Utilisation de AWS rôles pour contrôler l'accès aux sauvegardes Rôle de service par défaut pour AWS Backup Création d'une fonction du service par défaut dans la console

IAMrôles de service

Un rôle AWS Identity and Access Management (IAM) est similaire à un utilisateur, en ce sens qu'il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire AWS. En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. Un rôle de service est un rôle qu'un AWS service assume pour effectuer des actions en votre nom. AWS Backup étant le service qui effectue des opérations de sauvegarde en votre nom, vous devez lui transmettre un rôle à assumer lors des opérations de sauvegarde en votre nom. Pour plus d'informations sur IAM les rôles, consultez la section IAMRôles du guide de IAM l'utilisateur.

Le rôle auquel vous passez AWS Backup doit disposer d'une IAM politique dotée des autorisations lui permettant AWS Backup d'effectuer des actions associées aux opérations de sauvegarde, telles que la création, la restauration ou l'expiration de sauvegardes. Des autorisations différentes sont requises pour chacun des AWS services pris en AWS Backup charge. Le rôle doit également être AWS Backup répertorié comme une entité de confiance, ce qui AWS Backup permet d'assumer le rôle.

Lorsque vous attribuez des ressources à un plan de sauvegarde ou que vous effectuez une sauvegarde, une copie ou une restauration à la demande, vous devez transmettre un rôle de service autorisé à effectuer les opérations sous-jacentes sur les ressources spécifiées. AWS Backup utilise ce rôle pour créer, étiqueter et supprimer des ressources dans votre compte.

Utilisation de AWS rôles pour contrôler l'accès aux sauvegardes

Vous pouvez utiliser des rôles pour contrôler l'accès à vos sauvegardes en définissant des rôles étroitement limités et en spécifiant quelles personnes peuvent transmettre ce rôle à AWS Backup. Par exemple, vous pouvez créer un rôle qui accorde uniquement des autorisations pour sauvegarder les bases de données Amazon Relational Database Service (RDSAmazon) et uniquement autoriser les propriétaires de bases de données RDS Amazon à transmettre ce rôle AWS Backup. AWS Backup fournit plusieurs politiques gérées prédéfinies pour chacun des services pris en charge. Vous pouvez attacher ces politiques gérées aux rôles que vous créez. Cela facilite la création de rôles spécifiques au service dotés des autorisations requises. AWS Backup

Pour plus d'informations sur les politiques AWS gérées pour AWS Backup, consultezPolitiques gérées pour AWS Backup.

Rôle de service par défaut pour AWS Backup

Lorsque vous utilisez la AWS Backup console pour la première fois, vous pouvez choisir de AWS Backup créer un rôle de service par défaut pour vous. Ce rôle dispose des autorisations AWS Backup nécessaires pour créer et restaurer des sauvegardes en votre nom.

Note

Le rôle par défaut est automatiquement créé lorsque vous utilisez la AWS Management Console. Vous pouvez créer le rôle par défaut à l'aide du AWS Command Line Interface (AWS CLI), mais cela doit être fait manuellement.

Si vous préférez utiliser des rôles personnalisés, tels que des rôles distincts pour différents types de ressources, vous pouvez également le faire et transmettre vos rôles personnalisés à AWS Backup. Pour voir des exemples de rôles qui permettent la sauvegarde et la restauration pour des types de ressources individuels, consultez la table Politiques gérées par le client.

Le rôle de service par défaut est nomméAWSBackupDefaultServiceRole. Ce rôle de service contient deux politiques gérées, AWSBackupServiceRolePolicyForBackupet AWSBackupServiceRolePolicyForRestores.

AWSBackupServiceRolePolicyForBackupinclut une IAM politique qui accorde des AWS Backup autorisations pour décrire la ressource sauvegardée, ainsi que la possibilité de créer, de supprimer, de décrire ou d'ajouter des balises à une sauvegarde, quelle que soit la AWS KMS clé avec laquelle elle est chiffrée.

AWSBackupServiceRolePolicyForRestoresinclut une IAM politique qui accorde des AWS Backup autorisations pour créer, supprimer ou décrire la nouvelle ressource créée à partir d'une sauvegarde, quelle que soit la AWS KMS clé avec laquelle elle est chiffrée. Il inclut également des autorisations pour baliser les ressources nouvellement créés.

Pour restaurer une EC2 instance Amazon, vous devez lancer une nouvelle instance.

Création d'une fonction du service par défaut dans la console

Les actions spécifiques que vous effectuez dans la AWS Backup console créent le rôle de service AWS Backup par défaut.

Pour créer le rôle de service AWS Backup par défaut dans votre AWS compte

Ouvrez la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.
Pour créer le rôle pour votre compte, attribuez des ressources à un plan de sauvegarde ou créez une sauvegarde à la demande.
1. Créez un plan de sauvegarde et attribuez des ressources à la sauvegarde. Consultez la section Création d'un plan de sauvegarde.
2. Vous pouvez également créer une sauvegarde à la demande. Consultez Création d'une sauvegarde à la demande.
Vérifiez que vous avez créé le AWSBackupDefaultServiceRole dans votre compte en suivant ces étapes :
1. Patientez quelques minutes. Pour plus d'informations, consultez Les modifications que j'apporte ne sont pas toujours visibles immédiatement dans le Guide de l'utilisateur AWS Identity and Access Management.
2. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.
3. Dans le menu de navigation de gauche, choisissez Rôles.
4. Dans la barre de recherche, saisissez AWSBackupDefaultServiceRole. Si cette sélection existe, vous avez créé le rôle AWS Backup par défaut et terminé cette procédure.
5. Si ce n'est AWSBackupDefaultServiceRole toujours pas le cas, ajoutez les autorisations suivantes à l'IAMutilisateur ou au IAM rôle que vous utilisez pour accéder à la console.
```
{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "iam:CreateRole",
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
    },
    {
      "Effect":"Allow",
      "Action":[
        "iam:ListRoles"
      ],
      "Resource":"*"
    }
  ]
}
```
  Pour les régions chinoises, remplacez aws avec aws-cn. Pour AWS GovCloud (US) les régions, remplacez aws avec aws-us-gov.
6. Si vous ne pouvez pas ajouter d'autorisations à votre IAM utilisateur ou à votre IAM rôle, demandez à votre administrateur de créer manuellement un rôle sous un autre nom AWSBackupDefaultServiceRole et de l'associer à ces politiques gérées :
  - AWSBackupServiceRolePolicyForBackup
  - AWSBackupServiceRolePolicyForRestores

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Contrôle d’accès

Politiques gérées