Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Backup
AWS Backup (préfixe de service :backup) fournit les ressources, actions et clés contextuelles de condition spécifiques au service suivantes à utiliser dans IAM les politiques d'autorisation.
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par AWS Backup
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| CancelLegalHold | Accorde l'autorisation d'annuler une mise en suspens juridique | Écrire | |||
| CopyFromBackupVault [autorisation uniquement] | Accorde l'autorisation d'effectuer une copie à partir d'un coffre de sauvegarde | Écriture | |||
| CopyIntoBackupVault [autorisation uniquement] | Accorde l'autorisation d'effectuer une copie dans un coffre de sauvegarde | Écriture | |||
| CreateBackupPlan | Accorde l'autorisation de créer un plan de sauvegarde | Écriture | |||
| CreateBackupSelection | Accorde l'autorisation de créer une attribution de ressource dans un plan de sauvegarde | Écriture |
iam:PassRole |
||
| CreateBackupVault | Accorde l'autorisation de créer un coffre de sauvegarde | Écrire | |||
| CreateFramework | Accorde l'autorisation de créer un cadre | Écrire | |||
| CreateLegalHold | Accorde l'autorisation de créer une nouvelle mise en suspens juridique | Écrire | |||
| CreateLogicallyAirGappedBackupVault | Accorde l'autorisation de créer un nouveau coffre-fort de sauvegarde logiquement cloisonné, un conteneur logique dans lequel les sauvegardes sont stockées | Écrire | |||
| CreateReportPlan | Accorde l'autorisation de créer un plan de rapport | Écrire | |||
| CreateRestoreTestingPlan | Octroie l'autorisation de créer un plan de test de la restauration. | Écrire | |||
| CreateRestoreTestingSelection | Octroie l'autorisation de créer une attribution de ressource dans un plan de test de la restauration. | Écrire |
iam:PassRole |
||
| DeleteBackupPlan | Accorde l'autorisation de supprimer un plan de sauvegarde | Écriture | |||
| DeleteBackupSelection | Accorde l'autorisation de supprimer une attribution de ressource dans un plan de sauvegarde | Écriture | |||
| DeleteBackupVault | Accorde l'autorisation de supprimer un coffre de sauvegarde | Écriture | |||
| DeleteBackupVaultAccessPolicy | Accorde l'autorisation de supprimer une politique d'accès à un coffre de sauvegarde | Gestion des autorisations | |||
| DeleteBackupVaultLockConfiguration | Accorde l'autorisation de supprimer la configuration de verrouillage d'un coffre de sauvegarde | Écrire | |||
| DeleteBackupVaultNotifications | Accorde l'autorisation de supprimer les notifications d'un coffre de sauvegarde | Écrire | |||
| DeleteBackupVaultSharingPolicy [autorisation uniquement] | Octroie l'autorisation de supprimer une stratégie de partage d'un coffre-fort de sauvegarde. | Gestion des autorisations | |||
| DeleteFramework | Accorde l'autorisation de supprimer un cadre | Écrire | |||
| DeleteRecoveryPoint | Accorde l'autorisation de supprimer un point de récupération dans un coffre de sauvegarde | Écrire | |||
| DeleteReportPlan | Accorde l'autorisation de supprimer un plan de rapport | Écrire | |||
| DeleteRestoreTestingPlan | Octroie l'autorisation de supprimer un plan de test de la restauration. | Écrire | |||
| DeleteRestoreTestingSelection | Octroie l'autorisation de supprimer une attribution de ressource d'un plan de test de la restauration. | Écrire | |||
| DescribeBackupJob | Accorde l'autorisation de décrire une tâche de sauvegarde | Lecture | |||
| DescribeBackupVault | Accorde l'autorisation de décrire un nouveau coffre de sauvegarde avec le nom spécifié | Lecture | |||
| DescribeCopyJob | Accorde l'autorisation de décrire une tâche de copie | Lecture | |||
| DescribeFramework | Accorde l'autorisation de décrire un cadre avec le nom spécifié | Lecture | |||
| DescribeGlobalSettings | Accorde l'autorisation de décrire des paramètres globaux | Lecture | |||
| DescribeProtectedResource | Accorde l'autorisation de décrire une ressource protégée | Lecture | |||
| DescribeRecoveryPoint | Accorde l'autorisation de décrire un point de récupération | Lecture | |||
| DescribeRegionSettings | Accorde l'autorisation de décrire des paramètres de région | Lecture | |||
| DescribeReportJob | Accorde l'autorisation de décrire une tâche de rapport | Lecture | |||
| DescribeReportPlan | Accorde l'autorisation de décrire un plan de rapport avec le nom spécifié | Lecture | |||
| DescribeRestoreJob | Accorde l'autorisation de décrire une tâche de restauration | Lecture | |||
| DisassociateRecoveryPoint | Accorde l'autorisation de dissocier un point de récupération d'un coffre de sauvegarde | Écrire | |||
| DisassociateRecoveryPointFromParent | Accorde l'autorisation de dissocier un point de récupération de son parent | Écrire | |||
| ExportBackupPlanTemplate | Autorise l'exportation d'un plan de sauvegarde en tant que JSON | Lecture | |||
| GetBackupPlan | Accorde l'autorisation d'obtenir un plan de sauvegarde | Lecture | |||
| GetBackupPlanFromJSON | Accorde l'autorisation de transformer un plan JSON en plan de sauvegarde | Lecture | |||
| GetBackupPlanFromTemplate | Accorde l'autorisation de transformer un modèle en plan de sauvegarde | Lecture | |||
| GetBackupSelection | Accorde l'autorisation d'obtenir une attribution de ressource de plan de sauvegarde | Lecture | |||
| GetBackupVaultAccessPolicy | Accorde l'autorisation d'obtenir la politique d'accès au coffre de sauvegarde | Lecture | |||
| GetBackupVaultNotifications | Accorde l'autorisation d'obtenir les notifications du coffre de sauvegarde | Lecture | |||
| GetBackupVaultSharingPolicy [autorisation uniquement] | Octroie l'autorisation d'obtenir une stratégie de partage d'un coffre-fort de sauvegarde. | Lecture | |||
| GetLegalHold | Accorde l'autorisation d'obtenir une mise en suspens juridique | Lecture | |||
| GetRecoveryPointRestoreMetadata | Accorde l'autorisation d'obtenir les métadonnées de restauration du point de récupération | Lecture | |||
| GetRestoreJobMetadata | Octroie l'autorisation d'obtenir les métadonnées de restauration associées à une tâche de restauration. | Lecture | |||
| GetRestoreTestingInferredMetadata | Octroie l'autorisation d'obtenir les métadonnées déduites générées par les tests de restauration. | Lecture | |||
| GetRestoreTestingPlan | Octroie l'autorisation d'obtenir un plan de test de la restauration. | Lecture | |||
| GetRestoreTestingSelection | Octroie l'autorisation d'obtenir une attribution de ressource pour un plan de test de la restauration. | Lecture | |||
| GetSupportedResourceTypes | Accorde l'autorisation d'obtenir les types de ressources pris en charge | Lecture | |||
| ListBackupJobSummaries | Accorde l'autorisation de répertorier les récapitulatifs des tâches de sauvegarde | Liste | |||
| ListBackupJobs | Accorde l'autorisation de répertorier les tâches de sauvegarde | Liste | |||
| ListBackupPlanTemplates | Autorise à répertorier les modèles de plan de sauvegarde fournis par AWS Backup | Liste | |||
| ListBackupPlanVersions | Accorde l'autorisation de répertorier les versions des plans de sauvegarde | Liste | |||
| ListBackupPlans | Accorde l'autorisation de répertorier les plans de sauvegarde | Liste | |||
| ListBackupSelections | Accorde l'autorisation de répertorier des attributions de ressources d'un plan de sauvegarde spécifique | Liste | |||
| ListBackupVaults | Accorde l'autorisation de répertorier les coffres de sauvegarde | Liste | |||
| ListCopyJobSummaries | Accorde l'autorisation de répertorier les récapitulatifs des tâches de copie | Liste | |||
| ListCopyJobs | Accorde l'autorisation de répertorier les tâches de copie. | Liste | |||
| ListFrameworks | Autorise l'autorisation de répertorier les cadres | Liste | |||
| ListLegalHolds | Accorde l'autorisation de répertorier des mises en suspens juridiques | Liste | |||
| ListProtectedResources | Accorde l'autorisation de répertorier les ressources protégées par AWS Backup | Liste | |||
| ListProtectedResourcesByBackupVault | Octroie l'autorisation de répertorier les ressources protégées d'un coffre-fort de sauvegarde. | Liste | |||
| ListRecoveryPointsByBackupVault | Accorde l'autorisation de répertorier les points de récupération dans un coffre de sauvegarde | Liste | |||
| ListRecoveryPointsByLegalHold | Accorde l'autorisation de répertorier les points de récupération en fonction d'une mise en suspens juridique | Liste | |||
| ListRecoveryPointsByResource | Accorde l'autorisation de répertorier les points de récupération d'une ressource | Liste | |||
| ListReportJobs | Accorde l'autorisation de répertorier les tâches de rapport | Liste | |||
| ListReportPlans | Accorde l'autorisation de répertorier les plans de rapport | Liste | |||
| ListRestoreJobSummaries | Accorde l'autorisation de répertorier les récapitulatifs des tâches | Liste | |||
| ListRestoreJobs | Octroie l'autorisation de répertorier les tâches de restauration. | Liste | |||
| ListRestoreJobsByProtectedResource | Octroie l'autorisation de répertorier les tâches de restauration pour une ressource protégée. | Liste | |||
| ListRestoreTestingPlans | Octroie l'autorisation de répertorier les plans de test de la restauration. | Liste | |||
| ListRestoreTestingSelections | Octroie l'autorisation de répertorier des attributions de ressources d'un plan de test de la restauration spécifique. | Liste | |||
| ListTags | Accorde l'autorisation de répertorier les identifications d'une ressource. | Lecture | |||
| PutBackupVaultAccessPolicy | Accorde l'autorisation d'ajouter une politique d'accès au coffre de sauvegarde | Gestion des autorisations | |||
| PutBackupVaultLockConfiguration | Accorde l'autorisation d'ajouter une configuration de verrouillage à un coffre de sauvegarde | Écrire | |||
| PutBackupVaultNotifications | Accorde l'autorisation d'ajouter un SNS sujet au coffre de sauvegarde | Écrire | |||
| PutBackupVaultSharingPolicy [autorisation uniquement] | Octroie l'autorisation d'ajouter une stratégie de partage au coffre-fort de sauvegarde. | Gestion des autorisations | |||
| PutRestoreValidationResult | Octroie l'autorisation de saisir un résultat de validation de restauration. | Écrire | |||
| StartBackupJob | Accorde l'autorisation de démarrer une nouvelle tâche de sauvegarde | Écriture |
iam:PassRole |
||
| StartCopyJob | Accorde l'autorisation de copier une sauvegarde entre un coffre de sauvegarde source et un coffre de sauvegarde de destination | Écrire |
iam:PassRole |
||
| StartReportJob | Accorde l'autorisation de démarrer une nouvelle tâche de rapport | Écrire | |||
| StartRestoreJob | Accorde l'autorisation de démarrer une nouvelle tâche de restauration | Écriture |
iam:PassRole |
||
| StopBackupJob | Accorde l'autorisation d'arrêter une tâche de sauvegarde | Écriture | |||
| TagResource | Accorde l'autorisation de baliser une ressource | Balisage | |||
| UntagResource | Accorde l'autorisation d'annuler le balisage d'une ressource | Balisage | |||
| UpdateBackupPlan | Accorde l'autorisation de mettre à jour un plan de sauvegarde | Écrire | |||
| UpdateFramework | Accorde l'autorisation de mettre à jour un cadre | Écrire | |||
| UpdateGlobalSettings | Accorde l'autorisation de mettre à jour les paramètres globaux actuels du AWS compte | Écrire | |||
| UpdateRecoveryPointLifecycle | Accorde l'autorisation de mettre à jour le cycle de vie du point de récupération | Écriture | |||
| UpdateRegionSettings | Accorde l'autorisation de mettre à jour les paramètres actuels d'acceptation du service pour la région | Écrire | |||
| UpdateReportPlan | Accorde l'autorisation de mettre à jour un plan de rapport | Écrire | |||
| UpdateRestoreTestingPlan | Octroie l'autorisation de mettre à jour un plan de test de la restauration. | Écrire | |||
| UpdateRestoreTestingSelection | Octroie l'autorisation de mettre à jour une attribution de ressource dans un plan de test de la restauration. | Écrire |
iam:PassRole |
Types de ressources définis par AWS Backup
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| backupVault |
arn:${Partition}:backup:${Region}:${Account}:backup-vault:${BackupVaultName}
|
|
| backupPlan |
arn:${Partition}:backup:${Region}:${Account}:backup-plan:${BackupPlanId}
|
|
| recoveryPoint |
arn:${Partition}:${Vendor}:${Region}:*:${ResourceType}:${RecoveryPointId}
|
|
| framework |
arn:${Partition}:backup:${Region}:${Account}:framework:${FrameworkName}-${FrameworkId}
|
|
| reportPlan |
arn:${Partition}:backup:${Region}:${Account}:report-plan:${ReportPlanName}-${ReportPlanId}
|
|
| legalHold |
arn:${Partition}:backup:${Region}:${Account}:legal-hold:${LegalHoldId}
|
|
| restoreTestingPlan |
arn:${Partition}:backup:${Region}:${Account}:restore-testing-plan:${RestoreTestingPlanName}-${RestoreTestingPlanId}
|
Clés de condition pour AWS Backup
AWS Backup définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de l'ensemble de valeurs autorisées pour chacune des identifications | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des identifications associées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de la présence de identifications obligatoires dans la demande | ArrayOfString |
| backup:ChangeableForDays | Filtre l'accès en fonction de la valeur du ChangeableForDays paramètre | Numérique |
| backup:CopyTargetOrgPaths | Filtre l'accès en fonction de l'unité d'organisation | ArrayOfString |
| backup:CopyTargets | Filtre l'accès par le biais ARN d'un coffre-fort de sauvegarde | ArrayOfARN |
| backup:FrameworkArns | Filtre l'accès par le Framework ARNs | ArrayOfARN |
| backup:MaxRetentionDays | Filtre l'accès en fonction de la valeur du MaxRetentionDays paramètre | Numérique |
| backup:MinRetentionDays | Filtre l'accès en fonction de la valeur du MinRetentionDays paramètre | Numérique |
