Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion des identités et des accès dans AWS Backup
<a name="backup-iam"></a>

L'accès à AWS Backup nécessite des informations d'identification. Ces informations d'identification doivent être autorisées à accéder aux ressources AWS , par exemple une base de données Amazon DynamoDB ou un système de fichiers Amazon EFS. De plus, les points de récupération créés par AWS Backup certains services AWS Backup pris en charge ne peuvent pas être supprimés à l'aide du service source (tel qu'Amazon EFS). Vous pouvez supprimer ces points de récupération à l'aide de AWS Backup.

Les sections suivantes fournissent des détails sur la façon dont vous pouvez utiliser [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) et AWS Backup pour sécuriser l'accès à vos ressources.

**Avertissement**  
AWS Backup utilise le même rôle IAM que celui que vous avez choisi lors de l'attribution des ressources pour gérer le cycle de vie de votre point de restauration. Si vous supprimez ou modifiez ce rôle, vous AWS Backup ne pouvez pas gérer le cycle de vie de votre point de restauration. Dans ce cas, il tentera d'utiliser un rôle lié à un service pour gérer votre cycle de vie. Dans un faible pourcentage de cas, cela peut également ne pas fonctionner, laissant des points de récupération `EXPIRED` sur votre stockage, ce qui peut entraîner des coûts indésirables. Pour supprimer des points de récupération `EXPIRED`, supprimez-les manuellement à l'aide de la procédure décrite dans [Suppression des sauvegardes](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).

**Topics**
+ [Authentification](authentication.md)
+ [Contrôle d’accès](access-control.md)
+ [Fonctions du service IAM](iam-service-roles.md)
+ [Politiques gérées pour AWS Backup](security-iam-awsmanpol.md)
+ [Utilisation de rôles liés à un service pour AWS Backup](using-service-linked-roles.md)
+ [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md)

# Authentification
<a name="authentication"></a>

L'accès aux services que vous sauvegardez AWS Backup ou AWS aux services que vous sauvegardez nécessite des informations d'identification qui AWS peuvent être utilisées pour authentifier vos demandes. Vous pouvez y accéder AWS sous l'un des types d'identités suivants :
+ **Compte AWS utilisateur root** — Lorsque vous vous inscrivez AWS, vous fournissez une adresse e-mail et un mot de passe associés à votre AWS compte. Il s'agit de votre *utilisateur root du Compte AWS *. Ses informations d'identification fournissent un accès complet à toutes vos AWS ressources.
**Important**  
Pour des raisons de sécurité, nous vous conseillons d'utiliser les informations d'utilisateur racine uniquement pour créer un *administrateur*. L'administrateur est un *utilisateur IAM* disposant des autorisations complètes sur votre Compte AWS. Vous pouvez ensuite utiliser cet utilisateur administrateur pour créer d'autres rôles et utilisateurs IAM dotés d'autorisations limitées. Pour plus d'informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) et [Création de votre premier utilisateur administrateur et groupe IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) dans le *Guide de l'utilisateur IAM*.
+ **Utilisateur IAM** : un [utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) est une identité au sein de votre Compte AWS qui dispose d'autorisations personnalisées spécifiques (par exemple, des autorisations pour créer un coffre-fort de sauvegarde dans lequel stocker vos sauvegardes). [Vous pouvez utiliser un nom d'utilisateur et un mot de passe IAM pour vous connecter à des AWS pages Web sécurisées telles que [AWS Management Console](https://console.aws.amazon.com/)les [forums de AWS discussion](https://forums.aws.amazon.com/) ou le AWS Support centre.](https://console.aws.amazon.com/support/home#/)

  En plus de générer un nom utilisateur et un mot de passe, vous pouvez générer des [clés d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) pour chaque utilisateur. Vous pouvez utiliser ces clés lorsque vous accédez aux AWS services par programmation, soit par le biais [de l'une des nombreuses SDKs clés, soit à l'](https://aws.amazon.com/developer/tools/)aide de la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). Les outils AWS CLI et les SDK utilisent les clés d'accès pour signer de façon cryptographique votre demande. Si vous n'utilisez pas les outils AWS , vous devez signer la demande vous-même. Pour plus d'informations sur l'authentification des demandes, consultez [Processus de signature Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) dans le document *Références générales AWS*.
+ **Rôle IAM :** un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une autre identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Le concept ressemble à celui d'un utilisateur IAM, mais ce rôle n'est pas associé à une personne en particulier. Un rôle IAM vous permet d'obtenir des clés d'accès temporaires qui peuvent être utilisées pour accéder aux AWS services et aux ressources. Les rôles IAM avec des informations d’identification temporaires sont utiles dans les cas suivants :
  + Accès utilisateur fédéré : au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités utilisateur préexistantes provenant de Directory Service l'annuaire des utilisateurs de votre entreprise ou d'un fournisseur d'identité Web. On parle alors d'*utilisateurs fédérés*. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé via un [fournisseur d'identité](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Pour plus d'informations sur les utilisateurs fédérés, consultez [Utilisateurs fédérés et rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) dans le *Guide de l'utilisateur IAM*.
  + Administration entre comptes : vous pouvez utiliser un rôle IAM dans votre compte pour accorder d'autres Compte AWS autorisations afin d'administrer les ressources de votre compte. À titre d'exemple, voir [Tutoriel : accès délégué à Comptes AWS l'aide de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) dans le guide de l'*utilisateur IAM*.
  + AWS accès au service : vous pouvez utiliser un rôle IAM dans votre compte pour accorder à un AWS service l'autorisation d'accéder aux ressources de votre compte. Pour plus d'informations, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *guide de l'utilisateur IAM*.
  + Applications exécutées sur Amazon Elastic Compute Cloud (Amazon EC2) : vous pouvez utiliser un rôle IAM pour gérer les informations d'identification temporaires des applications exécutées sur une instance Amazon EC2 et effectuant des demandes d'API. AWS Cette solution est préférable au stockage des clés d’accès au sein de l’instance EC2. Pour attribuer un AWS rôle à une instance EC2 et le mettre à la disposition de toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez [Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) dans le *Guide de l’utilisateur IAM*.

    

# Contrôle d’accès
<a name="access-control"></a>

Vous pouvez disposer d'informations d'identification valides pour authentifier vos demandes, mais si vous ne disposez pas des autorisations appropriées, vous ne pouvez pas accéder aux AWS Backup ressources telles que les coffres-forts de sauvegarde. Vous ne pouvez pas non plus sauvegarder AWS des ressources telles que les volumes Amazon Elastic Block Store (Amazon EBS).

Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisation aux identités Gestion des identités et des accès AWS (IAM) (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Certains services prennent également en charge l'attachement de stratégies d'autorisation aux ressources. 

Un *administrateur de compte* (ou utilisateur administrateur) est un utilisateur doté d'autorisations d'administrateur. Pour plus d'informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l'utilisateur IAM*.

Lorsque vous accordez des autorisations, vous décidez qui doit les obtenir, à quelles ressources ces autorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.

Les sections suivantes expliquent le fonctionnement des stratégies d'accès et leur utilisation pour protéger vos sauvegardes. 

**Topics**
+ [Ressources et opérations](#access-control-resources)
+ [Propriété des ressources](#access-control-owner)
+ [Spécification des éléments d’une politique : actions, effets et principaux](#access-control-specify-backup-actions)
+ [Spécification de conditions dans une politique](#specifying-conditions)
+ [Autorisations d'API  : référence des actions, ressources et conditions](#backup-api-permissions-ref)
+ [Autorisations de copie de balises](#copy-tags)
+ [politiques d'accès](#access-policies)

## Ressources et opérations
<a name="access-control-resources"></a>

Une ressource est un objet existant au sein d'un service. AWS Backup les ressources incluent les plans de sauvegarde, les coffres-forts de sauvegarde et les sauvegardes. *Backup* est un terme général qui fait référence aux différents types de ressources de sauvegarde qui existent dans AWS. Par exemple, les instantanés Amazon EBS, les instantanés Amazon Relational Database Service (Amazon RDS) et les sauvegardes Amazon DynamoDB sont tous des types de ressources de sauvegarde. 

Dans AWS Backup, les sauvegardes sont également appelées *points de restauration*. Lors de l'utilisation AWS Backup, vous travaillez également avec les ressources d'autres AWS services que vous essayez de protéger, tels que les volumes Amazon EBS ou les tables DynamoDB. Ces ressources sont associées à des noms de ressources Amazon (ARNs) uniques. ARNs identifier les AWS ressources de manière unique. Vous devez disposer d'un ARN pour spécifier une ressource sans aucune ambiguïté au sein d' AWS, par exemple dans les politiques IAM ou les appels d'API. 

Le tableau suivant répertorie les ressources, les sous-ressources, le format ARN et un exemple d'ID unique.


**AWS Backup ressource ARNs**  

| Type de ressource | Format ARN | Exemple d'ID unique | 
| --- | --- | --- | 
| Plan de sauvegarde | arn:aws:backup:region:account-id:backup-plan:\$1 |  | 
| Coffre-fort de sauvegarde | arn:aws:backup:region:account-id:backup-vault:\$1 |  | 
| Point de récupération pour Amazon EBS | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 | 
| Point de récupération pour les images Amazon EC2 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 | 
| Point de récupération pour Amazon RDS | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Point de récupération pour Aurora | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Point de restauration pour Aurora DSQL | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a | 
| Point de récupération pour Storage Gateway | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 | 
| Point de récupération pour DynamoDB sans [Sauvegarde DynamoDB avancée](advanced-ddb-backup.md) | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 | 
| Point de récupération pour DynamoDB avec [Sauvegarde DynamoDB avancée](advanced-ddb-backup.md) activé | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 | 
| Point de récupération pour Amazon EFS | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e | 
| Point de récupération pour Amazon FSx | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 | 
| Point de récupération pour une machine virtuelle | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b | 
| Point de récupération pour la sauvegarde continue Amazon S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 | 
| Point de récupération pour la sauvegarde périodique S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 | 
| Point de récupération pour Amazon DocumentDB | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Point de reprise pour Neptune | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Point de reprise pour Amazon Redshift | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Point de reprise pour Amazon Redshift Serverless | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Point de récupération pour Amazon Timestream | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta | 
| Point de récupération pour le AWS CloudFormation modèle | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 
| Point de récupération pour la base de données SAP HANA sur une instance Amazon EC2 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 

Les ressources qui prennent en charge AWS Backup la gestion complète comportent toutes des points de récupération au format`arn:aws:backup:region:account-id::recovery-point:*`, ce qui vous permet d'appliquer plus facilement des politiques d'autorisation pour protéger ces points de récupération. Pour savoir quelles ressources prennent en charge AWS Backup la gestion complète, consultez cette section du [Disponibilité des fonctionnalités par ressource](backup-feature-availability.md#features-by-resource) tableau.

AWS Backup fournit un ensemble d'opérations permettant de travailler avec AWS Backup les ressources. Pour obtenir la liste des opérations disponibles, consultez AWS Backup [Actions](API_Operations.md).

## Propriété des ressources
<a name="access-control-owner"></a>

Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'[entité principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (c'est-à-dire l'utilisateur Compte AWS root, un utilisateur IAM ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :
+ Si vous utilisez les informations d'identification de l'utilisateur Compte AWS root Compte AWS pour créer un coffre-fort de sauvegarde, vous Compte AWS en êtes le propriétaire.
+ Si vous créez un utilisateur IAM dans votre coffre Compte AWS et que vous accordez à cet utilisateur l'autorisation de créer un coffre de sauvegarde, celui-ci peut créer un coffre de sauvegarde. Toutefois, votre compte  AWS , auquel l'utilisateur appartient, est propriétaire de la ressource que constitue le coffre-fort de sauvegarde.
+ Si vous créez un rôle IAM Compte AWS avec les autorisations nécessaires pour créer un coffre-fort de sauvegarde, toute personne susceptible d'assumer ce rôle peut créer un coffre-fort. Vous Compte AWS, à qui appartient le rôle, êtes propriétaire de la ressource du coffre de sauvegarde. 

## Spécification des éléments d’une politique : actions, effets et principaux
<a name="access-control-specify-backup-actions"></a>

Pour chaque AWS Backup ressource (voir[Ressources et opérations](#access-control-resources)), le service définit un ensemble d'opérations d'API (voir[Actions](API_Operations.md)). Pour accorder des autorisations pour ces opérations d'API AWS Backup , définissez un ensemble d'actions que vous pouvez spécifier dans une politique. Une opération d’API peut exiger des autorisations pour plusieurs actions.

Voici les éléments les plus élémentaires d'une politique :
+ Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter [Ressources et opérations](#access-control-resources).
+ Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser.
+ Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
+ Principal – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource).

Pour plus d'informations sur la syntaxe des politiques IAM et pour obtenir des descriptions, consultez [Référence de politique JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le manuel *Guide de l'utilisateur IAM*.

Pour un tableau présentant toutes les actions de l' AWS Backup API, consultez[Autorisations d'API  : référence des actions, ressources et conditions](#backup-api-permissions-ref).

## Spécification de conditions dans une politique
<a name="specifying-conditions"></a>

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*. 

AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour voir toutes les clés de condition globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.

AWS Backup définit son propre ensemble de clés de condition. Pour consulter la liste des clés de AWS Backup condition, reportez-vous à la section [Clés de condition pour AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys) la *référence d'autorisation de service*.

## Autorisations d'API  : référence des actions, ressources et conditions
<a name="backup-api-permissions-ref"></a>

Lorsque vous configurez [Contrôle d’accès](#access-control) et que vous créez une stratégie d'autorisation que vous pouvez attacher à une identité IAM (stratégies basées sur une identité), vous pouvez utiliser la liste de ci-dessous comme référence. Le tableau  chaque opération d' AWS Backup API, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action et la AWS ressource pour laquelle vous pouvez accorder les autorisations. Vous spécifiez les actions dans le champ `Action` de la politique ainsi que la valeur des ressources dans le champ `Resource` de la politique. Si le champ `Resource` est vide, vous pouvez utiliser le caractère générique (`*`) pour inclure toutes les ressources.

Vous pouvez utiliser des AWS clés de condition larges dans vos AWS Backup polices pour exprimer des conditions. Pour obtenir la liste complète des touches AWS-wide, consultez la section [Clés disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*. 

Utilisez les barres de défilement pour voir le reste du tableau.


**AWS Backup API et autorisations requises pour les actions**  

| AWS Backup Opérations d'API | Autorisations requises (actions API) | Ressources | 
| --- | --- | --- | 
|  [CreateBackupPlan](API_CreateBackupPlan.md)  | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupSelection](API_CreateBackupSelection.md)  | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupVault](API_CreateBackupVault.md)  |  `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey`  |  arn:aws:backup:region:account-id:backup-vault:\$1 Dans `backup-storage` : \$1 Pour `kms` : `arn:aws:kms:region:account-id:key/keystring` | 
|  [DeleteBackupPlan](API_DeleteBackupPlan.md)  | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupSelection](API_DeleteBackupSelection.md)  | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupVault](API_DeleteBackupVault.md)  | backup:DeleteBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md)  | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md)  |  backup:DeleteBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md)  |  backup:DeleteRecoveryPoint1  | 2 | 
|  [DescribeBackupJob](API_DescribeBackupJob.md)  | backup:DescribeBackupJob |  | 
|  [DescribeBackupVault](API_DescribeBackupVault.md)  |  backup:DescribeBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DescribeProtectedResource](API_DescribeProtectedResource.md)  | backup:DescribeProtectedResource |  | 
|  [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md)  |  backup:DescribeRecoveryPoint1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [DescribeRestoreJob](API_DescribeRestoreJob.md)  | backup:DescribeRestoreJob |  | 
|  [DescribeRegionSettings](API_DescribeRegionSettings.md)  |  backup:DescribeRegionSettings  |  | 
|  [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md)  | backup:ExportBackupPlanTemplate |  | 
|  [GetBackupPlan](API_GetBackupPlan.md)  | backup:GetBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md)  | backup:GetBackupPlanFromJSON |  | 
|  [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md)  | backup:GetBackupPlanFromTemplate |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupSelection](API_GetBackupSelection.md)  | backup:GetBackupSelection |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md)  |  backup:GetBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md)  |  backup:GetBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md)  |  backup:GetRecoveryPointRestoreMetadata1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md)  | backup:GetSupportedResourceTypes |  | 
|  [ListBackupJobs](API_ListBackupJobs.md)  | backup:ListBackupJobs |  | 
|  [ListBackupPlans](API_ListBackupPlans.md)  | backup:ListBackupPlans |  | 
|  [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md)  | backup:ListBackupPlanTemplates |  | 
|  [ListBackupPlanVersions](API_ListBackupPlanVersions.md)  | backup:ListBackupPlanVersions |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupSelections](API_ListBackupSelections.md)  | backup:ListBackupSelections |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupVaults](API_ListBackupVaults.md)  | backup:ListBackupVaults |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListProtectedResources](API_ListProtectedResources.md)  | backup:ListProtectedResources |  | 
|  [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md)  |  backup:ListRecoveryPointsByBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md)  | backup:ListRecoveryPointsByResource |  | 
|  [ListRestoreJobs](API_ListRestoreJobs.md)  | backup:ListRestoreJobs |  | 
|  [ListTags](API_ListTags.md)  | backup:ListTags |  | 
|  [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md)  |  backup:PutBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md)  |  backup:PutBackupVaultLockConfiguration1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md)  |  backup:PutBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartBackupJob](API_StartBackupJob.md)  | backup:StartBackupJob |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartRestoreJob](API_StartRestoreJob.md)  | backup:StartRestoreJob |  `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3  | 
|  [StopBackupJob](API_StopBackupJob.md)  | backup:StopBackupJob |  | 
|  [TagResource](API_TagResource.md)  | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 | 
|  [UntagResource](API_UntagResource.md)  | backup:UntagResource |  | 
|  [UpdateBackupPlan](API_UpdateBackupPlan.md)  | backup:UpdateBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md)  |  backup:UpdateRecoveryPointLifecycle1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [UpdateRegionSettings](API_UpdateRegionSettings.md)  |  `backup:UpdateRegionSettings` `backup:DescribeRegionSettings`  |  | 

1 Utilise la politique d'accès au coffre existante.

2 Voir [AWS Backup ressource ARNs](#resource-arns-table) pour le point de récupération spécifique à la ressource. ARNs

3 `StartRestoreJob` doit contenir la paire clé-valeur dans les métadonnées de la ressource. Pour obtenir les métadonnées de la ressource, appelez l'API `GetRecoveryPointRestoreMetadata`.

Pour plus d'informations, consultez la rubrique [Actions, ressources et clés de condition pour AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html) dans la section *Référence de l'autorisation de service*.

## Autorisations de copie de balises
<a name="copy-tags"></a>

Lorsqu'il AWS Backup exécute une tâche de sauvegarde ou de copie, il tente de copier les balises de votre ressource source (ou point de récupération dans le cas d'une copie) vers votre point de restauration.

**Note**  
AWS Backup ne copie **pas** les balises de manière native pendant les tâches de restauration. Pour une architecture axée sur les événements qui copiera les balises pendant les tâches de restauration, voir [Comment conserver les balises de ressources dans les tâches de AWS Backup restauration.](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/)

Au cours d'une tâche de sauvegarde ou de copie, AWS Backup agrège les balises que vous spécifiez dans votre plan de sauvegarde (ou plan de copie, ou sauvegarde à la demande) avec les balises de votre ressource source. Cependant, AWS impose une limite de 50 balises par ressource, qui AWS Backup ne peut pas être dépassée. Lorsqu'une tâche de sauvegarde ou de copie regroupe les balises du plan et de la ressource source, elle peut découvrir plus de 50 balises au total ; elle ne pourra pas terminer la tâche et échouera. Cela est conforme aux meilleures pratiques en matière de balisage à grande AWSéchelle.
+ Votre ressource possède plus de 50 balises après avoir agrégé vos balises de tâche de sauvegarde avec vos balises de ressource source. AWS prend en charge jusqu'à 50 balises par ressource.
+ Le rôle IAM que vous attribuez n'est AWS Backup pas autorisé à lire les balises source ou à définir les balises de destination. Pour plus d'informations et des exemples de politiques de rôle IAM, consultez [Politiques gérées](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies).

Vous pouvez utiliser votre plan de sauvegarde (balises ajoutées aux points de récupération) pour créer des balises qui contredisent les balises de vos ressources sources. Lorsque les deux sont en conflit, les balises de votre plan de sauvegarde ont priorité. Utilisez cette technique si vous préférez ne pas copier la valeur d'une balise depuis votre ressource source. Spécifiez la même clé de balise, mais une valeur différente ou vide, à l'aide de votre plan de sauvegarde.


**Autorisations requises pour attribuer des balises aux sauvegardes**  

| Type de ressource | Autorisation obligatoire | 
| --- | --- | 
| Système de fichiers Amazon EFS | `elasticfilesystem:DescribeTags` | 
| Système de FSx fichiers Amazon | `fsx:ListTagsForResource` | 
| Base de données Amazon RDS et cluster Amazon Aurora |  `rds:AddTagsToResource` `rds:ListTagsForResource`  | 
| Volume Storage Gateway | `storagegateway:ListTagsForResource` | 
| Instance Amazon EC2 et volume Amazon EBS |  `EC2:CreateTags` `EC2:DescribeTags`  | 

DynamoDB ne prend pas en charge l'attribution de balises aux sauvegardes, sauf si vous activez d'abord [Sauvegarde DynamoDB avancée](advanced-ddb-backup.md).

Lorsqu'une sauvegarde Amazon EC2 crée un point de restauration d'image et un ensemble de snapshots, elle AWS Backup copie les balises dans l'AMI qui en résulte. AWS Backup copie également les balises des volumes associés à l'instance Amazon EC2 vers les instantanés qui en résultent.

## politiques d'accès
<a name="access-policies"></a>

Une *permissions policy* (politique d'autorisation) décrit qui a accès à quoi. Les politiques attachées à une identité IAM sont appelées des politiques *basées sur l'identité* (politiques IAM). Les politiques associées à une ressource sont appelées politiques *basées sur les ressources*. AWS Backup prend en charge à la fois les politiques basées sur l'identité et les politiques basées sur les ressources.

**Note**  
Cette section décrit l'utilisation d'IAM dans le contexte de AWS Backup. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, veuillez consulter [Qu'est-ce qu'IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, veuillez consulter [Référence de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.

### Politiques basées sur une identité (politiques IAM)
<a name="identity-based-policies"></a>

Les politiques basées sur une identité sont des politiques que vous pouvez attacher à une identité IAM, par exemple à des utilisateurs ou des rôles. Par exemple, vous pouvez définir une politique qui permet à un utilisateur de visualiser et de sauvegarder AWS des ressources, mais l'empêche de restaurer des sauvegardes.

Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez [Identités (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *Guide de l'utilisateur IAM*.

Pour plus d'informations sur l'utilisation de politiques IAM pour contrôler l'accès aux sauvegardes, consultez [Politiques gérées pour AWS Backup](security-iam-awsmanpol.md).

### Politiques basées sur les ressources
<a name="resource-based-policies"></a>

AWS Backup prend en charge les politiques d'accès basées sur les ressources pour les coffres-forts de sauvegarde. Vous pouvez ainsi définir une stratégie d'accès qui peut contrôler quels utilisateurs disposent d'un type d'accès particulier aux sauvegardes organisées dans un coffre-fort de sauvegarde. Les stratégies d'accès basées sur une ressource pour les coffres-forts de sauvegarde permettent de contrôler de manière simple l'accès à vos sauvegardes. 

Les politiques d'accès au coffre de sauvegarde contrôlent l'accès des utilisateurs lorsque vous les utilisez AWS Backup APIs. Certains types de sauvegarde, tels que les instantanés Amazon Elastic Block Store (Amazon EBS) et Amazon Relational Database Service (Amazon RDS), sont également accessibles à l'aide de ces services ». APIs Vous pouvez créer des politiques d'accès distinctes dans IAM qui contrôlent l'accès à celles-ci APIs afin de contrôler totalement l'accès aux sauvegardes.

Pour savoir comment créer une stratégie d'accès pour les coffres-forts de sauvegarde, consultez [Stratégies d'accès aux coffres](create-a-vault-access-policy.md).

# Fonctions du service IAM
<a name="iam-service-roles"></a>

Un rôle Gestion des identités et des accès AWS (IAM) est similaire à un utilisateur, dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. Un rôle de service est un rôle qu'un AWS service assume pour effectuer des actions en votre nom. AWS Backup étant le service qui effectue des opérations de sauvegarde en votre nom, vous devez lui transmettre un rôle à assumer lors des opérations de sauvegarde en votre nom. Pour plus d’informations sur les rôles IAM, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dans le *Guide de l’utilisateur IAM*. 

Le rôle auquel vous passez AWS Backup doit disposer d'une politique IAM avec les autorisations permettant d'effectuer des actions associées AWS Backup aux opérations de sauvegarde, telles que la création, la restauration ou l'expiration de sauvegardes. Des autorisations différentes sont requises pour chacun des AWS services pris en AWS Backup charge. Le rôle doit également être AWS Backup répertorié comme une entité de confiance, ce qui AWS Backup permet d'assumer le rôle. 

Lorsque vous attribuez des ressources à un plan de sauvegarde ou que vous effectuez une sauvegarde, une copie ou une restauration à la demande, vous devez transmettre un rôle de service autorisé à effectuer les opérations sous-jacentes sur les ressources spécifiées. AWS Backup utilise ce rôle pour créer, étiqueter et supprimer des ressources dans votre compte.

## Utilisation de AWS rôles pour contrôler l'accès aux sauvegardes
<a name="using-roles-to-control-access"></a>

Vous pouvez utiliser des rôles pour contrôler l'accès à vos sauvegardes en définissant des rôles étroitement limités et en spécifiant quelles personnes peuvent transmettre ce rôle à AWS Backup. Par exemple, vous pouvez créer un rôle qui accorde uniquement des autorisations pour sauvegarder des bases de données Amazon Relational Database Service (Amazon RDS) et uniquement autoriser les propriétaires de bases de données Amazon RDS à transmettre ce rôle. AWS Backup AWS Backup fournit plusieurs politiques gérées prédéfinies pour chacun des services pris en charge. Vous pouvez attacher ces politiques gérées aux rôles que vous créez. Cela facilite la création de rôles spécifiques au service dotés des autorisations requises. AWS Backup 

Pour plus d'informations sur les politiques AWS gérées pour AWS Backup, consultez[Politiques gérées pour AWS Backup](security-iam-awsmanpol.md).

## Rôle de service par défaut pour AWS Backup
<a name="default-service-roles"></a>

Lorsque vous utilisez la AWS Backup console pour la première fois, vous pouvez choisir de AWS Backup créer un rôle de service par défaut pour vous. Ce rôle dispose des autorisations AWS Backup nécessaires pour créer et restaurer des sauvegardes en votre nom.

**Note**  
Le rôle par défaut est automatiquement créé lorsque vous utilisez la AWS Management Console. Vous pouvez créer le rôle par défaut à l'aide du AWS Command Line Interface (AWS CLI), mais cela doit être fait manuellement.

Si vous préférez utiliser des rôles personnalisés, tels que des rôles distincts pour différents types de ressources, vous pouvez également le faire et transmettre vos rôles personnalisés à AWS Backup. Pour voir des exemples de rôles qui permettent la sauvegarde et la restauration pour des types de ressources individuels, consultez la table [Politiques gérées par le client](security-iam-awsmanpol.md#customer-managed-policies).

Le rôle de service par défaut est nommé`AWSBackupDefaultServiceRole`. Ce rôle de service contient deux politiques gérées, [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)et [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

`AWSBackupServiceRolePolicyForBackup`inclut une politique IAM qui accorde des AWS Backup autorisations pour décrire la ressource sauvegardée, ainsi que la possibilité de créer, de supprimer, de décrire ou d'ajouter des balises à une sauvegarde, quelle que soit la AWS KMS clé avec laquelle elle est chiffrée. 

`AWSBackupServiceRolePolicyForRestores`inclut une politique IAM qui accorde des AWS Backup autorisations pour créer, supprimer ou décrire la nouvelle ressource créée à partir d'une sauvegarde, quelle que soit la AWS KMS clé avec laquelle elle est chiffrée. Il inclut également des autorisations pour baliser les ressources nouvellement créés.

Pour restaurer une instance Amazon EC2, vous devez lancer une nouvelle instance. 

## Création d'une fonction du service par défaut dans la console
<a name="creating-default-service-role-console"></a>

 Les actions spécifiques que vous effectuez dans la AWS Backup console créent le rôle de service AWS Backup par défaut. 

**Pour créer le rôle de service AWS Backup par défaut dans votre AWS compte**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Pour créer le rôle pour votre compte, attribuez des ressources à un plan de sauvegarde ou créez une sauvegarde à la demande.

   1. Créez un plan de sauvegarde et attribuez des ressources à la sauvegarde. Consultez la section [Création d'un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html).

   1. Vous pouvez également créer une sauvegarde à la demande. Consultez [Création d'une sauvegarde à la demande](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html).

1.  Vérifiez que vous avez créé le `AWSBackupDefaultServiceRole` dans votre compte en suivant ces étapes : 

   1. Patientez quelques minutes. Pour plus d'informations, consultez [Les modifications que j'apporte ne sont pas toujours visibles immédiatement](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency) dans le *Guide de l'utilisateur AWS Identity and Access Management*.

   1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

   1. Dans le menu de navigation de gauche, choisissez **Rôles**.

   1. Dans la barre de recherche, saisissez `AWSBackupDefaultServiceRole`. Si cette sélection existe, vous avez créé le rôle AWS Backup par défaut et terminé cette procédure.

   1. Si `AWSBackupDefaultServiceRole` n'apparaît toujours pas, ajoutez les autorisations suivantes à l'utilisateur IAM ou au rôle IAM que vous utilisez pour accéder à la console.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement":[
          {
            "Effect":"Allow",
            "Action":[
              "iam:CreateRole",
              "iam:AttachRolePolicy",
              "iam:PassRole"
            ],
            "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
          },
          {
            "Effect":"Allow",
            "Action":[
              "iam:ListRoles"
            ],
            "Resource":"*"
          }
        ]
      }
      ```

------

      Pour les régions de Chine, remplacez *aws* par*aws-cn*. Pour AWS GovCloud (US) les régions, remplacez *aws* par*aws-us-gov*.

   1. Si vous ne pouvez pas ajouter d'autorisations à votre utilisateur IAM ou à votre rôle IAM, demandez à votre administrateur de créer manuellement un rôle sous un nom *autre* que `AWSBackupDefaultServiceRole` et de l'associer à ces politiques gérées :
      + `AWSBackupServiceRolePolicyForBackup`
      + `AWSBackupServiceRolePolicyForRestores`

# Politiques gérées pour AWS Backup
<a name="security-iam-awsmanpol"></a>

Les politiques gérées sont des politiques autonomes basées sur l'identité que vous pouvez associer à plusieurs utilisateurs, groupes et rôles au sein de votre. Compte AWS Lorsque vous attachez une politique à une entité principale, vous accordez à cette dernière les autorisations définies dans la politique.

*AWS les politiques gérées* sont créées et administrées par AWS. Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée.

Les *politiques gérées par le client* vous fournissent des contrôles précis pour définir l'accès aux sauvegardes. AWS Backup Par exemple, vous pouvez les utiliser pour donner à votre administrateur de sauvegarde de base de données l'accès aux sauvegardes Amazon RDS, mais pas à celles d'Amazon EFS.

Pour plus d'informations, consultez la section [Politiques gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) dans le *guide de l'utilisateur IAM*.

## AWS politiques gérées
<a name="aws-managed-policies"></a>

AWS Backup fournit les politiques AWS gérées suivantes pour les cas d'utilisation courants. Ces stratégies facilitent la définition des autorisations appropriées et le contrôle de l'accès à vos sauvegardes. Il existe deux types de stratégies gérées. L'un des types est conçu pour être affecté aux utilisateurs afin de contrôler leur accès à AWS Backup. L'autre type de stratégie gérée est conçu pour être attaché à des rôles que vous transmettez à AWS Backup. Le tableau suivant répertorie toutes les stratégies gérées fournies par AWS Backup et explique comment elles sont définies. Vous pouvez trouver ces politiques gérées dans la section **Politiques** de la console IAM.

**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForSauvegarde S3](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForRestauration S3](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)

### AWSBackupAuditAccess
<a name="AWSBackupAuditAccess"></a>

Cette politique autorise les utilisateurs à créer des contrôles et des cadres qui définissent leurs attentes en matière de AWS Backup ressources et d'activités, et à auditer les AWS Backup ressources et les activités par rapport à leurs contrôles et cadres définis. Cette politique accorde des autorisations AWS Config et des services similaires pour décrire les attentes des utilisateurs lors des audits.

Cette politique accorde également des autorisations pour fournir des rapports d'audit à Amazon S3 et à des services similaires, et permet aux utilisateurs de rechercher et d'ouvrir leurs rapports d'audit.

Pour voir les autorisations de cette stratégie, consultez [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSBackupDataTransferAccess
<a name="AWSBackupDataTransferAccess"></a>

Cette politique fournit des autorisations pour le transfert des données du plan de AWS Backup stockage APIs, permettant à l'agent AWS Backint d'effectuer le transfert des données de sauvegarde avec le plan AWS Backup de stockage. Vous pouvez associer cette politique aux rôles assumés par les instances Amazon EC2 exécutant SAP HANA avec l'agent Backint.

Pour voir les autorisations de cette stratégie, consultez [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSBackupFullAccess
<a name="AWSBackupFullAccess"></a>

L'administrateur de sauvegarde dispose d'un accès complet aux AWS Backup opérations, notamment à la création ou à la modification de plans de sauvegarde, à l'affectation de AWS ressources aux plans de sauvegarde et à la restauration des sauvegardes. Les administrateurs de sauvegarde sont chargés de déterminer et d'appliquer la conformité des sauvegardes en définissant des plans de sauvegarde conformes aux exigences professionnelles et réglementaires de l'entreprise. Les administrateurs de sauvegarde s'assurent également que les AWS ressources de leur organisation sont affectées au plan approprié.

Pour voir les autorisations de cette stratégie, consultez [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
<a name="AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync"></a>

Cette politique autorise la passerelle de sauvegarde à synchroniser les métadonnées des machines virtuelles en votre nom.

Pour voir les autorisations de cette stratégie, consultez [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSBackupGuardDutyRolePolicyForScans
<a name="AWSBackupGuardDutyRolePolicyForScans"></a>

Cette politique doit être ajoutée à un nouveau rôle d'analyse qui GuardDuty autorise Amazon à lire et à analyser vos sauvegardes. Vous devez associer ce rôle d'analyse à votre plan de sauvegarde dans les paramètres de protection contre les logiciels malveillants ou de scan. Lorsque AWS Backup lance une analyse, elle transmet ce rôle d'analyse à Amazon GuardDuty.

Pour voir les autorisations de cette stratégie, consultez [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSBackupOperatorAccess
<a name="AWSBackupOperatorAccess"></a>

Les opérateurs de sauvegarde sont des utilisateurs chargés de veiller à ce que les ressources dont ils sont responsables sont correctement sauvegardées. Les opérateurs de sauvegarde sont autorisés à affecter AWS des ressources aux plans de sauvegarde créés par l'administrateur de sauvegarde. Ils sont également autorisés à créer des sauvegardes à la demande de leurs AWS ressources et à configurer la période de conservation des sauvegardes à la demande. Les opérateurs de sauvegarde ne sont pas autorisés à créer ni modifier les plans de sauvegarde, ni supprimer les sauvegardes planifiées après leur création. Les opérateurs de sauvegarde peuvent restaurer les sauvegardes. Vous pouvez limiter les types de ressources qu'un opérateur de sauvegarde peut affecter à un plan de sauvegarde ou restaurer à partir d'une sauvegarde. Pour ce faire, vous n'autorisez le transfert AWS Backup que de certains rôles de service dotés d'autorisations pour un certain type de ressource.

Pour voir les autorisations de cette stratégie, consultez [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSBackupOrganizationAdminAccess
<a name="AWSBackupOrganizationAdminAccess"></a>

L'administrateur de l'organisation dispose d'un accès complet aux AWS Organizations opérations, notamment à la création, à la modification ou à la suppression de politiques de sauvegarde, à l'attribution de politiques de sauvegarde aux comptes et aux unités organisationnelles et à la surveillance des activités de sauvegarde au sein de l'organisation. Les administrateurs de l’organisation sont responsables de la protection des comptes de leur organisation avec la définition et l’affectation de stratégies de sauvegarde qui répondent aux exigences commerciales et réglementaires de leur organisation.

Pour voir les autorisations de cette stratégie, consultez [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSBackupRestoreAccessForSAPHANA
<a name="AWSBackupRestoreAccessForSAPHANA"></a>

Cette politique AWS Backup autorise la restauration d'une sauvegarde de SAP HANA sur Amazon EC2.

Pour consulter les autorisations associées à cette politique, consultez [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html) dans le manuel *AWS Managed Policy Reference*.

### AWSBackupSearchOperatorAccess
<a name="AWSBackupSearchOperatorAccess"></a>

Le rôle d'opérateur de recherche permet de créer des index de sauvegarde et de créer des recherches dans les métadonnées de sauvegarde indexées.

Cette politique contient les autorisations nécessaires pour ces fonctions.

Pour voir les autorisations de cette stratégie, consultez [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSBackupServiceLinkedRolePolicyForBackup
<a name="AWSBackupServiceLinkedRolePolicyForBackup"></a>

Cette politique est attachée au rôle lié au service nommé AWSServiceRoleforBackup pour permettre d' AWS Backup appeler les AWS services en votre nom pour gérer vos sauvegardes. Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour sauvegarder et copier](using-service-linked-roles-AWSServiceRoleForBackup.md).

Pour consulter les autorisations associées à cette politique, reportez-vous [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)à la *référence des politiques AWS gérées*.

### AWSBackupServiceLinkedRolePolicyForBackupTest
<a name="AWSBackupServiceLinkedRolePolicyForBackupTest"></a>

Pour voir les autorisations de cette stratégie, consultez [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSBackupServiceRolePolicyForBackup
<a name="AWSBackupServiceRolePolicyForBackup"></a>

Permet de AWS Backup créer des sauvegardes de tous les types de ressources pris en charge en votre nom.

Pour voir les autorisations de cette stratégie, consultez [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSBackupServiceRolePolicyForItemRestores
<a name="AWSBackupServiceRolePolicyForItemRestores"></a>

**Description**

Cette politique accorde aux utilisateurs l'autorisation de restaurer des fichiers et des éléments individuels dans un instantané (point de restauration périodique des sauvegardes) sur un compartiment Amazon S3 nouveau ou existant ou sur un nouveau volume Amazon EBS. Ces autorisations incluent : les autorisations de lecture accordées à Amazon EBS pour les instantanés gérés par des autorisations de AWS Backup lecture/écriture pour les compartiments Amazon S3, et la génération et la description des autorisations pour les clés. AWS KMS 

**Utilisation de cette politique**

Vous pouvez associer `AWSBackupServiceRolePolicyForItemRestores` à vos utilisateurs, groupes et rôles.

**Détails de la politique**
+ **Type :** politique AWS gérée
+ **Heure de création :** 21 novembre 2024, 22:45 UTC
+ **Heure d'édition :** Première instance
+ **ARN** : `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`

**Version de la politique :** v1 (par défaut)

La version de cette politique définit les autorisations associées à la politique. Lorsque l'utilisateur ou le rôle doté de la politique fait une demande d'accès à une AWS ressource, AWS vérifie la version par défaut de la politique pour déterminer s'il convient d'autoriser ou non la demande.

**Document de politique JSON :**

#### AWSBackupServiceRolePolicyForItemRestores JSON
<a name="AWSBackupServiceRolePolicyForItemRestoresJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "S3ReadonlyPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "S3PermissionsForFileLevelRestore",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "KMSDataKeyForS3AndEC2Permissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com",
                        "s3.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForIndexing
<a name="AWSBackupServiceRolePolicyForIndexing"></a>

**Description**

Cette politique accorde aux utilisateurs l'autorisation d'indexer les instantanés, également appelés points de restauration périodiques. Ces autorisations incluent : les autorisations de lecture accordées à Amazon EBS pour les instantanés gérés par des autorisations de AWS Backup lecture/écriture pour les compartiments Amazon S3, et la génération et la description des autorisations pour les clés. AWS KMS 

**Utilisation de cette politique**

Vous pouvez associer `AWSBackupServiceRolePolicyForIndexing` à vos utilisateurs, groupes et rôles.

**Détails de la politique**
+ **Type :** politique AWS gérée
+ **Heure d'édition :** Première instance
+ **ARN** : `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`

**Version de la politique :** v1 (par défaut)

La version de cette politique définit les autorisations associées à la politique. Lorsque l'utilisateur ou le rôle associé à la politique fait une demande d'accès à une AWS ressource, AWS vérifie la version par défaut de la politique pour déterminer s'il convient d'autoriser ou non la demande.

**Document de politique JSON :**

#### AWSBackupServiceRolePolicyForIndexing JSON
<a name="AWSBackupServiceRolePolicyForIndexingJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSDataKeyForEC2Permissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForRestores
<a name="AWSBackupServiceRolePolicyForRestores"></a>

Permet de AWS Backup restaurer les sauvegardes de tous les types de ressources pris en charge en votre nom.

Pour voir les autorisations de cette stratégie, consultez [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) dans le *AWS Guide de référence des stratégies gérées par*.

Pour les restaurations d'instances EC2, vous devez également inclure les autorisations suivantes pour lancer l'instance EC2 :

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPassRole",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/role-name",
      "Effect": "Allow"
    }
  ]
}
```

------

### AWSBackupServiceRolePolicyForSauvegarde S3
<a name="AWSBackupServiceRolePolicyForS3Backup"></a>

Cette politique contient les autorisations nécessaires AWS Backup pour sauvegarder n'importe quel compartiment S3. Cela inclut l'accès à tous les objets d'un compartiment et à toute AWS KMS clé associée.

Pour consulter les autorisations associées à cette politique, consultez [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) dans le manuel *AWS Managed Policy Reference*.

### AWSBackupServiceRolePolicyForRestauration S3
<a name="AWSBackupServiceRolePolicyForS3Restore"></a>

Cette politique contient les autorisations nécessaires AWS Backup pour restaurer une sauvegarde S3 dans un compartiment. Cela inclut les autorisations de lecture et d'écriture sur les buckets et l'utilisation de n'importe quelle AWS KMS clé en ce qui concerne les opérations S3.

Pour consulter les autorisations associées à cette politique, consultez [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) dans le manuel *AWS Managed Policy Reference*.

### AWSBackupServiceRolePolicyForScans
<a name="AWSBackupServiceRolePolicyForScans"></a>

La politique doit être attachée au rôle IAM que vous utilisez dans la sélection des ressources de votre plan de sauvegarde. Ce rôle accorde à AWS Backup l'autorisation de lancer des scans sur Amazon GuardDuty. 

Pour voir les autorisations de cette stratégie, consultez [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSServiceRolePolicyForBackupReports
<a name="AWSServiceRolePolicyForBackupReports"></a>

AWS Backup utilise cette politique pour le rôle [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html)lié au service. Ce rôle lié à un service donne AWS Backup les autorisations nécessaires pour surveiller et établir des rapports sur la conformité de vos paramètres de sauvegarde, de vos tâches et de vos ressources avec vos frameworks.

Pour voir les autorisations de cette stratégie, consultez [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) dans le *AWS Guide de référence des stratégies gérées par*.

### AWSServiceRolePolicyForBackupRestoreTesting
<a name="AWSServiceRolePolicyForBackupRestoreTesting"></a>

Pour voir les autorisations de cette stratégie, consultez [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) dans le *AWS Guide de référence des stratégies gérées par*.

## Politiques gérées par le client
<a name="customer-managed-policies"></a>

Les sections suivantes décrivent les autorisations de sauvegarde et de restauration recommandées pour les AWS services et les applications tierces pris en charge par AWS Backup. Vous pouvez utiliser les politiques AWS gérées existantes comme modèle lorsque vous créez vos propres documents de politique, puis les personnaliser pour restreindre davantage l'accès à vos AWS ressources.

**Important**  
Lorsque vous utilisez des rôles IAM personnalisés pour AWS Backup, vous devez inclure des autorisations spécifiques aux ressources en plus des autorisations. AWS Backup Par exemple, lorsque vous faites appel `backup:ListTags` à une ressource Amazon RDS, votre rôle IAM personnalisé doit également inclure `rds:ListTagsForResource` une autorisation. Bien que ces autorisations soient incluses dans le rôle de AWS Backup service par défaut, elles doivent être explicitement ajoutées aux politiques gérées par le client. Les autorisations de ressources sous-jacentes requises dépendent du AWS service et de l'opération spécifiques exécutés.

### Amazon Aurora
<a name="aurora-customer-managed-policies"></a>

**Sauvegarde**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restaurer**  
Commencez par la `RDSPermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon Aurora DSQL
<a name="aurora-dsql-customer-managed-policies"></a>

**Sauvegarde**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restaurer**  
Commencez par la `DSQLRestorePermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon DynamoDB
<a name="ddb-customer-managed-policies"></a>

**Sauvegarde**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`

**Restaurer**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`

### Amazon EBS
<a name="ebs-customer-managed-policies"></a>

**Sauvegarde**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restaurer**  
Commencez par la `EBSPermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

Ajoutez la déclaration suivante.

```
{
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
},
```

### Amazon EC2
<a name="ec2-customer-managed-policies"></a>

**Sauvegarde**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restaurer**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`

Ajoutez la déclaration suivante.

```
{
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::account-id:role/role-name"
},
```

Remplacez *role-name* par le nom du rôle de profil d'instance EC2 qui sera attaché à l'instance EC2 restaurée. Il ne s'agit pas du rôle de AWS Backup service, mais du rôle IAM qui fournit des autorisations aux applications exécutées sur l'instance EC2.

### Amazon EFS
<a name="efs-customer-managed-policies"></a>

**Sauvegarde**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restaurer**  
Commencez par la `EFSPermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon FSx
<a name="fsx-customer-managed-policies"></a>

**Sauvegarde**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`

**Restaurer**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`

### Amazon Neptune
<a name="neptune-customer-managed-policies"></a>

**Sauvegarde**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restaurer**  
Commencez par la `RDSPermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon RDS
<a name="rds-customer-managed-policies"></a>

**Sauvegarde**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restaurer**  
Commencez par la `RDSPermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon S3
<a name="s3-customer-managed-policies"></a>

**Sauvegarde**  
Commencez par [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html).

Ajoutez les `BackupVaultCopyPermissions` instructions `BackupVaultPermissions` et si vous devez copier des sauvegardes sur un autre compte.

**Restaurer**  
Commencez par [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html).

### AWS Storage Gateway
<a name="storage-gateway-customer-managed-policies"></a>

**Sauvegarde**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

Ajoutez la déclaration suivante.

```
{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
},
```

**Restaurer**

Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`

### Machine virtuelle
<a name="vm-customer-managed-policies"></a>

**Sauvegarde**  
Commencez par la `BackupGatewayBackupPermissions` déclaration de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html).

**Restaurer**  
Commencez par la `GatewayRestorePermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Sauvegarde cryptée
<a name="customer-managed-policies-encrypted-backup"></a>

**Pour restaurer une sauvegarde chiffrée, effectuez l’une des actions suivantes :**
+ Ajoutez votre rôle à la liste d'autorisation pour la politique AWS KMS clé
+ Ajoutez les instructions suivantes [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)à partir de votre rôle IAM pour les restaurations :
  + `KMSDescribePermissions`
  + `KMSPermissions`
  + `KMSCreateGrantPermissions`

## Mises à jour des politiques pour AWS Backup
<a name="policy-updates"></a>

Consultez les détails des mises à jour des politiques AWS gérées AWS Backup depuis que ce service a commencé à suivre ces modifications.


| Modifier | Description | Date | 
| --- | --- | --- | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – Mise à jour d’une stratégie existante |  AWS Backup a ajouté l'autorisation suivante à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent aux tests de AWS Backup restauration de supprimer les bases de données clientes RDS une fois le test de restauration terminé.  | 18 mars 2026 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent de AWS Backup lancer des analyses de malwares sur vos points de récupération.  | 23 février 2026 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) : nouvelle politique |  AWS Backup a ajouté une nouvelle politique AWS gérée qui GuardDuty autorise Amazon à lire et à scanner les sauvegardes des clients. AWS Backup transmet un rôle avec cette politique GuardDuty lors du lancement des opérations`StartMalwareScan`. Cela est nécessaire pour fournir toutes les autorisations nécessaires aux analyses de programmes malveillants sur les points de récupération des ressources Amazon EC2, Amazon EBS et Amazon S3. Pour plus d'informations, consultez la politique gérée [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans).  | 19 novembre 2025 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) : nouvelle politique |  AWS Backup a ajouté une nouvelle politique AWS gérée qui AWS Backup autorise le lancement d'analyses de programmes malveillants sur vos points de récupération. Cela est nécessaire pour fournir toutes les autorisations nécessaires aux analyses de programmes malveillants sur les points de récupération des ressources Amazon EC2, Amazon EBS et Amazon S3. Pour plus d'informations, consultez la politique gérée [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans).  | 19 novembre 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante |  Ajouté `malware-protection.guardduty.amazonaws.com` à`IamPassRolePermissions`, ce qui est nécessaire pour lancer des tâches d'analyse des logiciels malveillants.   | 19 novembre 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour lancer des tâches d'analyse des programmes malveillants.  | 19 novembre 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent de AWS Backup sauvegarder et de restaurer les clusters Amazon EKS.  | 10 novembre 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent de AWS Backup sauvegarder et de restaurer les clusters Amazon EKS.  | 10 novembre 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de créer des sauvegardes des clusters Amazon EKS et de leurs ressources associées pour le compte des clients.  | 10 novembre 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de créer des sauvegardes des clusters Amazon EKS et de leurs ressources associées pour le compte des clients.  | 10 novembre 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup d'effectuer des opérations de restauration pour les clusters Amazon EKS et leurs ressources associées pour le compte des clients.  | 10 novembre 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante |  AWS Backup a ajouté l'autorisation suivante à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Cette autorisation permet de AWS Backup synchroniser les informations de l'administrateur délégué avec les Organizations pour les fonctionnalités de gestion entre comptes.  | 9 septembre 2025 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) : nouvelle politique |  AWS Backup a ajouté une nouvelle politique AWS gérée qui GuardDuty autorise Amazon à lire et à scanner les sauvegardes des clients. AWS Backup transmet un rôle avec cette politique GuardDuty lors du lancement des opérations`StartMalwareScan`. Cela est nécessaire pour fournir toutes les autorisations nécessaires aux analyses de programmes malveillants sur les points de récupération des ressources Amazon EC2, Amazon EBS et Amazon S3. Pour plus d'informations, consultez la politique gérée [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans).  | 24 novembre 2025 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) : nouvelle politique |  AWS Backup a ajouté une nouvelle politique AWS gérée qui AWS Backup autorise le lancement d'analyses de programmes malveillants sur vos points de récupération. Cela est nécessaire pour fournir toutes les autorisations nécessaires aux analyses de programmes malveillants sur les points de récupération des ressources Amazon EC2, Amazon EBS et Amazon S3. Pour plus d'informations, consultez la politique gérée [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans).  | 24 novembre 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour AWS Backup effectuer des opérations de restauration multirégionales orchestrées pour les ressources DSQL pour le compte des clients.  | 17 juillet 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour AWS Backup l'intégration. Les clients ont AWS Organizations donc la possibilité d'obtenir une approbation multipartite (MPA) dans le cadre de leurs coffres-forts logiquement espacés. Gestion de compte AWS   | 17 juin 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— Mise à jour d'une politique existante : |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour permettre aux clients de restaurer des instantanés de zones de disponibilité multiples (multi-AZ) d'Amazon FSx pour OpenZFS via. AWS Backup  | 27 mai 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de sauvegarder et de restaurer les ressources SQL Amazon Aurora.  | 21 mai 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de sauvegarder et de restaurer les ressources SQL Amazon Aurora.  | 21 mai 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de créer, de supprimer, de récupérer et de gérer des instantanés SQL Amazon Aurora pour le compte des clients.  | 21 mai 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de créer, de supprimer, de récupérer, de chiffrer, de déchiffrer et de gérer des instantanés Amazon Aurora DSQL pour le compte des clients.  | 21 mai 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent de AWS Backup gérer les sauvegardes Aurora DSQL à des intervalles spécifiés par le client.  | 21 mai 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour que les clients désignés aient un accès complet aux sauvegardes Amazon Redshift Serverless, y compris les autorisations de lecture requises ainsi que la possibilité de supprimer les points de restauration Amazon Redshift Serverless (sauvegardes instantanées).   | 31 mars 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour que les clients désignés disposent de toutes les autorisations de sauvegarde nécessaires pour Amazon Redshift Serverless, y compris les autorisations de lecture requises.  | 31 mars 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires AWS Backup pour gérer les instantanés Amazon Redshift Serverless aux intervalles spécifiés par le client.  | 31 mars 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour créer, supprimer, récupérer et gérer les instantanés Amazon Redshift Serverless pour le compte des clients. AWS Backup   | 31 mars 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour AWS Backup restaurer les instantanés Amazon Redshift et Amazon Redshift Serverless pour le compte du client.  | 31 mars 2025 | 
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— Ajout d'une nouvelle politique AWS gérée | AWS Backup a ajouté la politique AWSBackupSearchOperatorAccess AWS gérée. | 27 février 2025 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante  |  AWS Backup a ajouté l'autorisation `rds:AddTagsToResource` de prendre en charge la copie instantanée multi-tenant de plusieurs comptes Amazon RDS des sauvegardes. Cette autorisation est nécessaire pour terminer les opérations lorsqu'un client choisit de créer une copie multicompte d'un instantané RDS partagé.  | 8 janvier 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante |  AWS Backup a ajouté les autorisations `rds:CreateTenantDatabase` et `rds:DeleteTenantDatabase` à cette politique pour prendre en charge le processus de restauration des ressources Amazon RDS. Ces autorisations sont nécessaires pour terminer les opérations client relatives à la restauration des instantanés multi-locataires.  | 8 janvier 2025 | 
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— Ajout d'une nouvelle politique AWS gérée | AWS Backup a ajouté la politique AWSBackupServiceRolePolicyForItemRestores AWS gérée. | 26 novembre 2024 | 
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— Ajout d'une nouvelle politique AWS gérée | AWS Backup a ajouté la politique AWSBackupServiceRolePolicyForIndexing AWS gérée. | 26 novembre 2024 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante |  AWS Backup autorisation ajoutée `backup:TagResource` à cette politique. L'autorisation est nécessaire pour obtenir des autorisations de balisage lors de la création d'un point de récupération.  | 17 mai 2024 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Mise à jour d'une politique existante  |  AWS Backup autorisation ajoutée `backup:TagResource` à cette politique. L'autorisation est nécessaire pour obtenir des autorisations de balisage lors de la création d'un point de récupération.  | 17 mai 2024 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante  |  AWS Backup autorisation ajoutée `backup:TagResource` à cette politique. L'autorisation est nécessaire pour obtenir des autorisations de balisage lors de la création d'un point de récupération.  | 17 mai 2024 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | L'autorisation a été ajoutée`rds:DeleteDBInstanceAutomatedBackups`.  Cette autorisation est nécessaire pour AWS Backup prendre en charge la sauvegarde continue et point-in-time-restore les instances Amazon RDS.  | 1 mai 2024 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | AWS Backup a mis à jour l'Amazon Resource Name (ARN) dans l'autorisation `storagegateway:ListVolumes` de `arn:aws:storagegateway:*:*:gateway/*` à `*` afin de tenir compte d'une modification du modèle d'API Storage Gateway. | 1 mai 2024 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | AWS Backup a mis à jour l'Amazon Resource Name (ARN) dans l'autorisation `storagegateway:ListVolumes` de `arn:aws:storagegateway:*:*:gateway/*` à `*` afin de tenir compte d'une modification du modèle d'API Storage Gateway. | 1 mai 2024 | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) : mise à jour d’une politique existante |  Ajout des autorisations suivantes pour décrire et répertorier les points de récupération et les ressources protégées afin de réaliser des plans de test de restauration : `backup:DescribeRecoveryPoint``backup:DescribeProtectedResource`,`backup:ListProtectedResources`, et`backup:ListRecoveryPointsByResource`. Ajout de l'autorisation `ec2:DescribeSnapshotTierStatus` de prendre en charge le stockage au niveau des archives Amazon EBS. Ajout de l'autorisation `rds:DescribeDBClusterAutomatedBackups` de prendre en charge les sauvegardes continues d'Amazon Aurora. Les autorisations suivantes ont été ajoutées pour prendre en charge les tests de restauration des sauvegardes Amazon Redshift : `redshift:DescribeClusters` et. `redshift:DeleteCluster` Ajout de l'autorisation `timestream:DeleteTable` de prendre en charge les tests de restauration des sauvegardes Amazon Timestream.  | 14 février 2024 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante  |  Ajout des autorisations `ec2:DescribeSnapshotTierStatus` et`ec2:RestoreSnapshotTier`. Ces autorisations sont nécessaires pour que les utilisateurs aient la possibilité de restaurer les ressources Amazon EBS stockées à AWS Backup partir du stockage d'archives. Pour les restaurations d’instances EC2, vous devez également inclure les autorisations comme illustrées dans l’instruction de politique suivante pour lancer l’instance EC2 :  | 27 novembre 2023 | 
|  [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajout des autorisations `ec2:DescribeSnapshotTierStatus` et `ec2:ModifySnapshotTier` de la prise en charge d'une option de stockage supplémentaire pour les ressources Amazon EBS sauvegardées à transférer vers le niveau de stockage des archives. Ces autorisations sont nécessaires pour que les utilisateurs aient la possibilité de transférer les ressources Amazon EBS stockées vers le stockage AWS Backup d'archives.  | 27 novembre 2023 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajout des autorisations `ec2:DescribeSnapshotTierStatus` et `ec2:ModifySnapshotTier` de la prise en charge d'une option de stockage supplémentaire pour les ressources Amazon EBS sauvegardées à transférer vers le niveau de stockage des archives. Ces autorisations sont nécessaires pour que les utilisateurs aient la possibilité de transférer les ressources Amazon EBS stockées vers le stockage AWS Backup d'archives. Ajout des autorisations `rds:DescribeDBClusterSnapshots` et `rds:RestoreDBClusterToPointInTime` des autorisations nécessaires pour les PITR (point-in-time restaurations) des clusters Aurora.  | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) : nouvelle politique |  Fournit les autorisations nécessaires pour effectuer des tests de restauration. Les autorisations incluent les actions `list, read, and write` relatives aux services suivants à inclure dans les tests de restauration : Aurora, DocumentDB, DynamoDB, Amazon EBS, Amazon EC2, Amazon EFS, pour Lustre, pour Windows File Server FSx , pour FSx ONTAP FSx , pour OpenZFS, Amazon Neptune FSx , Amazon RDS et Amazon S3.  | 27 novembre 2023 | 
|  [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante  |  Ajout de `restore-testing.backup.amazonaws.com` à `IamPassRolePermissions` et `IamCreateServiceLinkedRolePermissions`. Cet ajout est nécessaire pour AWS Backup effectuer des tests de restauration pour le compte des clients.   | 27 novembre 2023 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Ajout des autorisations `rds:DescribeDBClusterSnapshots` et `rds:RestoreDBClusterToPointInTime` des autorisations nécessaires pour les PITR (point-in-time restaurations) des clusters Aurora. | 6 septembre 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Ajout de l'autorisation`rds:DescribeDBClusterAutomatedBackups`, qui est nécessaire pour la sauvegarde et la point-in-time restauration continues des clusters Aurora. | 6 septembre 2023 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Ajout de l'autorisation`rds:DescribeDBClusterAutomatedBackups`, qui est nécessaire pour la sauvegarde et la point-in-time restauration continues des clusters Aurora. | 6 septembre 2023 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante |  L'autorisation a été ajoutée`rds:DescribeDBClusterAutomatedBackups`. Cette autorisation est nécessaire pour AWS Backup prendre en charge la sauvegarde et la point-in-time restauration continues des clusters Aurora. Ajout de l'autorisation permettant `rds:DeleteDBClusterAutomatedBackups` au AWS Backup cycle de vie de supprimer et de dissocier les points de restauration continue Amazon Aurora à la fin d'une période de rétention. Cette autorisation est nécessaire pour que le point de récupération Aurora évite une transition vers un état `EXIPIRED`. Ajout de l'autorisation `rds:ModifyDBCluster` qui permet AWS Backup d'interagir avec les clusters Aurora. Cet ajout permet aux utilisateurs d'activer ou de désactiver les sauvegardes continues en fonction des configurations souhaitées.  | 6 septembre 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante |  Ajout de l'action permettant d'accorder `ram:GetResourceShareAssociations` à l'utilisateur l'autorisation d'obtenir des associations de partage de ressources pour le nouveau type de coffre-fort.  | 08 août 2023 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante |  Ajout de l'action permettant d'accorder `ram:GetResourceShareAssociations` à l'utilisateur l'autorisation d'obtenir des associations de partage de ressources pour le nouveau type de coffre-fort.  | 08 août 2023 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Mise à jour d'une politique existante  |  Ajout de l'autorisation `s3:PutInventoryConfiguration` d'améliorer les performances de sauvegarde en utilisant un inventaire des compartiments.  | 1er août 2023 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante  |  Les actions suivantes ont été ajoutées pour autoriser l'utilisateur à ajouter des balises afin de restaurer les ressources :`storagegateway:AddTagsToResource`,`elasticfilesystem:TagResource`, uniquement `ec2:CreateTags` pour `ec2:CreateAction` cela inclut l'un `RunInstances` ou l'autre `CreateVolume``fsx:TagResource`, et`cloudformation:TagResource`.  | 22 mai 2023 | 
|  [AWSBackupAuditAccess](#AWSBackupAuditAccess) : mise à jour d’une politique existante  |  La sélection des ressources dans l'API `config:DescribeComplianceByConfigRule` a été remplacée par une ressource générique afin de faciliter la sélection des ressources par un utilisateur.  | 11 avril 2023 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante  |  Ajout de l'autorisation suivante pour restaurer Amazon EFS à l'aide d'une clé gérée par le client :`kms:GenerateDataKeyWithoutPlaintext`. Cela permet de garantir que les utilisateurs disposent des autorisations requises pour restaurer les ressources Amazon EFS.  | 27 mars 2023 | 
|  [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) : mise à jour d’une politique existante  |  Mise à jour des `config:DescribeConfigRuleEvaluationStatus` actions `config:DescribeConfigRules` et pour permettre à AWS Backup Audit Manager d'accéder aux règles gérées par AWS Backup Audit Manager AWS Config .  | 9 mars 2023 | 
|  [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) — Mise à jour d'une politique existante  |  Les autorisations suivantes ont été ajoutées : `kms:Decrypt``s3:PutBucketOwnershipControls`, et `s3:GetBucketOwnershipControls` à la politique`AWSBackupServiceRolePolicyForS3Restore`. Ces autorisations sont nécessaires pour prendre en charge les restaurations d'objets lorsque le chiffrement KMS est utilisé dans la sauvegarde d'origine et pour restaurer des objets lorsque la propriété des objets est configurée sur le compartiment d'origine au lieu de la liste ACL.  | 13 février 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Ajout des autorisations suivantes pour planifier les sauvegardes à l'aide de VMware balises de machines virtuelles et pour prendre en charge la limitation de bande passante basée sur la planification :`backup-gateway:GetHypervisorPropertyMappings`,,,, `backup-gateway:GetVirtualMachine``backup-gateway:PutHypervisorPropertyMappings`, `backup-gateway:GetHypervisor` et. `backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule`  | 15 décembre 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Ajout des autorisations suivantes pour planifier les sauvegardes à l'aide de VMware balises de machines virtuelles et pour prendre en charge la limitation de bande passante basée sur la planification :`backup-gateway:GetHypervisorPropertyMappings`,, et. `backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule`  | 15 décembre 2022 | 
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync) : nouvelle politique |  Permet à AWS Backup Gateway de synchroniser les métadonnées des machines virtuelles sur les réseaux locaux avec Backup Gateway.  | 15 décembre 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les tâches de sauvegarde Timestream : `timestream:StartAwsBackupJob``timestream:GetAwsBackupStatus`,`timestream:ListTables`,`timestream:ListDatabases`,`timestream:ListTagsForResource`, `timestream:DescribeTable``timestream:DescribeDatabase`, et. `timestream:DescribeEndpoints`  | 13 décembre 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les tâches de restauration Timestream : `timestream:StartAwsRestoreJob` `timestream:GetAwsRestoreStatus``timestream:ListTables`,`timestream:ListTagsForResource`,`timestream:ListDatabases`,`timestream:DescribeTable`, `timestream:DescribeDatabase``s3:GetBucketAcl`, et. `timestream:DescribeEndpoints`  | 13 décembre 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les ressources Timestream :`timestream:ListTables`,`timestream:ListDatabases`, `s3:ListAllMyBuckets` et. `timestream:DescribeEndpoints`  | 13 décembre 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les ressources Timestream :`timestream:ListDatabases`, `timestream:ListTables``s3:ListAllMyBuckets`, et. `timestream:DescribeEndpoints`  | 13 décembre 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les ressources Timestream : `timestream:ListDatabases``timestream:ListTables`,`timestream:ListTagsForResource`,`timestream:DescribeDatabase`,`timestream:DescribeTable`, `timestream:GetAwsBackupStatus``timestream:GetAwsRestoreStatus`, et. `timestream:DescribeEndpoints`  | 13 décembre 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les ressources Amazon Redshift : `redshift:DescribeClusters``redshift:DescribeClusterSubnetGroups`,`redshift:DescribeNodeConfigurationOptions`,`redshift:DescribeOrderableClusterOptions`,`redshift:DescribeClusterParameterGroups`, `redshift:DescribeClusterTracks``redshift:DescribeSnapshotSchedules`, et. `ec2:DescribeAddresses`  | 27 novembre 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les ressources Amazon Redshift :`redshift:DescribeClusters`,,`redshift:DescribeClusterSubnetGroups`,`redshift:DescribeNodeConfigurationOptions`,`redshift:DescribeOrderableClusterOptions`,`redshift:DescribeClusterParameterGroups,`. `redshift:DescribeClusterTracks` `redshift:DescribeSnapshotSchedules`, et`ec2:DescribeAddresses`.  | 27 novembre 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante |  Les autorisations suivantes ont été ajoutées pour prendre en charge les tâches de restauration Amazon Redshift :`redshift:RestoreFromCluster Snapshot`, `redshift:RestoreTableFromClusterSnapshot``redshift:DescribeClusters`, et. `redshift:DescribeTableRestoreStatus`  | 27 novembre 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante |  Les autorisations suivantes ont été ajoutées pour prendre en charge les tâches de sauvegarde Amazon Redshift :`redshift:CreateClusterSnapshot`,`redshift:DescribeClusterSnapshots`,`redshift:DescribeTags`, `redshift:DeleteClusterSnapshot``redshift:DescribeClusters`, et. `redshift:CreateTags`  | 27 novembre 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Ajout de l'autorisation suivante pour les CloudFormation ressources de support :`cloudformation:ListStacks`.  | 27 novembre 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Ajout de l'autorisation suivante pour les CloudFormation ressources de support :`cloudformation:ListStacks`. | 27 novembre 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour CloudFormation les ressources de support : `redshift:DescribeClusterSnapshots``redshift:DescribeTags`,`redshift:DeleteClusterSnapshot`, et`redshift:DescribeClusters`.  | 27 novembre 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les tâches de sauvegarde de la pile d' CloudFormation applications : `cloudformation:GetTemplate``cloudformation:DescribeStacks`, et`cloudformation:ListStackResources`.  | 16 novembre 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Ajout des autorisations suivantes pour prendre en charge les tâches de sauvegarde de la pile d' CloudFormation applications : `cloudformation:CreateChangeSet` et `cloudformation:DescribeChangeSet`  | 16 novembre 2022 | 
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées à cette politique pour permettre aux administrateurs de l'organisation d'utiliser la fonctionnalité d'administrateur délégué : `organizations:ListDelegatedAdministrator``organizations:RegisterDelegatedAdministrator`, et `organizations:DeregisterDelegatedAdministrator`  | 27 novembre 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge SAP HANA sur les instances Amazon EC2 `ssm-sap:GetOperation` :`ssm-sap:ListDatabases`,,`ssm-sap:BackupDatabase`, `ssm-sap:UpdateHanaBackupSettings``ssm-sap:GetDatabase`, et. `ssm-sap:ListTagsForResource`  | 20 novembre 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge SAP HANA sur les instances Amazon EC2 `ssm-sap:GetOperation` :`ssm-sap:ListDatabases`,`ssm-sap:GetDatabase`, et. `ssm-sap:ListTagsForResource`  | 20 novembre 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge SAP HANA sur les instances Amazon EC2 `ssm-sap:GetOperation` :`ssm-sap:ListDatabases`,`ssm-sap:GetDatabase`, et. `ssm-sap:ListTagsForResource`  | 20 novembre 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Ajout de l'autorisation suivante pour prendre en charge SAP HANA sur les instances Amazon EC2 :. `ssm-sap:GetOperation`  | 20 novembre 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | L'autorisation suivante a été ajoutée pour prendre en charge les tâches de restauration de la passerelle Backup sur une instance EC2 :`ec2:CreateTags`.  | 20 novembre 2022 | 
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess) : mise à jour d’une politique existante | Ajout des autorisations suivantes pour prendre en charge le transfert sécurisé des données de stockage pour les ressources SAP HANA On Amazon EC2 `backup-storage:StartObject` :`backup-storage:PutChunk`,,`backup-storage:GetChunk`,`backup-storage:ListChunks`, `backup-storage:ListObjects``backup-storage:GetObjectMetadata`, et. `backup-storage:NotifyObjectComplete`  | 20 novembre 2022 | 
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) — Mise à jour d'une politique existante | Ajout des autorisations suivantes permettant aux propriétaires de ressources d'effectuer la restauration des ressources SAP HANA On Amazon EC2 `backup:Get*` :`backup:List*`,`backup:Describe*`,`backup:StartBackupJob`,`backup:StartRestoreJob`,`ssm-sap:GetOperation`,,`ssm-sap:ListDatabases`,`ssm-sap:BackupDatabase`, `ssm-sap:RestoreDatabase` `ssm-sap:UpdateHanaBackupSettings``ssm-sap:GetDatabase`, et. `ssm-sap:ListTagsForResource`  | 20 novembre 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Mise à jour d'une politique existante  |  Ajout de l'autorisation `s3:GetBucketAcl` de prendre en charge les opérations de sauvegarde AWS Backup pour Amazon S3.  | 24 août 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante  |  Ajout des actions suivantes pour autoriser l'accès à la création d'une instance de base de données prenant en charge la fonctionnalité de zone de disponibilité multiple (multi-AZ) :. `rds:CreateDBInstance`  | 20 juillet 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajout de l'`s3:GetBucketTagging`autorisation d'accorder à l'utilisateur l'autorisation de sélectionner des buckets à sauvegarder avec un caractère générique de ressource. Sans cette autorisation, les utilisateurs qui sélectionnent les compartiments à sauvegarder avec un caractère générique de ressource échouent.  | 6 mai 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajout de ressources de volume dans le cadre des `fsx:ListTagsForResource` actions existantes `fsx:CreateBackup` et ajout d'une nouvelle action FSx pour `fsx:DescribeVolumes` prendre en charge les sauvegardes ONTAP au niveau des volumes.  | 27 avril 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d'une politique existante  |  Les actions suivantes ont été ajoutées pour accorder aux utilisateurs les autorisations de restauration FSx des volumes ONTAP`fsx:DescribeVolumes`, `fsx:CreateVolumeFromBackup``fsx:DeleteVolume`, et`fsx:UntagResource`.  | 27 avril 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Mise à jour d'une politique existante  |  Les actions suivantes ont été ajoutées pour autoriser l'utilisateur à recevoir des notifications de modifications apportées à ses compartiments Amazon S3 lors des opérations de sauvegarde : `s3:GetBucketNotification` et`s3:PutBucketNotification`.  | 25 février 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup — Nouvelle](#AWSBackupServiceRolePolicyForS3Backup) politique  |  Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de sauvegarder ses compartiments Amazon S3 : `s3:GetInventoryConfiguration``s3:PutInventoryConfiguration`,`s3:ListBucketVersions`,`s3:ListBucket`,`s3:GetBucketTagging`,`s3:GetBucketVersioning`, `s3:GetBucketNotification``s3:GetBucketLocation`, et `s3:ListAllMyBuckets` Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de sauvegarder ses objets Amazon S3 : `s3:GetObject``s3GetObjectAcl`,`s3:GetObjectVersionTagging`,`s3:GetObjectVersionAcl`,`s3:GetObjectTagging`, et`s3:GetObjectVersion`.  Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de sauvegarder ses données Amazon S3 chiffrées : `kms:Decrypt` et`kms:DescribeKey`.  Les actions suivantes ont été ajoutées pour autoriser l'utilisateur à effectuer des sauvegardes incrémentielles de ses données Amazon S3 en utilisant EventBridge les règles Amazon : `events:DescribeRule` `events:EnableRule``events:PutRule`,`events:DeleteRule`,`events:PutTargets`,`events:RemoveTargets`,,`events:ListTargetsByRule`, `events:DisableRule``cloudwatch:GetMetricData`, et`events:ListRules`.  | 17 février 2022 | 
| [AWSBackupServiceRolePolicyForS3Restore — Nouvelle](#AWSBackupServiceRolePolicyForS3Restore) politique  |  Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de restaurer ses compartiments Amazon S3 : `s3:CreateBucket``s3:ListBucketVersions`,,`s3:ListBucket`, `s3:GetBucketVersioning``s3:GetBucketLocation`, et`s3:PutBucketVersioning`. Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de restaurer ses compartiments Amazon S3 : `s3:GetObject` `s3:GetObjectVersion``s3:DeleteObject`,`s3:PutObjectVersionAcl`,`s3:GetObjectVersionAcl`,`s3:GetObjectTagging`,`s3:PutObjectTagging`,`s3:GetObjectAcl`, `s3:PutObjectAcl``s3:PutObject`, et`s3:ListMultipartUploadParts`. Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de chiffrer ses données Amazon S3 restaurées :`kms:Decrypt`,`kms:DescribeKey`, et`kms:GenerateDataKey`.  | 17 février 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajouté `s3:ListAllMyBuckets` pour autoriser l'utilisateur à consulter la liste de ses compartiments et à choisir ceux à attribuer à un plan de sauvegarde.  | 14 février 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajouté `backup-gateway:ListVirtualMachines` pour accorder à l'utilisateur l'autorisation de consulter la liste de ses machines virtuelles et de choisir celles à attribuer à un plan de sauvegarde. Ajouté `backup-gateway:ListTagsForResource` pour accorder à l'utilisateur l'autorisation de répertorier les balises de ses machines virtuelles.  | 30 novembre 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajouté `backup-gateway:Backup` pour accorder aux utilisateurs les autorisations nécessaires pour restaurer leurs sauvegardes de machines virtuelles. AWS Backup également ajouté `backup-gateway:ListTagsForResource` pour accorder à l'utilisateur l'autorisation de répertorier les balises attribuées à ses sauvegardes de machines virtuelles.  | 30 novembre 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante  |  Ajouté `backup-gateway:Restore` pour accorder aux utilisateurs les autorisations nécessaires pour restaurer leurs sauvegardes de machines virtuelles.  | 30 novembre 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante  |  Ajout des actions suivantes pour autoriser les utilisateurs à utiliser AWS Backup Gateway pour sauvegarder, restaurer et gérer leurs machines virtuelles :`backup-gateway:AssociateGatewayToServer`,,,`backup-gateway:CreateGateway`,`backup-gateway:DeleteGateway`,`backup-gateway:DeleteHypervisor`,`backup-gateway:DisassociateGatewayFromServer`,`backup-gateway:ImportHypervisorConfiguration`,`backup-gateway:ListGateways`,`backup-gateway:ListHypervisors`,`backup-gateway:ListTagsForResource`,`backup-gateway:ListVirtualMachines`,`backup-gateway:PutMaintenanceStartTime`,`backup-gateway:TagResource`,`backup-gateway:TestHypervisorConfiguration`,`backup-gateway:UntagResource`,`backup-gateway:UpdateGatewayInformation`, et`backup-gateway:UpdateHypervisor`.  | 30 novembre 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante  |  Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de sauvegarder ses machines virtuelles : `backup-gateway:ListGateways``backup-gateway:ListHypervisors`,`backup-gateway:ListTagsForResource`, et`backup-gateway:ListVirtualMachines`.  | 30 novembre 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajouté `dynamodb:ListTagsOfResource` pour accorder à l'utilisateur l'autorisation de répertorier les balises de ses tables DynamoDB à sauvegarder à l'aide des fonctionnalités de sauvegarde avancées AWS Backup de DynamoDB.  | 23 novembre 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajouté `dynamodb:StartAwsBackupJob` pour accorder à l'utilisateur l'autorisation de sauvegarder ses tables DynamoDB à l'aide de fonctionnalités de sauvegarde avancées. Ajouté `dynamodb:ListTagsOfResource` pour accorder à l'utilisateur l'autorisation de copier des balises depuis ses tables DynamoDB source vers ses sauvegardes.  | 23 novembre 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante  |  Ajouté `dynamodb:RestoreTableFromAwsBackup` pour accorder aux utilisateurs les autorisations nécessaires pour restaurer leurs tables DynamoDB sauvegardées à l'aide des fonctionnalités AWS Backup de sauvegarde avancées de DynamoDB.  | 23 novembre 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante  |  Ajouté `dynamodb:RestoreTableFromAwsBackup` pour accorder aux utilisateurs les autorisations nécessaires pour restaurer leurs tables DynamoDB sauvegardées à l'aide des fonctionnalités AWS Backup de sauvegarde avancées de DynamoDB.  | 23 novembre 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante  |  Les actions ont été supprimées `backup:GetRecoveryPointRestoreMetadata` et `rds:DescribeDBSnapshots` parce qu'elles étaient redondantes.  AWS Backup n'avait pas besoin des deux `backup:GetRecoveryPointRestoreMetadata` et `backup:Get*` dans le cadre de`AWSBackupOperatorAccess`. De plus, AWS Backup je n'avais pas besoin des deux `rds:DescribeDBSnapshots` et dans `rds:describeDBSnapshots` le cadre de`AWSBackupOperatorAccess`.  | 23 novembre 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajout des nouvelles actions`elasticfilesystem:DescribeFileSystems`,,`dynamodb:ListTables`,`storagegateway:ListVolumes`,`ec2:DescribeVolumes`,, `ec2:DescribeInstances` `rds:DescribeDBInstances``rds:DescribeDBClusters`, et `fsx:DescribeFileSystems` pour permettre aux clients de consulter et de choisir parmi une liste de leurs ressources AWS Backup prises en charge lors de la sélection des ressources à affecter à un plan de sauvegarde.  | 10 novembre 2021 | 
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) : nouvelle politique  |  Ajouté `AWSBackupAuditAccess` pour accorder à l'utilisateur l'autorisation d'utiliser AWS Backup Audit Manager. Les autorisations incluent la possibilité de configurer des frameworks de conformité et de générer des rapports.  | 24 août 2021 | 
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) : nouvelle politique  |  Ajouté `AWSServiceRolePolicyForBackupReports` pour accorder des autorisations pour un rôle lié à un service afin d'automatiser la surveillance des paramètres de sauvegarde, des tâches et des ressources afin de garantir la conformité avec les frameworks configurés par l'utilisateur.  | 24 août 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante  |  Ajouté `iam:CreateServiceLinkedRole` pour créer un rôle lié à un service (dans la mesure du possible) afin d'automatiser la suppression des points de récupération expirés pour vous. Sans ce rôle lié au service, il est AWS Backup impossible de supprimer les points de récupération expirés une fois que les clients ont supprimé le rôle IAM d'origine qu'ils ont utilisé pour créer leurs points de récupération.  | 5 juillet 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajout de la nouvelle action permettant d'`dynamodb:DeleteBackup``DeleteRecoveryPoint`autoriser l'automatisation de la suppression des points de restauration DynamoDB expirés en fonction des paramètres du cycle de vie de votre plan de sauvegarde.  | 5 juillet 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante  |  Les actions ont été supprimées `backup:GetRecoveryPointRestoreMetadata` et `rds:DescribeDBSnapshots` parce qu'elles étaient redondantes. AWS Backup n'avait pas besoin des deux `backup:GetRecoveryPointRestoreMetadata` et, dans `backup:Get*` le cadre de `AWSBackupOperatorAccess` Also, AWS Backup n'avait pas besoin des deux `rds:DescribeDBSnapshots` et dans `rds:describeDBSnapshots` le cadre de `AWSBackupOperatorAccess`  | 25 mai 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante  |  Les actions ont été supprimées `backup:GetRecoveryPointRestoreMetadata` et `rds:DescribeDBSnapshots` parce qu'elles étaient redondantes. AWS Backup n'avait pas besoin des deux `backup:GetRecoveryPointRestoreMetadata` et `backup:Get*` dans le cadre de`AWSBackupOperatorAccess`. De plus, AWS Backup je n'avais pas besoin des deux `rds:DescribeDBSnapshots` et dans `rds:describeDBSnapshots` le cadre de`AWSBackupOperatorAccess`.  | 25 mai 2021 | 
| [AWSBackupServiceRolePolicyForRestores]() : mise à jour d’une politique existante  |  Ajout de la nouvelle action `fsx:TagResource` permettant d'accorder `StartRestoreJob` l'autorisation d'appliquer des balises aux systèmes de FSx fichiers Amazon pendant le processus de restauration.  | 24 mai 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante  |  Ajout des nouvelles actions `ec2:DescribeImages` et `ec2:DescribeInstances` `StartRestoreJob` autorisation vous permettant de restaurer des instances Amazon EC2 à partir de points de récupération.  | 24 mai 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajout de la nouvelle action `fsx:CopyBackup` pour accorder `StartCopyJob` l'autorisation de copier les points de FSx récupération Amazon entre les régions et les comptes.  | 12 avril 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante  |  Ajout de la nouvelle action `fsx:CopyBackup` pour accorder `StartCopyJob` l'autorisation de copier les points de FSx récupération Amazon entre les régions et les comptes.  | 12 avril 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante  |  Mis à jour pour répondre aux exigences suivantes :  AWS Backup Pour créer une sauvegarde d'une table DynamoDB chiffrée, vous devez ajouter les `kms:Decrypt` autorisations `kms:GenerateDataKey` et le rôle IAM utilisé pour la sauvegarde.  | 10 mars 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante  |  Mis à jour pour répondre aux exigences suivantes : À utiliser AWS Backup pour configurer des sauvegardes continues pour votre base de données Amazon RDS, vérifiez que l'autorisation d'API `rds:ModifyDBInstance` existe dans le rôle IAM défini par la configuration de votre plan de sauvegarde. Pour restaurer les sauvegardes continues Amazon RDS, vous devez ajouter l'autorisation `rds:RestoreDBInstanceToPointInTime` au rôle IAM que vous avez soumis pour la tâche de restauration. Dans la AWS Backup console, pour décrire la plage de temps disponible pour la point-in-time restauration, vous devez inclure l'autorisation d'`rds:DescribeDBInstanceAutomatedBackups`API dans votre politique gérée par IAM.  | 10 mars 2021 | 
|  AWS Backup a commencé à suivre les modifications  |  AWS Backup a commencé à suivre les modifications apportées à ses politiques AWS gérées.  | 10 mars 2021 | 

# Utilisation de rôles liés à un service pour AWS Backup
<a name="using-service-linked-roles"></a>

AWS Backup utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Backup Les rôles liés au service sont prédéfinis par AWS Backup et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. 

**Topics**
+ [Utilisation de rôles pour sauvegarder et copier](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [Utilisation des rôles pour AWS Backup Audit Manager](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [Utilisation des rôles pour les tests de la restauration](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)

# Utilisation de rôles pour sauvegarder et copier
<a name="using-service-linked-roles-AWSServiceRoleForBackup"></a>

AWS Backup utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Backup Les rôles liés au service sont prédéfinis par AWS Backup et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. 

Un rôle lié à un service facilite la configuration AWS Backup car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Backup définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Backup peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Backup ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.

## Autorisations de rôle liées à un service pour AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackup"></a>

AWS Backup utilise le rôle lié au service nommé **AWSServiceRoleForBackup**pour créer et supprimer des sauvegardes de vos AWS ressources en votre nom.

Le rôle AWSService RoleForBackup lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `backup.amazonaws.com`

Pour consulter les autorisations associées à cette politique, reportez-vous [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)à la *référence des politiques AWS gérées*.

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.

## Création d'un rôle lié à un service pour AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackup"></a>

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous listez des ressources à sauvegarder, que vous configurez une sauvegarde entre comptes ou que vous effectuez des sauvegardes dans le AWS Management Console AWS CLI, le ou l' AWS API, vous AWS Backup créez le rôle lié au service pour vous. 

**Important**  
 Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour de plus amples informations, veuillez consulter [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous listez des ressources à sauvegarder, que vous configurez une sauvegarde entre comptes ou que vous effectuez des sauvegardes, vous AWS Backup créez à nouveau le rôle lié au service pour vous. 

## Modification d'un rôle lié à un service pour AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackup"></a>

AWS Backup ne vous permet pas de modifier le rôle AWSService RoleForBackup lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez la section [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) dans le *Guide de l’utilisateur IAM*.

## Supprimer un rôle lié à un service pour AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackup"></a>

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.

### Nettoyage d’un rôle lié à un service
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackup"></a>

Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources utilisées par le rôle. Tout d'abord, vous devez supprimer tous vos points de récupération. Ensuite, vous devez supprimer tous vos coffres-forts de sauvegarde.

**Note**  
Si le AWS Backup service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackup (console)**

1. Pour supprimer tous vos points de restauration et coffres-forts de sauvegarde (à l'exception de votre coffre-fort par défaut), suivez la procédure décrite dans [Supprimer un coffre-fort](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault).

1. Pour supprimer votre coffre-fort par défaut, utilisez la commande suivante dans l' AWS CLI :

   ```
   aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
   ```

**Pour supprimer AWS Backup les ressources utilisées par le AWSService RoleForBackup (AWS CLI)**

1. Pour supprimer tous vos points de récupération, utilisez [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html).

1. Pour supprimer tous vos coffres-forts de sauvegarde, utilisez [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html).

**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackup (API)**

1. Pour supprimer tous vos points de récupération, utilisez `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`.

1. Pour supprimer tous vos coffres-forts de sauvegarde, utilisez `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`.

### Suppression manuelle du rôle lié au service
<a name="slr-manual-delete-AWSServiceRoleForBackup"></a>

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleForBackup service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dans le *Guide de l’utilisateur IAM*.

## Régions prises en charge pour les rôles AWS Backup liés à un service
<a name="slr-regions-AWSServiceRoleForBackup"></a>

AWS Backup prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Fonctionnalités et régions prises en charge par AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Utilisation des rôles pour AWS Backup Audit Manager
<a name="using-service-linked-roles-AWSServiceRoleForBackupReports"></a>

AWS Backup utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Backup Les rôles liés au service sont prédéfinis par AWS Backup et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. 

Un rôle lié à un service facilite la configuration AWS Backup car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Backup définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Backup peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Backup ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.

## Autorisations de rôle liées à un service pour AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupReports"></a>

AWS Backup utilise le rôle lié au service nommé **AWSServiceRoleForBackupReports**— Permet de créer AWS Backup des contrôles, des cadres et des rapports.

Le rôle AWSService RoleForBackupReports lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `reports.backup.amazonaws.com`

Pour voir les autorisations de cette stratégie, consultez [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) dans le *AWS Guide de référence des stratégies gérées par*.

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.

## Création d'un rôle lié à un service pour AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupReports"></a>

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un framework ou un plan de rapport dans le AWS Management Console, le AWS CLI ou l' AWS API, vous AWS Backup créez le rôle lié au service pour vous. 

**Important**  
 Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour de plus amples informations, veuillez consulter [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un framework ou un plan de rapport, AWS Backup crée à nouveau le rôle lié au service pour vous. 

## Modification d'un rôle lié à un service pour AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupReports"></a>

AWS Backup ne vous permet pas de modifier le rôle AWSService RoleForBackupReports lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, voir [Modifier la description d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) dans le Guide de l'utilisateur *IAM*.

## Supprimer un rôle lié à un service pour AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupReports"></a>

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.

### Nettoyage d’un rôle lié à un service
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupReports"></a>

Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources utilisées par le rôle. Vous devez supprimer tous les frameworks et plans de rapports.

**Note**  
Si le AWS Backup service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackupReports (console)**

1. Pour supprimer tous les frameworks, consultez [Suppression des cadres](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html).

1. Pour supprimer tous les plans de rapport, consultez [Suppression de plans de rapport](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html).

**Pour supprimer AWS Backup les ressources utilisées par le AWSService RoleForBackupReports (AWS CLI)**

1. Pour supprimer tous les cadres, utilisez [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html).

1. Pour supprimer tous les plans de rapport, utilisez [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html).

**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackupReports (API)**

1. Pour supprimer tous les frameworks, utilisez [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html).

1. Pour supprimer tous les plans de rapport, utilisez [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html).

### Suppression manuelle du rôle lié au service
<a name="slr-manual-delete-AWSServiceRoleForBackupReports"></a>

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleForBackupReports service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dans le *Guide de l’utilisateur IAM*.

## Régions prises en charge pour les rôles AWS Backup liés à un service
<a name="slr-regions-AWSServiceRoleForBackupReports"></a>

AWS Backup prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Fonctionnalités et régions prises en charge par AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Utilisation des rôles pour les tests de la restauration
<a name="using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Backup Les rôles liés au service sont prédéfinis par AWS Backup et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. 

Un rôle lié à un service facilite la configuration AWS Backup car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Backup définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Backup peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Backup ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.

## Autorisations de rôle liées à un service pour AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup utilise le rôle lié au service nommé **AWSServiceRoleForBackupRestoreTesting**— Fournit des autorisations de sauvegarde pour effectuer des tests de restauration.

Le rôle lié à un service **AWSServiceRoleForBackupRestoreTesting** approuve les services suivants pour endosser le rôle :
+ `restore-testing.backup.amazonaws.com`

Pour voir les autorisations de cette stratégie, consultez [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) dans le *AWS Guide de référence des stratégies gérées par*.

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.

## Création d'un rôle lié à un service pour AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous effectuez des tests de restauration dans le AWS Management Console AWS CLI, le ou l' AWS API, vous AWS Backup créez le rôle lié au service pour vous. 

**Important**  
 Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour de plus amples informations, veuillez consulter [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous effectuez un test de restauration, AWS Backup crée à nouveau le rôle lié au service pour vous.

## Modification d'un rôle lié à un service pour AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup ne vous permet pas de modifier le rôle AWSService RoleForBackupRestoreTesting lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez la section [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) dans le *Guide de l’utilisateur IAM*.

## Supprimer un rôle lié à un service pour AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.

### Nettoyage d’un rôle lié à un service
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupRestoreTesting"></a>

Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources utilisées par le rôle. Vous devez supprimer tous les plans de test de la restauration.

**Note**  
Si le AWS Backup service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackupRestoreTesting (console)**
+ Pour supprimer tous les plans de test de la restauration, consultez [Tests de restauration](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html).

**Pour supprimer AWS Backup les ressources utilisées par le AWSService RoleForBackupRestoreTesting (AWS CLI)**
+ Pour supprimer les plans de test de la restauration, utilisez `delete-restore-testing-plan`.

**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackupRestoreTesting (API)**
+ Pour supprimer les plans de test de la restauration, utilisez `DeleteRestoreTestingPlan`.

### Suppression manuelle du rôle lié au service
<a name="slr-manual-delete-AWSServiceRoleForBackupRestoreTesting"></a>

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au **AWSServiceRoleForBackupRestoreTesting**service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dans le *Guide de l’utilisateur IAM*.

## Régions prises en charge pour les rôles AWS Backup liés à un service
<a name="slr-regions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Fonctionnalités et régions prises en charge par AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Prévention du problème de l’adjoint confus entre services
<a name="cross-service-confused-deputy-prevention"></a>

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.

Nous recommandons d'utiliser les clés de contexte de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui AWS Backup accordent un autre service à la ressource. Si vous utilisez les deux clés de contexte de condition globale, la valeur `aws:SourceAccount` et le compte de la valeur `aws:SourceArn` doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de stratégie.

La valeur de `aws:SourceArn` doit être un AWS Backup coffre-fort lorsque vous l'utilisez AWS Backup pour publier des sujets Amazon SNS en votre nom.

Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l’ARN. Par exemple, `arn:aws::servicename::123456789012:*`. 

L'exemple de politique suivant montre comment vous pouvez utiliser les touches de contexte de condition `aws:SourceAccount` globale `aws:SourceArn` et globale AWS Backup pour éviter le problème de confusion des adjoints. Cette politique accorde au principal de service backup-storage.amazonaws.com la capacité d'effectuer des actions KMS uniquement lorsque le principal de service agit pour le compte 123456789012 sur les coffres-forts de sauvegarde : AWS