Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans AWS Backup
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS Backup, consultez la section [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** : votre responsabilité pour AWS Backup inclut, sans toutefois s'y limiter, les éléments suivants. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation, et la législation et la réglementation applicables.
+ Répondre aux communications que vous recevez de AWS.
+ Gestion des informations d'identification que vous et votre équipe utilisez. Pour plus d'informations, consultez la section [Gestion des identités et des accès dans AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-iam.html).
+ Configuration de vos plans de sauvegarde et attributions de ressources pour refléter les politiques de protection des données de votre organisation. Pour plus d'informations, consultez [Gestion des plans de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html).
+ Tester régulièrement votre capacité à trouver certains points de récupération et à les restaurer. Pour plus d'informations, consultez la page [Utilisation des sauvegardes](https://docs.aws.amazon.com/aws-backup/latest/devguide/recovery-points.html).
+ Intégrer AWS Backup des procédures dans les procédures écrites de reprise après sinistre et de continuité des activités de votre organisation. Pour un point de départ, consultez [Mise en route avec AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html).
+ Assurez-vous que vos employés connaissent et se sont entraînés à utiliser AWS Backup les procédures de votre organisation en cas d'urgence. Pour plus d'informations, consultez le [Cadre AWS Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html).
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation AWS Backup. Les rubriques suivantes expliquent comment procéder à la configuration AWS Backup pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos AWS Backup ressources.
**Topics**
+ [Validation de conformité](backup-compliance.md)
+ [Protection des données](data-protection.md)
+ [Gestion des identités et des accès](backup-iam.md)
+ [Sécurité de l’infrastructure](infrastructure-security.md)
+ [Intégrité](backup-integrity.md)
+ [Conservations légales](legalhold.md)
+ [Protection contre les logiciels malveillants](malware-protection.md)
+ [Résilience](disaster-recovery-resiliency.md)
# Validation de conformité pour AWS Backup
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Protection des données dans AWS Backup
AWS Backup est conforme au [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/), qui inclut des réglementations et des directives pour la protection des données. AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS services. AWS conserve le contrôle des données hébergées sur cette infrastructure, y compris les contrôles de configuration de sécurité pour le traitement du contenu client et des données personnelles. AWS les clients et les AWS partenaires du réseau de partenaires (APN), agissant en tant que responsables du traitement des données ou en tant que sous-traitants, sont responsables de toutes les données personnelles qu'ils saisissent dans le AWS Cloud.
Pour des raisons de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer des comptes utilisateur individuels avec Gestion des identités et des accès AWS (IAM). Cela permet de garantir que chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour les besoins de ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez le protocole SSL (Secure Sockets Layer) ou TLS (Transport Layer Security) pour communiquer avec les ressources AWS .
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut au sein AWS des services.
Nous vous recommandons vivement de ne jamais placer d’informations identifiables sensibles, telles que les numéros de compte de vos clients, dans des champs de formulaire comme **Nom**. Cela inclut lorsque vous travaillez avec AWS Backup ou avec d'autres AWS services à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans AWS Backup ou d'autres services peuvent être récupérées pour être insérées dans des journaux de diagnostic. Lorsque vous fournissez une URL à un serveur externe, n’incluez pas les informations d’identification non chiffrées dans l’URL pour valider votre demande adressée au serveur.
Pour en savoir plus sur la protection des données, consultez le billet de blog [Modèle de responsabilité partagée AWS et RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog sur la sécurité d’AWS *.
# Chiffrement pour les sauvegardes dans AWS Backup
## Chiffrement indépendant
AWS Backup propose un chiffrement indépendant pour les [types de ressources qui prennent en charge AWS Backup la gestion complète](backup-feature-availability.md#features-by-resource). Le chiffrement indépendant signifie que les points de restauration (sauvegardes) que vous créez AWS Backup peuvent avoir une méthode de chiffrement autre que celle déterminée par le chiffrement de la ressource source. Par exemple, votre sauvegarde d'un compartiment Amazon S3 peut utiliser une méthode de chiffrement différente de celle du compartiment source que vous avez chiffré avec le chiffrement Amazon S3. Ce chiffrement est contrôlé par le biais de la configuration des AWS KMS clés dans le coffre de sauvegarde dans lequel votre sauvegarde est stockée.
Les sauvegardes de types de ressources qui ne sont pas entièrement gérés par héritent AWS Backup généralement des paramètres de chiffrement de leur ressource source. Vous pouvez configurer ces paramètres de chiffrement conformément aux instructions de ce service, telles que le [chiffrement Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) dans le guide de l'*utilisateur Amazon EBS*.
Votre rôle IAM doit avoir accès à la clé KMS utilisée pour sauvegarder et restaurer l'objet. Dans le cas contraire, la tâche est réussie mais les objets ne sont ni sauvegardés ni restaurés. Les autorisations de la politique IAM et de la politique des clés KMS doivent être cohérentes. Pour plus d'informations, consultez la section [Spécification des clés KMS dans les déclarations de politique IAM](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html) du *Guide du AWS Key Management Service développeur*.
Le tableau suivant répertorie chaque type de ressource pris en charge. Il indique également la façon dont le chiffrement est configuré pour les sauvegardes et si un chiffrement indépendant est pris en charge pour les sauvegardes. Lorsqu' AWS Backup chiffre une sauvegarde de manière indépendante, il utilise l'algorithme de chiffrement AES-256 standard. Pour plus d'informations sur le chiffrement dans AWS Backup, consultez [la section Sauvegarde entre régions](cross-region-backup.md) et [entre comptes](create-cross-account-backup.md).
| Type de ressource | Configuration du chiffrement | AWS Backup Chiffrement indépendant |
| --- | --- | --- |
| Amazon Simple Storage Service (Amazon S3) | Les sauvegardes Amazon S3 sont chiffrées à l'aide d'une clé AWS KMS (AWS Key Management Service) associée au coffre de sauvegarde. La clé AWS KMS peut être une clé gérée par le client ou une clé AWS gérée associée au service. AWS Backup AWS Backup chiffre toutes les sauvegardes même si les compartiments Amazon S3 source ne sont pas chiffrés. | Pris en charge |
| VMware machines virtuelles | Les sauvegardes de machines virtuelles sont toujours chiffrées. La clé de AWS KMS chiffrement pour les sauvegardes de machines virtuelles est configurée dans le AWS Backup coffre dans lequel les sauvegardes de machines virtuelles sont stockées. | Pris en charge |
| Amazon DynamoDB après avoir activé [Sauvegarde DynamoDB avancée](advanced-ddb-backup.md) | Les sauvegardes DynamoDB sont toujours chiffrées. La clé de AWS KMS chiffrement pour les sauvegardes DynamoDB est configurée dans AWS Backup le coffre dans lequel les sauvegardes DynamoDB sont stockées. | Pris en charge |
| Amazon DynamoDB sans avoir activé [Sauvegarde DynamoDB avancée](advanced-ddb-backup.md) | Les sauvegardes DynamoDB sont automatiquement chiffrées avec la même clé de chiffrement que celle utilisée pour chiffrer la table DynamoDB source. Les instantanés de tables DynamoDB non chiffrés ne sont pas chiffrés non plus. AWS Backup Pour créer une sauvegarde d'une table DynamoDB chiffrée, vous devez ajouter les `kms:Decrypt` autorisations `kms:GenerateDataKey` et le rôle IAM utilisé pour la sauvegarde. Vous pouvez également utiliser le rôle de service AWS Backup par défaut. | Non pris en charge |
| Amazon Elastic File System (Amazon EFS) | Les sauvegardes Amazon EFS sont toujours chiffrées. La clé de AWS KMS chiffrement pour les sauvegardes Amazon EFS est configurée dans le AWS Backup coffre dans lequel les sauvegardes Amazon EFS sont stockées. | Pris en charge |
| Amazon Elastic Block Store (Amazon EBS) | Par défaut, les sauvegardes Amazon EBS sont soit chiffrées à l'aide de la clé utilisée pour chiffrer le volume source, soit elles ne sont pas chiffrées. Pendant la restauration, vous pouvez choisir de remplacer la méthode de chiffrement par défaut en spécifiant une clé KMS. | Non pris en charge |
| Amazon Elastic Compute Cloud (Amazon EC2) AMIs | AMIs ne sont pas chiffrés. Les instantanés EBS sont chiffrés selon les règles de chiffrement par défaut pour les sauvegardes EBS (voir l'entrée relative à EBS). Les instantanés EBS des données et des volumes racines peuvent être chiffrés et attachés à une AMI. | Non pris en charge |
| Amazon Relational Database Service (Amazon RDS) | Les instantanés Amazon RDS sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer la base de données Amazon RDS source. Les instantanés de bases de données Amazon RDS non chiffrés ne sont pas chiffrés non plus. | Non pris en charge |
| Amazon Aurora | Les instantanés de cluster Aurora sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer le cluster Amazon Aurora source. Les instantanés de clusters Aurora non chiffrés ne sont pas chiffrés. | Non pris en charge |
| AWS Storage Gateway | Les instantanés Storage Gateway sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer le volume Storage Gateway source. Les instantanés de volumes Storage Gateway non chiffrés ne sont pas chiffrés non plus. Vous n'avez pas besoin d'utiliser une clé gérée par le client pour tous les services pour activer Storage Gateway. Il vous suffit de copier la sauvegarde Storage Gateway dans un coffre-fort qui a configuré une clé KMS. Cela est dû au fait que Storage Gateway ne possède pas de clé AWS KMS gérée spécifique au service. | Non pris en charge |
| Amazon FSx | Les fonctionnalités de chiffrement des systèmes de FSx fichiers Amazon varient en fonction du système de fichiers sous-jacent. Pour en savoir plus sur votre système de FSx fichiers Amazon en particulier, consultez le [guide de FSx l'utilisateur](https://docs.aws.amazon.com/fsx/) approprié. | Non pris en charge |
| Amazon DocumentDB | Les instantanés de cluster Amazon DocumentDB sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer le cluster Amazon DocumentDB source. Les instantanés de clusters Amazon DocumentDB non chiffrés ne sont pas chiffrés. | Non pris en charge |
| Amazon Neptune | Les instantanés de cluster Neptune sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer le cluster Neptune source. Les instantanés de clusters Neptune non chiffrés ne sont pas chiffrés. | Non pris en charge |
| Amazon Timestream | Les sauvegardes d'instantanés de la table Timestream sont toujours chiffrées. La clé de AWS KMS chiffrement pour les sauvegardes Timestream est configurée dans le coffre de sauvegarde dans lequel les sauvegardes Timestream sont stockées. | Pris en charge |
| Amazon Redshift | Les clusters Amazon Redshift sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer le cluster Amazon Redshift source. Les instantanés de clusters Amazon Redshift non chiffrés ne sont pas chiffrés. | Non pris en charge |
| Amazon Redshift sans serveur | Les instantanés Redshift Serverless sont automatiquement chiffrés avec la même clé de chiffrement que celle utilisée pour chiffrer la source. | Non pris en charge |
| CloudFormation | CloudFormation les sauvegardes sont toujours cryptées. La clé de CloudFormation chiffrement pour les CloudFormation sauvegardes est configurée dans le CloudFormation coffre dans lequel les CloudFormation sauvegardes sont stockées. | Pris en charge |
| Bases de données SAP HANA sur des instances Amazon EC2 | Les sauvegardes de base de données SAP HANA sont toujours chiffrées. La clé de AWS KMS chiffrement pour les sauvegardes de base de données SAP HANA est configurée dans le AWS Backup coffre dans lequel les sauvegardes de base de données sont stockées. | Pris en charge |
**Astuce**
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) vous aide à détecter automatiquement les sauvegardes non chiffrées.
## Chiffrement des copies d'une sauvegarde sur un autre compte ou Région AWS
Lorsque vous copiez vos sauvegardes entre comptes ou régions, les copies sont AWS Backup automatiquement chiffrées pour la plupart des types de ressources, même si la sauvegarde d'origine n'est pas chiffrée. AWS Backup chiffre la copie à l'aide de la clé KMS du coffre cible.
Avant de copier une sauvegarde d'un compte vers un autre (tâche de copie entre comptes) ou de copier une sauvegarde d'une région à une autre (tâche de copie interrégionale), tenez compte des conditions suivantes, dont la plupart dépendent du fait que le type de ressource de la sauvegarde (point de restauration) est [entièrement géré par AWS Backup ou non entièrement](backup-feature-availability.md#features-by-resource) géré.
+ Une copie d'une sauvegarde vers une autre Région AWS est chiffrée à l'aide de la clé du coffre de destination.
+ Pour obtenir une copie d'un point de restauration (sauvegarde) d'une ressource **entièrement gérée par AWS Backup**, vous pouvez choisir de la chiffrer avec une [clé gérée par le client (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) ou une clé AWS Backup gérée (`aws/backup`).
Pour une copie d'un point de restauration d'une ressource qui **n'est pas entièrement gérée** par AWS Backup, la clé associée au coffre de destination doit être une clé CMK ou la clé gérée du service propriétaire de la ressource sous-jacente. Par exemple, si vous copiez une instance EC2, une clé gérée Backup ne peut pas être utilisée. Il faut plutôt utiliser une clé CMK ou Amazon EBS KMS (`aws/ebs`) pour éviter l'échec de la tâche de copie.
+ La copie entre comptes avec clés AWS gérées n'est pas prise en charge pour les ressources qui ne sont pas entièrement gérées par AWS Backup. La [politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) d'une clé AWS gérée est immuable, ce qui empêche de copier la clé d'un compte à un autre. Si vos ressources sont chiffrées à l'aide de clés AWS gérées et que vous souhaitez effectuer une copie entre comptes, vous pouvez [remplacer les clés de chiffrement](https://repost.aws/knowledge-center/update-encryption-key-rds) par une clé gérée par le client, qui peut être utilisée pour la copie entre comptes. Vous pouvez également suivre les instructions de la [section Protection des instances Amazon RDS chiffrées avec des sauvegardes entre comptes et entre régions](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/) pour continuer à utiliser AWS des clés gérées.
+ Les copies des clusters Amazon Aurora, Amazon DocumentDB et Amazon Neptune non chiffrés sont également déchiffrées.
## AWS Backup autorisations, autorisations et déclarations de refus
Pour éviter l'échec des tâches, vous pouvez examiner la politique AWS KMS clé pour vous assurer qu'elle dispose des autorisations requises et qu'elle ne contient aucune déclaration de refus empêchant le succès des opérations.
Les tâches échouées peuvent se produire en raison d'une ou de plusieurs instructions Deny appliquées à la clé KMS ou en raison d'une [autorisation](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) révoquée pour la clé.
Dans une politique d'accès AWS géré telle que [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html), certaines actions Autoriser permettent de créer une interface AWS Backup AWS KMS pour créer une autorisation sur une clé KMS au nom d'un client dans le cadre des opérations de sauvegarde, de copie et de stockage.
La politique clé nécessite au minimum les autorisations suivantes :
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`
Si des politiques de refus sont nécessaires, vous devrez autoriser la liste des rôles requis pour les opérations de sauvegarde et de restauration.
Ces éléments peuvent ressembler à :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KmsPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "KmsCreateGrantPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:backup:backup-vault"
},
"Bool": {
"kms:GrantIsForAWSResource": true
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
------
Ces autorisations doivent faire partie de la clé, qu'elles soient AWS gérées ou gérées par le client.
1. Assurez-vous que les autorisations requises font partie de la politique clé de KMS
1. Exécutez KMS CLI `get-key-policy` ([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) pour afficher la politique de clé attachée à la clé KMS spécifiée.
1. Vérifiez les autorisations renvoyées.
1. Assurez-vous qu'aucune instruction Deny n'affecte les opérations
1. Exécutez (ou réexécutez) CLI `get-key-policy` ([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) pour afficher la politique de clé attachée à la clé KMS spécifiée.
1. Passez en revue la politique.
1. Supprimez les instructions Deny pertinentes de la politique de clé KMS.
1. Si nécessaire, exécutez [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)pour remplacer ou mettre à jour la politique clé avec des autorisations révisées et des instructions Deny supprimées.
En outre, la clé associée au rôle à l'origine d'une tâche de copie interrégionale doit figurer `"kms:ResourcesAliases": "alias/aws/backup"` dans l'`DescribeKey`autorisation.
# Chiffrement des informations d'identification de l'hyperviseur de machine virtuelle
Les machines virtuelles [gérées par un hyperviseur](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html) utilisent [AWS Backup Gateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html) pour connecter les systèmes sur site à AWS Backup. Il est important que les hyperviseurs disposent de la même sécurité robuste et fiable. Cette sécurité peut être atteinte en chiffrant l'hyperviseur, soit à l'aide de clés AWS détenues, soit à l'aide de clés gérées par le client.
## AWS clés détenues et gérées par le client
AWS Backup fournit le chiffrement des informations d'identification de l'hyperviseur afin de protéger les informations de connexion sensibles des clients à l'aide de clés de **chiffrement AWS détenues**. Vous avez la possibilité d'utiliser des **clés gérées par le client** à la place.
Par défaut, les clés utilisées pour chiffrer les informations d'identification dans votre hyperviseur sont des clés **AWS détenues**. AWS Backup utilise ces clés pour chiffrer automatiquement les informations d'identification de l'hyperviseur. Vous ne pouvez ni consulter, ni gérer, ni utiliser AWS les clés que vous possédez, ni auditer leur utilisation. Toutefois, vous n’avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section sur les clés AWS détenues dans le [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt).
Les informations d'identification peuvent également être chiffrées à l'aide de *clés gérées par le client*. AWS Backup prend en charge l'utilisation de clés symétriques gérées par le client que vous créez, possédez et gérez pour effectuer votre chiffrement. Étant donné que vous avez le contrôle total de ce chiffrement, vous pouvez effectuer les tâches suivantes :
+ Établissement et gestion des stratégies de clé
+ Établissement et gestion des politiques IAM et des octrois
+ Activation et désactivation des stratégies de clé
+ Rotation des matériaux de chiffrement de clé
+ Ajout de balises
+ Création d’alias de clé
+ Planification des clés pour la suppression
Lorsque vous utilisez une clé gérée par le client, AWS Backup vérifie si votre rôle est autorisé à déchiffrer à l'aide de cette clé (avant l'exécution d'une tâche de sauvegarde ou de restauration). Vous devez ajouter l'action `kms:Decrypt` au rôle utilisé pour démarrer une tâche de sauvegarde ou de restauration.
Comme l'action `kms:Decrypt` ne peut pas être ajoutée au rôle de sauvegarde par défaut, vous devez utiliser un rôle autre que le rôle de sauvegarde par défaut pour utiliser les clés gérées par le client.
Pour plus d'informations, consultez [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *Manuel du développeur AWS Key Management Service *.
## Octroi requis lors de l'utilisation des clés gérées par le client
AWS KMS nécessite une [autorisation](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) pour utiliser votre clé gérée par le client. Lorsque vous importez une [configuration d'hyperviseur](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html) chiffrée à l'aide d'une clé gérée par le client, AWS Backup vous créez une autorisation en votre nom en envoyant une [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)demande à AWS KMS. AWS Backup utilise des autorisations pour accéder à une clé KMS dans un compte client.
Vous pouvez révoquer l'accès à l'autorisation ou supprimer AWS Backup l'accès à la clé gérée par le client à tout moment. Dans ce cas, toutes les passerelles associées à votre hyperviseur ne pourront plus accéder au nom d'utilisateur et au mot de passe de l'hyperviseur chiffrés par la clé gérée par le client, ce qui affectera vos tâches de sauvegarde et de restauration. Plus précisément, les tâches de sauvegarde et de restauration que vous effectuez sur les machines virtuelles de cet hyperviseur échoueront.
Backup gateway utilise cette opération `RetireGrant` pour supprimer un octroi lorsque vous supprimez un hyperviseur.
## Surveillance des clés de chiffrement
Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos AWS Backup ressources, vous pouvez utiliser [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) pour suivre les demandes AWS Backup envoyées à AWS KMS.
Recherchez les AWS CloudTrail événements contenant les `"eventName"` champs suivants pour surveiller les AWS KMS opérations appelées pour accéder AWS Backup aux données chiffrées par votre clé gérée par le client :
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`
# Gestion des identités et des accès dans AWS Backup
L'accès à AWS Backup nécessite des informations d'identification. Ces informations d'identification doivent être autorisées à accéder aux ressources AWS , par exemple une base de données Amazon DynamoDB ou un système de fichiers Amazon EFS. De plus, les points de récupération créés par AWS Backup certains services AWS Backup pris en charge ne peuvent pas être supprimés à l'aide du service source (tel qu'Amazon EFS). Vous pouvez supprimer ces points de récupération à l'aide de AWS Backup.
Les sections suivantes fournissent des détails sur la façon dont vous pouvez utiliser [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) et AWS Backup pour sécuriser l'accès à vos ressources.
**Avertissement**
AWS Backup utilise le même rôle IAM que celui que vous avez choisi lors de l'attribution des ressources pour gérer le cycle de vie de votre point de restauration. Si vous supprimez ou modifiez ce rôle, vous AWS Backup ne pouvez pas gérer le cycle de vie de votre point de restauration. Dans ce cas, il tentera d'utiliser un rôle lié à un service pour gérer votre cycle de vie. Dans un faible pourcentage de cas, cela peut également ne pas fonctionner, laissant des points de récupération `EXPIRED` sur votre stockage, ce qui peut entraîner des coûts indésirables. Pour supprimer des points de récupération `EXPIRED`, supprimez-les manuellement à l'aide de la procédure décrite dans [Suppression des sauvegardes](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).
**Topics**
+ [Authentification](authentication.md)
+ [Contrôle d’accès](access-control.md)
+ [Fonctions du service IAM](iam-service-roles.md)
+ [Politiques gérées pour AWS Backup](security-iam-awsmanpol.md)
+ [Utilisation de rôles liés à un service pour AWS Backup](using-service-linked-roles.md)
+ [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md)
# Authentification
L'accès aux services que vous sauvegardez AWS Backup ou AWS aux services que vous sauvegardez nécessite des informations d'identification qui AWS peuvent être utilisées pour authentifier vos demandes. Vous pouvez y accéder AWS sous l'un des types d'identités suivants :
+ **Compte AWS utilisateur root** — Lorsque vous vous inscrivez AWS, vous fournissez une adresse e-mail et un mot de passe associés à votre AWS compte. Il s'agit de votre *utilisateur root du Compte AWS *. Ses informations d'identification fournissent un accès complet à toutes vos AWS ressources.
**Important**
Pour des raisons de sécurité, nous vous conseillons d'utiliser les informations d'utilisateur racine uniquement pour créer un *administrateur*. L'administrateur est un *utilisateur IAM* disposant des autorisations complètes sur votre Compte AWS. Vous pouvez ensuite utiliser cet utilisateur administrateur pour créer d'autres rôles et utilisateurs IAM dotés d'autorisations limitées. Pour plus d'informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) et [Création de votre premier utilisateur administrateur et groupe IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) dans le *Guide de l'utilisateur IAM*.
+ **Utilisateur IAM** : un [utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) est une identité au sein de votre Compte AWS qui dispose d'autorisations personnalisées spécifiques (par exemple, des autorisations pour créer un coffre-fort de sauvegarde dans lequel stocker vos sauvegardes). [Vous pouvez utiliser un nom d'utilisateur et un mot de passe IAM pour vous connecter à des AWS pages Web sécurisées telles que [AWS Management Console](https://console.aws.amazon.com/)les [forums de AWS discussion](https://forums.aws.amazon.com/) ou le AWS Support centre.](https://console.aws.amazon.com/support/home#/)
En plus de générer un nom utilisateur et un mot de passe, vous pouvez générer des [clés d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) pour chaque utilisateur. Vous pouvez utiliser ces clés lorsque vous accédez aux AWS services par programmation, soit par le biais [de l'une des nombreuses SDKs clés, soit à l'](https://aws.amazon.com/developer/tools/)aide de la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/). Les outils AWS CLI et les SDK utilisent les clés d'accès pour signer de façon cryptographique votre demande. Si vous n'utilisez pas les outils AWS , vous devez signer la demande vous-même. Pour plus d'informations sur l'authentification des demandes, consultez [Processus de signature Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) dans le document *Références générales AWS*.
+ **Rôle IAM :** un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une autre identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Le concept ressemble à celui d'un utilisateur IAM, mais ce rôle n'est pas associé à une personne en particulier. Un rôle IAM vous permet d'obtenir des clés d'accès temporaires qui peuvent être utilisées pour accéder aux AWS services et aux ressources. Les rôles IAM avec des informations d’identification temporaires sont utiles dans les cas suivants :
+ Accès utilisateur fédéré : au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités utilisateur préexistantes provenant de Directory Service l'annuaire des utilisateurs de votre entreprise ou d'un fournisseur d'identité Web. On parle alors d'*utilisateurs fédérés*. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé via un [fournisseur d'identité](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Pour plus d'informations sur les utilisateurs fédérés, consultez [Utilisateurs fédérés et rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) dans le *Guide de l'utilisateur IAM*.
+ Administration entre comptes : vous pouvez utiliser un rôle IAM dans votre compte pour accorder d'autres Compte AWS autorisations afin d'administrer les ressources de votre compte. À titre d'exemple, voir [Tutoriel : accès délégué à Comptes AWS l'aide de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) dans le guide de l'*utilisateur IAM*.
+ AWS accès au service : vous pouvez utiliser un rôle IAM dans votre compte pour accorder à un AWS service l'autorisation d'accéder aux ressources de votre compte. Pour plus d'informations, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *guide de l'utilisateur IAM*.
+ Applications exécutées sur Amazon Elastic Compute Cloud (Amazon EC2) : vous pouvez utiliser un rôle IAM pour gérer les informations d'identification temporaires des applications exécutées sur une instance Amazon EC2 et effectuant des demandes d'API. AWS Cette solution est préférable au stockage des clés d’accès au sein de l’instance EC2. Pour attribuer un AWS rôle à une instance EC2 et le mettre à la disposition de toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez [Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) dans le *Guide de l’utilisateur IAM*.
# Contrôle d’accès
Vous pouvez disposer d'informations d'identification valides pour authentifier vos demandes, mais si vous ne disposez pas des autorisations appropriées, vous ne pouvez pas accéder aux AWS Backup ressources telles que les coffres-forts de sauvegarde. Vous ne pouvez pas non plus sauvegarder AWS des ressources telles que les volumes Amazon Elastic Block Store (Amazon EBS).
Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisation aux identités Gestion des identités et des accès AWS (IAM) (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Certains services prennent également en charge l'attachement de stratégies d'autorisation aux ressources.
Un *administrateur de compte* (ou utilisateur administrateur) est un utilisateur doté d'autorisations d'administrateur. Pour plus d'informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l'utilisateur IAM*.
Lorsque vous accordez des autorisations, vous décidez qui doit les obtenir, à quelles ressources ces autorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.
Les sections suivantes expliquent le fonctionnement des stratégies d'accès et leur utilisation pour protéger vos sauvegardes.
**Topics**
+ [Ressources et opérations](#access-control-resources)
+ [Propriété des ressources](#access-control-owner)
+ [Spécification des éléments d’une politique : actions, effets et principaux](#access-control-specify-backup-actions)
+ [Spécification de conditions dans une politique](#specifying-conditions)
+ [Autorisations d'API : référence des actions, ressources et conditions](#backup-api-permissions-ref)
+ [Autorisations de copie de balises](#copy-tags)
+ [politiques d'accès](#access-policies)
## Ressources et opérations
Une ressource est un objet existant au sein d'un service. AWS Backup les ressources incluent les plans de sauvegarde, les coffres-forts de sauvegarde et les sauvegardes. *Backup* est un terme général qui fait référence aux différents types de ressources de sauvegarde qui existent dans AWS. Par exemple, les instantanés Amazon EBS, les instantanés Amazon Relational Database Service (Amazon RDS) et les sauvegardes Amazon DynamoDB sont tous des types de ressources de sauvegarde.
Dans AWS Backup, les sauvegardes sont également appelées *points de restauration*. Lors de l'utilisation AWS Backup, vous travaillez également avec les ressources d'autres AWS services que vous essayez de protéger, tels que les volumes Amazon EBS ou les tables DynamoDB. Ces ressources sont associées à des noms de ressources Amazon (ARNs) uniques. ARNs identifier les AWS ressources de manière unique. Vous devez disposer d'un ARN pour spécifier une ressource sans aucune ambiguïté au sein d' AWS, par exemple dans les politiques IAM ou les appels d'API.
Le tableau suivant répertorie les ressources, les sous-ressources, le format ARN et un exemple d'ID unique.
**AWS Backup ressource ARNs**
| Type de ressource | Format ARN | Exemple d'ID unique |
| --- | --- | --- |
| Plan de sauvegarde | arn:aws:backup:region:account-id:backup-plan:\$1 | |
| Coffre-fort de sauvegarde | arn:aws:backup:region:account-id:backup-vault:\$1 | |
| Point de récupération pour Amazon EBS | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 |
| Point de récupération pour les images Amazon EC2 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 |
| Point de récupération pour Amazon RDS | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Point de récupération pour Aurora | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Point de restauration pour Aurora DSQL | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a |
| Point de récupération pour Storage Gateway | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 |
| Point de récupération pour DynamoDB sans [Sauvegarde DynamoDB avancée](advanced-ddb-backup.md) | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| Point de récupération pour DynamoDB avec [Sauvegarde DynamoDB avancée](advanced-ddb-backup.md) activé | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Point de récupération pour Amazon EFS | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Point de récupération pour Amazon FSx | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 |
| Point de récupération pour une machine virtuelle | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Point de récupération pour la sauvegarde continue Amazon S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 |
| Point de récupération pour la sauvegarde périodique S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 |
| Point de récupération pour Amazon DocumentDB | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Point de reprise pour Neptune | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Point de reprise pour Amazon Redshift | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Point de reprise pour Amazon Redshift Serverless | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Point de récupération pour Amazon Timestream | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta |
| Point de récupération pour le AWS CloudFormation modèle | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Point de récupération pour la base de données SAP HANA sur une instance Amazon EC2 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
Les ressources qui prennent en charge AWS Backup la gestion complète comportent toutes des points de récupération au format`arn:aws:backup:region:account-id::recovery-point:*`, ce qui vous permet d'appliquer plus facilement des politiques d'autorisation pour protéger ces points de récupération. Pour savoir quelles ressources prennent en charge AWS Backup la gestion complète, consultez cette section du [Disponibilité des fonctionnalités par ressource](backup-feature-availability.md#features-by-resource) tableau.
AWS Backup fournit un ensemble d'opérations permettant de travailler avec AWS Backup les ressources. Pour obtenir la liste des opérations disponibles, consultez AWS Backup [Actions](API_Operations.md).
## Propriété des ressources
Il Compte AWS est propriétaire des ressources créées dans le compte, quelle que soit la personne qui les a créées. Plus précisément, le propriétaire Compte AWS de la ressource est l'[entité principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (c'est-à-dire l'utilisateur Compte AWS root, un utilisateur IAM ou un rôle IAM) qui authentifie la demande de création de ressource. Les exemples suivants illustrent comment cela fonctionne :
+ Si vous utilisez les informations d'identification de l'utilisateur Compte AWS root Compte AWS pour créer un coffre-fort de sauvegarde, vous Compte AWS en êtes le propriétaire.
+ Si vous créez un utilisateur IAM dans votre coffre Compte AWS et que vous accordez à cet utilisateur l'autorisation de créer un coffre de sauvegarde, celui-ci peut créer un coffre de sauvegarde. Toutefois, votre compte AWS , auquel l'utilisateur appartient, est propriétaire de la ressource que constitue le coffre-fort de sauvegarde.
+ Si vous créez un rôle IAM Compte AWS avec les autorisations nécessaires pour créer un coffre-fort de sauvegarde, toute personne susceptible d'assumer ce rôle peut créer un coffre-fort. Vous Compte AWS, à qui appartient le rôle, êtes propriétaire de la ressource du coffre de sauvegarde.
## Spécification des éléments d’une politique : actions, effets et principaux
Pour chaque AWS Backup ressource (voir[Ressources et opérations](#access-control-resources)), le service définit un ensemble d'opérations d'API (voir[Actions](API_Operations.md)). Pour accorder des autorisations pour ces opérations d'API AWS Backup , définissez un ensemble d'actions que vous pouvez spécifier dans une politique. Une opération d’API peut exiger des autorisations pour plusieurs actions.
Voici les éléments les plus élémentaires d'une politique :
+ Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter [Ressources et opérations](#access-control-resources).
+ Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser.
+ Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
+ Principal – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource).
Pour plus d'informations sur la syntaxe des politiques IAM et pour obtenir des descriptions, consultez [Référence de politique JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le manuel *Guide de l'utilisateur IAM*.
Pour un tableau présentant toutes les actions de l' AWS Backup API, consultez[Autorisations d'API : référence des actions, ressources et conditions](#backup-api-permissions-ref).
## Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour voir toutes les clés de condition globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
AWS Backup définit son propre ensemble de clés de condition. Pour consulter la liste des clés de AWS Backup condition, reportez-vous à la section [Clés de condition pour AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys) la *référence d'autorisation de service*.
## Autorisations d'API : référence des actions, ressources et conditions
Lorsque vous configurez [Contrôle d’accès](#access-control) et que vous créez une stratégie d'autorisation que vous pouvez attacher à une identité IAM (stratégies basées sur une identité), vous pouvez utiliser la liste de ci-dessous comme référence. Le tableau chaque opération d' AWS Backup API, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action et la AWS ressource pour laquelle vous pouvez accorder les autorisations. Vous spécifiez les actions dans le champ `Action` de la politique ainsi que la valeur des ressources dans le champ `Resource` de la politique. Si le champ `Resource` est vide, vous pouvez utiliser le caractère générique (`*`) pour inclure toutes les ressources.
Vous pouvez utiliser des AWS clés de condition larges dans vos AWS Backup polices pour exprimer des conditions. Pour obtenir la liste complète des touches AWS-wide, consultez la section [Clés disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
Utilisez les barres de défilement pour voir le reste du tableau.
**AWS Backup API et autorisations requises pour les actions**
| AWS Backup Opérations d'API | Autorisations requises (actions API) | Ressources |
| --- | --- | --- |
| [CreateBackupPlan](API_CreateBackupPlan.md) | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupSelection](API_CreateBackupSelection.md) | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupVault](API_CreateBackupVault.md) | `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey` | arn:aws:backup:region:account-id:backup-vault:\$1 Dans `backup-storage` : \$1 Pour `kms` : `arn:aws:kms:region:account-id:key/keystring` |
| [DeleteBackupPlan](API_DeleteBackupPlan.md) | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupSelection](API_DeleteBackupSelection.md) | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupVault](API_DeleteBackupVault.md) | backup:DeleteBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md) | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md) | backup:DeleteBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md) | backup:DeleteRecoveryPoint1 | 2 |
| [DescribeBackupJob](API_DescribeBackupJob.md) | backup:DescribeBackupJob | |
| [DescribeBackupVault](API_DescribeBackupVault.md) | backup:DescribeBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DescribeProtectedResource](API_DescribeProtectedResource.md) | backup:DescribeProtectedResource | |
| [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md) | backup:DescribeRecoveryPoint1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [DescribeRestoreJob](API_DescribeRestoreJob.md) | backup:DescribeRestoreJob | |
| [DescribeRegionSettings](API_DescribeRegionSettings.md) | backup:DescribeRegionSettings | |
| [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md) | backup:ExportBackupPlanTemplate | |
| [GetBackupPlan](API_GetBackupPlan.md) | backup:GetBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md) | backup:GetBackupPlanFromJSON | |
| [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md) | backup:GetBackupPlanFromTemplate | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupSelection](API_GetBackupSelection.md) | backup:GetBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md) | backup:GetBackupVaultAccessPolicy1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md) | backup:GetBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md) | backup:GetRecoveryPointRestoreMetadata1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md) | backup:GetSupportedResourceTypes | |
| [ListBackupJobs](API_ListBackupJobs.md) | backup:ListBackupJobs | |
| [ListBackupPlans](API_ListBackupPlans.md) | backup:ListBackupPlans | |
| [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md) | backup:ListBackupPlanTemplates | |
| [ListBackupPlanVersions](API_ListBackupPlanVersions.md) | backup:ListBackupPlanVersions | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupSelections](API_ListBackupSelections.md) | backup:ListBackupSelections | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupVaults](API_ListBackupVaults.md) | backup:ListBackupVaults | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListProtectedResources](API_ListProtectedResources.md) | backup:ListProtectedResources | |
| [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md) | backup:ListRecoveryPointsByBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md) | backup:ListRecoveryPointsByResource | |
| [ListRestoreJobs](API_ListRestoreJobs.md) | backup:ListRestoreJobs | |
| [ListTags](API_ListTags.md) | backup:ListTags | |
| [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md) | backup:PutBackupVaultAccessPolicy1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md) | backup:PutBackupVaultLockConfiguration1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md) | backup:PutBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartBackupJob](API_StartBackupJob.md) | backup:StartBackupJob | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartRestoreJob](API_StartRestoreJob.md) | backup:StartRestoreJob | `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3 |
| [StopBackupJob](API_StopBackupJob.md) | backup:StopBackupJob | |
| [TagResource](API_TagResource.md) | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 |
| [UntagResource](API_UntagResource.md) | backup:UntagResource | |
| [UpdateBackupPlan](API_UpdateBackupPlan.md) | backup:UpdateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md) | backup:UpdateRecoveryPointLifecycle1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [UpdateRegionSettings](API_UpdateRegionSettings.md) | `backup:UpdateRegionSettings` `backup:DescribeRegionSettings` | |
1 Utilise la politique d'accès au coffre existante.
2 Voir [AWS Backup ressource ARNs](#resource-arns-table) pour le point de récupération spécifique à la ressource. ARNs
3 `StartRestoreJob` doit contenir la paire clé-valeur dans les métadonnées de la ressource. Pour obtenir les métadonnées de la ressource, appelez l'API `GetRecoveryPointRestoreMetadata`.
Pour plus d'informations, consultez la rubrique [Actions, ressources et clés de condition pour AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html) dans la section *Référence de l'autorisation de service*.
## Autorisations de copie de balises
Lorsqu'il AWS Backup exécute une tâche de sauvegarde ou de copie, il tente de copier les balises de votre ressource source (ou point de récupération dans le cas d'une copie) vers votre point de restauration.
**Note**
AWS Backup ne copie **pas** les balises de manière native pendant les tâches de restauration. Pour une architecture axée sur les événements qui copiera les balises pendant les tâches de restauration, voir [Comment conserver les balises de ressources dans les tâches de AWS Backup restauration.](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/)
Au cours d'une tâche de sauvegarde ou de copie, AWS Backup agrège les balises que vous spécifiez dans votre plan de sauvegarde (ou plan de copie, ou sauvegarde à la demande) avec les balises de votre ressource source. Cependant, AWS impose une limite de 50 balises par ressource, qui AWS Backup ne peut pas être dépassée. Lorsqu'une tâche de sauvegarde ou de copie regroupe les balises du plan et de la ressource source, elle peut découvrir plus de 50 balises au total ; elle ne pourra pas terminer la tâche et échouera. Cela est conforme aux meilleures pratiques en matière de balisage à grande AWSéchelle.
+ Votre ressource possède plus de 50 balises après avoir agrégé vos balises de tâche de sauvegarde avec vos balises de ressource source. AWS prend en charge jusqu'à 50 balises par ressource.
+ Le rôle IAM que vous attribuez n'est AWS Backup pas autorisé à lire les balises source ou à définir les balises de destination. Pour plus d'informations et des exemples de politiques de rôle IAM, consultez [Politiques gérées](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies).
Vous pouvez utiliser votre plan de sauvegarde (balises ajoutées aux points de récupération) pour créer des balises qui contredisent les balises de vos ressources sources. Lorsque les deux sont en conflit, les balises de votre plan de sauvegarde ont priorité. Utilisez cette technique si vous préférez ne pas copier la valeur d'une balise depuis votre ressource source. Spécifiez la même clé de balise, mais une valeur différente ou vide, à l'aide de votre plan de sauvegarde.
**Autorisations requises pour attribuer des balises aux sauvegardes**
| Type de ressource | Autorisation obligatoire |
| --- | --- |
| Système de fichiers Amazon EFS | `elasticfilesystem:DescribeTags` |
| Système de FSx fichiers Amazon | `fsx:ListTagsForResource` |
| Base de données Amazon RDS et cluster Amazon Aurora | `rds:AddTagsToResource` `rds:ListTagsForResource` |
| Volume Storage Gateway | `storagegateway:ListTagsForResource` |
| Instance Amazon EC2 et volume Amazon EBS | `EC2:CreateTags` `EC2:DescribeTags` |
DynamoDB ne prend pas en charge l'attribution de balises aux sauvegardes, sauf si vous activez d'abord [Sauvegarde DynamoDB avancée](advanced-ddb-backup.md).
Lorsqu'une sauvegarde Amazon EC2 crée un point de restauration d'image et un ensemble de snapshots, elle AWS Backup copie les balises dans l'AMI qui en résulte. AWS Backup copie également les balises des volumes associés à l'instance Amazon EC2 vers les instantanés qui en résultent.
## politiques d'accès
Une *permissions policy* (politique d'autorisation) décrit qui a accès à quoi. Les politiques attachées à une identité IAM sont appelées des politiques *basées sur l'identité* (politiques IAM). Les politiques associées à une ressource sont appelées politiques *basées sur les ressources*. AWS Backup prend en charge à la fois les politiques basées sur l'identité et les politiques basées sur les ressources.
**Note**
Cette section décrit l'utilisation d'IAM dans le contexte de AWS Backup. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, veuillez consulter [Qu'est-ce qu'IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, veuillez consulter [Référence de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.
### Politiques basées sur une identité (politiques IAM)
Les politiques basées sur une identité sont des politiques que vous pouvez attacher à une identité IAM, par exemple à des utilisateurs ou des rôles. Par exemple, vous pouvez définir une politique qui permet à un utilisateur de visualiser et de sauvegarder AWS des ressources, mais l'empêche de restaurer des sauvegardes.
Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez [Identités (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *Guide de l'utilisateur IAM*.
Pour plus d'informations sur l'utilisation de politiques IAM pour contrôler l'accès aux sauvegardes, consultez [Politiques gérées pour AWS Backup](security-iam-awsmanpol.md).
### Politiques basées sur les ressources
AWS Backup prend en charge les politiques d'accès basées sur les ressources pour les coffres-forts de sauvegarde. Vous pouvez ainsi définir une stratégie d'accès qui peut contrôler quels utilisateurs disposent d'un type d'accès particulier aux sauvegardes organisées dans un coffre-fort de sauvegarde. Les stratégies d'accès basées sur une ressource pour les coffres-forts de sauvegarde permettent de contrôler de manière simple l'accès à vos sauvegardes.
Les politiques d'accès au coffre de sauvegarde contrôlent l'accès des utilisateurs lorsque vous les utilisez AWS Backup APIs. Certains types de sauvegarde, tels que les instantanés Amazon Elastic Block Store (Amazon EBS) et Amazon Relational Database Service (Amazon RDS), sont également accessibles à l'aide de ces services ». APIs Vous pouvez créer des politiques d'accès distinctes dans IAM qui contrôlent l'accès à celles-ci APIs afin de contrôler totalement l'accès aux sauvegardes.
Pour savoir comment créer une stratégie d'accès pour les coffres-forts de sauvegarde, consultez [Stratégies d'accès aux coffres](create-a-vault-access-policy.md).
# Fonctions du service IAM
Un rôle Gestion des identités et des accès AWS (IAM) est similaire à un utilisateur, dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. Un rôle de service est un rôle qu'un AWS service assume pour effectuer des actions en votre nom. AWS Backup étant le service qui effectue des opérations de sauvegarde en votre nom, vous devez lui transmettre un rôle à assumer lors des opérations de sauvegarde en votre nom. Pour plus d’informations sur les rôles IAM, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dans le *Guide de l’utilisateur IAM*.
Le rôle auquel vous passez AWS Backup doit disposer d'une politique IAM avec les autorisations permettant d'effectuer des actions associées AWS Backup aux opérations de sauvegarde, telles que la création, la restauration ou l'expiration de sauvegardes. Des autorisations différentes sont requises pour chacun des AWS services pris en AWS Backup charge. Le rôle doit également être AWS Backup répertorié comme une entité de confiance, ce qui AWS Backup permet d'assumer le rôle.
Lorsque vous attribuez des ressources à un plan de sauvegarde ou que vous effectuez une sauvegarde, une copie ou une restauration à la demande, vous devez transmettre un rôle de service autorisé à effectuer les opérations sous-jacentes sur les ressources spécifiées. AWS Backup utilise ce rôle pour créer, étiqueter et supprimer des ressources dans votre compte.
## Utilisation de AWS rôles pour contrôler l'accès aux sauvegardes
Vous pouvez utiliser des rôles pour contrôler l'accès à vos sauvegardes en définissant des rôles étroitement limités et en spécifiant quelles personnes peuvent transmettre ce rôle à AWS Backup. Par exemple, vous pouvez créer un rôle qui accorde uniquement des autorisations pour sauvegarder des bases de données Amazon Relational Database Service (Amazon RDS) et uniquement autoriser les propriétaires de bases de données Amazon RDS à transmettre ce rôle. AWS Backup AWS Backup fournit plusieurs politiques gérées prédéfinies pour chacun des services pris en charge. Vous pouvez attacher ces politiques gérées aux rôles que vous créez. Cela facilite la création de rôles spécifiques au service dotés des autorisations requises. AWS Backup
Pour plus d'informations sur les politiques AWS gérées pour AWS Backup, consultez[Politiques gérées pour AWS Backup](security-iam-awsmanpol.md).
## Rôle de service par défaut pour AWS Backup
Lorsque vous utilisez la AWS Backup console pour la première fois, vous pouvez choisir de AWS Backup créer un rôle de service par défaut pour vous. Ce rôle dispose des autorisations AWS Backup nécessaires pour créer et restaurer des sauvegardes en votre nom.
**Note**
Le rôle par défaut est automatiquement créé lorsque vous utilisez la AWS Management Console. Vous pouvez créer le rôle par défaut à l'aide du AWS Command Line Interface (AWS CLI), mais cela doit être fait manuellement.
Si vous préférez utiliser des rôles personnalisés, tels que des rôles distincts pour différents types de ressources, vous pouvez également le faire et transmettre vos rôles personnalisés à AWS Backup. Pour voir des exemples de rôles qui permettent la sauvegarde et la restauration pour des types de ressources individuels, consultez la table [Politiques gérées par le client](security-iam-awsmanpol.md#customer-managed-policies).
Le rôle de service par défaut est nommé`AWSBackupDefaultServiceRole`. Ce rôle de service contient deux politiques gérées, [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)et [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
`AWSBackupServiceRolePolicyForBackup`inclut une politique IAM qui accorde des AWS Backup autorisations pour décrire la ressource sauvegardée, ainsi que la possibilité de créer, de supprimer, de décrire ou d'ajouter des balises à une sauvegarde, quelle que soit la AWS KMS clé avec laquelle elle est chiffrée.
`AWSBackupServiceRolePolicyForRestores`inclut une politique IAM qui accorde des AWS Backup autorisations pour créer, supprimer ou décrire la nouvelle ressource créée à partir d'une sauvegarde, quelle que soit la AWS KMS clé avec laquelle elle est chiffrée. Il inclut également des autorisations pour baliser les ressources nouvellement créés.
Pour restaurer une instance Amazon EC2, vous devez lancer une nouvelle instance.
## Création d'une fonction du service par défaut dans la console
Les actions spécifiques que vous effectuez dans la AWS Backup console créent le rôle de service AWS Backup par défaut.
**Pour créer le rôle de service AWS Backup par défaut dans votre AWS compte**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Pour créer le rôle pour votre compte, attribuez des ressources à un plan de sauvegarde ou créez une sauvegarde à la demande.
1. Créez un plan de sauvegarde et attribuez des ressources à la sauvegarde. Consultez la section [Création d'un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html).
1. Vous pouvez également créer une sauvegarde à la demande. Consultez [Création d'une sauvegarde à la demande](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html).
1. Vérifiez que vous avez créé le `AWSBackupDefaultServiceRole` dans votre compte en suivant ces étapes :
1. Patientez quelques minutes. Pour plus d'informations, consultez [Les modifications que j'apporte ne sont pas toujours visibles immédiatement](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency) dans le *Guide de l'utilisateur AWS Identity and Access Management*.
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le menu de navigation de gauche, choisissez **Rôles**.
1. Dans la barre de recherche, saisissez `AWSBackupDefaultServiceRole`. Si cette sélection existe, vous avez créé le rôle AWS Backup par défaut et terminé cette procédure.
1. Si `AWSBackupDefaultServiceRole` n'apparaît toujours pas, ajoutez les autorisations suivantes à l'utilisateur IAM ou au rôle IAM que vous utilisez pour accéder à la console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
},
{
"Effect":"Allow",
"Action":[
"iam:ListRoles"
],
"Resource":"*"
}
]
}
```
------
Pour les régions de Chine, remplacez *aws* par*aws-cn*. Pour AWS GovCloud (US) les régions, remplacez *aws* par*aws-us-gov*.
1. Si vous ne pouvez pas ajouter d'autorisations à votre utilisateur IAM ou à votre rôle IAM, demandez à votre administrateur de créer manuellement un rôle sous un nom *autre* que `AWSBackupDefaultServiceRole` et de l'associer à ces politiques gérées :
+ `AWSBackupServiceRolePolicyForBackup`
+ `AWSBackupServiceRolePolicyForRestores`
# Politiques gérées pour AWS Backup
Les politiques gérées sont des politiques autonomes basées sur l'identité que vous pouvez associer à plusieurs utilisateurs, groupes et rôles au sein de votre. Compte AWS Lorsque vous attachez une politique à une entité principale, vous accordez à cette dernière les autorisations définies dans la politique.
*AWS les politiques gérées* sont créées et administrées par AWS. Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée.
Les *politiques gérées par le client* vous fournissent des contrôles précis pour définir l'accès aux sauvegardes. AWS Backup Par exemple, vous pouvez les utiliser pour donner à votre administrateur de sauvegarde de base de données l'accès aux sauvegardes Amazon RDS, mais pas à celles d'Amazon EFS.
Pour plus d'informations, consultez la section [Politiques gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) dans le *guide de l'utilisateur IAM*.
## AWS politiques gérées
AWS Backup fournit les politiques AWS gérées suivantes pour les cas d'utilisation courants. Ces stratégies facilitent la définition des autorisations appropriées et le contrôle de l'accès à vos sauvegardes. Il existe deux types de stratégies gérées. L'un des types est conçu pour être affecté aux utilisateurs afin de contrôler leur accès à AWS Backup. L'autre type de stratégie gérée est conçu pour être attaché à des rôles que vous transmettez à AWS Backup. Le tableau suivant répertorie toutes les stratégies gérées fournies par AWS Backup et explique comment elles sont définies. Vous pouvez trouver ces politiques gérées dans la section **Politiques** de la console IAM.
**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForSauvegarde S3](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForRestauration S3](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)
### AWSBackupAuditAccess
Cette politique autorise les utilisateurs à créer des contrôles et des cadres qui définissent leurs attentes en matière de AWS Backup ressources et d'activités, et à auditer les AWS Backup ressources et les activités par rapport à leurs contrôles et cadres définis. Cette politique accorde des autorisations AWS Config et des services similaires pour décrire les attentes des utilisateurs lors des audits.
Cette politique accorde également des autorisations pour fournir des rapports d'audit à Amazon S3 et à des services similaires, et permet aux utilisateurs de rechercher et d'ouvrir leurs rapports d'audit.
Pour voir les autorisations de cette stratégie, consultez [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSBackupDataTransferAccess
Cette politique fournit des autorisations pour le transfert des données du plan de AWS Backup stockage APIs, permettant à l'agent AWS Backint d'effectuer le transfert des données de sauvegarde avec le plan AWS Backup de stockage. Vous pouvez associer cette politique aux rôles assumés par les instances Amazon EC2 exécutant SAP HANA avec l'agent Backint.
Pour voir les autorisations de cette stratégie, consultez [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSBackupFullAccess
L'administrateur de sauvegarde dispose d'un accès complet aux AWS Backup opérations, notamment à la création ou à la modification de plans de sauvegarde, à l'affectation de AWS ressources aux plans de sauvegarde et à la restauration des sauvegardes. Les administrateurs de sauvegarde sont chargés de déterminer et d'appliquer la conformité des sauvegardes en définissant des plans de sauvegarde conformes aux exigences professionnelles et réglementaires de l'entreprise. Les administrateurs de sauvegarde s'assurent également que les AWS ressources de leur organisation sont affectées au plan approprié.
Pour voir les autorisations de cette stratégie, consultez [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
Cette politique autorise la passerelle de sauvegarde à synchroniser les métadonnées des machines virtuelles en votre nom.
Pour voir les autorisations de cette stratégie, consultez [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSBackupGuardDutyRolePolicyForScans
Cette politique doit être ajoutée à un nouveau rôle d'analyse qui GuardDuty autorise Amazon à lire et à analyser vos sauvegardes. Vous devez associer ce rôle d'analyse à votre plan de sauvegarde dans les paramètres de protection contre les logiciels malveillants ou de scan. Lorsque AWS Backup lance une analyse, elle transmet ce rôle d'analyse à Amazon GuardDuty.
Pour voir les autorisations de cette stratégie, consultez [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSBackupOperatorAccess
Les opérateurs de sauvegarde sont des utilisateurs chargés de veiller à ce que les ressources dont ils sont responsables sont correctement sauvegardées. Les opérateurs de sauvegarde sont autorisés à affecter AWS des ressources aux plans de sauvegarde créés par l'administrateur de sauvegarde. Ils sont également autorisés à créer des sauvegardes à la demande de leurs AWS ressources et à configurer la période de conservation des sauvegardes à la demande. Les opérateurs de sauvegarde ne sont pas autorisés à créer ni modifier les plans de sauvegarde, ni supprimer les sauvegardes planifiées après leur création. Les opérateurs de sauvegarde peuvent restaurer les sauvegardes. Vous pouvez limiter les types de ressources qu'un opérateur de sauvegarde peut affecter à un plan de sauvegarde ou restaurer à partir d'une sauvegarde. Pour ce faire, vous n'autorisez le transfert AWS Backup que de certains rôles de service dotés d'autorisations pour un certain type de ressource.
Pour voir les autorisations de cette stratégie, consultez [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSBackupOrganizationAdminAccess
L'administrateur de l'organisation dispose d'un accès complet aux AWS Organizations opérations, notamment à la création, à la modification ou à la suppression de politiques de sauvegarde, à l'attribution de politiques de sauvegarde aux comptes et aux unités organisationnelles et à la surveillance des activités de sauvegarde au sein de l'organisation. Les administrateurs de l’organisation sont responsables de la protection des comptes de leur organisation avec la définition et l’affectation de stratégies de sauvegarde qui répondent aux exigences commerciales et réglementaires de leur organisation.
Pour voir les autorisations de cette stratégie, consultez [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSBackupRestoreAccessForSAPHANA
Cette politique AWS Backup autorise la restauration d'une sauvegarde de SAP HANA sur Amazon EC2.
Pour consulter les autorisations associées à cette politique, consultez [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html) dans le manuel *AWS Managed Policy Reference*.
### AWSBackupSearchOperatorAccess
Le rôle d'opérateur de recherche permet de créer des index de sauvegarde et de créer des recherches dans les métadonnées de sauvegarde indexées.
Cette politique contient les autorisations nécessaires pour ces fonctions.
Pour voir les autorisations de cette stratégie, consultez [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSBackupServiceLinkedRolePolicyForBackup
Cette politique est attachée au rôle lié au service nommé AWSServiceRoleforBackup pour permettre d' AWS Backup appeler les AWS services en votre nom pour gérer vos sauvegardes. Pour de plus amples informations, veuillez consulter [Utilisation de rôles pour sauvegarder et copier](using-service-linked-roles-AWSServiceRoleForBackup.md).
Pour consulter les autorisations associées à cette politique, reportez-vous [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)à la *référence des politiques AWS gérées*.
### AWSBackupServiceLinkedRolePolicyForBackupTest
Pour voir les autorisations de cette stratégie, consultez [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSBackupServiceRolePolicyForBackup
Permet de AWS Backup créer des sauvegardes de tous les types de ressources pris en charge en votre nom.
Pour voir les autorisations de cette stratégie, consultez [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSBackupServiceRolePolicyForItemRestores
**Description**
Cette politique accorde aux utilisateurs l'autorisation de restaurer des fichiers et des éléments individuels dans un instantané (point de restauration périodique des sauvegardes) sur un compartiment Amazon S3 nouveau ou existant ou sur un nouveau volume Amazon EBS. Ces autorisations incluent : les autorisations de lecture accordées à Amazon EBS pour les instantanés gérés par des autorisations de AWS Backup lecture/écriture pour les compartiments Amazon S3, et la génération et la description des autorisations pour les clés. AWS KMS
**Utilisation de cette politique**
Vous pouvez associer `AWSBackupServiceRolePolicyForItemRestores` à vos utilisateurs, groupes et rôles.
**Détails de la politique**
+ **Type :** politique AWS gérée
+ **Heure de création :** 21 novembre 2024, 22:45 UTC
+ **Heure d'édition :** Première instance
+ **ARN** : `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`
**Version de la politique :** v1 (par défaut)
La version de cette politique définit les autorisations associées à la politique. Lorsque l'utilisateur ou le rôle doté de la politique fait une demande d'accès à une AWS ressource, AWS vérifie la version par défaut de la politique pour déterminer s'il convient d'autoriser ou non la demande.
**Document de politique JSON :**
#### AWSBackupServiceRolePolicyForItemRestores JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "S3ReadonlyPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "S3PermissionsForFileLevelRestore",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::*/*"
},
{
"Sid": "KMSDataKeyForS3AndEC2Permissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com",
"s3.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForIndexing
**Description**
Cette politique accorde aux utilisateurs l'autorisation d'indexer les instantanés, également appelés points de restauration périodiques. Ces autorisations incluent : les autorisations de lecture accordées à Amazon EBS pour les instantanés gérés par des autorisations de AWS Backup lecture/écriture pour les compartiments Amazon S3, et la génération et la description des autorisations pour les clés. AWS KMS
**Utilisation de cette politique**
Vous pouvez associer `AWSBackupServiceRolePolicyForIndexing` à vos utilisateurs, groupes et rôles.
**Détails de la politique**
+ **Type :** politique AWS gérée
+ **Heure d'édition :** Première instance
+ **ARN** : `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`
**Version de la politique :** v1 (par défaut)
La version de cette politique définit les autorisations associées à la politique. Lorsque l'utilisateur ou le rôle associé à la politique fait une demande d'accès à une AWS ressource, AWS vérifie la version par défaut de la politique pour déterminer s'il convient d'autoriser ou non la demande.
**Document de politique JSON :**
#### AWSBackupServiceRolePolicyForIndexing JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSDataKeyForEC2Permissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForRestores
Permet de AWS Backup restaurer les sauvegardes de tous les types de ressources pris en charge en votre nom.
Pour voir les autorisations de cette stratégie, consultez [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) dans le *AWS Guide de référence des stratégies gérées par*.
Pour les restaurations d'instances EC2, vous devez également inclure les autorisations suivantes pour lancer l'instance EC2 :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPassRole",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/role-name",
"Effect": "Allow"
}
]
}
```
------
### AWSBackupServiceRolePolicyForSauvegarde S3
Cette politique contient les autorisations nécessaires AWS Backup pour sauvegarder n'importe quel compartiment S3. Cela inclut l'accès à tous les objets d'un compartiment et à toute AWS KMS clé associée.
Pour consulter les autorisations associées à cette politique, consultez [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) dans le manuel *AWS Managed Policy Reference*.
### AWSBackupServiceRolePolicyForRestauration S3
Cette politique contient les autorisations nécessaires AWS Backup pour restaurer une sauvegarde S3 dans un compartiment. Cela inclut les autorisations de lecture et d'écriture sur les buckets et l'utilisation de n'importe quelle AWS KMS clé en ce qui concerne les opérations S3.
Pour consulter les autorisations associées à cette politique, consultez [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) dans le manuel *AWS Managed Policy Reference*.
### AWSBackupServiceRolePolicyForScans
La politique doit être attachée au rôle IAM que vous utilisez dans la sélection des ressources de votre plan de sauvegarde. Ce rôle accorde à AWS Backup l'autorisation de lancer des scans sur Amazon GuardDuty.
Pour voir les autorisations de cette stratégie, consultez [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSServiceRolePolicyForBackupReports
AWS Backup utilise cette politique pour le rôle [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html)lié au service. Ce rôle lié à un service donne AWS Backup les autorisations nécessaires pour surveiller et établir des rapports sur la conformité de vos paramètres de sauvegarde, de vos tâches et de vos ressources avec vos frameworks.
Pour voir les autorisations de cette stratégie, consultez [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) dans le *AWS Guide de référence des stratégies gérées par*.
### AWSServiceRolePolicyForBackupRestoreTesting
Pour voir les autorisations de cette stratégie, consultez [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) dans le *AWS Guide de référence des stratégies gérées par*.
## Politiques gérées par le client
Les sections suivantes décrivent les autorisations de sauvegarde et de restauration recommandées pour les AWS services et les applications tierces pris en charge par AWS Backup. Vous pouvez utiliser les politiques AWS gérées existantes comme modèle lorsque vous créez vos propres documents de politique, puis les personnaliser pour restreindre davantage l'accès à vos AWS ressources.
**Important**
Lorsque vous utilisez des rôles IAM personnalisés pour AWS Backup, vous devez inclure des autorisations spécifiques aux ressources en plus des autorisations. AWS Backup Par exemple, lorsque vous faites appel `backup:ListTags` à une ressource Amazon RDS, votre rôle IAM personnalisé doit également inclure `rds:ListTagsForResource` une autorisation. Bien que ces autorisations soient incluses dans le rôle de AWS Backup service par défaut, elles doivent être explicitement ajoutées aux politiques gérées par le client. Les autorisations de ressources sous-jacentes requises dépendent du AWS service et de l'opération spécifiques exécutés.
### Amazon Aurora
**Sauvegarde**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restaurer**
Commencez par la `RDSPermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon Aurora DSQL
**Sauvegarde**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restaurer**
Commencez par la `DSQLRestorePermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon DynamoDB
**Sauvegarde**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`
**Restaurer**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`
### Amazon EBS
**Sauvegarde**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restaurer**
Commencez par la `EBSPermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
Ajoutez la déclaration suivante.
```
{
"Effect":"Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource":"*"
},
```
### Amazon EC2
**Sauvegarde**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restaurer**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`
Ajoutez la déclaration suivante.
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/role-name"
},
```
Remplacez *role-name* par le nom du rôle de profil d'instance EC2 qui sera attaché à l'instance EC2 restaurée. Il ne s'agit pas du rôle de AWS Backup service, mais du rôle IAM qui fournit des autorisations aux applications exécutées sur l'instance EC2.
### Amazon EFS
**Sauvegarde**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restaurer**
Commencez par la `EFSPermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon FSx
**Sauvegarde**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`
**Restaurer**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`
### Amazon Neptune
**Sauvegarde**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restaurer**
Commencez par la `RDSPermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon RDS
**Sauvegarde**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restaurer**
Commencez par la `RDSPermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon S3
**Sauvegarde**
Commencez par [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html).
Ajoutez les `BackupVaultCopyPermissions` instructions `BackupVaultPermissions` et si vous devez copier des sauvegardes sur un autre compte.
**Restaurer**
Commencez par [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html).
### AWS Storage Gateway
**Sauvegarde**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
Ajoutez la déclaration suivante.
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource":"*"
},
```
**Restaurer**
Commencez par les affirmations suivantes provenant de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`
### Machine virtuelle
**Sauvegarde**
Commencez par la `BackupGatewayBackupPermissions` déclaration de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html).
**Restaurer**
Commencez par la `GatewayRestorePermissions` déclaration de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Sauvegarde cryptée
**Pour restaurer une sauvegarde chiffrée, effectuez l’une des actions suivantes :**
+ Ajoutez votre rôle à la liste d'autorisation pour la politique AWS KMS clé
+ Ajoutez les instructions suivantes [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)à partir de votre rôle IAM pour les restaurations :
+ `KMSDescribePermissions`
+ `KMSPermissions`
+ `KMSCreateGrantPermissions`
## Mises à jour des politiques pour AWS Backup
Consultez les détails des mises à jour des politiques AWS gérées AWS Backup depuis que ce service a commencé à suivre ces modifications.
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – Mise à jour d’une stratégie existante | AWS Backup a ajouté l'autorisation suivante à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent aux tests de AWS Backup restauration de supprimer les bases de données clientes RDS une fois le test de restauration terminé. | 18 mars 2026 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent de AWS Backup lancer des analyses de malwares sur vos points de récupération. | 23 février 2026 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) : nouvelle politique | AWS Backup a ajouté une nouvelle politique AWS gérée qui GuardDuty autorise Amazon à lire et à scanner les sauvegardes des clients. AWS Backup transmet un rôle avec cette politique GuardDuty lors du lancement des opérations`StartMalwareScan`. Cela est nécessaire pour fournir toutes les autorisations nécessaires aux analyses de programmes malveillants sur les points de récupération des ressources Amazon EC2, Amazon EBS et Amazon S3. Pour plus d'informations, consultez la politique gérée [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans). | 19 novembre 2025 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) : nouvelle politique | AWS Backup a ajouté une nouvelle politique AWS gérée qui AWS Backup autorise le lancement d'analyses de programmes malveillants sur vos points de récupération. Cela est nécessaire pour fournir toutes les autorisations nécessaires aux analyses de programmes malveillants sur les points de récupération des ressources Amazon EC2, Amazon EBS et Amazon S3. Pour plus d'informations, consultez la politique gérée [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans). | 19 novembre 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Ajouté `malware-protection.guardduty.amazonaws.com` à`IamPassRolePermissions`, ce qui est nécessaire pour lancer des tâches d'analyse des logiciels malveillants. | 19 novembre 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour lancer des tâches d'analyse des programmes malveillants. | 19 novembre 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent de AWS Backup sauvegarder et de restaurer les clusters Amazon EKS. | 10 novembre 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent de AWS Backup sauvegarder et de restaurer les clusters Amazon EKS. | 10 novembre 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de créer des sauvegardes des clusters Amazon EKS et de leurs ressources associées pour le compte des clients. | 10 novembre 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de créer des sauvegardes des clusters Amazon EKS et de leurs ressources associées pour le compte des clients. | 10 novembre 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup d'effectuer des opérations de restauration pour les clusters Amazon EKS et leurs ressources associées pour le compte des clients. | 10 novembre 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | AWS Backup a ajouté l'autorisation suivante à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Cette autorisation permet de AWS Backup synchroniser les informations de l'administrateur délégué avec les Organizations pour les fonctionnalités de gestion entre comptes. | 9 septembre 2025 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) : nouvelle politique | AWS Backup a ajouté une nouvelle politique AWS gérée qui GuardDuty autorise Amazon à lire et à scanner les sauvegardes des clients. AWS Backup transmet un rôle avec cette politique GuardDuty lors du lancement des opérations`StartMalwareScan`. Cela est nécessaire pour fournir toutes les autorisations nécessaires aux analyses de programmes malveillants sur les points de récupération des ressources Amazon EC2, Amazon EBS et Amazon S3. Pour plus d'informations, consultez la politique gérée [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans). | 24 novembre 2025 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) : nouvelle politique | AWS Backup a ajouté une nouvelle politique AWS gérée qui AWS Backup autorise le lancement d'analyses de programmes malveillants sur vos points de récupération. Cela est nécessaire pour fournir toutes les autorisations nécessaires aux analyses de programmes malveillants sur les points de récupération des ressources Amazon EC2, Amazon EBS et Amazon S3. Pour plus d'informations, consultez la politique gérée [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans). | 24 novembre 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour AWS Backup effectuer des opérations de restauration multirégionales orchestrées pour les ressources DSQL pour le compte des clients. | 17 juillet 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour AWS Backup l'intégration. Les clients ont AWS Organizations donc la possibilité d'obtenir une approbation multipartite (MPA) dans le cadre de leurs coffres-forts logiquement espacés. Gestion de compte AWS | 17 juin 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— Mise à jour d'une politique existante : | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour permettre aux clients de restaurer des instantanés de zones de disponibilité multiples (multi-AZ) d'Amazon FSx pour OpenZFS via. AWS Backup | 27 mai 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de sauvegarder et de restaurer les ressources SQL Amazon Aurora. | 21 mai 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de sauvegarder et de restaurer les ressources SQL Amazon Aurora. | 21 mai 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de créer, de supprimer, de récupérer et de gérer des instantanés SQL Amazon Aurora pour le compte des clients. | 21 mai 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent AWS Backup de créer, de supprimer, de récupérer, de chiffrer, de déchiffrer et de gérer des instantanés Amazon Aurora DSQL pour le compte des clients. | 21 mai 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations permettent de AWS Backup gérer les sauvegardes Aurora DSQL à des intervalles spécifiés par le client. | 21 mai 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour que les clients désignés aient un accès complet aux sauvegardes Amazon Redshift Serverless, y compris les autorisations de lecture requises ainsi que la possibilité de supprimer les points de restauration Amazon Redshift Serverless (sauvegardes instantanées). | 31 mars 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour que les clients désignés disposent de toutes les autorisations de sauvegarde nécessaires pour Amazon Redshift Serverless, y compris les autorisations de lecture requises. | 31 mars 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires AWS Backup pour gérer les instantanés Amazon Redshift Serverless aux intervalles spécifiés par le client. | 31 mars 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour créer, supprimer, récupérer et gérer les instantanés Amazon Redshift Serverless pour le compte des clients. AWS Backup | 31 mars 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations suivantes à cette politique : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/aws-backup/latest/devguide/security-iam-awsmanpol.html) Ces autorisations sont nécessaires pour AWS Backup restaurer les instantanés Amazon Redshift et Amazon Redshift Serverless pour le compte du client. | 31 mars 2025 |
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— Ajout d'une nouvelle politique AWS gérée | AWS Backup a ajouté la politique AWSBackupSearchOperatorAccess AWS gérée. | 27 février 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | AWS Backup a ajouté l'autorisation `rds:AddTagsToResource` de prendre en charge la copie instantanée multi-tenant de plusieurs comptes Amazon RDS des sauvegardes. Cette autorisation est nécessaire pour terminer les opérations lorsqu'un client choisit de créer une copie multicompte d'un instantané RDS partagé. | 8 janvier 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | AWS Backup a ajouté les autorisations `rds:CreateTenantDatabase` et `rds:DeleteTenantDatabase` à cette politique pour prendre en charge le processus de restauration des ressources Amazon RDS. Ces autorisations sont nécessaires pour terminer les opérations client relatives à la restauration des instantanés multi-locataires. | 8 janvier 2025 |
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— Ajout d'une nouvelle politique AWS gérée | AWS Backup a ajouté la politique AWSBackupServiceRolePolicyForItemRestores AWS gérée. | 26 novembre 2024 |
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— Ajout d'une nouvelle politique AWS gérée | AWS Backup a ajouté la politique AWSBackupServiceRolePolicyForIndexing AWS gérée. | 26 novembre 2024 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | AWS Backup autorisation ajoutée `backup:TagResource` à cette politique. L'autorisation est nécessaire pour obtenir des autorisations de balisage lors de la création d'un point de récupération. | 17 mai 2024 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Mise à jour d'une politique existante | AWS Backup autorisation ajoutée `backup:TagResource` à cette politique. L'autorisation est nécessaire pour obtenir des autorisations de balisage lors de la création d'un point de récupération. | 17 mai 2024 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | AWS Backup autorisation ajoutée `backup:TagResource` à cette politique. L'autorisation est nécessaire pour obtenir des autorisations de balisage lors de la création d'un point de récupération. | 17 mai 2024 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | L'autorisation a été ajoutée`rds:DeleteDBInstanceAutomatedBackups`. Cette autorisation est nécessaire pour AWS Backup prendre en charge la sauvegarde continue et point-in-time-restore les instances Amazon RDS. | 1 mai 2024 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | AWS Backup a mis à jour l'Amazon Resource Name (ARN) dans l'autorisation `storagegateway:ListVolumes` de `arn:aws:storagegateway:*:*:gateway/*` à `*` afin de tenir compte d'une modification du modèle d'API Storage Gateway. | 1 mai 2024 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | AWS Backup a mis à jour l'Amazon Resource Name (ARN) dans l'autorisation `storagegateway:ListVolumes` de `arn:aws:storagegateway:*:*:gateway/*` à `*` afin de tenir compte d'une modification du modèle d'API Storage Gateway. | 1 mai 2024 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) : mise à jour d’une politique existante | Ajout des autorisations suivantes pour décrire et répertorier les points de récupération et les ressources protégées afin de réaliser des plans de test de restauration : `backup:DescribeRecoveryPoint``backup:DescribeProtectedResource`,`backup:ListProtectedResources`, et`backup:ListRecoveryPointsByResource`. Ajout de l'autorisation `ec2:DescribeSnapshotTierStatus` de prendre en charge le stockage au niveau des archives Amazon EBS. Ajout de l'autorisation `rds:DescribeDBClusterAutomatedBackups` de prendre en charge les sauvegardes continues d'Amazon Aurora. Les autorisations suivantes ont été ajoutées pour prendre en charge les tests de restauration des sauvegardes Amazon Redshift : `redshift:DescribeClusters` et. `redshift:DeleteCluster` Ajout de l'autorisation `timestream:DeleteTable` de prendre en charge les tests de restauration des sauvegardes Amazon Timestream. | 14 février 2024 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Ajout des autorisations `ec2:DescribeSnapshotTierStatus` et`ec2:RestoreSnapshotTier`. Ces autorisations sont nécessaires pour que les utilisateurs aient la possibilité de restaurer les ressources Amazon EBS stockées à AWS Backup partir du stockage d'archives. Pour les restaurations d’instances EC2, vous devez également inclure les autorisations comme illustrées dans l’instruction de politique suivante pour lancer l’instance EC2 : | 27 novembre 2023 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Ajout des autorisations `ec2:DescribeSnapshotTierStatus` et `ec2:ModifySnapshotTier` de la prise en charge d'une option de stockage supplémentaire pour les ressources Amazon EBS sauvegardées à transférer vers le niveau de stockage des archives. Ces autorisations sont nécessaires pour que les utilisateurs aient la possibilité de transférer les ressources Amazon EBS stockées vers le stockage AWS Backup d'archives. | 27 novembre 2023 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Ajout des autorisations `ec2:DescribeSnapshotTierStatus` et `ec2:ModifySnapshotTier` de la prise en charge d'une option de stockage supplémentaire pour les ressources Amazon EBS sauvegardées à transférer vers le niveau de stockage des archives. Ces autorisations sont nécessaires pour que les utilisateurs aient la possibilité de transférer les ressources Amazon EBS stockées vers le stockage AWS Backup d'archives. Ajout des autorisations `rds:DescribeDBClusterSnapshots` et `rds:RestoreDBClusterToPointInTime` des autorisations nécessaires pour les PITR (point-in-time restaurations) des clusters Aurora. |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) : nouvelle politique | Fournit les autorisations nécessaires pour effectuer des tests de restauration. Les autorisations incluent les actions `list, read, and write` relatives aux services suivants à inclure dans les tests de restauration : Aurora, DocumentDB, DynamoDB, Amazon EBS, Amazon EC2, Amazon EFS, pour Lustre, pour Windows File Server FSx , pour FSx ONTAP FSx , pour OpenZFS, Amazon Neptune FSx , Amazon RDS et Amazon S3. | 27 novembre 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Ajout de `restore-testing.backup.amazonaws.com` à `IamPassRolePermissions` et `IamCreateServiceLinkedRolePermissions`. Cet ajout est nécessaire pour AWS Backup effectuer des tests de restauration pour le compte des clients. | 27 novembre 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Ajout des autorisations `rds:DescribeDBClusterSnapshots` et `rds:RestoreDBClusterToPointInTime` des autorisations nécessaires pour les PITR (point-in-time restaurations) des clusters Aurora. | 6 septembre 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Ajout de l'autorisation`rds:DescribeDBClusterAutomatedBackups`, qui est nécessaire pour la sauvegarde et la point-in-time restauration continues des clusters Aurora. | 6 septembre 2023 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Ajout de l'autorisation`rds:DescribeDBClusterAutomatedBackups`, qui est nécessaire pour la sauvegarde et la point-in-time restauration continues des clusters Aurora. | 6 septembre 2023 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | L'autorisation a été ajoutée`rds:DescribeDBClusterAutomatedBackups`. Cette autorisation est nécessaire pour AWS Backup prendre en charge la sauvegarde et la point-in-time restauration continues des clusters Aurora. Ajout de l'autorisation permettant `rds:DeleteDBClusterAutomatedBackups` au AWS Backup cycle de vie de supprimer et de dissocier les points de restauration continue Amazon Aurora à la fin d'une période de rétention. Cette autorisation est nécessaire pour que le point de récupération Aurora évite une transition vers un état `EXIPIRED`. Ajout de l'autorisation `rds:ModifyDBCluster` qui permet AWS Backup d'interagir avec les clusters Aurora. Cet ajout permet aux utilisateurs d'activer ou de désactiver les sauvegardes continues en fonction des configurations souhaitées. | 6 septembre 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Ajout de l'action permettant d'accorder `ram:GetResourceShareAssociations` à l'utilisateur l'autorisation d'obtenir des associations de partage de ressources pour le nouveau type de coffre-fort. | 08 août 2023 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Ajout de l'action permettant d'accorder `ram:GetResourceShareAssociations` à l'utilisateur l'autorisation d'obtenir des associations de partage de ressources pour le nouveau type de coffre-fort. | 08 août 2023 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Mise à jour d'une politique existante | Ajout de l'autorisation `s3:PutInventoryConfiguration` d'améliorer les performances de sauvegarde en utilisant un inventaire des compartiments. | 1er août 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Les actions suivantes ont été ajoutées pour autoriser l'utilisateur à ajouter des balises afin de restaurer les ressources :`storagegateway:AddTagsToResource`,`elasticfilesystem:TagResource`, uniquement `ec2:CreateTags` pour `ec2:CreateAction` cela inclut l'un `RunInstances` ou l'autre `CreateVolume``fsx:TagResource`, et`cloudformation:TagResource`. | 22 mai 2023 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) : mise à jour d’une politique existante | La sélection des ressources dans l'API `config:DescribeComplianceByConfigRule` a été remplacée par une ressource générique afin de faciliter la sélection des ressources par un utilisateur. | 11 avril 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Ajout de l'autorisation suivante pour restaurer Amazon EFS à l'aide d'une clé gérée par le client :`kms:GenerateDataKeyWithoutPlaintext`. Cela permet de garantir que les utilisateurs disposent des autorisations requises pour restaurer les ressources Amazon EFS. | 27 mars 2023 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) : mise à jour d’une politique existante | Mise à jour des `config:DescribeConfigRuleEvaluationStatus` actions `config:DescribeConfigRules` et pour permettre à AWS Backup Audit Manager d'accéder aux règles gérées par AWS Backup Audit Manager AWS Config . | 9 mars 2023 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) — Mise à jour d'une politique existante | Les autorisations suivantes ont été ajoutées : `kms:Decrypt``s3:PutBucketOwnershipControls`, et `s3:GetBucketOwnershipControls` à la politique`AWSBackupServiceRolePolicyForS3Restore`. Ces autorisations sont nécessaires pour prendre en charge les restaurations d'objets lorsque le chiffrement KMS est utilisé dans la sauvegarde d'origine et pour restaurer des objets lorsque la propriété des objets est configurée sur le compartiment d'origine au lieu de la liste ACL. | 13 février 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Ajout des autorisations suivantes pour planifier les sauvegardes à l'aide de VMware balises de machines virtuelles et pour prendre en charge la limitation de bande passante basée sur la planification :`backup-gateway:GetHypervisorPropertyMappings`,,,, `backup-gateway:GetVirtualMachine``backup-gateway:PutHypervisorPropertyMappings`, `backup-gateway:GetHypervisor` et. `backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule` | 15 décembre 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Ajout des autorisations suivantes pour planifier les sauvegardes à l'aide de VMware balises de machines virtuelles et pour prendre en charge la limitation de bande passante basée sur la planification :`backup-gateway:GetHypervisorPropertyMappings`,, et. `backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule` | 15 décembre 2022 |
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync) : nouvelle politique | Permet à AWS Backup Gateway de synchroniser les métadonnées des machines virtuelles sur les réseaux locaux avec Backup Gateway. | 15 décembre 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les tâches de sauvegarde Timestream : `timestream:StartAwsBackupJob``timestream:GetAwsBackupStatus`,`timestream:ListTables`,`timestream:ListDatabases`,`timestream:ListTagsForResource`, `timestream:DescribeTable``timestream:DescribeDatabase`, et. `timestream:DescribeEndpoints` | 13 décembre 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les tâches de restauration Timestream : `timestream:StartAwsRestoreJob` `timestream:GetAwsRestoreStatus``timestream:ListTables`,`timestream:ListTagsForResource`,`timestream:ListDatabases`,`timestream:DescribeTable`, `timestream:DescribeDatabase``s3:GetBucketAcl`, et. `timestream:DescribeEndpoints` | 13 décembre 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les ressources Timestream :`timestream:ListTables`,`timestream:ListDatabases`, `s3:ListAllMyBuckets` et. `timestream:DescribeEndpoints` | 13 décembre 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les ressources Timestream :`timestream:ListDatabases`, `timestream:ListTables``s3:ListAllMyBuckets`, et. `timestream:DescribeEndpoints` | 13 décembre 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les ressources Timestream : `timestream:ListDatabases``timestream:ListTables`,`timestream:ListTagsForResource`,`timestream:DescribeDatabase`,`timestream:DescribeTable`, `timestream:GetAwsBackupStatus``timestream:GetAwsRestoreStatus`, et. `timestream:DescribeEndpoints` | 13 décembre 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les ressources Amazon Redshift : `redshift:DescribeClusters``redshift:DescribeClusterSubnetGroups`,`redshift:DescribeNodeConfigurationOptions`,`redshift:DescribeOrderableClusterOptions`,`redshift:DescribeClusterParameterGroups`, `redshift:DescribeClusterTracks``redshift:DescribeSnapshotSchedules`, et. `ec2:DescribeAddresses` | 27 novembre 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les ressources Amazon Redshift :`redshift:DescribeClusters`,,`redshift:DescribeClusterSubnetGroups`,`redshift:DescribeNodeConfigurationOptions`,`redshift:DescribeOrderableClusterOptions`,`redshift:DescribeClusterParameterGroups,`. `redshift:DescribeClusterTracks` `redshift:DescribeSnapshotSchedules`, et`ec2:DescribeAddresses`. | 27 novembre 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les tâches de restauration Amazon Redshift :`redshift:RestoreFromCluster Snapshot`, `redshift:RestoreTableFromClusterSnapshot``redshift:DescribeClusters`, et. `redshift:DescribeTableRestoreStatus` | 27 novembre 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les tâches de sauvegarde Amazon Redshift :`redshift:CreateClusterSnapshot`,`redshift:DescribeClusterSnapshots`,`redshift:DescribeTags`, `redshift:DeleteClusterSnapshot``redshift:DescribeClusters`, et. `redshift:CreateTags` | 27 novembre 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Ajout de l'autorisation suivante pour les CloudFormation ressources de support :`cloudformation:ListStacks`. | 27 novembre 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Ajout de l'autorisation suivante pour les CloudFormation ressources de support :`cloudformation:ListStacks`. | 27 novembre 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour CloudFormation les ressources de support : `redshift:DescribeClusterSnapshots``redshift:DescribeTags`,`redshift:DeleteClusterSnapshot`, et`redshift:DescribeClusters`. | 27 novembre 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge les tâches de sauvegarde de la pile d' CloudFormation applications : `cloudformation:GetTemplate``cloudformation:DescribeStacks`, et`cloudformation:ListStackResources`. | 16 novembre 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Ajout des autorisations suivantes pour prendre en charge les tâches de sauvegarde de la pile d' CloudFormation applications : `cloudformation:CreateChangeSet` et `cloudformation:DescribeChangeSet` | 16 novembre 2022 |
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées à cette politique pour permettre aux administrateurs de l'organisation d'utiliser la fonctionnalité d'administrateur délégué : `organizations:ListDelegatedAdministrator``organizations:RegisterDelegatedAdministrator`, et `organizations:DeregisterDelegatedAdministrator` | 27 novembre 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge SAP HANA sur les instances Amazon EC2 `ssm-sap:GetOperation` :`ssm-sap:ListDatabases`,,`ssm-sap:BackupDatabase`, `ssm-sap:UpdateHanaBackupSettings``ssm-sap:GetDatabase`, et. `ssm-sap:ListTagsForResource` | 20 novembre 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge SAP HANA sur les instances Amazon EC2 `ssm-sap:GetOperation` :`ssm-sap:ListDatabases`,`ssm-sap:GetDatabase`, et. `ssm-sap:ListTagsForResource` | 20 novembre 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Les autorisations suivantes ont été ajoutées pour prendre en charge SAP HANA sur les instances Amazon EC2 `ssm-sap:GetOperation` :`ssm-sap:ListDatabases`,`ssm-sap:GetDatabase`, et. `ssm-sap:ListTagsForResource` | 20 novembre 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Ajout de l'autorisation suivante pour prendre en charge SAP HANA sur les instances Amazon EC2 :. `ssm-sap:GetOperation` | 20 novembre 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | L'autorisation suivante a été ajoutée pour prendre en charge les tâches de restauration de la passerelle Backup sur une instance EC2 :`ec2:CreateTags`. | 20 novembre 2022 |
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess) : mise à jour d’une politique existante | Ajout des autorisations suivantes pour prendre en charge le transfert sécurisé des données de stockage pour les ressources SAP HANA On Amazon EC2 `backup-storage:StartObject` :`backup-storage:PutChunk`,,`backup-storage:GetChunk`,`backup-storage:ListChunks`, `backup-storage:ListObjects``backup-storage:GetObjectMetadata`, et. `backup-storage:NotifyObjectComplete` | 20 novembre 2022 |
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) — Mise à jour d'une politique existante | Ajout des autorisations suivantes permettant aux propriétaires de ressources d'effectuer la restauration des ressources SAP HANA On Amazon EC2 `backup:Get*` :`backup:List*`,`backup:Describe*`,`backup:StartBackupJob`,`backup:StartRestoreJob`,`ssm-sap:GetOperation`,,`ssm-sap:ListDatabases`,`ssm-sap:BackupDatabase`, `ssm-sap:RestoreDatabase` `ssm-sap:UpdateHanaBackupSettings``ssm-sap:GetDatabase`, et. `ssm-sap:ListTagsForResource` | 20 novembre 2022 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Mise à jour d'une politique existante | Ajout de l'autorisation `s3:GetBucketAcl` de prendre en charge les opérations de sauvegarde AWS Backup pour Amazon S3. | 24 août 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Ajout des actions suivantes pour autoriser l'accès à la création d'une instance de base de données prenant en charge la fonctionnalité de zone de disponibilité multiple (multi-AZ) :. `rds:CreateDBInstance` | 20 juillet 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Ajout de l'`s3:GetBucketTagging`autorisation d'accorder à l'utilisateur l'autorisation de sélectionner des buckets à sauvegarder avec un caractère générique de ressource. Sans cette autorisation, les utilisateurs qui sélectionnent les compartiments à sauvegarder avec un caractère générique de ressource échouent. | 6 mai 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Ajout de ressources de volume dans le cadre des `fsx:ListTagsForResource` actions existantes `fsx:CreateBackup` et ajout d'une nouvelle action FSx pour `fsx:DescribeVolumes` prendre en charge les sauvegardes ONTAP au niveau des volumes. | 27 avril 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d'une politique existante | Les actions suivantes ont été ajoutées pour accorder aux utilisateurs les autorisations de restauration FSx des volumes ONTAP`fsx:DescribeVolumes`, `fsx:CreateVolumeFromBackup``fsx:DeleteVolume`, et`fsx:UntagResource`. | 27 avril 2022 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Mise à jour d'une politique existante | Les actions suivantes ont été ajoutées pour autoriser l'utilisateur à recevoir des notifications de modifications apportées à ses compartiments Amazon S3 lors des opérations de sauvegarde : `s3:GetBucketNotification` et`s3:PutBucketNotification`. | 25 février 2022 |
| [AWSBackupServiceRolePolicyForS3Backup — Nouvelle](#AWSBackupServiceRolePolicyForS3Backup) politique | Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de sauvegarder ses compartiments Amazon S3 : `s3:GetInventoryConfiguration``s3:PutInventoryConfiguration`,`s3:ListBucketVersions`,`s3:ListBucket`,`s3:GetBucketTagging`,`s3:GetBucketVersioning`, `s3:GetBucketNotification``s3:GetBucketLocation`, et `s3:ListAllMyBuckets` Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de sauvegarder ses objets Amazon S3 : `s3:GetObject``s3GetObjectAcl`,`s3:GetObjectVersionTagging`,`s3:GetObjectVersionAcl`,`s3:GetObjectTagging`, et`s3:GetObjectVersion`. Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de sauvegarder ses données Amazon S3 chiffrées : `kms:Decrypt` et`kms:DescribeKey`. Les actions suivantes ont été ajoutées pour autoriser l'utilisateur à effectuer des sauvegardes incrémentielles de ses données Amazon S3 en utilisant EventBridge les règles Amazon : `events:DescribeRule` `events:EnableRule``events:PutRule`,`events:DeleteRule`,`events:PutTargets`,`events:RemoveTargets`,,`events:ListTargetsByRule`, `events:DisableRule``cloudwatch:GetMetricData`, et`events:ListRules`. | 17 février 2022 |
| [AWSBackupServiceRolePolicyForS3Restore — Nouvelle](#AWSBackupServiceRolePolicyForS3Restore) politique | Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de restaurer ses compartiments Amazon S3 : `s3:CreateBucket``s3:ListBucketVersions`,,`s3:ListBucket`, `s3:GetBucketVersioning``s3:GetBucketLocation`, et`s3:PutBucketVersioning`. Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de restaurer ses compartiments Amazon S3 : `s3:GetObject` `s3:GetObjectVersion``s3:DeleteObject`,`s3:PutObjectVersionAcl`,`s3:GetObjectVersionAcl`,`s3:GetObjectTagging`,`s3:PutObjectTagging`,`s3:GetObjectAcl`, `s3:PutObjectAcl``s3:PutObject`, et`s3:ListMultipartUploadParts`. Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de chiffrer ses données Amazon S3 restaurées :`kms:Decrypt`,`kms:DescribeKey`, et`kms:GenerateDataKey`. | 17 février 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Ajouté `s3:ListAllMyBuckets` pour autoriser l'utilisateur à consulter la liste de ses compartiments et à choisir ceux à attribuer à un plan de sauvegarde. | 14 février 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Ajouté `backup-gateway:ListVirtualMachines` pour accorder à l'utilisateur l'autorisation de consulter la liste de ses machines virtuelles et de choisir celles à attribuer à un plan de sauvegarde. Ajouté `backup-gateway:ListTagsForResource` pour accorder à l'utilisateur l'autorisation de répertorier les balises de ses machines virtuelles. | 30 novembre 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Ajouté `backup-gateway:Backup` pour accorder aux utilisateurs les autorisations nécessaires pour restaurer leurs sauvegardes de machines virtuelles. AWS Backup également ajouté `backup-gateway:ListTagsForResource` pour accorder à l'utilisateur l'autorisation de répertorier les balises attribuées à ses sauvegardes de machines virtuelles. | 30 novembre 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Ajouté `backup-gateway:Restore` pour accorder aux utilisateurs les autorisations nécessaires pour restaurer leurs sauvegardes de machines virtuelles. | 30 novembre 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Ajout des actions suivantes pour autoriser les utilisateurs à utiliser AWS Backup Gateway pour sauvegarder, restaurer et gérer leurs machines virtuelles :`backup-gateway:AssociateGatewayToServer`,,,`backup-gateway:CreateGateway`,`backup-gateway:DeleteGateway`,`backup-gateway:DeleteHypervisor`,`backup-gateway:DisassociateGatewayFromServer`,`backup-gateway:ImportHypervisorConfiguration`,`backup-gateway:ListGateways`,`backup-gateway:ListHypervisors`,`backup-gateway:ListTagsForResource`,`backup-gateway:ListVirtualMachines`,`backup-gateway:PutMaintenanceStartTime`,`backup-gateway:TagResource`,`backup-gateway:TestHypervisorConfiguration`,`backup-gateway:UntagResource`,`backup-gateway:UpdateGatewayInformation`, et`backup-gateway:UpdateHypervisor`. | 30 novembre 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Les actions suivantes ont été ajoutées pour accorder à l'utilisateur l'autorisation de sauvegarder ses machines virtuelles : `backup-gateway:ListGateways``backup-gateway:ListHypervisors`,`backup-gateway:ListTagsForResource`, et`backup-gateway:ListVirtualMachines`. | 30 novembre 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Ajouté `dynamodb:ListTagsOfResource` pour accorder à l'utilisateur l'autorisation de répertorier les balises de ses tables DynamoDB à sauvegarder à l'aide des fonctionnalités de sauvegarde avancées AWS Backup de DynamoDB. | 23 novembre 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Ajouté `dynamodb:StartAwsBackupJob` pour accorder à l'utilisateur l'autorisation de sauvegarder ses tables DynamoDB à l'aide de fonctionnalités de sauvegarde avancées. Ajouté `dynamodb:ListTagsOfResource` pour accorder à l'utilisateur l'autorisation de copier des balises depuis ses tables DynamoDB source vers ses sauvegardes. | 23 novembre 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Ajouté `dynamodb:RestoreTableFromAwsBackup` pour accorder aux utilisateurs les autorisations nécessaires pour restaurer leurs tables DynamoDB sauvegardées à l'aide des fonctionnalités AWS Backup de sauvegarde avancées de DynamoDB. | 23 novembre 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Ajouté `dynamodb:RestoreTableFromAwsBackup` pour accorder aux utilisateurs les autorisations nécessaires pour restaurer leurs tables DynamoDB sauvegardées à l'aide des fonctionnalités AWS Backup de sauvegarde avancées de DynamoDB. | 23 novembre 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Les actions ont été supprimées `backup:GetRecoveryPointRestoreMetadata` et `rds:DescribeDBSnapshots` parce qu'elles étaient redondantes. AWS Backup n'avait pas besoin des deux `backup:GetRecoveryPointRestoreMetadata` et `backup:Get*` dans le cadre de`AWSBackupOperatorAccess`. De plus, AWS Backup je n'avais pas besoin des deux `rds:DescribeDBSnapshots` et dans `rds:describeDBSnapshots` le cadre de`AWSBackupOperatorAccess`. | 23 novembre 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Ajout des nouvelles actions`elasticfilesystem:DescribeFileSystems`,,`dynamodb:ListTables`,`storagegateway:ListVolumes`,`ec2:DescribeVolumes`,, `ec2:DescribeInstances` `rds:DescribeDBInstances``rds:DescribeDBClusters`, et `fsx:DescribeFileSystems` pour permettre aux clients de consulter et de choisir parmi une liste de leurs ressources AWS Backup prises en charge lors de la sélection des ressources à affecter à un plan de sauvegarde. | 10 novembre 2021 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) : nouvelle politique | Ajouté `AWSBackupAuditAccess` pour accorder à l'utilisateur l'autorisation d'utiliser AWS Backup Audit Manager. Les autorisations incluent la possibilité de configurer des frameworks de conformité et de générer des rapports. | 24 août 2021 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) : nouvelle politique | Ajouté `AWSServiceRolePolicyForBackupReports` pour accorder des autorisations pour un rôle lié à un service afin d'automatiser la surveillance des paramètres de sauvegarde, des tâches et des ressources afin de garantir la conformité avec les frameworks configurés par l'utilisateur. | 24 août 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Ajouté `iam:CreateServiceLinkedRole` pour créer un rôle lié à un service (dans la mesure du possible) afin d'automatiser la suppression des points de récupération expirés pour vous. Sans ce rôle lié au service, il est AWS Backup impossible de supprimer les points de récupération expirés une fois que les clients ont supprimé le rôle IAM d'origine qu'ils ont utilisé pour créer leurs points de récupération. | 5 juillet 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Ajout de la nouvelle action permettant d'`dynamodb:DeleteBackup``DeleteRecoveryPoint`autoriser l'automatisation de la suppression des points de restauration DynamoDB expirés en fonction des paramètres du cycle de vie de votre plan de sauvegarde. | 5 juillet 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Les actions ont été supprimées `backup:GetRecoveryPointRestoreMetadata` et `rds:DescribeDBSnapshots` parce qu'elles étaient redondantes. AWS Backup n'avait pas besoin des deux `backup:GetRecoveryPointRestoreMetadata` et, dans `backup:Get*` le cadre de `AWSBackupOperatorAccess` Also, AWS Backup n'avait pas besoin des deux `rds:DescribeDBSnapshots` et dans `rds:describeDBSnapshots` le cadre de `AWSBackupOperatorAccess` | 25 mai 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) : mise à jour d’une politique existante | Les actions ont été supprimées `backup:GetRecoveryPointRestoreMetadata` et `rds:DescribeDBSnapshots` parce qu'elles étaient redondantes. AWS Backup n'avait pas besoin des deux `backup:GetRecoveryPointRestoreMetadata` et `backup:Get*` dans le cadre de`AWSBackupOperatorAccess`. De plus, AWS Backup je n'avais pas besoin des deux `rds:DescribeDBSnapshots` et dans `rds:describeDBSnapshots` le cadre de`AWSBackupOperatorAccess`. | 25 mai 2021 |
| [AWSBackupServiceRolePolicyForRestores]() : mise à jour d’une politique existante | Ajout de la nouvelle action `fsx:TagResource` permettant d'accorder `StartRestoreJob` l'autorisation d'appliquer des balises aux systèmes de FSx fichiers Amazon pendant le processus de restauration. | 24 mai 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) : mise à jour d’une politique existante | Ajout des nouvelles actions `ec2:DescribeImages` et `ec2:DescribeInstances` `StartRestoreJob` autorisation vous permettant de restaurer des instances Amazon EC2 à partir de points de récupération. | 24 mai 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Ajout de la nouvelle action `fsx:CopyBackup` pour accorder `StartCopyJob` l'autorisation de copier les points de FSx récupération Amazon entre les régions et les comptes. | 12 avril 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) : mise à jour d’une politique existante | Ajout de la nouvelle action `fsx:CopyBackup` pour accorder `StartCopyJob` l'autorisation de copier les points de FSx récupération Amazon entre les régions et les comptes. | 12 avril 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) : mise à jour d’une politique existante | Mis à jour pour répondre aux exigences suivantes : AWS Backup Pour créer une sauvegarde d'une table DynamoDB chiffrée, vous devez ajouter les `kms:Decrypt` autorisations `kms:GenerateDataKey` et le rôle IAM utilisé pour la sauvegarde. | 10 mars 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) : mise à jour d’une politique existante | Mis à jour pour répondre aux exigences suivantes : À utiliser AWS Backup pour configurer des sauvegardes continues pour votre base de données Amazon RDS, vérifiez que l'autorisation d'API `rds:ModifyDBInstance` existe dans le rôle IAM défini par la configuration de votre plan de sauvegarde. Pour restaurer les sauvegardes continues Amazon RDS, vous devez ajouter l'autorisation `rds:RestoreDBInstanceToPointInTime` au rôle IAM que vous avez soumis pour la tâche de restauration. Dans la AWS Backup console, pour décrire la plage de temps disponible pour la point-in-time restauration, vous devez inclure l'autorisation d'`rds:DescribeDBInstanceAutomatedBackups`API dans votre politique gérée par IAM. | 10 mars 2021 |
| AWS Backup a commencé à suivre les modifications | AWS Backup a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 10 mars 2021 |
# Utilisation de rôles liés à un service pour AWS Backup
AWS Backup utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Backup Les rôles liés au service sont prédéfinis par AWS Backup et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
**Topics**
+ [Utilisation de rôles pour sauvegarder et copier](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [Utilisation des rôles pour AWS Backup Audit Manager](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [Utilisation des rôles pour les tests de la restauration](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)
# Utilisation de rôles pour sauvegarder et copier
AWS Backup utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Backup Les rôles liés au service sont prédéfinis par AWS Backup et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Backup car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Backup définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Backup peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Backup ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
## Autorisations de rôle liées à un service pour AWS Backup
AWS Backup utilise le rôle lié au service nommé **AWSServiceRoleForBackup**pour créer et supprimer des sauvegardes de vos AWS ressources en votre nom.
Le rôle AWSService RoleForBackup lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `backup.amazonaws.com`
Pour consulter les autorisations associées à cette politique, reportez-vous [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)à la *référence des politiques AWS gérées*.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour AWS Backup
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous listez des ressources à sauvegarder, que vous configurez une sauvegarde entre comptes ou que vous effectuez des sauvegardes dans le AWS Management Console AWS CLI, le ou l' AWS API, vous AWS Backup créez le rôle lié au service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour de plus amples informations, veuillez consulter [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous listez des ressources à sauvegarder, que vous configurez une sauvegarde entre comptes ou que vous effectuez des sauvegardes, vous AWS Backup créez à nouveau le rôle lié au service pour vous.
## Modification d'un rôle lié à un service pour AWS Backup
AWS Backup ne vous permet pas de modifier le rôle AWSService RoleForBackup lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez la section [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour AWS Backup
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources utilisées par le rôle. Tout d'abord, vous devez supprimer tous vos points de récupération. Ensuite, vous devez supprimer tous vos coffres-forts de sauvegarde.
**Note**
Si le AWS Backup service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackup (console)**
1. Pour supprimer tous vos points de restauration et coffres-forts de sauvegarde (à l'exception de votre coffre-fort par défaut), suivez la procédure décrite dans [Supprimer un coffre-fort](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault).
1. Pour supprimer votre coffre-fort par défaut, utilisez la commande suivante dans l' AWS CLI :
```
aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
```
**Pour supprimer AWS Backup les ressources utilisées par le AWSService RoleForBackup (AWS CLI)**
1. Pour supprimer tous vos points de récupération, utilisez [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html).
1. Pour supprimer tous vos coffres-forts de sauvegarde, utilisez [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html).
**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackup (API)**
1. Pour supprimer tous vos points de récupération, utilisez `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`.
1. Pour supprimer tous vos coffres-forts de sauvegarde, utilisez `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`.
### Suppression manuelle du rôle lié au service
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleForBackup service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles AWS Backup liés à un service
AWS Backup prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Fonctionnalités et régions prises en charge par AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Utilisation des rôles pour AWS Backup Audit Manager
AWS Backup utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Backup Les rôles liés au service sont prédéfinis par AWS Backup et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Backup car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Backup définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Backup peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Backup ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
## Autorisations de rôle liées à un service pour AWS Backup
AWS Backup utilise le rôle lié au service nommé **AWSServiceRoleForBackupReports**— Permet de créer AWS Backup des contrôles, des cadres et des rapports.
Le rôle AWSService RoleForBackupReports lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `reports.backup.amazonaws.com`
Pour voir les autorisations de cette stratégie, consultez [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) dans le *AWS Guide de référence des stratégies gérées par*.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour AWS Backup
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un framework ou un plan de rapport dans le AWS Management Console, le AWS CLI ou l' AWS API, vous AWS Backup créez le rôle lié au service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour de plus amples informations, veuillez consulter [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un framework ou un plan de rapport, AWS Backup crée à nouveau le rôle lié au service pour vous.
## Modification d'un rôle lié à un service pour AWS Backup
AWS Backup ne vous permet pas de modifier le rôle AWSService RoleForBackupReports lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, voir [Modifier la description d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) dans le Guide de l'utilisateur *IAM*.
## Supprimer un rôle lié à un service pour AWS Backup
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources utilisées par le rôle. Vous devez supprimer tous les frameworks et plans de rapports.
**Note**
Si le AWS Backup service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackupReports (console)**
1. Pour supprimer tous les frameworks, consultez [Suppression des cadres](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html).
1. Pour supprimer tous les plans de rapport, consultez [Suppression de plans de rapport](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html).
**Pour supprimer AWS Backup les ressources utilisées par le AWSService RoleForBackupReports (AWS CLI)**
1. Pour supprimer tous les cadres, utilisez [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html).
1. Pour supprimer tous les plans de rapport, utilisez [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html).
**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackupReports (API)**
1. Pour supprimer tous les frameworks, utilisez [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html).
1. Pour supprimer tous les plans de rapport, utilisez [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html).
### Suppression manuelle du rôle lié au service
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleForBackupReports service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles AWS Backup liés à un service
AWS Backup prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Fonctionnalités et régions prises en charge par AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Utilisation des rôles pour les tests de la restauration
AWS Backup utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Backup Les rôles liés au service sont prédéfinis par AWS Backup et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Backup car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Backup définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Backup peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Backup ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
## Autorisations de rôle liées à un service pour AWS Backup
AWS Backup utilise le rôle lié au service nommé **AWSServiceRoleForBackupRestoreTesting**— Fournit des autorisations de sauvegarde pour effectuer des tests de restauration.
Le rôle lié à un service **AWSServiceRoleForBackupRestoreTesting** approuve les services suivants pour endosser le rôle :
+ `restore-testing.backup.amazonaws.com`
Pour voir les autorisations de cette stratégie, consultez [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) dans le *AWS Guide de référence des stratégies gérées par*.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour AWS Backup
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous effectuez des tests de restauration dans le AWS Management Console AWS CLI, le ou l' AWS API, vous AWS Backup créez le rôle lié au service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour de plus amples informations, veuillez consulter [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous effectuez un test de restauration, AWS Backup crée à nouveau le rôle lié au service pour vous.
## Modification d'un rôle lié à un service pour AWS Backup
AWS Backup ne vous permet pas de modifier le rôle AWSService RoleForBackupRestoreTesting lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez la section [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour AWS Backup
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources utilisées par le rôle. Vous devez supprimer tous les plans de test de la restauration.
**Note**
Si le AWS Backup service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackupRestoreTesting (console)**
+ Pour supprimer tous les plans de test de la restauration, consultez [Tests de restauration](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html).
**Pour supprimer AWS Backup les ressources utilisées par le AWSService RoleForBackupRestoreTesting (AWS CLI)**
+ Pour supprimer les plans de test de la restauration, utilisez `delete-restore-testing-plan`.
**Pour supprimer AWS Backup les ressources utilisées par AWSService RoleForBackupRestoreTesting (API)**
+ Pour supprimer les plans de test de la restauration, utilisez `DeleteRestoreTestingPlan`.
### Suppression manuelle du rôle lié au service
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au **AWSServiceRoleForBackupRestoreTesting**service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles AWS Backup liés à un service
AWS Backup prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Fonctionnalités et régions prises en charge par AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Prévention du problème de l’adjoint confus entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés de contexte de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui AWS Backup accordent un autre service à la ressource. Si vous utilisez les deux clés de contexte de condition globale, la valeur `aws:SourceAccount` et le compte de la valeur `aws:SourceArn` doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de stratégie.
La valeur de `aws:SourceArn` doit être un AWS Backup coffre-fort lorsque vous l'utilisez AWS Backup pour publier des sujets Amazon SNS en votre nom.
Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l’ARN. Par exemple, `arn:aws::servicename::123456789012:*`.
L'exemple de politique suivant montre comment vous pouvez utiliser les touches de contexte de condition `aws:SourceAccount` globale `aws:SourceArn` et globale AWS Backup pour éviter le problème de confusion des adjoints. Cette politique accorde au principal de service backup-storage.amazonaws.com la capacité d'effectuer des actions KMS uniquement lorsque le principal de service agit pour le compte 123456789012 sur les coffres-forts de sauvegarde : AWS
# Sécurité de l'infrastructure dans AWS Backup
En tant que service géré, AWS Backup il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont l' AWS infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder AWS Backup via le réseau. Les clients doivent prendre en charge le protocole TLS (Transport Layer Security) 1.2 ou version ultérieure. Les clients doivent également prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.
# Intégrité des données dans AWS Backup
## AWS Backup objectif d'intégrité des données
AWS Backup cherche à maintenir l'intégrité lors de la transmission, du stockage et du traitement de vos données. AWS Backup traite les données des ressources stockées comme des informations critiques indépendantes du contenu, dans la mesure où nous offrons le même niveau élevé de sécurité aux clients, quel que soit le type de données que vous stockez. Nous sommes vigilants quant à la sécurité de nos clients et avons mis en place des mesures techniques et physiques sophistiquées contre les accès non autorisés. Vous gardez le contrôle total sur la manière dont vos données sont classées, sur les régions dans lesquelles vous les stockez et sur la manière dont vous contrôlez, archivez et protégez vos données contre toute divulgation.
## AWS Backup implémentation de l'intégrité des données
AWS Backup travaille de concert avec d'autres services AWS et avec Amazon pour préserver l'intégrité des données qu'il stocke et avec lesquelles il interagit. Les outils utilisés peuvent varier et peuvent inclure (sans s'y limiter) :
+ Validation continue des objets par rapport au total de contrôle pour empêcher la corruption des objets
+ Totaux de contrôle internes pour confirmer l'intégrité des données en transit et au repos
+ Totaux de contrôle calculés sur les données contenues dans les sauvegardes créées à partir du magasin principal
+ L'exactitude des checksums est toujours vérifiée avant d'utiliser les données correspondantes. Si nous trouvons des données qui ne correspondent pas à leur somme de contrôle, nous les remplaçons par une copie correcte. Si nous ne remplaçons pas la copie correcte, nous échouerons aux tâches correspondantes
+ Tentative automatique de restauration des niveaux normaux de redondance du stockage d'objets en cas de corruption du disque ou de détection d'une défaillance de l'appareil
+ Stockage redondant des données sur plusieurs sites physiques
+ Amélioration de la durabilité des objets sur plusieurs zones de disponibilité lors de l'écriture initiale, associée à une réplication ultérieure en cas d'indisponibilité de l'appareil ou de détection d'une corruption des bits
+ Totaux de contrôle sur l'ensemble du trafic réseau pour détecter la corruption des paquets de données lors du stockage ou de la récupération de données
AWS Backup stocke nativement les données pour Amazon DynamoDB avec des fonctionnalités avancées, Amazon EFS, Amazon S3, Amazon Timestream et les machines virtuelles exécutées avec Connected via la passerelle Backup. VMware AWS Backup facilite les sauvegardes des données stockées avec d'autres services, notamment Amazon Aurora, Amazon DocumentDB, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon FSx pour Windows File Server, Amazon pour FSx Lustre, Amazon pour OpenZFS, Amazon FSx FSx pour NetApp ONTAP, Amazon Neptune, Amazon RDS et Amazon Redshift.
## Confirmation objective et audit de l'intégrité AWS Backup des données
Les données stockées directement par AWS Backup et celles stockées en partenariat avec les autres AWS services avec lesquels ils AWS Backup interagissent sont soumises au processus rigoureux d'Amazon Simple Storage Service (Amazon S3) qui sous-tend cette intégrité des données. Cette intégrité est confirmée par un auditeur tiers indépendant par le biais d'un rapport d'audit annuel du SOC disponible via [AWS Artifact](https://aws.amazon.com/artifact/).
# Retenues légales et AWS Backup
## Vue d'ensemble de la conservation légale
Une conservation légale est un outil administratif qui permet d'empêcher la suppression de sauvegardes pendant une conservation. Tant que la conservation est en place, les sauvegardes sous conservation ne peuvent pas être supprimées et les politiques de cycle de vie susceptibles de modifier le statut des sauvegardes (comme le passage à un état `Deleted`) sont retardées jusqu'à ce que la conservation légale soit levée.
Des blocages légaux peuvent être appliqués à une ou plusieurs sauvegardes (également appelées points de restauration) créées AWS Backup si leur cycle de vie le permet. Les blocages légaux ne s'appliquent pas aux [sauvegardes continues](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html).
Lorsqu'une conservation légale est créée, elle peut prendre en compte des critères de filtrage spécifiques, tels que les types de ressources et les ressources IDs. En outre, vous pouvez définir la plage de dates de création des sauvegardes que vous souhaitez inclure dans une conservation légale.
Les conservations légales ne s'appliquent qu'à la sauvegarde d'origine sur laquelle elles sont placées. Lorsqu'une sauvegarde est copiée entre régions ou comptes (si la ressource la prend en charge), elle n'est pas conservée ni conservée légalement. Une conservation légale, comme d'autres ressources, possède un ARN (Amazon Resource Name) unique qui lui est associé. Seuls les points de récupération créés par AWS Backup peuvent faire partie d'une détention légale.
Notez que si [AWS Backup Vault Lock](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) fournit des protections et une immuabilité supplémentaires à un coffre-fort, une conservation légale fournit une protection supplémentaire contre la suppression de sauvegardes individuelles (points de restauration). La conservation légale n'expire pas et les données de la sauvegarde sont conservées indéfiniment. La suspension reste active jusqu'à ce qu'elle soit levée par un utilisateur disposant des autorisations suffisantes.
## Maintenances légales multiples
Une sauvegarde peut avoir plusieurs conservations légales. Les mises en attente légales et les sauvegardes sont liées à plusieurs, ce qui signifie qu'une sauvegarde peut avoir plus qu'une conservation légale et qu'une conservation légale peut inclure plusieurs sauvegardes.
Une sauvegarde ne peut pas être supprimée tant qu'elle est légalement conservée. Une fois toutes les restrictions légales sur une sauvegarde supprimées, celle-ci est soumise à ses propriétés de cycle de conservation. Maintenez au moins un blocage légal pour empêcher la suppression des sauvegardes. Des blocages légaux peuvent être appliqués à un point de restauration conservé après sa date de conservation du cycle de vie de sauvegarde (en raison d'un blocage légal existant).
Chaque compte peut avoir un maximum de 50 conservations légales actives à un moment donné.
## Création d'une conservation légale
Une sauvegarde légale peut être ajoutée à une sauvegarde existante (point de restauration).
Les sauvegardes (points de récupération) dont le statut est `EXPIRED` ou `DELETING` ne seront pas incluses dans la conservation légale. Les points de récupération (sauvegardes) dont le statut est `CREATING` peuvent ne pas être inclus dans la conservation légale, selon le moment où ils sont terminés.
Des blocages légaux peuvent être ajoutés par les utilisateurs disposant des autorisations IAM requises.
### Création d'une conservation légale juridique à l'aide de la console
**Pour créer une conservation légale**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans le tableau de bord situé à gauche de la console, trouvez Mon compte. Choisissez **Legal holds**.
1. Choisissez **Ajouter une conservation légale**.
1. Trois panneaux s'affichent : **Détails de la conservation légale****, étendue de** la conservation **légale et balises de conservation légales**.
1. Sous **Détails relatifs à la conservation légale**, entrez le titre de la conservation légale et une description de la conservation dans les zones de texte prévues à cet effet.
1. Dans le panneau **Portée de la conservation légale**, choisissez la manière dont vous souhaitez sélectionner la ressource à inclure dans la conservation légale. Lorsque vous créez une suspension, vous choisissez la méthode utilisée pour sélectionner les ressources relevant de la retenue légale. Vous pouvez choisir d'inclure l'une des méthodes suivantes :
+ types de ressources spécifiques et IDs
+ Sélectionnez les coffres-forts de sauvegarde
+ Tous les types de ressources ou tous les coffres-forts de sauvegarde de votre compte
1. Spécifiez la plage de dates de votre conservation légale. Entrez les dates au format YYYY:MM:DD (les dates sont inclusives).
1. Vous pouvez éventuellement ajouter des balises pour la mise en attente sous **Balises de conservation légales**. Les balises peuvent aider à classer la conservation pour une référence et une organisation futures. Vous pouvez ajouter jusqu'à 50 balises au total.
1. Lorsque vous êtes satisfait de la configuration de votre nouvelle conservation légale, cliquez sur le bouton **Ajouter une nouvelle conservation**.
### Créez une conservation légale à l'aide du AWS CLI
Vous pouvez créer une suspension légale à l'aide de la [create-legal-hold](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-legal-hold.html)commande.
```
aws backup create-legal-hold --title "my title" \
--description "my description" \
--recovery-point-selection "VaultNames=string,DateRange={FromDate=timestamp,ToDate=timestamp}"
```
## Affichage des conservations légales
Vous pouvez consulter les informations relatives à la conservation légale dans la AWS Backup console ou par programmation.
### Afficher les réservations légales à l'aide de la console
Pour consulter toutes les conservations légales d'un compte à l'aide de la console Backup,
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Dans la partie gauche du tableau de bord, sous **Mon compte**, cliquez sur **Conservations légales**.
1. La table **conservation légale** affiche le titre, le statut, la description, l'ID et la date de création des conservations existantes. Cliquez sur le carat (flèche vers le bas) à côté de l'en-tête de la table pour filtrer la table en fonction de la colonne sélectionnée.
### Affichage des conservations légales par programmation
Pour afficher tous les blocages légaux par programmation, vous pouvez utiliser les appels d'API suivants : [ListLegalHolds](API_ListLegalHolds.md)et. [GetLegalHold](API_GetLegalHold.md)
Le modèle JSON suivant peut être utilisé pour`GetLegalHold`.
```
GET /legal-holds/{legalHoldId} HTTP/1.1
Request
empty body
Response
{
Title: string,
Status: LegalHoldStatus,
Description: string, // 280 chars max
CancelDescription: string, // this is provided during cancel // 280 chars max
LegalHoldId: string,
LegalHoldArn: string,
CreatedTime: number,
CanceledTime: number,
ResourceSelection: {
VaultArns: [ string ]
Resources: [ string ]
},
ResourceFilters: {
DateRange: {
FromDate: number,
ToDate: number
}
}
}
```
Le modèle JSON suivant peut être utilisé pour`ListLegalHolds`.
```
GET /legal-holds/
&maxResults=MaxResults
&nextToken=NextToken
Request
empty body
url params:
MaxResults: number // optional,
NextToken: string // optional
status: Valid values: CREATING | ACTIVE | CANCELED | CANCELING
maxResults: 1-1000
Response
{
NextToken: token,
LegalHolds: [
Title: string,
Status: string,
Description: string, // 280 chars max
CancelDescription: string, // this is provided during cancel // 280 chars max
LegalHoldId: string,
LegalHoldArn: string,
CreatedTime: number,
CanceledTime: number,
]
}
```
Les valeurs d'état possibles sont les suivantes.
| Statut | Description |
| --- | --- |
| CRÉATION | Les points de récupération demandés sont en cours de conservation et les demandes de suppression de ces points de récupération peuvent réussir puisque la création de la conservation n'est pas terminée. |
| ACTIF | La conservation légale a été créée. Tous les points de récupération répertoriés dans le cadre de cette conservation légale sont conservés. |
| ANNULATION | Les conservations légales sont en cours de suppression et les demandes de suppression des points de récupération conservés peuvent aboutir. |
| ANNULÉE | La conservation légale est entièrement libérée et n'a plus aucun effet. Les points de récupération peuvent être supprimés. |
## Libération d'une conservation légale
Les blocages légaux restent en vigueur jusqu'à ce qu'ils soient supprimés par un utilisateur disposant des autorisations suffisantes. La suppression d'une conservation légale est également connue sous le nom d'annulation, de suppression ou de libération d'une conservation légale. La suppression d'une conservation légale l'élimine de toutes les sauvegardes auxquelles elle était attachée. Toutes les sauvegardes qui ont expiré pendant la période de conservation légale sont supprimées dans les 24 heures suivant la levée de la suspension légale.
### Libération d'une conservation légale à l'aide de la console
**Pour relâcher un blocage à l'aide de la console**
1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Entrez la description que vous souhaitez associer à la version.
1. Vérifiez les détails, puis cliquez sur **Lever la conservation**.
1. Lorsque la boîte de dialogue Lever la conservation apparaît, confirmez votre intention de lever la conservation en saisissant `confirm` dans la zone de texte.
1. Cochez la case indiquant que vous annulez la conservation.
Sur la page **Conservations légales**, vous pouvez voir toutes vos conservations. Si la libération est réussie, le statut de cette conservation sera affiché comme `Released`.
### Libérer une suspension légale par le biais d'un programme
Pour supprimer une conservation par programmation, utilisez l'appel d'API [CancelLegalHold](API_CancelLegalHold.md).
Utilisez le modèle JSON suivant.
```
DELETE /legal-holds/{legalHoldId}
Request
{
CancelDescription: String
DeleteAfterDays: number // optional
}
DeleteAfterDays: optional.
Defaults to 180 days. how long to keep legal hold record after canceled.
This applies to the actual legal hold record only.
Recovery points are unlocked as soon as cancelation processes and are not subject to this date.
Response
Empty body
200 if successful
other standard codes
```
# Protection contre les logiciels malveillants dans AWS Backup
L'analyse des programmes malveillants de vos sauvegardes est assurée par Amazon GuardDuty Malware Protection. L'utilisation d'Amazon GuardDuty Malware Protection pour vous AWS Backup permet d'automatiser l'analyse des points de restauration via les flux de travail de sauvegarde existants ou de lancer des analyses à la demande de sauvegardes créées précédemment. Cette solution AWS native permet de garantir que vos sauvegardes sont exemptes de logiciels malveillants potentiels, ce qui vous permet de répondre aux exigences de conformité et de répondre plus rapidement aux incidents malveillants en garantissant la restauration de données propres.
Pour consulter la liste des types de ressources et des régions pris en charge, consultez la [page de disponibilité des fonctionnalités](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html).
**Topics**
+ [Intégration avec Amazon GuardDuty](#malware-guardduty-integration)
+ [Accès instantané](backup-instant-access.md)
+ [Comment utiliser l'analyse des logiciels malveillants](#malware-how-to-use)
+ [Accès](#malware-access)
+ [Analyses incrémentielles ou complètes](#malware-scan-types)
+ [Surveillance de vos analyses de malwares](#malware-monitoring)
+ [Comprendre les résultats du scan](#malware-scan-results)
+ [Résolution des problèmes de numérisation](#malware-troubleshooting)
+ [Mesure](#malware-metering)
+ [Quotas](#malware-quotas)
+ [Étapes d'utilisation de la console et de la CLI pour les types d'analyse des programmes malveillants](#malware-console-cli-usage)
## Intégration avec Amazon GuardDuty
AWS Backup s'intègre à Amazon GuardDuty Malware Protection pour détecter les menaces pour vos points de récupération. Lorsque vous lancez une analyse des programmes malveillants, l'`StartMalwareScan`API d'Amazon GuardDuty est AWS Backup automatiquement appelée une fois chaque sauvegarde terminée, en transmettant les détails du point de restauration et les informations d'identification de votre rôle de scanner. Amazon commence GuardDuty ensuite à lire, déchiffrer et analyser tous les fichiers et objets contenus dans la sauvegarde.
Lorsque Amazon GuardDuty accède à vos données de sauvegarde, cet accès est connecté AWS CloudTrail pour des raisons de visibilité.
Pour plus d'informations sur cette intégration, consultez la [documentation Amazon GuardDuty Malware Protection](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-backup.html).
# Backup des autorisations d'accès instantanées
Lorsque vous utilisez Amazon GuardDuty Malware Protection for AWS Backup avec des sauvegardes S3, Amazon GuardDuty accède à vos sauvegardes S3 par trois APIs moyens : CreateBackupAccessPoint DescribeBackupAccessPoint, et DeleteBackupAccessPoint.
Amazon GuardDuty utilise CreateBackupAccessPoint pour accéder à vos données de sauvegarde cryptées. Au cours de la tâche de numérisation, GuardDuty permet DescribeBackupAccessPoint de vérifier la réussite de la création du point d'accès. Une fois l'analyse terminée, GuardDuty des appels DeleteBackupAccessPoint lui demandent de supprimer son accès à votre sauvegarde.
Ce flux de travail s'applique à la fois aux sauvegardes S3 et aux sauvegardes EC2/EBS stockées dans un coffre-fort à espacement logique.
## Comment utiliser l'analyse des logiciels malveillants
Lorsque vous utilisez Amazon GuardDuty Malware Protection avec AWS Backup, vous pouvez analyser automatiquement vos sauvegardes pour détecter la présence de logiciels malveillants. Cette intégration vous permet de détecter le code malveillant dans vos sauvegardes et d'identifier des points de restauration propres pour les opérations de restauration.
Amazon GuardDuty Malware Protection prend en charge deux flux de travail principaux pour analyser vos sauvegardes :
+ Analyse **automatique des programmes malveillants via des plans de sauvegarde** : activez l'analyse des logiciels malveillants dans les plans de sauvegarde pour automatiser la détection des logiciels malveillants avec AWS Backup. Lorsque cette option est activée, lance AWS Backup automatiquement un GuardDuty scan Amazon après chaque sauvegarde réussie. Vous pouvez configurer une analyse complète ou incrémentielle pour des règles de plan de sauvegarde spécifiques, qui déterminent la fréquence d'analyse de vos sauvegardes. Pour plus d'informations sur les types de numérisation, voir [Analyses incrémentielles ou complètes](#malware-scan-types) ci-dessous. AWS Backup recommande d'activer l'analyse automatique des programmes malveillants dans les plans de sauvegarde pour une détection proactive des menaces après la création de la sauvegarde.
+ **Analyses à** la demande : exécutez des analyses à la demande pour analyser manuellement les sauvegardes existantes, en choisissant entre des types d'analyse complets ou incrémentiels. AWS Backup recommande d'utiliser des analyses à la demande pour identifier votre dernière sauvegarde propre. Lorsque vous effectuez une analyse avant une opération de restauration, utilisez une analyse complète pour examiner l'intégralité de la sauvegarde à l'aide du dernier modèle de détection des menaces.
## Accès
Avant de commencer à utiliser la protection contre les logiciels malveillants, votre compte doit disposer des autorisations requises pour les opérations.
AWS Backup l'analyse des programmes malveillants nécessite deux rôles IAM pour analyser vos points de récupération à la recherche de logiciels malveillants potentiels :
+ Tout d'abord, la [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)politique [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)gérée doit être attachée à votre rôle de sauvegarde existant ou nouveau. Il s'agit du même rôle que celui que l'on trouve dans l'attribution des ressources pour votre plan de sauvegarde dans la console ou via l'[BackupSelection API](API_CreateBackupSelection.md). Cette politique gérée permet de AWS Backup lancer des analyses de malwares avec Amazon GuardDuty.
+ Ensuite, un nouveau rôle de scanner est requis avec une politique [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)gérée qui fait confiance`malware-protection.guardduty.amazonaws.com`. Il s'agit du même rôle que celui que l'on trouve dans la section de protection contre les programmes malveillants de votre plan de sauvegarde dans la console ou dans les paramètres d'analyse de votre [BackupPlan API](API_CreateBackupPlan.md). Ce rôle est transmis AWS Backup à Amazon GuardDuty lorsqu'une analyse est lancée, ce qui permet d'accéder aux sauvegardes.
## Analyses incrémentielles ou complètes
Avec l'analyse des programmes malveillants, vous avez le choix entre des analyses incrémentielles ou complètes en fonction de vos exigences en matière de sécurité et de considérations financières.
**Les scans incrémentiels** analysent uniquement les données modifiées entre le point de récupération cible et le point de récupération de base. Ces analyses sont plus rapides et plus économiques pour les analyses régulières, ce qui les rend idéales pour les sauvegardes périodiques fréquentes où vous souhaitez analyser des données récemment sauvegardées.
Même lorsque l'analyse incrémentielle est sélectionnée, AWS Backup effectue une analyse complète dans les situations suivantes :
+ **Analyses initiales :** l'analyse initiale d'une ressource est toujours une analyse complète, ce qui permet GuardDuty à Amazon d'établir une base de référence des menaces potentielles. Les scans suivants seront alors incrémentiels.
+ **Base de référence expirée :** si votre point de récupération de référence a été scanné il y a plus de 365 jours, une analyse complète est effectuée. Amazon ne GuardDuty conservant les informations de recherche que pendant 365 jours, une nouvelle base de référence doit être établie pour garantir des résultats d'analyse précis.
+ Base **de référence supprimée :** si votre point de récupération de base est supprimé avant le début de votre prochaine analyse incrémentielle, une analyse complète est automatiquement effectuée.
**Les scans complets** examinent l'intégralité du point de restauration, indépendamment des scans précédents. Bien que ces analyses fournissent une couverture complète, elles prennent plus de temps et entraînent des coûts plus élevés. Vous pouvez exécuter des analyses complètes à la demande ou les planifier via vos plans de sauvegarde. AWS Backup recommande de configurer des analyses complètes périodiques dans vos plans de sauvegarde à des intervalles prolongés afin de garantir que l'ensemble de vos données de sauvegarde est régulièrement scanné avec le dernier modèle de signature de logiciel malveillant.
Pour une sécurité optimale par rapport à une gestion des coûts, tenez compte de la fréquence de vos sauvegardes lorsque vous choisissez les types de scan.
**Note**
L'analyse des programmes malveillants n'est actuellement pas prise en charge pour les points de restauration continue Amazon S3. Pour analyser les sauvegardes continues d'Amazon S3, configurez des sauvegardes périodiques pour vos ressources Amazon S3 et activez l'analyse des programmes malveillants sur ces sauvegardes périodiques. Vous pouvez utiliser une [combinaison de sauvegardes continues et périodiques](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html) pour vos compartiments Amazon S3.
**Note**
L'analyse incrémentielle des programmes malveillants n'est pas prise en charge pour les points de récupération Amazon EC2 situés dans [un coffre-fort isolé de manière logique ou pour les points de](https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html) récupération Amazon EC2 copiés.
## Surveillance de vos analyses de malwares
Une fois la numérisation activée, Amazon AWS Backup et Amazon GuardDuty fournissent des mécanismes de surveillance et de notification que vous pouvez utiliser pour suivre vos résultats :
+ **AWS Backup Console :** La AWS Backup console est alimentée par `ListScanJobs` et `DescribeScanJob` APIs. Vous pouvez consulter la section Protection contre les logiciels malveillants pour consulter la liste des tâches d'analyse, représentant l'état des tâches et les résultats de l'analyse. AWS Backup supporte également une `ListScanJobSummaries` API, bien qu'elle ne soit pas disponible dans la console.
+ **AWS Backup Audit Manager :** vous pouvez configurer un rapport d'analyse pour afficher toutes les tâches d'analyse des programmes malveillants AWS Backup lancées au cours des dernières 24 heures.
+ **Amazon GuardDuty Console :** si Amazon de base GuardDuty est activé, vous pouvez consulter les détails dans les résultats du Malware Scan et étudier les malwares sur la page des GuardDuty résultats d'Amazon. Vous pouvez consulter des informations telles que la menace et le nom du fichier, le chemin du fichier, objects/files le nombre d'octets scannés, etc. Notez que ces informations détaillées sur les menaces ne sont pas disponibles via AWS Backup et que vous devez disposer des GuardDuty autorisations Amazon appropriées pour consulter ces informations.
+ **Amazon EventBridge : Amazon** AWS Backup et Amazon GuardDuty émettent EventBridge des événements, ce qui permet aux administrateurs de sauvegarde et de sécurité d'être alertés de manière synchrone. Vous pouvez configurer des règles personnalisées pour recevoir des notifications lorsque les analyses sont terminées ou qu'un logiciel malveillant est détecté.
+ **AWS CloudTrail:** Amazon AWS Backup et Amazon GuardDuty émettent CloudTrail des événements, ce qui vous permet de surveiller l'accès aux API.
## Comprendre les résultats du scan
Vos tâches de numérisation AWS Backup auront un état de numérisation et un résultat de numérisation.
### États de numérisation
L'état de numérisation indique l'état de la tâche et peut prendre les valeurs suivantes : `CREATED` `COMPLETED``COMPLETED_WITH_ISSUES`,`RUNNING`,,`FAILED`, ou`CANCELED`.
Il existe plusieurs situations dans lesquelles votre tâche de numérisation se terminera avec l'état `COMPLETED_WITH_ISSUES` :
Pour les sauvegardes Amazon S3, il existe des size/type limitations relatives aux objets qui empêcheront l'analyse des objets. Lorsqu'au moins un objet est ignoré dans une analyse, la tâche de numérisation correspondante est marquée comme`COMPLETED_WITH_ISSUES`. Pour les sauvegardes Amazon EC2/Amazon EBS, il existe des size/quantity limites de volume qui se traduisent par des volumes ignorés lors de la numérisation. Ces situations entraîneront une tâche de sauvegarde Amazon EC2/Amazon EBS. `COMPLETED_WITH_ISSUES`
Si votre tâche se termine par un état `COMPLETED_WITH_ISSUES` et que vous avez besoin d'informations supplémentaires sur les raisons, vous devrez obtenir ces informations auprès de la tâche de numérisation correspondante via Amazon GuardDuty.
**Note**
Les tâches d'analyse incrémentielle analysent uniquement la différence de données entre deux sauvegardes. Par conséquent, si une tâche d'analyse incrémentielle ne rencontre aucune des situations décrites ci-dessus, elle se terminera en état `COMPLETE` et n'héritera pas du point `COMPLETED_WITH_ISSUES` de récupération de base.
Dans de rares cas, Amazon GuardDuty peut rencontrer des problèmes internes lors de la numérisation de fichiers et d'objets, et les tentatives de nouvelle tentative peuvent être vaines. Dans ce cas, la tâche de numérisation apparaît comme `FAILED` dans AWS Backup et `COMPLETED_WITH_ISSUES` dans Amazon GuardDuty. Cette différence de statut vous permet de consulter les résultats de scan disponibles sur Amazon GuardDuty tout en indiquant que tous les fichiers et objets pris en charge n'ont pas été scannés avec succès.
### Résultats du scan
Les résultats du scan indiquent un résultat agrégé provenant d'Amazon GuardDuty et peuvent avoir les valeurs suivantes :`THREATS_FOUND`, ou`NO_THREATS_FOUND`.
Les résultats de l'analyse indiquent si un logiciel malveillant potentiel a été détecté dans vos points de récupération. Un `NO_THREATS_FOUND` statut signifie qu'aucun logiciel malveillant potentiel n'a été détecté, tandis qu'`THREATS_FOUND`un logiciel malveillant potentiel a été découvert. Pour obtenir des informations détaillées sur les menaces, accédez aux GuardDuty résultats complets d'Amazon via la GuardDuty console Amazon ou APIs. Les résultats du scan sont également disponibles par le biais d' EventBridge événements, ce qui vous permet de créer des flux de travail automatisés qui répondent aux sauvegardes infectées.
Amazon GuardDuty conserve les résultats pendant 365 jours, en suivant les fichiers ou les objets dans le cadre d'analyses incrémentielles afin de vérifier si les menaces sont supprimées ou si les signatures des logiciels malveillants changent. Par exemple, si un logiciel malveillant est détecté dans la sauvegarde 2, le résultat de l'analyse s'affiche`THREATS_FOUND`. Lorsque vous effectuez une analyse incrémentielle sur la sauvegarde 3 en utilisant la sauvegarde 2 comme base, le résultat de l'analyse est conservé `THREATS_FOUND` sauf si la menace a été supprimée des données.
## Résolution des problèmes de numérisation
Les échecs de scan courants incluent des autorisations IAM insuffisantes, des limites de service et des problèmes d'accès aux ressources.
Des **erreurs d'autorisation** se produisent lorsque le rôle de sauvegarde ne dispose pas d'`AWSBackupServiceRolePolicyForScans`autorisations ou lorsque le rôle de scanner n'`AWSBackupGuardDutyRolePolicyForScans`entretient pas de relations de confiance appropriées.
**Des erreurs de limite de service** se produisent lorsque vous dépassez les 150 analyses simultanées par compte ou 5 analyses simultanées par type de ressource. Les tâches de numérisation resteront en cours jusqu'`CREATED`à ce que la capacité soit disponible.
**Les erreurs d'accès refusé** peuvent indiquer des points de récupération chiffrés sans AWS KMS les autorisations appropriées ou des points de récupération parents supprimés pour des analyses incrémentielles.
Les **délais d'expiration** peuvent survenir avec de très grands points de restauration ou pendant des périodes de GuardDuty chargement Amazon élevées.
Pour résoudre le problème, vérifiez l'état de la tâche d'analyse à l'aide de l'`DescribeScanJob`API, vérifiez les configurations des rôles IAM, assurez-vous que les points de récupération existent et sont accessibles, et envisagez de passer aux analyses complètes si des références parentes de scan incrémentielles sont manquantes.
Surveillez votre utilisation simultanée des scans et implémentez l'instabilité dans les flux de travail automatisés afin d'éviter d'atteindre les limites de service.
## Mesure
La protection contre les malwares est fournie et facturée par Amazon GuardDuty. Vous ne verrez aucun AWS Backup frais lié à l'utilisation de cette fonctionnalité. Toutes les utilisations peuvent être consultées sur la page GuardDuty de facturation d'Amazon. Pour en savoir plus, consultez la page [ GuardDuty des tarifs Amazon](https://aws.amazon.com/guardduty/pricing/).
## Quotas
Amazon AWS Backup et Amazon GuardDuty ont tous deux fixé des quotas pour Amazon GuardDuty Malware Protection for AWS Backup.
Pour plus d'informations, consultez les pages [AWS Backup Quotas](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html) et [Amazon GuardDuty Quotas](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_limits.html).
## Étapes d'utilisation de la console et de la CLI pour les types d'analyse des programmes malveillants
Les sections suivantes présentent les étapes de configuration des différents types de scan de programmes malveillants à l'aide de la console et AWS CLI.
### Comment configurer les analyses de logiciels malveillants
**Console**
1. Accédez à la AWS Backup console → Plans de sauvegarde
1. Créez un nouveau plan de sauvegarde ou sélectionnez un plan existant
1. Activer le bouton de **protection contre les logiciels malveillants**
1. Sélectionnez le **rôle de scanner** pour choisir un nouveau rôle de scanner. Assurez-vous que le rôle de sauvegarde et le rôle de scanner disposent des autorisations appropriées, comme indiqué dans[Accès](#malware-access).
1. Sélectionnez les types de **ressources scannables**. Cela filtrera l'analyse des logiciels malveillants en fonction des critères de sélection des ressources que vous avez choisis. Par exemple, si le type de ressource que vous avez sélectionné est Amazon EBS, mais que la sélection de ressources de votre plan inclut Amazon EBS et Amazon S3, seules les analyses de malwares Amazon EBS auront lieu.
1. Définissez le **type de scan** pour chaque règle de sauvegarde. Vous pouvez choisir entre un scan complet, incrémentiel ou sans scan. La sélection du type de scan signifie que le scan aura lieu à la fréquence planifiée de la règle de sauvegarde associée.
1. Enregistrer le plan de sauvegarde
**AWS CLI**
**CreateBackupPlan**
Vous pouvez créer un plan de sauvegarde avec l'analyse des programmes malveillants activée à l'aide de la [create-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html)commande.
```
aws backup create-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules": [
{
"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle": {
"DeleteAfterDays": 3,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"
}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 100,
"CompletionWindowMinutes": 5000,
"Lifecycle": {
"DeleteAfterDays": 2,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings": [
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes": ["EBS", "EC2", "S3"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**UpdateBackupPlan**
Vous pouvez mettre à jour un plan de sauvegarde en activant l'analyse des programmes malveillants à l'aide de la [update-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)commande.
```
aws backup update-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules":
[
{"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 60,
"CompletionWindowMinutes": 3000,
"Lifecycle":
{
"DeleteAfterDays": 6,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle":
{
"DeleteAfterDays": 9,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings":
[
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes":
["ALL", "EBS"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**Remarques clés**
+ La saisie de l'ARN cible est requise avant que les options de scan ne soient activées (console)
+ Le rôle IAM de sauvegarde et le rôle IAM de scanner sont requis pour toutes les configurations
+ `aws backup list-scan-jobs`À utiliser pour afficher toutes les tâches de numérisation (AWS CLI)
+ Les implications financières varient selon le type de numérisation (incrémentiel ou complet) et la fréquence
**AWS CLI Remarques clés**
+ `aws backup list-scan-jobs`À utiliser pour afficher toutes les tâches de numérisation (AWS CLI)
+ Résultats du scan disponibles via `describe-recovery-point` API avec ScanResults champ
+ Le rôle IAM de sauvegarde et le rôle IAM de scanner sont requis pour toutes les configurations
+ La structure du plan de sauvegarde JSON inclut ScanSettings au niveau du plan et ScanActions dans les règles
# Résilience dans AWS Backup
AWS Backup prend très au sérieux sa résilience et la sécurité de vos données.
AWS Backup stocke vos sauvegardes avec *au moins* autant de résilience et de durabilité que le AWS service d'origine de votre ressource vous offrirait, si vous les sauvegardiez sur place.
AWS Backup est conçu pour utiliser l'infrastructure AWS mondiale afin de répliquer vos sauvegardes sur plusieurs zones de disponibilité pour une durabilité de 99,999999999 % (11 neuf) par année, à condition que vous respectiez la documentation en vigueur. AWS Backup
AWS Backup chiffre vos plans de sauvegarde au repos et les sauvegarde en permanence. Vous pouvez également restreindre l'accès à vos plans de sauvegarde à l'aide des informations d'identification et des politiques Gestion des identités et des accès AWS (IAM). Pour plus d'informations, consultez [Authentification](https://docs.aws.amazon.com/aws-backup/latest/devguide/authentication.html), [Contrôle d'accès](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html) et [ Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. AWS Backup stocke vos sauvegardes dans toutes les zones de disponibilité. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données. Pour plus d'informations, consultez [Contrat de niveau de service (SLA)AWS Backup](https://aws.amazon.com/backup/sla/).
En outre, il AWS Backup vous permet de copier vos sauvegardes d'une région à l'autre pour une résilience encore plus grande. Pour plus d'informations sur la fonctionnalité de copie AWS Backup entre régions, voir [Création d'une copie de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html).
Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).