Realice copias de seguridad y archive datos en Amazon S3 con Veeam Backup & Replication - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasPrácticas recomendadasEpicsRecursos relacionadosInformación adicional

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Realice copias de seguridad y archive datos en Amazon S3 con Veeam Backup & Replication

Creado por Jeanna James, Anthony Fiore (AWS) (AWS) y William Quigley

Entorno: producción

Tecnologías: almacenamiento y copia de seguridad

Servicios de AWS: Amazon EC2; Amazon S3; Amazon S3 Glacier

Resumen

Este patrón detalla el proceso de envío de copias de seguridad creadas por Veeam Backup & Replication a las clases de almacenamiento de objetos compatibles con Amazon Simple Storage Service (Amazon S3) mediante la capacidad de repositorio de copias de seguridad escalable de Veeam. 

Veeam admite múltiples clases de almacenamiento de Amazon S3 para adaptarse mejor a sus necesidades específicas. Puede elegir el tipo de almacenamiento en función del acceso a los datos, la resiliencia y los requisitos de costo de sus datos de copia de seguridad o archivado. Por ejemplo, puede almacenar los datos que no planea usar durante 30 días o más en Amazon S3 de acceso poco frecuente (IA) a un menor costo. Si planea archivar datos durante 90 días o más, puede utilizar Amazon Simple Storage Service Glacier (Amazon S3 Glacier) Flexible Retrieval o S3 Glacier Deep Archive con el nivel de archivado de Veeam. También puede usar el Bloqueo de objetos de S3 para hacer que las copias de seguridad sean inmutables en Amazon S3.

Este patrón no describe cómo configurar Veeam Backup & Replication con una puerta de enlace de cinta en AWS Storage Gateway. Para obtener información sobre este tema, consulte Veeam Backup & Replication using AWS VTL Gateway - Deployment Guide en el sitio web de Veeam.

Advertencia: este escenario requiere que los usuarios de IAM tengan acceso programático y credenciales a largo plazo, lo que supone un riesgo para la seguridad. Para ayudar a mitigar este riesgo, le recomendamos que brinde a estos usuarios únicamente los permisos que necesitan para realizar la tarea y que los elimine cuando ya no los necesiten. Las claves de acceso se pueden actualizar si es necesario. Para obtener más información, consulte Actualización de claves de acceso en la Guía de usuario de IAM.

Requisitos previos y limitaciones

Requisitos previos 

  • Veeam Backup & Replication, que incluye Veeam Availability Suite o Veeam Backup Essentials, instalado (puede registrarse para obtener una prueba gratuita)

  • Licencia Veeam Backup & Replication con funcionalidad Enterprise o Enterprise Plus, que incluye Veeam Universal License (VUL)

  • Un usuario activo de AWS Identity and Access Management (IAM) con acceso a un bucket de Amazon S3

  • Un usuario de IAM activo con acceso a Amazon Elastic Compute Cloud (Amazon EC2) y Amazon Virtual Private Cloud (Amazon VPC) (si utiliza el nivel de archivado)

  • Conectividad de red desde las instalaciones a los servicios de AWS con ancho de banda disponible para realizar copias de seguridad y restaurar el tráfico a través de una conexión pública a Internet o una interfaz virtual pública (VIF) de AWS Direct Connect

  • Se abrieron los siguientes puertos de red y puntos de conexión para garantizar una comunicación adecuada con los repositorios de almacenamiento de objetos:

    • Almacenamiento Amazon S3 — TCP — puerto 443: se utiliza para comunicarse con el almacenamiento de Amazon S3.

    • Almacenamiento de Amazon S3 (puntos de enlace en la nube): *.amazonaws.com para las regiones de AWS y las regiones de GovCloud AWS (EE. UU.), o *.amazonaws.com.rproxy.goskope.com.cn para las regiones de China: se utiliza para comunicarse con el almacenamiento de Amazon S3. Para obtener una lista completa de los puntos de conexión de Amazon S3 en la documentación de AWS.

    • Almacenamiento en Amazon S3 — TCP HTTP — puerto 80: se utiliza para verificar el estado del certificado. Tenga en cuenta que los puntos de conexión de verificación de certificados: las URL de la lista de revocación de certificados (CRL) y los servidores del protocolo de estado de certificados en línea (OCSP) están sujetos a cambios. Encontrará la lista real de direcciones en el propio certificado.

    • Almacenamiento en Amazon S3: puntos de conexión de verificación de certificados: *.amazontrust.com: se utiliza para verificar el estado del certificado. Tenga en cuenta que los puntos de conexión de verificación de certificados (direcciones URL de CRL y servidores OCSP) están sujetos a cambios. Encontrará la lista real de direcciones en el propio certificado.

Limitaciones

  • Veeam no admite las políticas de ciclo de vida de S3 en ningún bucket de S3 que se utilice como repositorio de almacenamiento de objetos de Veeam. Estas incluyen políticas con transiciones de clases de almacenamiento de Amazon S3 y reglas de caducidad del ciclo de vida de S3. Veeam debe ser la única entidad que administre estos objetos. La activación de las políticas de ciclo de vida de S3 puede tener resultados inesperados, incluida la pérdida de datos.

Versiones de producto

  • Veeam Backup & Replication v9.5 Update 4 o posterior (solo nivel de copia de seguridad o de capacidad)

  • Veeam Backup & Replication v10 o posterior (solo nivel de copia de seguridad o de capacidad y Bloqueo de objetos de S3)

  • Veeam Backup & Replication v11 o posterior (copia de seguridad o nivel de capacidad, archivo o nivel de archivo y Bloqueo de objetos de S3)

  • Veeam Backup & Replication v12 o posterior (nivel de rendimiento, copia de seguridad o nivel de capacidad, archivo o nivel de archivo y Bloqueo de objetos de S3)

  • S3 Standard

  • S3 Standard-IA

  • S3 One Zone-IA

  • S3 Glacier Flexible Retrieval (solo v11 y versiones posteriores)

  • S3 Glacier Deep Archive (solo v11 y versiones posteriores)

  • S3 Glacier Instant Retrieval (solo v12 y versiones posteriores)

Arquitectura

Pila de tecnología de origen

  • Instalación en las instalaciones de Veeam Backup & Replication con conectividad desde un servidor de copia de seguridad de Veeam o un servidor gateway de Veeam a Amazon S3

Pila de tecnología de destino

  • Amazon S3

  • Amazon VPC y Amazon EC2 (si utiliza el nivel de archivado)

Arquitectura de destino: SOBR 

El siguiente diagrama muestra la arquitectura del repositorio de copias de seguridad escalable horizontalmente (SOBR).

Arquitectura SOBR para hacer copias de seguridad de datos de Veeam a Amazon S3

El software Veeam Backup and Replication protege los datos de errores lógicos, como fallas del sistema, errores de aplicaciones o eliminaciones accidentales. En este diagrama, las copias de seguridad se ejecutan primero en las instalaciones y una copia secundaria se envía directamente a Amazon S3. Una copia de seguridad representa una copia de los datos. point-in-time

El flujo de trabajo consta de tres componentes principales necesarios para organizar o copiar las copias de seguridad en Amazon S3 y un componente opcional:

  • Veeam Backup & Replication (1): el servidor de copia de seguridad responsable de coordinar, controlar y administrar la infraestructura de respaldo, la configuración, los trabajos, las tareas de recuperación y otros procesos.

  • Servidor de puerta de enlace Veeam (no se muestra en el diagrama): un servidor de puerta de enlace en las instalaciones opcional que se requiere si el servidor de respaldo de Veeam no tiene conectividad saliente con Amazon S3.

  • Repositorio de copia de seguridad escalable horizontalmente (2): sistema de repositorio con soporte de escalado horizontal para el almacenamiento de datos en varios niveles. El repositorio de copias de seguridad escalable horizontalmente consta de uno o más repositorios de copias de seguridad que proporcionan un acceso rápido a los datos y se pueden ampliar con los repositorios de almacenamiento de objetos de Amazon S3 para el almacenamiento a largo plazo (nivel de capacidad) y el archivado (nivel de archivo). Veeam utiliza el repositorio de copia de seguridad escalable horizontalmente para organizar los datos automáticamente entre el almacenamiento de objetos local (nivel de rendimiento) y el almacenamiento de objetos de Amazon S3 (niveles de capacidad y archivo).

  • Amazon S3 (3): servicio de almacenamiento de objetos de AWS que ofrece escalabilidad, disponibilidad de datos, seguridad y rendimiento.

Arquitectura de destino: DTO

El siguiente diagrama muestra la arquitectura direct-to-object (DTO).

Arquitectura DTO para realizar copias de seguridad de datos de Veeam a Amazon S3

En este diagrama, los datos de las copias de seguridad van directamente a Amazon S3 sin almacenarse primero en las instalaciones. Las copias secundarias se pueden almacenar en S3 Glacier.

Automatizar y escalar

Puede automatizar la creación de recursos de IAM y buckets de S3 mediante las CloudFormation plantillas de AWS que se proporcionan en el VeeamHub GitHub repositorio. Las plantillas incluyen opciones estándar e inmutables.

Herramientas

Herramientas y servicios de AWS

  • Veeam Backup & Replication es una solución de Veeam para proteger, hacer copias de seguridad, replicar y restaurar sus cargas de trabajo físicas y virtuales.

  • AWS le CloudFormation ayuda a modelar y configurar sus recursos de AWS, a aprovisionarlos de forma rápida y coherente y a gestionarlos durante todo su ciclo de vida. Facilita poder usar una plantilla para describir los recursos y sus dependencias, y lanzarlos y configurarlos juntos como una pila, en lugar de administrarlos de forma individual. Puede administrar y aprovisionar pilas en varias cuentas y regiones de AWS.

  • Amazon Elastic Compute Cloud (Amazon EC2) proporciona capacidad de computación escalable en la nube de AWS. Puede utilizar Amazon EC2 para lanzar tantos servidores virtuales como necesite, y puede escalar horizontalmente o reducir horizontalmente.

  • AWS Identity and Access Management (IAM) es un servicio web para controlar el acceso seguro a los recursos de AWS. Con IAM, puede administrar de forma centralizada los usuarios, las credenciales de seguridad (como las claves de acceso) y los permisos que controlan a qué recursos y aplicaciones de AWS pueden obtener acceso los usuarios.

  • Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos. Puede utilizar Amazon S3 para almacenar y recuperar cualquier cantidad de datos en cualquier momento y desde cualquier parte de la web.

  • Amazon S3 Glacier (S3 Glacier) es un servicio seguro y duradero para archivar datos a bajo costo y realizar copias de seguridad a largo plazo.

  • Amazon Virtual Private Cloud (Amazon VPC) le permite aprovisionar una sección aislada de forma lógica de la nube de AWS donde puede lanzar recursos de AWS en una red virtual que haya definido. Dicha red virtual es prácticamente idéntica a las redes tradicionales que se utilizan en sus propios centros de datos, con los beneficios que supone utilizar la infraestructura escalable de AWS.

Código

Utilice las CloudFormation plantillas incluidas en el VeeamHub GitHub repositorio para crear automáticamente los recursos de IAM y los depósitos de S3 para este patrón. Si prefiere crear estos recursos manualmente, siga los pasos de la sección Epics.

Prácticas recomendadas

  • De acuerdo con las prácticas recomendadas de IAM, le recomendamos encarecidamente que cambie periódicamente las credenciales de usuario de IAM a largo plazo, como el usuario de IAM que utiliza para escribir copias de seguridad de Veeam Backup & Replication en Amazon S3. Para obtener más información, consulte Prácticas recomendadas de seguridad en la documentación de IAM.

Epics

TareaDescripciónHabilidades requeridas

Cree un usuario de IAM.

Siga las instrucciones de la documentación de IAM para crear un usuario de IAM. Este usuario no debe tener acceso a la consola de AWS y tendrá que crear una clave de acceso para este usuario. Veeam usa esta entidad para autenticarse con AWS para leer y escribir en sus buckets de S3. Debe conceder el privilegio mínimo (es decir, conceder solo los permisos necesarios para realizar una tarea) para que el usuario no tenga más autoridad de la que necesita. Para ver, por ejemplo, las políticas de IAM que debe adjuntar a su usuario de Veeam IAM, consulte la sección Información adicional.

Nota: Como alternativa, puede usar las CloudFormation plantillas proporcionadas en el VeeamHub GitHub repositorio para crear un usuario de IAM y un bucket de S3 para este patrón.

Administrador de AWS

Cree un bucket de S3.

  1. Inicie sesión en la consola de administración de AWS y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/

  2. Si aún no tiene un bucket de S3 existente para usarlo como almacenamiento de destino, elija Crear bucket y especifique el nombre del bucket, la región de AWS y la configuración del bucket.

    • Le recomendamos que habilite la opción Bloquear el acceso público para el bucket de S3 y que configure las políticas de acceso y permisos de usuario para cumplir con los requisitos de su organización. Para ver un ejemplo, consulte la documentación de Amazon S3.

    • Le recomendamos que habilite Bloqueo de objetos de S3, incluso si no tiene intención de usarlo de inmediato. Esta configuración solo se puede habilitar en el momento de crear el bucket de S3.

Para obtener más información, consulte Crear un bucket en la documentación de Amazon S3.

Administrador de AWS
TareaDescripciónHabilidades requeridas

Inicie el asistente para el nuevo repositorio de objetos.

Antes de configurar el almacenamiento de objetos y los repositorios de copia de seguridad escalables horizontalmente en Veeam, debe añadir los repositorios de almacenamiento Amazon S3 y Amazon S3 Glacier que desee utilizar para los niveles de capacidad y archivo. En la próxima épica, conectará estos repositorios de almacenamiento a su repositorio copia de seguridad escalable horizontalmente.

  1. En la consola de Veeam, abra la vista Infraestructura de copia de seguridad

  2. En el panel de inventario, elija el nodo Repositorios de copia de seguridad y, a continuación, elija Añadir repositorio

  3. En el cuadro de diálogo Añadir repositorio de copia de seguridad, elija Almacenamiento de objetos, Amazon S3.

Administrador de AWS, propietario de la aplicación

Añada almacenamiento de Amazon S3 al nivel de capacidad.

  1. En el cuadro de diálogo Amazon Cloud Storage Services, elija Amazon S3.

  2. En el paso Nombre del asistente, especifique el nombre del almacenamiento del objeto y una breve descripción, como el creador y la fecha de creación. 

  3. En el paso Cuenta del asistente, especifique la cuenta de almacenamiento de objetos. 

    • En Credenciales, elija el usuario de IAM que creó en la primera epopeya para acceder a su almacenamiento de objetos de Amazon S3. 

    • Para Región de AWS, elija la región de AWS donde se encuentra el bucket de Amazon S3.

  4. En el paso Bucket del asistente, especifique la configuración de almacenamiento de objetos.

    • En Región del centro de datos, elija la región de AWS donde está ubicado el bucket de Amazon S3.

    • Para Bucket, elija el bucket de S3 que creó en la primera épica.

    • En Carpeta, cree o seleccione una carpeta en la nube a la que asignar su repositorio de almacenamiento de objetos. 

    • Si quiere activar la inmutabilidad, seleccione Hacer que las copias de seguridad recientes sean inmutables durante X días y establezca el período de tiempo durante el cual deben estar bloqueadas las copias de seguridad. Tenga en cuenta que habilitar la inmutabilidad se traduce en un aumento de los costos debido al aumento del número de llamadas a la API a Amazon S3 desde Veeam.

  5. En el paso de resumen del asistente, revise la información de configuración y, a continuación, seleccione Finalizar.

Administrador de AWS, propietario de la aplicación

Añada el almacenamiento de S3 Glacier al nivel de archivo.

Si desea crear un nivel de archivo, utilice los permisos de IAM que se detallan en la sección Información adicional

  1. Inicie el asistente para el nuevo repositorio de objetos tal y como se describió anteriormente.

  2. En el cuadro de diálogo Amazon Cloud Storage Services, elija Amazon S3 Glacier.

  3. En el paso Nombre del asistente, especifique el nombre del almacenamiento del objeto y una breve descripción, como el creador y la fecha de creación.

  4. En el paso Cuenta del asistente, especifique la cuenta de almacenamiento de objetos.

    • En Credenciales, elija el usuario de IAM que creó en la primera épica para acceder a su almacenamiento de objetos de Amazon S3 Glacier. 

    • Para Región de AWS, elija la región de AWS donde se encuentra el bucket de Amazon S3.

  5. En el paso Bucket del asistente, especifique la configuración de almacenamiento de objetos.

    • En Región del centro de datos, elija la región de AWS.

    • En Bucket, elija un bucket de S3 para almacenar los datos de copia de seguridad. Puede ser el mismo bucket que utilizó para el nivel de capacidad.

    • En Carpeta, cree o seleccione una carpeta en la nube a la que asignar su repositorio de almacenamiento de objetos. 

    • Si quiere habilitar la inmutabilidad, seleccione Hacer que las copias de seguridad recientes sean inmutables durante toda su política de retención. Tenga en cuenta que habilitar la inmutabilidad se traduce en un aumento de los costos debido al aumento del número de llamadas a la API a Amazon S3 desde Veeam.

    • Si quiere usar S3 Glacier Deep Archive como clase de almacenamiento de archivos, elija Usar la clase de almacenamiento Deep Archive.

  6. En el paso Dispositivo proxy del asistente, configure la instancia auxiliar que se utiliza para transferir los datos de Amazon S3 a Amazon S3 Glacier. Puede usar la configuración predeterminada o configurar cada configuración manualmente. Para configurar los ajustes manualmente:

    • Elija Personalizar.

    • En  Tipo de instancia EC2, elija el tipo de instancia para el dispositivo proxy en función de sus requisitos de velocidad y costo para transferir los archivos de copia de seguridad al nivel de archivado de su repositorio de copia de seguridad escalable horizontalmente.

    • En Amazon VPC, elija la VPC de la instancia de destino.

    • En Subredes, elija la subred del dispositivo proxy.

    • Para Grupos de seguridad, elija el grupo de seguridad que desea asociar al dispositivo proxy.

    • En Puerto redirector, especifique el puerto TCP para enrutar las solicitudes entre el dispositivo proxy y los componentes de la infraestructura de copia de seguridad.

    • Elija Aceptar para confirmar la configuración.

  7. En el paso de resumen del asistente, revise la información de configuración y, a continuación, seleccione Finalizar.

Administrador de AWS, propietario de la aplicación
TareaDescripciónHabilidades requeridas

Inicie el asistente de nuevo repositorio de copia de seguridad escalable horizontalmente.

  1. En la consola de Veeam, abra la vista Infraestructura de copia de seguridad

  2. En el panel de inventario, seleccione Repositorios de escalado horizontal y, a continuación, seleccione Añadir repositorio de escalado horizontal.

Propietario de la aplicación, administrador de sistemas de AWS

Añada un repositorio de copias de seguridad escalable horizontalmente y configure los niveles de capacidad y archivo.

  1. En el paso Nombre del asistente, especifique el nombre y una breve descripción del repositorio de copias de seguridad escalable horizontalmente. 

  2. Si es necesario, añada extensiones de rendimiento. También puede utilizar su repositorio de backup local de Veeam existente como nivel de rendimiento. A partir de la versión 12 de Veeam, puede añadir un bucket de S3 como medida de rendimiento para los backups direct-to-object (DTO), sin tener en cuenta el nivel de rendimiento local.

  3. Elija Avanzado y especifique opciones adicionales para el repositorio de copias de seguridad escalable horizontalmente.

    • Seleccione Utilizar archivos de copia de seguridad por máquina para crear un archivo de copia de seguridad independiente para cada máquina y escribir estos archivos en el repositorio de copias de seguridad en varios flujos de forma simultánea. Se recomienda esta opción para una mejor utilización de los recursos de almacenamiento y procesamiento.

    • Seleccione Realizar una copia de seguridad completa cuando la extensión requerida esté desconectada para crear un archivo de copia de seguridad completo en caso de que una extensión que contiene puntos de restauración para una copia de seguridad incremental quede sin conexión. Esta opción requiere espacio libre en el repositorio de copias de seguridad ampliable para alojar un archivo de copia de seguridad completo.

  4. En el paso de políticas del asistente, especifique la política de ubicación de las copias de seguridad para el repositorio. 

    • Elija la localidad de datos para almacenar juntos los archivos de copia de seguridad completos e incrementales que pertenezcan a la misma cadena y con el mismo grado de rendimiento. Puede almacenar los archivos que pertenecen a una nueva cadena de copia de seguridad en el mismo nivel de rendimiento o en otro (a menos que utilice un dispositivo de almacenamiento deduplicado como medida de rendimiento).

    • Elija Rendimiento para almacenar archivos de copia de seguridad completos e incrementales con distintos niveles de rendimiento. Esta opción requiere una conexión de red rápida y fiable. Si elige Rendimiento, puede restringir los tipos de archivos de copia de seguridad que desea almacenar en cada nivel de rendimiento. Por ejemplo, puede almacenar archivos de copia de seguridad completos en una extensión y archivos de copia de seguridad incrementales en otras extensiones. Para elegir los tipos de archivos:

      • Elija Personalizar.

      • En el cuadro de diálogo Configuración de ubicación de copias de seguridad, elija una extensión de rendimiento y, a continuación, elija Editar.

      • Elija el tipo de archivos de copia de seguridad que desee almacenar en la extensión.

  5. En el paso Nivel de capacidad del asistente, configure el nivel de almacenamiento a largo plazo que desea adjuntar al repositorio de copias de seguridad escalable horizontalmente.  

    • Elija Ampliar la capacidad del repositorio de copias de seguridad escalable horizontalmente con almacenamiento de objetos. Para el repositorio de almacenamiento de objetos, elija el almacenamiento de Amazon S3 para el nivel de capacidad que agregó en la épica anterior.

    • Elija Ventana para seleccionar una ventana de tiempo para mover o copiar datos.

    • Seleccione Copiar las copias de seguridad en el almacenamiento de objetos tan pronto como se creen para copiar todos los archivos de copia de seguridad creados recientemente o solo en la medida de su capacidad. 

    • Seleccione Mover las copias de seguridad al almacenamiento de objetos a medida que pasen del período de restauraciones operativas para transferir las cadenas de copias de seguridad inactivas en la medida de su capacidad. En el campo Mover archivos de copia de seguridad con una antigüedad superior a X días, especifique la duración a partir de la cual deben descargarse los archivos de copia de seguridad. (Para eliminar las cadenas de copia de seguridad inactivas el día en que se crearon, especifique 0 días). También puede elegir Anular para mover los archivos de copia de seguridad antes, si el repositorio de copias de seguridad escalable horizontalmente ha alcanzado el umbral que ha especificado.

    • Elija Cifrar los datos cargados en el almacenamiento de objetos y especifique una contraseña para cifrar todos los datos y sus metadatos para su descarga. Elija Agregar o Gestionar contraseñas para especificar una nueva contraseña

  6. En el paso Nivel de capacidad del asistente, configure el nivel de almacenamiento a largo plazo que desea adjuntar al repositorio de copias de seguridad escalable horizontalmente. (Este paso no aparece si omitió añadir almacenamiento en Amazon S3 Glacier). 

    • Elija Archivar las copias de seguridad completas de GFS en el almacenamiento de objetos. Para el repositorio de almacenamiento de objetos, elija el almacenamiento de Amazon S3 Glacier que añadió en la épica anterior.

    • En Copias de seguridad de Archive GFS que tengan más de N días, elija un intervalo de tiempo para mover los archivos a la extensión de archivado. (Para archivar las cadenas de copias de seguridad inactivas el día en que se crearon, especifique 0 días).

  7. En el paso de Resumen del asistente, revise la configuración del repositorio de copias de seguridad escalable horizontalmente y, a continuación, seleccione Finalizar.

Propietario de la aplicación, administrador de sistemas de AWS

Recursos relacionados

Información adicional

Las siguientes secciones proporcionan ejemplos de políticas de IAM que puede utilizar al crear un usuario de IAM en la sección Epics de este patrón.

Política de IAM para el nivel de capacidad

Nota: Cambie el nombre de los depósitos de S3 en la política de ejemplo por el nombre del <yourbucketname> depósito de S3 que desee utilizar para los respaldos de los niveles de capacidad de Veeam.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectVersion",
                "s3:ListBucketVersions",
                "s3:ListBucket",
                "s3:PutObjectLegalHold",
                "s3:GetBucketVersioning",
                "s3:GetObjectLegalHold",
                "s3:GetBucketObjectLockConfiguration",
                "s3:PutObject*",
                "s3:GetObject*",
                "s3:GetEncryptionConfiguration",
                "s3:PutObjectRetention",
                "s3:PutBucketObjectLockConfiguration",
                "s3:DeleteObject*",
                "s3:DeleteObjectVersion",
                "s3:GetBucketLocation"

            ],
            "Resource": [
                "arn:aws:s3:::/*",
                "arn:aws:s3:::"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket"
            ],
            "Resource": "*"
        }
    ]
}

Política de IAM para el nivel de archivo

Nota: cambie el nombre de los buckets de S3 en la política de ejemplo de <yourbucketname> al nombre del bucket de S3 que desee utilizar para las copias de seguridad del nivel de archivo de Veeam.

Para usar su VPC, subred y grupos de seguridad existentes:

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
          "s3:DeleteObject",
          "s3:PutObject",
          "s3:GetObject",
          "s3:RestoreObject",
          "s3:ListBucket",
          "s3:AbortMultipartUpload",
          "s3:GetBucketVersioning",
          "s3:ListAllMyBuckets",
          "s3:GetBucketLocation",
          "s3:GetBucketObjectLockConfiguration",
          "s3:PutObjectRetention",
          "s3:GetObjectVersion",
          "s3:PutObjectLegalHold",
          "s3:GetObjectRetention",
          "s3:DeleteObjectVersion",
          "s3:ListBucketVersions",
          "ec2:DescribeInstances",
          "ec2:CreateKeyPair",
          "ec2:DescribeKeyPairs",
          "ec2:RunInstances",
          "ec2:DeleteKeyPair",
          "ec2:DescribeVpcAttribute",
          "ec2:CreateTags",
          "ec2:DescribeSubnets",
          "ec2:TerminateInstances",
          "ec2:DescribeSecurityGroups",
          "ec2:DescribeImages",
          "ec2:DescribeVpcs"
        ],
        "Resource": "*"
      }
    ]
  }

Para crear nuevos grupos de VPC, subred y grupos de seguridad:

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
          "s3:DeleteObject",
          "s3:PutObject",
          "s3:GetObject",
          "s3:RestoreObject",
          "s3:ListBucket",
          "s3:AbortMultipartUpload",
          "s3:GetBucketVersioning",
          "s3:ListAllMyBuckets",
          "s3:GetBucketLocation",
          "s3:GetBucketObjectLockConfiguration",
          "s3:PutObjectRetention",
          "s3:GetObjectVersion",
          "s3:PutObjectLegalHold",
          "s3:GetObjectRetention",
          "s3:DeleteObjectVersion",
          "s3:ListBucketVersions",
          "ec2:DescribeInstances",
          "ec2:CreateKeyPair",
          "ec2:DescribeKeyPairs",
          "ec2:RunInstances",
          "ec2:DeleteKeyPair",
          "ec2:DescribeVpcAttribute",
          "ec2:CreateTags",
          "ec2:DescribeSubnets",
          "ec2:TerminateInstances",
          "ec2:DescribeSecurityGroups",
          "ec2:DescribeImages",
          "ec2:DescribeVpcs",
          "ec2:CreateVpc",
          "ec2:CreateSubnet",
          "ec2:DescribeAvailabilityZones",
          "ec2:CreateRoute",
          "ec2:CreateInternetGateway",
          "ec2:AttachInternetGateway",
          "ec2:ModifyVpcAttribute",
          "ec2:CreateSecurityGroup",
          "ec2:DeleteSecurityGroup",
          "ec2:AuthorizeSecurityGroupIngress",
          "ec2:AuthorizeSecurityGroupEgress",
          "ec2:DescribeRouteTables",
          "ec2:DescribeInstanceTypes"
        ],
        "Resource": "*"
      }
    ]
  }