguridad admitida habilita las copias de seguridad de Microsoft Volume Shadow Copy Service (VSS) para Windows o SQL Server que se ejecutan en una instancia de Amazon EC2. El nombre de la clave debe ser el tipo de recurso
"ec2"y el valor especifica que"windows_vss"el soporte esenabledodisabledpara las copias de seguridad realizadas en esas instancias de Amazon EC2. Para obtener más información acerca de esta característica, consulte Creación de una copia de seguridad de Windows habilitada para VSS en la Guía para desarrolladores AWS Backup."advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } -
-
backup_plan_tags: Especifica etiquetas adjuntas al plan de copia de seguridad en sí. Esto no afecta a las etiquetas especificadas en ninguna regla o selección.(Opcional) Puede asociar etiquetas a sus planes de copia de seguridad. El valor de esta clave es una colección de elementos.
El nombre de clave de cada elemento bajo
backup_plan_tagses el nombre de clave de etiqueta en minúsculas, incluso si la etiqueta a consultar tiene un tratamiento de caso diferente. Este identificador no distingue entre mayúsculas y minúsculas. El valor de cada una de estas entradas consta de las siguientes claves:-
tag_key: especifica el nombre de clave de etiqueta que se adjuntará al plan de copia de seguridad. Esta clave contiene el operador de valor heredado de @@assign y un valor de cadena. Este valor distingue entre mayúsculas y minúsculas. -
tag_value– Especifica el valor que se adjunta al plan de copia de seguridad y que está asociado altag_key. Esta clave contiene el operador de valor heredado de @@assign y un valor de cadena. Este valor distingue entre mayúsculas y minúsculas.
-
Ejemplos de políticas de copia de seguridad
Los ejemplos de políticas de copia de seguridad siguientes son solo para fines informativos. En algunos de los ejemplos siguientes, el formato de espacio en blanco JSON podría comprimirse para ahorrar espacio.
Ejemplo 1: política asignada a un nodo principal
En el ejemplo siguiente se muestra una política de copia de seguridad asignada a uno de los nodos principales de una cuenta.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa que sea primaria de todas las cuentas previstas.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } } } }
Si no se heredan ni se asocian otras políticas a las cuentas, la política en vigor que se representa en cada Cuenta de AWS aplicable tiene el aspecto del siguiente ejemplo. La expresión CRON hace que la copia de seguridad se ejecute una vez por hora, a la hora en punto. El ID de cuenta 123456789012 será el ID de cuenta real de cada cuenta.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } }, "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": { "windows_vss": "enabled" } } } } }
Ejemplo 2: una política principal se fusiona con una política secundaria
En el ejemplo siguiente, una política principal heredada y una política secundaria heredada o directamente asociada a una fusión de Cuenta de AWS para formar la política en vigor.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Política secundaria: esta política puede estar asociada directamente a la cuenta o a una unidad organizativa en cualquier nivel por debajo del nivel al que está asociada.
{ "plans": { "Monthly_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "eu-central-1" ] }, "rules": { "Monthly": { "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "MonthlyDatatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" }, "tag_key": { "@@assign": "BackupType" }, "tag_value": { "@@assign": [ "MONTHLY", "RED" ] } } } } } } }
Resultado de políticas en vigor: la política efectiva aplicada a las cuentas contiene dos planes, cada uno con su propio conjunto de reglas y conjunto de recursos a los que aplicar las reglas.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } }, "Monthly_Backup_Plan": { "regions": [ "us-east-1", "eu-central-1" ], "rules": { "monthly": { "schedule_expression": "cron(0 5 1 * ? *)", "start_backup_window_minutes": "480", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn": { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": "30", "delete_after_days": "365", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "monthlydatatype": { "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole", "tag_key": "BackupType", "tag_value": [ "MONTHLY", "RED" ] } } } } } }
Ejemplo 3: una política principal evita los cambios realizados por una política secundaria
En el ejemplo siguiente, una política principal heredada utiliza los operadores de control secundarios para aplicar toda la configuración y evita que una política secundaria los modifique.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. La presencia de "@@operators_allowed_for_child_policies": ["@@none"] en cada nodo de la política significa que una política secundaria no puede realizar cambios de ningún tipo en el plan. Tampoco puede una política secundaria añadir planes adicionales a la política en vigor. Esta política se convierte en la política en vigor para cada unidad organizativa y cuenta bajo la unidad organizativa a la que está asociada.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@none"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { "@@operators_allowed_for_child_policies": ["@@none"], "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "@@operators_allowed_for_child_policies": ["@@none"], "Hourly": { "@@operators_allowed_for_child_policies": ["@@none"], "schedule_expression": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "60" }, "target_backup_vault_name": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "FortKnox" }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } }, "copy_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "@@operators_allowed_for_child_policies": ["@@none"], "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault", "@@operators_allowed_for_child_policies": ["@@none"] }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } } } } } }, "selections": { "@@operators_allowed_for_child_policies": ["@@none"], "tags": { "@@operators_allowed_for_child_policies": ["@@none"], "datatype": { "@@operators_allowed_for_child_policies": ["@@none"], "iam_role_arn": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "dataType" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "@@operators_allowed_for_child_policies": ["@@none"], "ec2": { "@@operators_allowed_for_child_policies": ["@@none"], "windows_vss": { "@@assign": "enabled", "@@operators_allowed_for_child_policies": ["@@none"] } } } } } }
Resultado de políticas en vigor: si existe alguna política de copia de seguridad secundaria, se ignora y la política principal se convierte en la política efectiva.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:vault:secondary_vault", "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": {"windows_vss": "enabled"} } } } }
Ejemplo 4: una política principal impide que una política secundaria realice cambios en un plan de copia de seguridad.
En el ejemplo siguiente, una política principal heredada utiliza los operadores de control secundarios para aplicar la configuración de un único plan y evita que una política secundaria los modifique. De todas formas, la política secundaria puede agregar planes adicionales.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. Este ejemplo es similar al ejemplo anterior con todos los operadores secundarios heredados bloqueados, excepto en el nivel superior de plans. La configuración @@append en ese nivel permite a las políticas secundarias agregar otros planes a la recopilación en la política en vigor. Cualquier cambio en el plan heredado sigue bloqueado.
Las secciones del plan se truncan para mayor claridad.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@append"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { ... }, "rules": { ... }, "selections": { ... } } } }
Política secundaria: esta política puede estar asociada directamente a la cuenta o a una unidad organizativa en cualquier nivel por debajo del nivel al que está asociada. Esta política secundaria define un nuevo plan.
Las secciones del plan se truncan para mayor claridad.
{ "plans": { "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Resultado de políticas en vigor — La política en vigor incluye ambos planes.
{ "plans": { "PII_Backup_Plan": { "regions": { ... }, "rules": { ... }, "selections": { ... } }, "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Ejemplo 5: una política secundaria reemplaza la configuración de una política principal
En el ejemplo siguiente, una política secundaria utiliza operadores de establecimiento de valores para anular algunas de las configuraciones heredadas de una política principal.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. Cualquiera de las opciones puede ser anulada por una política secundaria porque el comportamiento predeterminado, en ausencia de un operador de control secundario que lo impida, es permitir que la política secundaria @@assign, @@append, o @@remove. La política principal contiene todos los elementos necesarios para un plan de copia de seguridad válido, por lo que realiza una copia de seguridad de los recursos correctamente si se hereda tal y como está.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "target_backup_vault_name": {"@@assign": "FortKnox"}, "lifecycle": { "delete_after_days": {"@@assign": "2"}, "move_to_cold_storage_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:t2": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:t2"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "28"}, "delete_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Política secundaria: la política secundaria incluye solo la configuración que debe ser diferente de la política principal heredada. Debe haber una política principal heredada que proporcione la otra configuración necesaria cuando se fusiona en una política en vigor. De lo contrario, la política de copia de seguridad efectiva contiene un plan de copia de seguridad no válido que no realiza una copia de seguridad de los recursos como se esperaba.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "us-west-2", "eu-central-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "80"}, "target_backup_vault_name": {"@@assign": "Default"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "30"}, "delete_after_days": {"@@assign": "365"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } } }
Resultado de políticas en vigor: la política en vigor incluye la configuración de ambas políticas, con la configuración proporcionada por la política secundaria anulando la configuración heredada de la principal. En este ejemplo, se producen los siguientes cambios:
-
La lista de regiones se sustituye por una lista completamente diferente. Si desea agregar una región a la lista heredada, utilice
@@appenden lugar de@@assignen la política secundaria. -
AWS Backup lo realiza cada dos horas en lugar de cada hora.
-
AWS Backup permite que se inicie la copia de seguridad en 80 minutos en lugar de en 60 minutos.
-
AWS Backup utiliza el almacén
Defaulten lugar deFortKnox. -
El ciclo de vida se extiende tanto para la transferencia al almacenamiento en frío como para la eliminación eventual de la copia de seguridad.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-west-2", "eu-central-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/2 ? * * *)", "start_backup_window_minutes": "80", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault"}, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } } } }
