Contrôle d’accès - AWS Backup

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d’accès

Vous pouvez disposer d'informations d'identification valides pour authentifier vos demandes, mais si vous ne disposez pas des autorisations appropriées, vous ne pouvez pas accéder aux AWS Backup ressources telles que les coffres-forts de sauvegarde. Vous ne pouvez pas non plus sauvegarder AWS des ressources telles que les volumes Amazon Elastic Block Store (AmazonEBS).

Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisation à AWS Identity and Access Management (IAM) des identités (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Certains services prennent également en charge l'attachement de stratégies d'autorisation aux ressources.

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté d'autorisations d'administrateur. Pour plus d'informations, consultez la section IAMBonnes pratiques du guide de IAM l'utilisateur.

Lorsque vous accordez des autorisations, vous décidez qui doit les obtenir, à quelles ressources ces autorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.

Les sections suivantes expliquent le fonctionnement des stratégies d'accès et leur utilisation pour protéger vos sauvegardes.

Ressources et opérations

Une ressource est un objet qui existe au sein d'un service. AWS Backup les ressources incluent les plans de sauvegarde, les coffres-forts de sauvegarde et les sauvegardes. Backup est un terme général qui fait référence aux différents types de ressources de sauvegarde qui existent dans AWS. Par exemple, les EBS instantanés Amazon, les instantanés Amazon Relational Database Service (RDSAmazon) et les sauvegardes Amazon DynamoDB sont tous des types de ressources de sauvegarde.

Dans AWS Backup, les sauvegardes sont également appelées points de restauration. Lors de l'utilisation AWS Backup, vous travaillez également avec les ressources d'autres AWS services que vous essayez de protéger, tels que les EBS volumes Amazon ou les tables DynamoDB. Ces ressources sont associées à des noms de ressources Amazon (ARNs) uniques. ARNsidentifier les AWS ressources de manière unique. Vous devez disposer d'un ARN moment où vous devez spécifier une ressource sans ambiguïté dans l'ensemble AWS, par exemple dans les IAM politiques ou API les appels.

Le tableau suivant répertorie les ressources, les sous-ressources, le ARN format et un exemple d'identifiant unique.

AWS Backup ressource ARNs
Type de ressource ARNformat Exemple d'ID unique
Plan de sauvegarde arn:aws:backup:region:account-id:backup-plan:*
Coffre-fort de sauvegarde arn:aws:backup:region:account-id:backup-vault:*
Point de récupération pour Amazon EBS arn:aws:ec2:region::snapshot/* snapshot/snap-05f426fd8kdjb4224
Point de récupération pour les EC2 images Amazon arn:aws:ec2:region::image/ami-* image/ami-1a2b3e4f5e6f7g890
Point de récupération pour Amazon RDS arn:aws:rds:region:account-id:snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Point de récupération pour Aurora arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Point de récupération pour Storage Gateway arn:aws:ec2:region::snapshot/* snapshot/snap-0d40e49137e31d9e0
Point de récupération pour DynamoDB sans Sauvegarde DynamoDB avancée arn:aws:dynamodb:region:account-id:table/*/backup/* table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3
Point de récupération pour DynamoDB avec Sauvegarde DynamoDB avancée activé arn:aws:backup:region:account-id:recovery-point:* 12a34a56-7bb8-901c-cd23-4567d8e9ef01
Point de récupération pour Amazon EFS arn:aws:backup:region:account-id:recovery-point:* d99699e7-e183-477e-bfcd-ccb1c6e5455e
Point de récupération pour Amazon FSx arn:aws:fsx:region:account-id:backup/backup-* backup/backup-1a20e49137e31d9e0
Point de récupération pour une machine virtuelle arn:aws:backup:region:account-id:recovery-point:* 1801234a-5b6b-7dc8-8032-836f7ffc623b
Point de récupération pour la sauvegarde continue Amazon S3 arn:aws:backup:region:account-id:recovery-point:* amzn-s3-demo-bucket-5ec207d0
Point de récupération pour la sauvegarde périodique S3 arn:aws:backup:region:account-id:recovery-point:* amzn-s3-demo-bucket-20211231900000-5ec207d0
Point de récupération pour Amazon DocumentDB arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Point de reprise pour Neptune arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Point de reprise pour Amazon Redshift arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Point de récupération pour Amazon Timestream arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta
Point de récupération pour le AWS CloudFormation modèle arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012
Point de récupération pour la SAP HANA base de données sur une EC2 instance Amazon arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012

Les ressources qui prennent en charge AWS Backup la gestion complète comportent toutes des points de récupération au formatarn:aws:backup:region:account-id::recovery-point:*, ce qui vous permet d'appliquer plus facilement des politiques d'autorisation pour protéger ces points de récupération. Pour savoir quelles ressources prennent en charge AWS Backup la gestion complète, consultez cette section du Disponibilité des fonctionnalités par ressource tableau.

AWS Backup fournit un ensemble d'opérations permettant de travailler avec AWS Backup les ressources. Pour obtenir la liste des opérations disponibles, consultez AWS Backup Actions.

Propriété des ressources

Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'entité principale (c'est-à-dire l'utilisateur Compte AWS root, un IAM utilisateur ou un IAM rôle) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :

  • Si vous utilisez les informations d'identification de l'utilisateur Compte AWS root Compte AWS pour créer un coffre-fort de sauvegarde, vous Compte AWS en êtes le propriétaire.

  • Si vous créez un IAM utilisateur dans votre coffre Compte AWS et que vous lui accordez l'autorisation de créer un coffre de sauvegarde, celui-ci peut créer un coffre de sauvegarde. Toutefois, votre compte  AWS , auquel l'utilisateur appartient, est propriétaire de la ressource que constitue le coffre-fort de sauvegarde.

  • Si vous créez un IAM rôle Compte AWS avec l'autorisation de créer un coffre-fort de sauvegarde, toute personne pouvant assumer ce rôle peut créer un coffre-fort. Vous Compte AWS, à qui appartient le rôle, êtes propriétaire de la ressource du coffre de sauvegarde.

Spécification des éléments d’une politique : actions, effets et principaux

Pour chaque AWS Backup ressource (voirRessources et opérations), le service définit un ensemble d'APIopérations (voirActions). Pour accorder des autorisations pour ces API opérations, AWS Backup définit un ensemble d'actions que vous pouvez spécifier dans une politique. L'exécution d'une API opération peut nécessiter des autorisations pour plusieurs actions.

Voici les éléments les plus élémentaires d'une politique :

  • Ressource : dans une politique, vous utilisez un nom de ressource Amazon (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter Ressources et opérations.

  • Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser.

  • Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.

  • Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource).

Pour en savoir plus sur la syntaxe et les descriptions des IAM politiques, consultez la section Référence des IAM JSON politiques dans le guide de IAM l'utilisateur.

Pour un tableau présentant toutes les AWS Backup API actions, voirAPIautorisations : référence aux actions, aux ressources et aux conditions.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de IAM politique pour spécifier les conditions dans lesquelles une politique doit entrer en vigueur. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, voir Condition dans le guide de IAM l'utilisateur.

AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour voir toutes les clés de condition globales, voir les clés contextuelles de condition AWS globales dans le guide de IAM l'utilisateur.

AWS Backup définit son propre ensemble de clés de condition. Pour consulter la liste des clés de AWS Backup condition, voir Clés de condition pour AWS Backup la référence d'autorisation de service.

APIautorisations : référence aux actions, aux ressources et aux conditions

Lorsque vous configurez Contrôle d’accès et rédigez une politique d'autorisation que vous pouvez associer à une IAM identité (politiques basées sur l'identité), vous pouvez utiliser la de tableaux suivante comme référence. Le tableau chaque AWS Backup API opération, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action et la AWS ressource pour laquelle vous pouvez accorder les autorisations. Vous spécifiez les actions dans le champ Action de la politique ainsi que la valeur des ressources dans le champ Resource de la politique. Si le champ Resource est vide, vous pouvez utiliser le caractère générique (*) pour inclure toutes les ressources.

Vous pouvez utiliser des AWS clés de condition larges dans vos AWS Backup polices pour exprimer des conditions. Pour obtenir la liste complète des touches AWS-wide, consultez la section Clés disponibles dans le guide de IAM l'utilisateur.

Utilisez les barres de défilement pour voir le reste du tableau.

1 Utilise la politique d'accès au coffre existante.

2 Voir AWS Backup ressource ARNs pour le point de récupération spécifique à la ressource. ARNs

3 StartRestoreJob doit contenir la paire clé-valeur dans les métadonnées de la ressource. Pour obtenir les métadonnées de la ressource, appelez le GetRecoveryPointRestoreMetadataAPI.

4 Certains types de ressources nécessitent que le rôle effectuant la sauvegarde dispose d'une autorisation de balisage spécifique backup:TagResource si vous prévoyez d'inclure des balises de ressource d'origine dans votre sauvegarde ou d'ajouter des balises supplémentaires à une sauvegarde. Toutes les sauvegardes comportant une sauvegarde ARN commençant par arn:aws:backup:region:account-id:recovery-point: ou une sauvegarde continue nécessitent cette autorisation. backup:TagResourcel'autorisation doit être appliquée à "resourcetype": "arn:aws:backup:region:account-id:recovery-point:*"

Pour plus d'informations, consultez la rubrique Actions, ressources et clés de condition pour AWS Backup dans la section Référence de l'autorisation de service.

Autorisations de copie de balises

Lorsqu'il AWS Backup exécute une tâche de sauvegarde ou de copie, il tente de copier les balises de votre ressource source (ou point de récupération dans le cas d'une copie) vers votre point de restauration.

Note

AWS Backup ne copie pas les balises de manière native pendant les tâches de restauration. Pour une architecture axée sur les événements qui copiera les balises pendant les tâches de restauration, voir Comment conserver les balises de ressources dans les tâches de AWS Backup restauration.

Au cours d'une tâche de sauvegarde ou de copie, AWS Backup agrège les balises que vous spécifiez dans votre plan de sauvegarde (ou plan de copie, ou sauvegarde à la demande) avec les balises de votre ressource source. Cependant, AWS impose une limite de 50 balises par ressource, qui AWS Backup ne peut pas être dépassée. Lorsqu'une tâche de sauvegarde ou de copie regroupe les balises du plan et de la ressource source, elle peut découvrir plus de 50 balises au total ; elle ne pourra pas terminer la tâche et échouera. Cela est conforme aux meilleures pratiques en matière de balisage à grande AWSéchelle. Pour en savoir plus, consultez Limites de balises dans le Guide de référence générale AWS .

  • Votre ressource possède plus de 50 balises après avoir agrégé vos balises de tâche de sauvegarde avec vos balises de ressource source. AWS prend en charge jusqu'à 50 balises par ressource. Pour plus d'informations, consultez Limites de balises.

  • Le IAM rôle que vous attribuez AWS Backup n'est pas autorisé à lire les balises source ou à définir les balises de destination. Pour plus d'informations et des exemples de politiques de IAM rôle, consultez la section Politiques gérées.

Vous pouvez utiliser votre plan de sauvegarde pour créer des balises qui contredisent les balises de vos ressources source. Lorsque les deux sont en conflit, les balises de votre plan de sauvegarde ont priorité. Utilisez cette technique si vous préférez ne pas copier la valeur d'une balise depuis votre ressource source. Spécifiez la même clé de balise, mais une valeur différente ou vide, à l'aide de votre plan de sauvegarde.

Autorisations requises pour attribuer des balises aux sauvegardes
Type de ressource Autorisation obligatoire
Système de EFS fichiers Amazon

elasticfilesystem:DescribeTags

Système de FSx fichiers Amazon

fsx:ListTagsForResource

RDSBase de données Amazon et cluster Amazon Aurora

rds:AddTagsToResource

rds:ListTagsForResource

Volume Storage Gateway

storagegateway:ListTagsForResource

EC2Instance Amazon et EBS volume Amazon

EC2:CreateTags

EC2:DescribeTags

DynamoDB ne prend pas en charge l'attribution de balises aux sauvegardes, sauf si vous activez d'abord Sauvegarde DynamoDB avancée.

Lorsqu'une EC2 sauvegarde Amazon crée un point de restauration d'image et un ensemble de clichés, elle AWS Backup copie les balises dans le résultatAMI. AWS Backup copie également les balises des volumes associés à l'EC2instance Amazon vers les instantanés qui en résultent.

politiques d'accès

Une permissions policy (politique d'autorisation) décrit qui a accès à quoi. Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (IAMpolitiques). Les politiques associées à une ressource sont appelées politiques basées sur les ressources. AWS Backup prend en charge à la fois les politiques basées sur l'identité et les politiques basées sur les ressources.

Note

Cette section traite de l'utilisation IAM dans le contexte de AWS Backup. Il ne fournit pas d'informations détaillées sur le IAM service. Pour une IAM documentation complète, voir Qu'est-ce que c'est IAM ? dans le guide de IAM l'utilisateur. Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, reportez-vous à la section Référence des IAM JSON politiques dans le Guide de IAM l'utilisateur.

Politiques basées sur l'identité (politiques) IAM

Les politiques basées sur l'identité sont des politiques que vous pouvez associer à IAM des identités, telles que des utilisateurs ou des rôles. Par exemple, vous pouvez définir une politique qui permet à un utilisateur de visualiser et de sauvegarder AWS des ressources, mais l'empêche de restaurer des sauvegardes.

Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez la section Identités (utilisateurs, groupes et rôles) dans le guide de IAM l'utilisateur.

Pour plus d'informations sur l'utilisation IAM des politiques pour contrôler l'accès aux sauvegardes, consultezPolitiques gérées pour AWS Backup.

Politiques basées sur les ressources

AWS Backup prend en charge les politiques d'accès basées sur les ressources pour les coffres-forts de sauvegarde. Vous pouvez ainsi définir une stratégie d'accès qui peut contrôler quels utilisateurs disposent d'un type d'accès particulier aux sauvegardes organisées dans un coffre-fort de sauvegarde. Les stratégies d'accès basées sur une ressource pour les coffres-forts de sauvegarde permettent de contrôler de manière simple l'accès à vos sauvegardes.

Les politiques d'accès au coffre de sauvegarde contrôlent l'accès des utilisateurs lorsque vous les utilisez AWS Backup APIs. Certains types de sauvegarde, tels que les instantanés Amazon Elastic Block Store (AmazonEBS) et Amazon Relational Database Service (RDSAmazon), sont également accessibles à l'aide de ces services ». APIs Vous pouvez créer des politiques d'accès distinctes pour contrôler l'accès APIs à celles-ci afin de contrôler totalement l'accès aux sauvegardes. IAM

Pour savoir comment créer une stratégie d'accès pour les coffres-forts de sauvegarde, consultez Stratégies d'accès aux coffres.