Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Syntaxe et exemples d'une politique de sauvegarde
Cette page décrit la syntaxe d'une politique de sauvegarde et fournit des exemples.
Syntaxe des politiques de sauvegarde
Une politique de sauvegarde est un fichier en texte brut structuré selon les règles de JSON
L'essentiel d'une politique de sauvegarde est constitué du plan de sauvegarde et de ses règles. La syntaxe du plan de sauvegarde dans une politique de AWS Organizations sauvegarde est structurellement identique à celle utilisée par AWS Backup, mais les noms des clés sont différents. Dans les descriptions des noms de clé de stratégie ci-dessous, chacun inclut le nom de clé de AWS Backup plan équivalent. Pour plus d'informations sur AWS Backup les forfaits, consultez CreateBackupPlanle guide du AWS Backup développeur.
Note
Lors de l'utilisationJSON, les noms de clé dupliqués seront rejetés. Si vous souhaitez inclure plusieurs plans, règles ou sélections dans une seule politique, assurez-vous que le nom de chaque clé est unique.
Pour être complète et fonctionnelle, une politique de sauvegarde effective doit inclure plus qu'un simple plan de sauvegarde avec son calendrier et ses règles. La politique doit également identifier Régions AWS les ressources à sauvegarder, ainsi que le rôle AWS Identity and Access Management (IAM) qui AWS Backup peut être utilisé pour effectuer la sauvegarde.
La politique fonctionnellement complète suivante montre la syntaxe de la politique de sauvegarde de base. Si cet exemple était attaché directement à un compte, AWS Backup il sauvegarderait toutes les ressources de ce compte dans les eu-north-1
régions us-east-1
et dont la balise dataType
a la valeur PII
ouRED
. L'exemple sauvegarde ces ressources tous les jours à 5h00 dans My_Backup_Vault
et stocke également une copie dans My_Secondary_Vault
. Ces deux coffres-forts sont dans le même compte que la ressource. Il stocke également une copie de la sauvegarde dans My_Tertiary_Vault
dans un autre compte explicitement spécifié. Les coffres-forts doivent déjà exister dans chacun des coffres-forts spécifiés Régions AWS pour chaque Compte AWS personne recevant la politique effective. Si l'une des ressources sauvegardées est une EC2 instance, la prise en charge de Microsoft Volume Shadow Copy Service (VSS) est activée pour les sauvegardes sur ces instances. La sauvegarde applique la balise Owner:Backup
à chaque point de restauration.
{ "plans": { "PII_Backup_Plan": { "rules": { "My_Hourly_Rule": { "schedule_expression": {"@@assign": "cron(0 5 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "complete_backup_window_minutes": {"@@assign": "604800"}, "enable_continuous_backup": {"@@assign": false}, "target_backup_vault_name": {"@@assign": "My_Backup_Vault"}, "recovery_point_tags": { "Owner": { "tag_key": {"@@assign": "Owner"}, "tag_value": {"@@assign": "Backup"} } }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } }, "arn:aws:backup:us-east-1:111111111111:backup-vault:My_Tertiary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:111111111111:backup-vault:My_Tertiary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "regions": { "@@append": [ "us-east-1", "eu-north-1" ] }, "selections": { "tags": { "My_Backup_Assignment": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": {"@@assign": "enabled"} } }, "backup_plan_tags": { "stage": { "tag_key": {"@@assign": "Stage"}, "tag_value": {"@@assign": "Beta"} } } } } }
La syntaxe d'une politique de sauvegarde inclut les composants suivants :
-
Variables
$account
: dans certaines chaînes de texte des politiques, vous pouvez utiliser la variable$account
pour représenter le Compte AWS courant. Lorsqu'un plan est AWS Backup exécuté dans la stratégie effective, il remplace automatiquement cette variable par le plan actuel Compte AWS dans lequel s'exécutent la politique effective et ses plans.Important
Vous pouvez utiliser la
$account
variable uniquement dans les éléments de politique qui peuvent inclure un nom de ressource Amazon (ARN), tels que ceux qui spécifient le coffre de sauvegarde dans lequel stocker la sauvegarde ou le IAM rôle autorisé à effectuer la sauvegarde.Par exemple, ce qui suit exige qu'un coffre nommé
My_Vault
existe dans chaque coffre Compte AWS auquel la politique s'applique.arn:aws:backup:us-west-2:$account:vault:My_Vault"
Nous vous recommandons d'utiliser des ensembles de AWS CloudFormation piles et de les intégrer à Organizations pour créer et configurer automatiquement des coffres-forts et IAM des rôles de sauvegarde pour chaque compte membre de l'organisation. Pour de plus amples informations, consultez Créer un ensemble de piles avec des autorisations autogérées dans le Guide de l'utilisateur AWS CloudFormation .
-
Opérateurs d'héritage : les politiques de sauvegarde peuvent utiliser à la fois les opérateurs de définition de valeur d'héritage et les opérateurs de contrôle enfants.
-
plans
Au niveau supérieur, la clé de la politique est la clé
plans
. Une politique de sauvegarde doit toujours commencer avec ce nom de clé fixe en haut du fichier de politique. Sous cette clé, vous pouvez avoir un ou plusieurs plans de sauvegarde. -
Chaque plan sous la clé de niveau supérieur
plans
a un nom de clé qui comprend le nom du plan de sauvegarde attribué par l'utilisateur. Dans l'exemple précédent, le nom du plan de sauvegarde estPII_Backup_Plan
. Vous pouvez avoir plusieurs plans dans une politique, chacun avec ses propresrules
,regions
,selections
ettags
.Ce nom de clé de plan de sauvegarde dans une politique de sauvegarde correspond à la valeur de la
BackupPlanName
clé dans un AWS Backup plan.Chaque plan peut contenir les éléments suivants :
-
rules
: cette clé contient un ensemble de règles. Chaque règle se traduit par une tâche planifiée, avec une heure de début et une fenêtre dans laquelle sauvegarder les ressources identifiées par les élémentsselections
etregions
dans la politique de sauvegarde effective. -
regions
— Cette clé contient une liste de tableaux des Régions AWS ressources qui peuvent être sauvegardées par cette politique. -
selections
: cette clé contient un ou plusieurs ensembles de ressources (dans lesregions
spécifiées) qui sont sauvegardés par lesrules
spécifiées. -
advanced_backup_settings
: cette clé contient des paramètres spécifiques aux sauvegardes exécutées sur certaines ressources. -
backup_plan_tags
: cet élément spécifie des balises qui sont attachées au plan de sauvegarde lui-même.
-
-
rules
La clé de politique
rules
correspond à la cléRules
d'un plan AWS Backup . Vous pouvez avoir une ou plusieurs règles sous la clérules
. Chaque règle devient une tâche planifiée pour effectuer une sauvegarde des ressources sélectionnées.Chaque règle contient une clé dont le nom est celui de la règle. Dans l'exemple précédent, le nom de la règle est « My_Hourly_Rule ». La valeur de la clé de la règle est l'ensemble suivant d'éléments de règle :
-
schedule_expression
— Cette clé de politique correspond à laScheduleExpression
clé d'un AWS Backup plan.Spécifie l'heure de début de la sauvegarde. Cette clé contient l'opérateur de valeur d'@@assignhéritage et une valeur de chaîne avec une CRONexpression
qui indique quand AWS Backup lancer une tâche de sauvegarde. Le format général de la CRON chaîne est : « cron () ». Chaque paramètre est un chiffre ou un caractère générique. Par exemple, cron(0 5 ? * 1,3,5 *)
démarre la sauvegarde à 5 heures tous les lundis, mercredis et vendredis.cron(0 0/1 ? * * *)
démarre la sauvegarde toutes les heures à l'heure pile, tous les jours de la semaine. -
target_backup_vault_name
— Cette clé de politique correspond à laTargetBackupVaultName
clé d'un AWS Backup plan.Spécifie le nom du coffre-fort de sauvegarde dans lequel stocker la sauvegarde. Vous créez la valeur en utilisant AWS Backup. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur de chaîne avec un nom de coffre-fort.
Important
Le coffre-fort doit déjà exister lorsque le plan de sauvegarde est lancé pour la première fois. Nous vous recommandons d'utiliser des ensembles de AWS CloudFormation piles et de les intégrer à Organizations pour créer et configurer automatiquement des coffres-forts et IAM des rôles de sauvegarde pour chaque compte membre de l'organisation. Pour de plus amples informations, consultez Créer un ensemble de piles avec des autorisations autogérées dans le Guide de l'utilisateur AWS CloudFormation .
-
start_backup_window_minutes
— Cette clé de politique correspond à laStartWindowMinutes
clé d'un AWS Backup plan.(Facultatif) Spécifie le nombre de minutes à attendre avant d'annuler une tâche qui ne démarre pas correctement. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de minutes.
-
complete_backup_window_minutes
: cette clé de politique correspond à la cléCompletionWindowMinutes
d'un plan AWS Backup .(Facultatif) Spécifie le nombre de minutes après le démarrage d'une tâche de sauvegarde avant qu'elle doive s'achever ou être annulée par AWS Backup. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de minutes.
-
enable_continuous_backup
— Cette clé de politique correspond à laEnableContinuousBackup
clé d'un AWS Backup plan.(Facultatif) Spécifie s'il AWS Backup crée des sauvegardes continues.
True
provoque AWS Backup la création de sauvegardes continues capables de point-in-time restaurer (PITR).False
(ou non spécifiée) provoque AWS Backup la création de sauvegardes instantanées.Note
Les sauvegardes PITR activées pouvant être conservées pendant 35 jours au maximum, vous devez choisir
False
ou ne pas spécifier de valeur si vous définissez l'une des options suivantes :-
Définir
delete_after_days
à une valeur supérieure à 35 -
Définir
move_to_cold_storage_after_days
à n'importe quelle valeur.
Pour plus d'informations sur les sauvegardes continues, consultez la section Point-in-time restauration dans le Guide du AWS Backup développeur.
-
-
lifecycle
— Cette clé de politique correspond à laLifecycle
clé d'un AWS Backup plan.(Facultatif) Spécifie à AWS Backup quel moment cette sauvegarde passe en stockage à froid et à quel moment elle expire.
-
move_to_cold_storage_after_days
— Cette clé de politique correspond à laMoveToColdStorageAfterDays
clé d'un AWS Backup plan.Spécifie le nombre de jours après la sauvegarde, avant que AWS Backup déplace le point de restauration vers le stockage à froid. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de jours.
-
delete_after_days
— Cette clé de politique correspond à laDeleteAfterDays
clé d'un AWS Backup plan.Spécifie le nombre de jours après la sauvegarde, avant que AWS Backup supprime le point de restauration. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de jours. Cette valeur doit être postérieure d'au moins 90 jours au nombre de jours spécifié dans
move_to_cold_storage_after_days
. -
opt_in_to_archive_for_supported_resources
— Cette clé de politique correspond à laOptInToArchiveForSupportedResources
clé d'un AWS Backup plan.Si cette valeur est affectée à
true
, votre plan de sauvegarde fait passer les ressources prises en charge au niveau de stockage d'archivage (froid) conformément à vos paramètres de cycle de vie. Pour plus d'informations sur le niveau Amazon EBS Snapshots Archive, consultez Archiver des EBS instantanés Amazon dans le Guide de EBSl'utilisateur Amazon.Vous ne pouvez activer ce paramètre que si les conditions suivantes sont remplies :
Votre politique de sauvegarde est fixée à une fréquence d'un mois ou plus.
move_to_cold_storage_after_days
doit exister.delete_after_days
moinsmove_to_cold_storage_after_days
est supérieur ou égal à 90 jours.
Cette clé contient l'opérateur de valeur d'@@assignhéritage et la valeur
true
oufalse
.
-
-
copy_actions
— Cette clé de politique correspond à laCopyActions
clé d'un AWS Backup plan.(Facultatif) Spécifie qui AWS Backup doit copier la sauvegarde vers un ou plusieurs emplacements supplémentaires. Chaque emplacement de copie de sauvegarde est décrit comme suit :
-
Une clé dont le nom identifie de manière unique cette action de copie. À l'heure actuelle, le nom de clé doit être le nom de ressource Amazon (ARN) du coffre de sauvegarde. Cette clé contient deux entrées.
-
target_backup_vault_arn
: cette clé de politique correspond à la cléDestinationBackupVaultArn
d'un plan AWS Backup .(Facultatif) Spécifie le coffre dans lequel est AWS Backup stockée une copie supplémentaire de la sauvegarde. La valeur de cette clé contient l'opérateur de valeur d'@@assignhéritage et ARN celui du coffre.
-
Pour référencer un coffre-fort dans Compte AWS lequel s'exécute la politique de sauvegarde, utilisez la
$account
variable ARN à la place du numéro d'identification du compte. Lors de l' AWS Backup exécution du plan de sauvegarde, il remplace automatiquement la variable par le numéro d'identification du compte Compte AWS dans lequel la politique est exécutée. Cela permet à la sauvegarde de s'exécuter correctement lorsque la politique de sauvegarde s'applique à plusieurs comptes d'une organisation. -
Pour référencer un coffre-fort appartenant à une autre organisation Compte AWS au sein de la même organisation, utilisez le numéro d'identification de compte réel figurant dans leARN.
Important
-
Si cette clé est absente, une version entièrement ARN en minuscules du nom de clé parent est utilisée. En raison ARNs de la distinction majuscules/majuscules, il est possible que cette chaîne ne ARN corresponde pas à la réalité de l'erreur et que le plan échoue. C'est pourquoi nous vous recommandons de toujours fournir cette clé et cette valeur.
-
Le coffre-fort de sauvegarde de destination de la copie doit déjà exister la première fois que vous lancez le plan de sauvegarde. Nous vous recommandons d'utiliser des ensembles de AWS CloudFormation piles et de les intégrer à Organizations pour créer et configurer automatiquement des coffres-forts et IAM des rôles de sauvegarde pour chaque compte membre de l'organisation. Pour de plus amples informations, consultez Créer un ensemble de piles avec des autorisations autogérées dans le Guide de l'utilisateur AWS CloudFormation .
-
-
lifecycle
— Cette clé de politique correspond à laLifecycle
clé située sous laCopyAction
clé dans un AWS Backup plan.(Facultatif) Spécifie à AWS Backup quel moment cette copie d'une sauvegarde passe en stockage à froid et à quel moment elle expire.
-
move_to_cold_storage_after_days
: cette clé de politique correspond à la cléMoveToColdStorageAfterDays
d'un plan AWS Backup .Spécifie le nombre de jours après la date de création de la sauvegarde avant de AWS Backup déplacer le point de restauration vers un stockage à froid. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de jours.
-
delete_after_days
: cette clé de politique correspond à la cléDeleteAfterDays
d'un plan AWS Backup .Spécifie le nombre de jours après la sauvegarde avant de AWS Backup supprimer le point de restauration. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur avec un nombre entier de jours. Si vous effectuez la transition d'une sauvegarde vers un stockage à froid, elle doit y rester au moins 90 jours, de sorte que cette valeur doit être supérieure d'au moins 90 jours à la valeur
move_to_cold_storage_after_days
.
-
-
-
-
recovery_point_tags
— Cette clé de politique correspond à laRecoveryPointTags
clé d'un AWS Backup plan.(Facultatif) Spécifie AWS Backup les balises associées à chaque sauvegarde créée à partir de ce plan. La valeur de cette clé contient un ou plusieurs des éléments suivants :
-
Identifiant de cette paire nom de clé/valeur. Pour chaque élément sous
recovery_point_tags
, ce nom est le nom de la clé de balise en minuscules, même si latag_key
a une casse différente. Cet identifiant n'est pas sensible à la casse. Dans l'exemple précédent, cette paire de clés était identifiée par le nomOwner
. Chaque paire de clés contient les éléments suivants :-
tag_key
: spécifie le nom de la clé de balise à attacher au plan de sauvegarde. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur de chaîne. La valeur est sensible à la casse. -
tag_value
: spécifie la valeur qui est attachée au plan de sauvegarde et associée à latag_key
. Cette clé contient l'un des opérateurs de valeur d'héritage et une ou plusieurs valeurs à remplacer, ajouter ou supprimer de la politique effective. Les valeurs sont sensibles à la casse.
-
-
-
-
regions
La clé de
regions
stratégie Régions AWS indique laquelle AWS Backup recherche les ressources qui répondent aux conditions de laselections
clé. Cette clé contient n'importe quel opérateur de valeur d'héritage et une ou plusieurs valeurs de chaîne pour Région AWS les codes, par exemple :["us-east-1", "eu-north-1"]
. -
selections
La clé de politique
selections
spécifie les ressources qui sont sauvegardées par les règles de plan de cette politique. Cette touche correspond approximativement à l'BackupSelectionobjet dans AWS Backup. Les ressources sont spécifiées par une requête concernant les noms et valeurs de clé de balise correspondants. La cléselections
contient une clé sous elle :tags
.-
tags
— Spécifie les balises qui identifient les ressources, ainsi que le IAM rôle autorisé à interroger les ressources et à les sauvegarder. La valeur de cette clé contient un ou plusieurs des éléments suivants :-
Identifiant de cet élément de balise. Cet identifiant sous
tags
est le nom de la clé de balise en minuscules, même si la balise à interroger a une casse différente. Cet identifiant n'est pas sensible à la casse. Dans l'exemple précédent, un élément était identifié par le nomMy_Backup_Assignment
. Chaque identifiant soustags
contient les éléments suivants :-
iam_role_arn
— Spécifie le IAM rôle autorisé à accéder aux ressources identifiées par la requête de balise dans le champ Régions AWS spécifié par laregions
clé. Cette valeur contient l'opérateur de valeur d'@@assignhéritage et une valeur ARN de chaîne contenant le rôle. AWS Backup utilise ce rôle pour rechercher et découvrir les ressources et pour effectuer la sauvegarde.Vous pouvez utiliser la
$account
variable ARN à la place du numéro d'identification du compte. Lorsque le plan de sauvegarde est exécuté par AWS Backup, il remplace automatiquement la variable par le numéro d'identification du compte Compte AWS dans lequel la politique est exécutée.Important
Le rôle doit déjà exister lorsque vous lancez le plan de sauvegarde pour la première fois. Nous vous recommandons d'utiliser des ensembles de AWS CloudFormation piles et de les intégrer à Organizations pour créer et configurer automatiquement des coffres-forts et IAM des rôles de sauvegarde pour chaque compte membre de l'organisation. Pour de plus amples informations, consultez Créer un ensemble de piles avec des autorisations autogérées dans le Guide de l'utilisateur AWS CloudFormation .
-
tag_key
: spécifie le nom de la clé de balise à rechercher. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur de chaîne. La valeur est sensible à la casse. -
tag_value
— Spécifie la valeur qui doit être associée à un nom de clé correspondanttag_key
. AWS Backup inclut la ressource dans la sauvegarde uniquement si les deuxtag_key
ettag_value
correspondent. Cette clé contient l'un des opérateurs de valeur d'héritage et une ou plusieurs valeurs à remplacer, ajouter ou supprimer de la politique effective. Les valeurs sont sensibles à la casse.
-
-
-
-
advanced_backup_settings
: spécifie des paramètres pour des scénarios de sauvegarde spécifiques. Cette clé contient un ou plusieurs paramètres. Chaque paramètre est une chaîne d'JSONobjets contenant les éléments suivants :-
Nom de la clé d'objet : chaîne qui spécifie le type de ressource auquel les paramètres avancés suivants s'appliquent.
-
Valeur d'objet : chaîne d'JSONobjet contenant un ou plusieurs paramètres de sauvegarde spécifiques au type de ressource associé.
À l'heure actuelle, le seul paramètre de sauvegarde avancé pris en charge permet d'effectuer des sauvegardes Microsoft Volume Shadow Copy Service (VSS) pour Windows ou un SQL serveur exécuté sur une EC2 instance Amazon. Le nom de clé doit être le type de
"ec2"
ressource, et la valeur indique que le"windows_vss"
support concerneenabled
oudisabled
concerne les sauvegardes effectuées sur ces EC2 instances Amazon. Pour plus d'informations sur cette fonctionnalité, consultez la section Création d'une sauvegarde Windows VSS activée dans le manuel du AWS Backup développeur."advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } }
-
-
backup_plan_tags
: spécifie les balises qui sont attachées au plan de sauvegarde lui-même. Cela n'affecte en aucune façon les balises spécifiées dans les règles ou sélections.(Facultatif) Vous pouvez attacher des balises à vos plans de sauvegarde. La valeur de cette clé est un ensemble d'éléments.
Le nom de clé pour chaque élément sous
backup_plan_tags
est le nom de clé de balise en minuscules, même si la balise à interroger a une casse différente. Cet identifiant n'est pas sensible à la casse. La valeur de chacune de ces entrées se compose des clés suivantes :-
tag_key
: spécifie le nom de la clé de balise à attacher au plan de sauvegarde. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur de chaîne. Cette valeur est sensible à la casse. -
tag_value
: spécifie la valeur qui est attachée au plan de sauvegarde et associée à latag_key
. Cette clé contient l'opérateur de valeur d'héritage @@assign et une valeur de chaîne. Cette valeur est sensible à la casse.
-
Exemples de politiques de sauvegarde
Les exemples de politiques de sauvegarde qui suivent sont fournis à titre informatif uniquement. Dans certains des exemples suivants, le formatage des JSON espaces blancs peut être compressé pour économiser de l'espace.
Exemple 1 : Politique affectée à un nœud parent
L'exemple suivant montre une politique de sauvegarde affectée à l'un des nœuds parents d'un compte.
Politique parente : cette politique peut être attachée à la racine de l'organisation ou à une UO parente de tous les comptes prévus.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } } } }
Si aucune autre politique n'est héritée ou attachée aux comptes, la politique effective affichée dans chaque cas applicable Compte AWS ressemble à l'exemple suivant. L'CRONexpression entraîne l'exécution de la sauvegarde une fois par heure. L'ID de compte 123456789012 sera l'ID de compte réel de chaque compte.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } }, "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": { "windows_vss": "enabled" } } } } }
Exemple 2 : Une politique parente est fusionnée avec une politique enfant
Dans l'exemple suivant, une politique parent héritée et une politique enfant héritées ou directement associées à une Compte AWS fusion pour former la politique effective.
Politique parente : cette politique peut être attachée à la racine de l'organisation ou à une UO parente.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Politique enfant : cette politique peut être attachée directement au compte ou à une UO dans n'importe quel niveau inférieur à celui auquel la politique parente est attachée.
{ "plans": { "Monthly_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "eu-central-1" ] }, "rules": { "Monthly": { "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "MonthlyDatatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" }, "tag_key": { "@@assign": "BackupType" }, "tag_value": { "@@assign": [ "MONTHLY", "RED" ] } } } } } } }
Politique effective résultante : la politique effective appliquée aux comptes contient deux plans, chacun avec son propre ensemble de règles et son ensemble de ressources auquel appliquer les règles.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } }, "Monthly_Backup_Plan": { "regions": [ "us-east-1", "eu-central-1" ], "rules": { "monthly": { "schedule_expression": "cron(0 5 1 * ? *)", "start_backup_window_minutes": "480", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn": { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": "30", "delete_after_days": "365", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "monthlydatatype": { "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole", "tag_key": "BackupType", "tag_value": [ "MONTHLY", "RED" ] } } } } } }
Exemple 3 : Une politique parente empêche toute modification par une politique enfant
Dans l'exemple suivant, une politique parente héritée utilise les opérateurs de contrôle enfants pour appliquer tous les paramètres et empêche leur modification ou remplacement par une politique enfant.
Politique parente : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. La présence de "@@operators_allowed_for_child_policies": ["@@none"]
à chaque nœud de la politique signifie qu'une politique enfant ne peut apporter aucune modification au plan. Une politique enfant ne peut pas non plus ajouter des plans supplémentaires à la politique effective. Cette politique devient la politique effective pour chaque UO et chaque compte sous l'UO à laquelle elle est rattachée.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@none"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { "@@operators_allowed_for_child_policies": ["@@none"], "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "@@operators_allowed_for_child_policies": ["@@none"], "Hourly": { "@@operators_allowed_for_child_policies": ["@@none"], "schedule_expression": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "60" }, "target_backup_vault_name": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "FortKnox" }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } }, "copy_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "@@operators_allowed_for_child_policies": ["@@none"], "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault", "@@operators_allowed_for_child_policies": ["@@none"] }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } } } } } }, "selections": { "@@operators_allowed_for_child_policies": ["@@none"], "tags": { "@@operators_allowed_for_child_policies": ["@@none"], "datatype": { "@@operators_allowed_for_child_policies": ["@@none"], "iam_role_arn": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "dataType" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "@@operators_allowed_for_child_policies": ["@@none"], "ec2": { "@@operators_allowed_for_child_policies": ["@@none"], "windows_vss": { "@@assign": "enabled", "@@operators_allowed_for_child_policies": ["@@none"] } } } } } }
Politique effective résultante : si des politiques de sauvegarde enfants existent, elles sont ignorées et la politique parente devient la politique effective.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:vault:secondary_vault", "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": {"windows_vss": "enabled"} } } } }
Exemple 4 : Une politique parente empêche les modifications d'un plan de sauvegarde par une politique enfant
Dans l'exemple suivant, une politique parente héritée utilise les opérateurs de contrôle enfants pour appliquer les paramètres d'un plan unique et les empêche d'être modifiés ou remplacés par une politique enfant. La politique enfant peut encore ajouter des plans supplémentaires.
Politique parente : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. Cet exemple est similaire au précédent où tous les opérateurs d'héritage enfants sont bloqués, sauf au niveau supérieur plans
. Le paramètre @@append
à ce niveau permet aux politiques enfants d'ajouter d'autres plans à l'ensemble dans la politique effective. Toutes les modifications du plan hérité sont toujours bloquées.
Les sections du plan sont tronquées pour plus de clarté.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@append"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { ... }, "rules": { ... }, "selections": { ... } } } }
Politique enfant : cette politique peut être attachée directement au compte ou à une UO dans n'importe quel niveau inférieur à celui auquel la politique parente est attachée. Cette politique enfant définit un nouveau plan.
Les sections du plan sont tronquées pour plus de clarté.
{ "plans": { "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Politique effective résultante : la politique effective inclut les deux plans.
{ "plans": { "PII_Backup_Plan": { "regions": { ... }, "rules": { ... }, "selections": { ... } }, "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Exemple 5 : Une politique enfant remplace les paramètres d'une politique parente
Dans l'exemple suivant, une politique enfant utilise des opérateurs de définition de valeur pour remplacer certains des paramètres hérités d'une politique parente.
Politique parente : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. Tous les paramètres peuvent être remplacés par une politique enfant, car le comportement par défaut, en l'absence d'un opérateur de contrôle enfant qui l'empêche, est d'autoriser la politique enfant à @@assign
, @@append
ou @@remove
. La politique parente contient tous les éléments requis pour un plan de sauvegarde valable, de sorte qu'elle sauvegarde vos ressources correctement si elles sont héritées en l'état.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "target_backup_vault_name": {"@@assign": "FortKnox"}, "lifecycle": { "delete_after_days": {"@@assign": "2"}, "move_to_cold_storage_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:t2": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:t2"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "28"}, "delete_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Politique enfant : la politique enfant inclut uniquement les paramètres qui doivent être différents de ceux de la politique parente héritée. Il doit y avoir une politique parente héritée qui fournit les autres paramètres requis lors de la fusion dans une politique effective. Sinon, la politique de sauvegarde effective contient un plan de sauvegarde non valable qui ne sauvegarde pas vos ressources comme prévu.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "us-west-2", "eu-central-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "80"}, "target_backup_vault_name": {"@@assign": "Default"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "30"}, "delete_after_days": {"@@assign": "365"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } } }
Politique effective résultante : la politique effective inclut les paramètres des deux politiques, ceux fournis par la politique enfant remplaçant les paramètres hérités de la politique parente. Dans cet exemple, les modifications suivantes se produisent :
-
La liste des régions est remplacée par une liste complètement différente. Si vous souhaitez ajouter une région à la liste héritée, utilisez
@@append
au lieu de@@assign
dans la politique enfant. -
AWS Backup se produit toutes les deux heures au lieu d'une heure.
-
AWS Backup accorde 80 minutes pour démarrer la sauvegarde au lieu de 60 minutes.
-
AWS Backup utilise le
Default
coffre au lieu deFortKnox
. -
Le cycle de vie est prolongé pour le transfert vers le stockage à froid et la suppression à terme de la sauvegarde.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-west-2", "eu-central-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/2 ? * * *)", "start_backup_window_minutes": "80", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault"}, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } } } }