Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS Backup
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara berkala menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku AWS Backup, lihat [AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda untuk AWS Backup mencakup, tetapi tidak terbatas pada, hal-hal berikut. Anda juga bertanggung jawab atas faktor lain, termasuk sensitivitas data, persyaratan perusahaan, serta hukum dan peraturan yang berlaku.
+ Menanggapi komunikasi yang Anda terima dari AWS.
+ Mengelola kredensyal yang Anda dan tim Anda gunakan. Untuk informasi selengkapnya, lihat [Identitas dan manajemen akses di AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-iam.html).
+ Mengonfigurasi rencana cadangan dan penetapan sumber daya untuk mencerminkan kebijakan perlindungan data organisasi Anda. Untuk informasi selengkapnya, lihat [Mengelola paket cadangan](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html).
+ Secara teratur menguji kemampuan Anda untuk menemukan titik pemulihan tertentu dan mengembalikannya. Untuk informasi selengkapnya, lihat [Menggunakan cadangan](https://docs.aws.amazon.com/aws-backup/latest/devguide/recovery-points.html).
+ Memasukkan AWS Backup prosedur dalam pemulihan bencana organisasi Anda dan prosedur tertulis kelangsungan bisnis. Untuk titik awal, lihat [Memulai dengan AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html).
+ Memastikan bahwa karyawan Anda terbiasa dan telah AWS Backup berlatih menggunakan prosedur organisasi Anda jika terjadi keadaan darurat. Untuk informasi lebih lanjut, lihat Kerangka [AWS Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html).
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS Backup. Topik berikut menunjukkan cara mengonfigurasi AWS Backup untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan AWS Backup sumber daya Anda.
**Topics**
+ [Validasi kepatuhan](backup-compliance.md)
+ [Perlindungan data](data-protection.md)
+ [Manajemen identitas dan akses](backup-iam.md)
+ [Keamanan infrastruktur](infrastructure-security.md)
+ [Integritas](backup-integrity.md)
+ [Penahanan legal](legalhold.md)
+ [Perlindungan malware](malware-protection.md)
+ [Ketahanan](disaster-recovery-resiliency.md)
# Validasi kepatuhan untuk AWS Backup
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Perlindungan data di AWS Backup
AWS Backup sesuai dengan [model tanggung jawab AWS bersama](https://aws.amazon.com/compliance/shared-responsibility-model/), yang mencakup peraturan dan pedoman untuk perlindungan data. AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS layanan. AWS Mempertahankan kontrol atas data yang dihosting di infrastruktur ini, termasuk kontrol konfigurasi keamanan untuk menangani konten pelanggan dan data pribadi. AWS pelanggan dan AWS mitra Jaringan Mitra (APN), yang bertindak baik sebagai pengontrol data atau pengolah data, bertanggung jawab atas data pribadi apa pun yang mereka masukkan ke dalam. AWS Cloud
Untuk tujuan perlindungan data, kami menyarankan Anda untuk melindungi Akun AWS kredensil dan menyiapkan akun pengguna individu dengan AWS Identity and Access Management (IAM). Ini membantu memastikan bahwa setiap pengguna hanya diberikan izin yang diperlukan untuk memenuhi tugas pekerjaan mereka. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan Secure Sockets Layer (SSL) /Transport Layer Security (TLS) untuk berkomunikasi dengan sumber daya. AWS
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default dalam AWS layanan.
Sebaiknya jangan pernah memasukkan informasi identitas yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam bidang isian bebas seperti bidang **Nama**. Ini termasuk ketika Anda bekerja dengan AWS Backup atau AWS layanan lain menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke AWS Backup atau layanan lain mungkin akan diambil untuk dimasukkan dalam log diagnostik. Saat Anda memberikan URL ke server eksternal, jangan menyertakan informasi kredensial di URL untuk memvalidasi permintaan Anda ke server tersebut.
Untuk informasi selengkapnya tentang perlindungan data, lihat postingan blog [Model Tanggung Jawab Bersama AWS dan GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
# Enkripsi untuk backup di AWS Backup
## Enkripsi independen
AWS Backup menawarkan enkripsi independen untuk [jenis sumber daya yang mendukung AWS Backup manajemen penuh](backup-feature-availability.md#features-by-resource). Enkripsi independen berarti bahwa titik pemulihan (cadangan) yang Anda buat AWS Backup dapat memiliki metode enkripsi selain yang ditentukan oleh enkripsi sumber daya sumber. Misalnya, cadangan bucket Amazon S3 Anda dapat memiliki metode enkripsi yang berbeda dari bucket sumber yang Anda enkripsi dengan enkripsi Amazon S3. Enkripsi ini dikontrol melalui konfigurasi AWS KMS kunci di brankas cadangan tempat cadangan Anda disimpan.
Pencadangan jenis sumber daya yang tidak sepenuhnya dikelola dengan AWS Backup biasanya mewarisi pengaturan enkripsi dari sumber sumber daya mereka. Anda dapat mengonfigurasi pengaturan enkripsi ini sesuai dengan instruksi layanan tersebut, seperti [enkripsi Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) di *Panduan Pengguna Amazon EBS*.
Peran IAM Anda harus memiliki akses ke kunci KMS yang digunakan untuk mencadangkan dan memulihkan objek. Jika tidak, pekerjaan berhasil tetapi objek tidak didukung atau dipulihkan. Izin dalam kebijakan IAM dan kebijakan kunci KMS harus konsisten. *Untuk informasi selengkapnya, lihat [Menentukan kunci KMS dalam pernyataan kebijakan IAM di Panduan Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html).AWS Key Management Service *
Tabel berikut mencantumkan setiap jenis sumber daya yang didukung, cara enkripsi dikonfigurasi untuk backup, dan apakah enkripsi independen untuk backup didukung. Ketika AWS Backup secara independen mengenkripsi cadangan, ia menggunakan algoritma enkripsi AES-256 standar industri. Untuk informasi selengkapnya tentang enkripsi di AWS Backup, lihat [Pencadangan lintas wilayah](cross-region-backup.md) dan [lintas akun](create-cross-account-backup.md).
| Tipe sumber daya | Cara mengkonfigurasi enkripsi | AWS Backup Enkripsi independen |
| --- | --- | --- |
| Amazon Simple Storage Service (Amazon S3) | Cadangan Amazon S3 dienkripsi menggunakan kunci AWS KMS (AWS Key Management Service) yang terkait dengan brankas cadangan. Kunci AWS KMS dapat berupa kunci yang dikelola pelanggan atau kunci yang dikelola yang AWS terkait dengan layanan. AWS Backup AWS Backup mengenkripsi semua cadangan bahkan jika bucket Amazon S3 sumber tidak dienkripsi. | Didukung |
| VMware mesin virtual | Cadangan VM selalu dienkripsi. Kunci AWS KMS enkripsi untuk pencadangan mesin virtual dikonfigurasi di AWS Backup brankas tempat cadangan mesin virtual disimpan. | Didukung |
| Amazon DynamoDB setelah mengaktifkan [Cadangan DynamoDB lanjutan](advanced-ddb-backup.md) | Pencadangan DynamoDB selalu dienkripsi. Kunci AWS KMS enkripsi untuk backup DynamoDB dikonfigurasi di AWS Backup vault tempat cadangan DynamoDB disimpan. | Didukung |
| Amazon DynamoDB tanpa mengaktifkan [Cadangan DynamoDB lanjutan](advanced-ddb-backup.md) | Pencadangan DynamoDB secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi tabel DynamoDB sumber. Snapshot dari tabel DynamoDB yang tidak terenkripsi juga tidak terenkripsi. AWS Backup Agar dapat membuat cadangan tabel DynamoDB terenkripsi, Anda harus menambahkan izin `kms:Decrypt` dan peran IAM yang digunakan `kms:GenerateDataKey` untuk cadangan. Sebagai alternatif, Anda dapat menggunakan peran layanan AWS Backup default. | Tidak didukung |
| Amazon Elastic File System (Amazon EFS) | Cadangan Amazon EFS selalu dienkripsi. Kunci AWS KMS enkripsi untuk cadangan Amazon EFS dikonfigurasi di AWS Backup brankas tempat cadangan Amazon EFS disimpan. | Didukung |
| Amazon Elastic Block Store (Amazon EBS) | Secara default, cadangan Amazon EBS dienkripsi menggunakan kunci yang digunakan untuk mengenkripsi volume sumber, atau tidak dienkripsi. Selama pemulihan, Anda dapat memilih untuk mengganti metode enkripsi default dengan menentukan kunci KMS. | Tidak didukung |
| Amazon Elastic Compute Cloud (Amazon EC2) AMIs | AMIs tidak terenkripsi. Snapshot EBS dienkripsi oleh aturan enkripsi default untuk cadangan EBS (lihat entri untuk EBS). Snapshot EBS data dan volume root dapat dienkripsi dan dilampirkan ke AMI. | Tidak didukung |
| Amazon Relational Database Service (Amazon RDS) | Snapshot Amazon RDS secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi basis data Amazon RDS sumber. Cuplikan database Amazon RDS yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Aurora | Snapshot cluster Aurora secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi sumber cluster Amazon Aurora. Cuplikan cluster Aurora yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| AWS Storage Gateway | Snapshot Storage Gateway secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi volume Storage Gateway sumber. Snapshot dari volume Storage Gateway yang tidak terenkripsi juga tidak terenkripsi. Anda tidak perlu menggunakan kunci yang dikelola pelanggan di semua layanan untuk mengaktifkan Storage Gateway. Anda hanya perlu menyalin cadangan Storage Gateway ke vault yang mengonfigurasi kunci KMS. Ini karena Storage Gateway tidak memiliki kunci AWS KMS terkelola khusus layanan. | Tidak didukung |
| Amazon FSx | Fitur enkripsi untuk sistem FSx file Amazon berbeda berdasarkan sistem file yang mendasarinya. Untuk mempelajari selengkapnya tentang sistem FSx file Amazon tertentu, lihat [Panduan FSx Pengguna](https://docs.aws.amazon.com/fsx/) yang sesuai. | Tidak didukung |
| Amazon DocumentDB | Snapshot cluster Amazon DocumentDB secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Amazon DocumentDB sumber. Cuplikan cluster Amazon DocumentDB yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Neptune | Snapshot cluster Neptunus secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Neptunus sumber. Cuplikan cluster Neptunus yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Timestream | Pencadangan snapshot tabel timestream selalu dienkripsi. Kunci AWS KMS enkripsi untuk cadangan Timestream dikonfigurasi di brankas cadangan tempat cadangan Timestream disimpan. | Didukung |
| Amazon Redshift | Cluster Amazon Redshift secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi cluster Amazon Redshift sumber. Cuplikan cluster Amazon Redshift yang tidak terenkripsi juga tidak terenkripsi. | Tidak didukung |
| Amazon Redshift Tanpa Server | Snapshot Redshift Tanpa Server secara otomatis dienkripsi dengan kunci enkripsi yang sama yang digunakan untuk mengenkripsi sumber. | Tidak didukung |
| CloudFormation | CloudFormation backup selalu dienkripsi. Kunci CloudFormation enkripsi untuk CloudFormation cadangan dikonfigurasi di CloudFormation brankas tempat CloudFormation cadangan disimpan. | Didukung |
| Database SAP HANA pada instans Amazon EC2 | Pencadangan basis data SAP HANA selalu dienkripsi. Kunci AWS KMS enkripsi untuk backup database SAP HANA dikonfigurasi di AWS Backup brankas tempat backup database disimpan. | Didukung |
**Tip**
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) membantu Anda mendeteksi backup yang tidak terenkripsi secara otomatis.
## Enkripsi untuk salinan cadangan ke akun lain atau Wilayah AWS
Saat Anda menyalin cadangan di seluruh akun atau Wilayah, AWS Backup secara otomatis mengenkripsi salinan tersebut untuk sebagian besar jenis sumber daya, meskipun cadangan asli tidak dienkripsi. AWS Backup mengenkripsi salinan menggunakan kunci KMS dari brankas target.
Sebelum Anda menyalin cadangan dari satu akun ke akun lain (pekerjaan salinan lintas akun) atau menyalin cadangan dari satu Wilayah ke wilayah lain (pekerjaan salinan lintas wilayah), perhatikan kondisi berikut, banyak di antaranya bergantung pada apakah jenis sumber daya dalam cadangan (titik pemulihan) [sepenuhnya dikelola oleh AWS Backup atau tidak sepenuhnya](backup-feature-availability.md#features-by-resource) dikelola.
+ Salinan cadangan ke yang lain Wilayah AWS dienkripsi menggunakan kunci brankas tujuan.
+ Untuk salinan titik pemulihan (cadangan) sumber daya yang **dikelola sepenuhnya oleh AWS Backup**, Anda dapat memilih untuk mengenkripsi dengan kunci yang [dikelola pelanggan (CMK) atau kunci](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS Backup terkelola (`aws/backup`).
Untuk salinan titik pemulihan sumber daya yang **tidak sepenuhnya dikelola** oleh AWS Backup, kunci yang terkait dengan brankas tujuan harus berupa CMK atau kunci terkelola layanan yang memiliki sumber daya yang mendasarinya. Misalnya, jika Anda menyalin instans EC2, kunci terkelola Backup tidak dapat digunakan. Sebagai gantinya, kunci CMK atau Amazon EBS KMS (`aws/ebs`) harus digunakan untuk menghindari kegagalan pekerjaan salinan.
+ Salinan lintas akun dengan kunci AWS terkelola tidak didukung untuk sumber daya yang tidak dikelola sepenuhnya oleh AWS Backup. [Kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dari kunci AWS terkelola tidak dapat diubah, yang mencegah penyalinan kunci di seluruh akun. Jika sumber daya Anda dienkripsi dengan kunci AWS terkelola dan Anda ingin melakukan salinan lintas akun, Anda dapat [mengubah kunci enkripsi menjadi kunci](https://repost.aws/knowledge-center/update-encryption-key-rds) yang dikelola pelanggan, yang dapat digunakan untuk penyalinan lintas akun. Atau, Anda dapat mengikuti petunjuk dalam [Melindungi instans Amazon RDS terenkripsi dengan cadangan lintas akun dan lintas wilayah](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/) untuk terus menggunakan kunci terkelola. AWS
+ Salinan Amazon Aurora yang tidak terenkripsi, Amazon DocumentDB, dan Amazon Neptune cluster juga tidak terenkripsi.
## AWS Backup izin, hibah, dan pernyataan penolakan
Untuk membantu menghindari pekerjaan yang gagal, Anda dapat memeriksa kebijakan AWS KMS utama untuk memastikannya memiliki izin yang diperlukan dan tidak memiliki pernyataan penolakan yang mencegah operasi berhasil.
Pekerjaan yang gagal dapat terjadi karena salah satu atau lebih pernyataan Deny diterapkan pada kunci KMS atau karena [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dicabut untuk kunci tersebut.
Dalam kebijakan akses AWS terkelola seperti [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html), ada Izinkan tindakan yang memungkinkan AWS Backup untuk berinteraksi dengan AWS KMS untuk membuat hibah pada kunci KMS atas nama pelanggan sebagai bagian pencadangan, salinan, dan operasi penyimpanan.
Minimal, kebijakan kunci memerlukan izin berikut:
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`
Jika kebijakan Tolak diperlukan, Anda harus mengizinkan daftar peran yang diperlukan untuk operasi pencadangan dan pemulihan.
Elemen-elemen ini dapat terlihat seperti:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KmsPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "KmsCreateGrantPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:backup:backup-vault"
},
"Bool": {
"kms:GrantIsForAWSResource": true
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
------
Izin ini harus menjadi bagian dari kunci, apakah itu AWS dikelola atau dikelola pelanggan.
1. Pastikan izin yang diperlukan adalah bagian dari kebijakan kunci KMS
1. Jalankan KMS `get-key-policy` CLI [https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)() untuk melihat kebijakan kunci yang dilampirkan pada kunci KMS yang ditentukan.
1. Tinjau izin yang dikembalikan.
1. Pastikan tidak ada pernyataan Deny yang mempengaruhi operasi
1. Jalankan (atau jalankan kembali) `get-key-policy` CLI [https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)() untuk melihat kebijakan kunci yang dilampirkan pada kunci KMS yang ditentukan.
1. Tinjau kebijakan.
1. Hapus pernyataan Deny yang relevan dari kebijakan kunci KMS.
1. Jika diperlukan, jalankan [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)untuk mengganti atau memperbarui kebijakan kunci dengan izin yang direvisi dan menghapus pernyataan Tolak.
Selain itu, kunci yang terkait dengan peran yang memulai pekerjaan penyalinan Lintas wilayah harus memiliki `"kms:ResourcesAliases": "alias/aws/backup"` izin. `DescribeKey`
# Enkripsi kredensi hypervisor mesin virtual
Mesin virtual [yang dikelola oleh hypervisor](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html) menggunakan [AWS Backup Gateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html) untuk menghubungkan sistem lokal. AWS Backup Penting bahwa hypervisor memiliki keamanan yang kuat dan andal yang sama. Keamanan ini dapat dicapai dengan mengenkripsi hypervisor, baik dengan kunci yang AWS dimiliki atau dengan kunci yang dikelola pelanggan.
## AWS kunci yang dimiliki dan dikelola pelanggan
AWS Backup **menyediakan enkripsi untuk kredensyal hypervisor untuk melindungi informasi login pelanggan yang sensitif menggunakan AWS kunci enkripsi yang dimiliki.** Anda memiliki opsi untuk menggunakan **kunci yang dikelola pelanggan** sebagai gantinya.
**Secara default, kunci yang digunakan untuk mengenkripsi kredensil di hypervisor Anda adalah kunci yang dimiliki.AWS ** AWS Backup menggunakan kunci ini untuk mengenkripsi kredensil hypervisor secara otomatis. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki, Anda juga tidak dapat mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat kunci yang AWS dimiliki di [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt).
*Atau, kredensyal dapat dienkripsi menggunakan kunci yang dikelola Pelanggan.* AWS Backup mendukung penggunaan kunci yang dikelola pelanggan simetris yang Anda buat, miliki, dan kelola untuk melakukan enkripsi Anda. Karena Anda memiliki kendali penuh atas enkripsi ini, Anda dapat melakukan tugas-tugas seperti:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Mengaktifkan dan menonaktifkan kebijakan utama
+ Memutar bahan kriptografi kunci
+ Menambahkan tanda
+ Membuat alias kunci
+ Kunci penjadwalan untuk penghapusan
Saat Anda menggunakan kunci yang dikelola pelanggan, AWS Backup validasi apakah peran Anda memiliki izin untuk mendekripsi menggunakan kunci ini (sebelum pekerjaan pencadangan atau pemulihan dijalankan). Anda harus menambahkan `kms:Decrypt` tindakan ke peran yang digunakan untuk memulai pekerjaan pencadangan atau pemulihan.
Karena `kms:Decrypt` tindakan tidak dapat ditambahkan ke peran cadangan default, Anda harus menggunakan peran selain peran cadangan default untuk menggunakan kunci yang dikelola pelanggan.
Untuk informasi selengkapnya, lihat [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
## Hibah diperlukan saat menggunakan kunci yang dikelola pelanggan
AWS KMS membutuhkan [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) untuk menggunakan kunci yang dikelola pelanggan Anda. Saat Anda mengimpor [konfigurasi hypervisor](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html) yang dienkripsi dengan kunci yang dikelola pelanggan, AWS Backup buat hibah atas nama Anda dengan mengirimkan permintaan ke. [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS AWS Backup menggunakan hibah untuk mengakses kunci KMS di akun pelanggan.
Anda dapat mencabut akses ke hibah, atau menghapus AWS Backup akses ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, semua gateway Anda yang terkait dengan hypervisor Anda tidak dapat lagi mengakses nama pengguna dan kata sandi hypervisor yang dienkripsi oleh kunci yang dikelola pelanggan, yang akan memengaruhi pencadangan dan pemulihan pekerjaan Anda. Secara khusus, pencadangan dan pemulihan pekerjaan yang Anda lakukan pada mesin virtual di hypervisor ini akan gagal.
Backup gateway menggunakan `RetireGrant` operasi untuk menghapus hibah saat Anda menghapus hypervisor.
## Memantau kunci enkripsi
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan dengan AWS Backup sumber daya Anda, Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang AWS Backup dikirim AWS KMS.
Cari AWS CloudTrail peristiwa dengan `"eventName"` bidang berikut untuk memantau AWS KMS operasi yang dipanggil oleh AWS Backup untuk mengakses data yang dienkripsi oleh kunci terkelola pelanggan Anda:
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`
# Identitas dan manajemen akses di AWS Backup
Akses ke AWS Backup membutuhkan kredensyal. Kredensyal tersebut harus memiliki izin untuk mengakses AWS sumber daya, seperti database Amazon DynamoDB atau sistem file Amazon EFS. Selain itu, titik pemulihan yang dibuat oleh AWS Backup untuk beberapa layanan yang AWS Backup didukung tidak dapat dihapus menggunakan layanan sumber (seperti Amazon EFS). Anda dapat menghapus titik pemulihan tersebut menggunakan AWS Backup.
Bagian berikut memberikan rincian tentang bagaimana Anda dapat menggunakan [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dan AWS Backup untuk membantu mengamankan akses ke sumber daya Anda.
**Awas**
AWS Backup menggunakan peran IAM yang sama dengan yang Anda pilih saat menetapkan sumber daya untuk mengelola siklus hidup titik pemulihan Anda. Jika Anda menghapus atau memodifikasi peran itu, AWS Backup tidak dapat mengelola siklus hidup titik pemulihan Anda. Ketika ini terjadi, ia akan mencoba menggunakan peran terkait layanan untuk mengelola siklus hidup Anda. Dalam sebagian kecil kasus, ini mungkin juga tidak berfungsi, meninggalkan titik `EXPIRED` pemulihan pada penyimpanan Anda, yang mungkin menimbulkan biaya yang tidak diinginkan. Untuk menghapus titik `EXPIRED` pemulihan, hapus secara manual menggunakan prosedur di [Menghapus cadangan](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).
**Topics**
+ [Autentikasi](authentication.md)
+ [Pengendalian akses](access-control.md)
+ [Peran layanan IAM](iam-service-roles.md)
+ [Kebijakan terkelola untuk AWS Backup](security-iam-awsmanpol.md)
+ [Menggunakan peran terkait layanan untuk AWS Backup](using-service-linked-roles.md)
+ [Pencegahan "confused deputy" lintas layanan](cross-service-confused-deputy-prevention.md)
# Autentikasi
Akses ke AWS Backup atau AWS layanan yang Anda cadangkan memerlukan kredensil yang AWS dapat digunakan untuk mengautentikasi permintaan Anda. Anda dapat mengakses AWS sebagai salah satu jenis identitas berikut:
+ **Akun AWS pengguna root** — Saat Anda mendaftar AWS, Anda memberikan alamat email dan kata sandi yang terkait dengan AWS akun Anda. Ini adalah *pengguna Akun AWS root* Anda. Kredensialnya menyediakan akses lengkap ke semua sumber daya Anda AWS .
**penting**
Untuk alasan keamanan, kami sarankan Anda menggunakan pengguna root hanya untuk membuat *administrator*. Administrator adalah *pengguna IAM* dengan izin penuh untuk Anda. Akun AWS Anda kemudian dapat menggunakan pengguna admin ini untuk membuat pengguna dan peran IAM lainnya dengan izin terbatas. Untuk informasi selengkapnya, lihat [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) dan [Membuat Pengguna Admin IAM dan Grup Pertama Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) dalam *Panduan Pengguna IAM*.
+ **Pengguna IAM — Pengguna** [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) adalah identitas di dalam Anda Akun AWS yang memiliki izin khusus khusus (misalnya, izin untuk membuat brankas cadangan untuk menyimpan cadangan Anda). [Anda dapat menggunakan nama pengguna dan kata sandi IAM untuk masuk untuk mengamankan AWS halaman web seperti, [Forum AWS Diskusi [Konsol Manajemen AWS](https://console.aws.amazon.com/)](https://forums.aws.amazon.com/), atau Pusat.AWS Dukungan](https://console.aws.amazon.com/support/home#/)
Selain nama pengguna dan kata sandi, Anda juga dapat membuat [access key](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) untuk setiap pengguna. Anda dapat menggunakan kunci ini ketika Anda mengakses AWS layanan secara terprogram, baik melalui [salah satu dari beberapa SDKs](https://aws.amazon.com/developer/tools/) atau dengan menggunakan ([AWS Command Line Interface CLI AWS](https://aws.amazon.com/cli/)). Alat SDK dan AWS CLI menggunakan kunci akses untuk menandatangani permintaan Anda secara kriptografis. Jika Anda tidak menggunakan AWS alat, Anda harus menandatangani permintaan sendiri. Untuk informasi selengkapnya tentang melakukan autentikasi permintaan, lihat [Proses Penandatanganan Tanda Tangan Versi 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) dalam *Referensi Umum AWS*.
+ **IAM role** – [IAM role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin spesifik. Peran ini mirip dengan Pengguna IAM, tetapi tidak terkait dengan orang tertentu. Peran IAM memungkinkan Anda memperoleh kunci akses sementara yang dapat digunakan untuk mengakses AWS layanan dan sumber daya. Peran IAM dengan kredensial sementara berguna dalam situasi berikut:
+ Akses pengguna federasi — Alih-alih membuat pengguna IAM, Anda dapat menggunakan identitas pengguna yang sudah ada sebelumnya dari Directory Service, direktori pengguna perusahaan Anda, atau penyedia identitas web. Ini dikenal sebagai *pengguna gabungan*. AWS menugaskan peran kepada pengguna gabungan saat akses diminta melalui [penyedia identitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Untuk informasi lebih lanjut tentang pengguna gabungan, lihat [Pengguna Gabungan dan Peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) di *Panduan Pengguna IAM*.
+ Administrasi lintas akun — Anda dapat menggunakan peran IAM di akun Anda untuk memberikan Akun AWS izin lain untuk mengelola sumber daya akun Anda. Sebagai contoh, lihat [Tutorial: Mendelegasikan Akses di Seluruh Akun AWS Menggunakan Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) dalam Panduan Pengguna *IAM*.
+ AWS akses layanan — Anda dapat menggunakan peran IAM di akun Anda untuk memberikan izin AWS layanan untuk mengakses sumber daya akun Anda. Untuk informasi selengkapnya, lihat [Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) di Panduan Pengguna *IAM*.
+ Aplikasi yang berjalan di Amazon Elastic Compute Cloud (Amazon EC2) - Anda dapat menggunakan peran IAM untuk mengelola kredensyal sementara untuk aplikasi yang berjalan pada instans Amazon EC2 dan membuat permintaan API. AWS Cara ini lebih dianjurkan daripada menyimpan kunci akses dalam instans EC2. Untuk menetapkan AWS peran ke instans EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda membuat profil instance yang dilampirkan ke instance. Profil instans memuat peran dan memungkinkan program yang berjalan di instans EC2 untuk mendapatkan kredensial sementara. Untuk informasi selengkapnya, lihat [Menggunakan IAM role untuk memberikan izin ke aplikasi yang berjalan di instans Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) dalam *Panduan pengguna IAM*.
# Pengendalian akses
Anda dapat memiliki kredensyal yang valid untuk mengautentikasi permintaan Anda, tetapi kecuali Anda memiliki izin yang sesuai, Anda tidak dapat mengakses AWS Backup sumber daya seperti brankas cadangan. Anda juga tidak dapat mencadangkan AWS sumber daya seperti volume Amazon Elastic Block Store (Amazon EBS).
Setiap AWS sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke identitas AWS Identity and Access Management (IAM) (yaitu, pengguna, grup, dan peran). Dan beberapa layanan juga mendukung melampirkan kebijakan izin ke sumber daya.
*Administrator akun* (atau pengguna administrator) adalah pengguna dengan izin administrator. Untuk informasi selengkapnya, lihat [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
Ketika memberikan izin, Anda memutuskan siap yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan tindakan khusus yang ingin Anda izinkan di sumber daya tersebut.
Bagian berikut mencakup cara kerja kebijakan akses dan cara Anda menggunakannya untuk melindungi cadangan Anda.
**Topics**
+ [Sumber daya dan operasi](#access-control-resources)
+ [Kepemilikan sumber daya](#access-control-owner)
+ [Menentukan elemen kebijakan: tindakan, efek, dan prinsip](#access-control-specify-backup-actions)
+ [Menentukan kondisi dalam kebijakan](#specifying-conditions)
+ [Izin API: referensi tindakan, sumber daya, dan kondisi](#backup-api-permissions-ref)
+ [Izin menyalin tag](#copy-tags)
+ [Kebijakan akses](#access-policies)
## Sumber daya dan operasi
Sumber daya adalah objek yang ada dalam layanan. AWS Backup sumber daya termasuk rencana cadangan, brankas cadangan, dan cadangan. *Backup* adalah istilah umum yang mengacu pada berbagai jenis sumber daya cadangan yang ada di dalamnya AWS. Misalnya, snapshot Amazon EBS, snapshot Amazon Relational Database Service (Amazon RDS), dan backup Amazon DynamoDB adalah semua jenis sumber daya cadangan.
Pada tahun AWS Backup, cadangan juga disebut sebagai titik *pemulihan*. Saat menggunakan AWS Backup, Anda juga bekerja dengan sumber daya dari AWS layanan lain yang Anda coba lindungi, seperti volume Amazon EBS atau tabel DynamoDB. Sumber daya ini memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya. ARNs mengidentifikasi AWS sumber daya secara unik. Anda harus memiliki ARN ketika Anda perlu menentukan sumber daya secara jelas di semua AWS, seperti dalam kebijakan IAM atau panggilan API.
Tabel berikut mencantumkan sumber daya, subresource, format ARN, dan contoh ID unik.
**AWS Backup sumber daya ARNs**
| Tipe sumber daya | Format ARN | Contoh ID unik |
| --- | --- | --- |
| Paket Backup | arn:aws:backup:region:account-id:backup-plan:\$1 | |
| Vault cadangan | arn:aws:backup:region:account-id:backup-vault:\$1 | |
| Titik pemulihan untuk Amazon EBS | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 |
| Titik pemulihan untuk gambar Amazon EC2 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 |
| Titik pemulihan untuk Amazon RDS | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Titik pemulihan untuk Aurora | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Titik pemulihan untuk Aurora DSQL | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a |
| Titik pemulihan untuk Storage Gateway | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 |
| Titik pemulihan untuk DynamoDB tanpa [Cadangan DynamoDB lanjutan](advanced-ddb-backup.md) | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| Titik pemulihan untuk DynamoDB dengan diaktifkan [Cadangan DynamoDB lanjutan](advanced-ddb-backup.md) | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Titik pemulihan untuk Amazon EFS | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Titik pemulihan untuk Amazon FSx | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 |
| Titik pemulihan untuk mesin virtual | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Titik pemulihan untuk pencadangan berkelanjutan Amazon S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 |
| Titik pemulihan untuk cadangan berkala S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 |
| Titik pemulihan untuk Amazon DocumentDB | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Titik pemulihan untuk Neptunus | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Titik pemulihan untuk Amazon Redshift | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Titik pemulihan untuk Amazon Redshift Tanpa Server | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Titik pemulihan untuk Amazon Timestream | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta |
| Titik pemulihan untuk AWS CloudFormation template | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Titik pemulihan untuk database SAP HANA pada instans Amazon EC2 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
Sumber daya yang mendukung AWS Backup manajemen penuh semuanya memiliki titik pemulihan dalam format`arn:aws:backup:region:account-id::recovery-point:*`. Memudahkan Anda menerapkan kebijakan izin untuk melindungi titik pemulihan tersebut. Untuk melihat sumber daya mana yang mendukung AWS Backup manajemen penuh, lihat bagian [Ketersediaan fitur berdasarkan sumber daya](backup-feature-availability.md#features-by-resource) tabel tersebut.
AWS Backup menyediakan satu set operasi untuk bekerja dengan AWS Backup sumber daya. Untuk daftar operasi yang tersedia, lihat AWS Backup [Tindakan](API_Operations.md).
## Kepemilikan sumber daya
Akun AWS Memiliki sumber daya yang dibuat di akun, terlepas dari siapa yang menciptakan sumber daya. Secara khusus, pemilik sumber daya adalah [entitas utama](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (yaitu, pengguna Akun AWS root, pengguna IAM, atau peran IAM) yang mengautentikasi permintaan pembuatan sumber daya. Akun AWS Contoh berikut menggambarkan cara kerjanya:
+ Jika Anda menggunakan kredensyal pengguna Akun AWS root Anda Akun AWS untuk membuat brankas cadangan, Anda Akun AWS adalah pemilik brankas.
+ Jika Anda membuat pengguna IAM di Akun AWS dan memberikan izin untuk membuat brankas cadangan kepada pengguna tersebut, pengguna dapat membuat brankas cadangan. Namun, AWS akun Anda, tempat pengguna berada, memiliki sumber daya brankas cadangan.
+ Jika Anda membuat peran IAM Akun AWS dengan izin untuk membuat brankas cadangan, siapa pun yang dapat mengambil peran tersebut dapat membuat vault. Anda Akun AWS, yang menjadi milik peran tersebut, memiliki sumber daya brankas cadangan.
## Menentukan elemen kebijakan: tindakan, efek, dan prinsip
Untuk setiap AWS Backup sumber daya (lihat[Sumber daya dan operasi](#access-control-resources)), layanan mendefinisikan satu set operasi API (lihat[Tindakan](API_Operations.md)). Untuk memberikan izin untuk operasi API ini, AWS Backup tentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Operasi API dapat memerlukan izin untuk lebih dari satu tindakan.
Berikut adalah elemen-elemen kebijakan yang paling dasar:
+ Sumber daya – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diatur kebijakan. Untuk informasi selengkapnya, lihat [Sumber daya dan operasi](#access-control-resources).
+ Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak.
+ Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—efek ini dapat berupa pemberian izin atau penolakan. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.
+ Principal – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang kebijakannya terlampir adalah principal yang implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya).
Untuk mem-pelajari selengkapnya tentang sintaksis dan penjelasan kebijakan IAM, lihat [Referensi Kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.
Untuk tabel yang menampilkan semua tindakan AWS Backup API, lihat[Izin API: referensi tindakan, sumber daya, dan kondisi](#backup-api-permissions-ref).
## Menentukan kondisi dalam kebijakan
Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan kondisi ketika kebijakan harus berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat [Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
AWS Backup mendefinisikan set sendiri dari kunci kondisi. Untuk melihat daftar kunci AWS Backup kondisi, lihat [Kunci kondisi untuk AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys) dalam *Referensi Otorisasi Layanan*.
## Izin API: referensi tindakan, sumber daya, dan kondisi
Saat Anda mengatur [Pengendalian akses](#access-control) dan menulis kebijakan izin yang dapat Anda lampirkan ke identitas IAM (kebijakan berbasis identitas), Anda dapat menggunakan tabel sebagai referensi. setiap operasi AWS Backup API, tindakan terkait yang dapat Anda berikan izin untuk melakukan tindakan, dan AWS sumber daya yang dapat Anda berikan izin. Anda menentukan tindakan dalam bidang `Action` kebijakan, dan Anda menentukan nilai sumber daya pada bidang `Resource` kebijakan. Jika `Resource` bidang kosong, Anda dapat menggunakan wildcard (`*`) untuk menyertakan semua sumber daya.
Anda dapat menggunakan kunci kondisi AWS-wide dalam AWS Backup kebijakan Anda untuk menyatakan kondisi. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang [Tersedia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) di *Panduan Pengguna IAM*.
Gunakan bilah gulir untuk melihat seluruh tabel.
**AWS Backup API dan izin yang diperlukan untuk tindakan**
| AWS Backup Operasi API | Izin yang diperlukan (tindakan API) | Sumber daya |
| --- | --- | --- |
| [CreateBackupPlan](API_CreateBackupPlan.md) | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupSelection](API_CreateBackupSelection.md) | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupVault](API_CreateBackupVault.md) | `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey` | arn:aws:backup:region:account-id:backup-vault:\$1 Untuk`backup-storage`: \$1 Untuk`kms`: `arn:aws:kms:region:account-id:key/keystring` |
| [DeleteBackupPlan](API_DeleteBackupPlan.md) | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupSelection](API_DeleteBackupSelection.md) | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupVault](API_DeleteBackupVault.md) | backup:DeleteBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md) | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md) | backup:DeleteBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md) | backup:DeleteRecoveryPoint1 | 2 |
| [DescribeBackupJob](API_DescribeBackupJob.md) | backup:DescribeBackupJob | |
| [DescribeBackupVault](API_DescribeBackupVault.md) | backup:DescribeBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DescribeProtectedResource](API_DescribeProtectedResource.md) | backup:DescribeProtectedResource | |
| [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md) | backup:DescribeRecoveryPoint1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [DescribeRestoreJob](API_DescribeRestoreJob.md) | backup:DescribeRestoreJob | |
| [DescribeRegionSettings](API_DescribeRegionSettings.md) | backup:DescribeRegionSettings | |
| [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md) | backup:ExportBackupPlanTemplate | |
| [GetBackupPlan](API_GetBackupPlan.md) | backup:GetBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md) | backup:GetBackupPlanFromJSON | |
| [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md) | backup:GetBackupPlanFromTemplate | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupSelection](API_GetBackupSelection.md) | backup:GetBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md) | backup:GetBackupVaultAccessPolicy1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md) | backup:GetBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md) | backup:GetRecoveryPointRestoreMetadata1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md) | backup:GetSupportedResourceTypes | |
| [ListBackupJobs](API_ListBackupJobs.md) | backup:ListBackupJobs | |
| [ListBackupPlans](API_ListBackupPlans.md) | backup:ListBackupPlans | |
| [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md) | backup:ListBackupPlanTemplates | |
| [ListBackupPlanVersions](API_ListBackupPlanVersions.md) | backup:ListBackupPlanVersions | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupSelections](API_ListBackupSelections.md) | backup:ListBackupSelections | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupVaults](API_ListBackupVaults.md) | backup:ListBackupVaults | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListProtectedResources](API_ListProtectedResources.md) | backup:ListProtectedResources | |
| [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md) | backup:ListRecoveryPointsByBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md) | backup:ListRecoveryPointsByResource | |
| [ListRestoreJobs](API_ListRestoreJobs.md) | backup:ListRestoreJobs | |
| [ListTags](API_ListTags.md) | backup:ListTags | |
| [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md) | backup:PutBackupVaultAccessPolicy1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md) | backup:PutBackupVaultLockConfiguration1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md) | backup:PutBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartBackupJob](API_StartBackupJob.md) | backup:StartBackupJob | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartRestoreJob](API_StartRestoreJob.md) | backup:StartRestoreJob | `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3 |
| [StopBackupJob](API_StopBackupJob.md) | backup:StopBackupJob | |
| [TagResource](API_TagResource.md) | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 |
| [UntagResource](API_UntagResource.md) | backup:UntagResource | |
| [UpdateBackupPlan](API_UpdateBackupPlan.md) | backup:UpdateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md) | backup:UpdateRecoveryPointLifecycle1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [UpdateRegionSettings](API_UpdateRegionSettings.md) | `backup:UpdateRegionSettings` `backup:DescribeRegionSettings` | |
1 Menggunakan kebijakan akses vault yang ada.
2 Lihat [AWS Backup sumber daya ARNs](#resource-arns-table) untuk titik pemulihan khusus sumber daya. ARNs
3 `StartRestoreJob` harus memiliki pasangan kunci-nilai dalam metadata untuk sumber daya. Untuk mendapatkan metadata sumber daya, panggil API. `GetRecoveryPointRestoreMetadata`
Untuk informasi selengkapnya, lihat [Kunci tindakan, sumber daya, dan kondisi AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html) di *Referensi Otorisasi Layanan*.
## Izin menyalin tag
Saat AWS Backup melakukan pekerjaan pencadangan atau penyalinan, ia mencoba menyalin tag dari sumber daya sumber Anda (atau titik pemulihan dalam kasus penyalinan) ke titik pemulihan Anda.
**catatan**
AWS Backup **tidak** menyalin tag secara asli selama pekerjaan pemulihan. Untuk arsitektur berbasis peristiwa yang akan menyalin tag selama pekerjaan pemulihan, lihat [Cara menyimpan tag sumber daya dalam AWS Backup memulihkan](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/) pekerjaan.
Selama pekerjaan pencadangan atau penyalinan, AWS Backup agregat tag yang Anda tentukan dalam paket cadangan (atau salin paket, atau cadangan sesuai permintaan) dengan tag dari sumber daya sumber Anda. Namun, AWS memberlakukan batas 50 tag per sumber daya, yang AWS Backup tidak dapat melebihi. Ketika pencadangan atau salinan pekerjaan mengumpulkan tag dari paket dan sumber daya, mungkin menemukan lebih dari 50 tag total, itu tidak akan dapat menyelesaikan pekerjaan, dan akan gagal dalam pekerjaan. Ini konsisten dengan praktik terbaik penandaan AWS-wide.
+ Sumber daya Anda memiliki lebih dari 50 tag setelah menggabungkan tag pekerjaan cadangan Anda dengan tag sumber daya sumber Anda. AWS mendukung hingga 50 tag per sumber daya.
+ Peran IAM yang Anda berikan AWS Backup tidak memiliki izin untuk membaca tag sumber atau menyetel tag tujuan. Untuk informasi selengkapnya dan contoh kebijakan peran IAM, lihat [Kebijakan Terkelola](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies).
Anda dapat menggunakan paket cadangan (tag ditambahkan ke titik pemulihan) untuk membuat tag yang bertentangan dengan tag sumber daya sumber Anda. Ketika kedua konflik, tag dari rencana cadangan Anda diutamakan. Gunakan teknik ini jika Anda memilih untuk tidak menyalin nilai tag dari sumber daya sumber Anda. Tentukan kunci tag yang sama, tetapi nilainya berbeda atau kosong, menggunakan paket cadangan Anda.
**Izin Diperlukan untuk menetapkan tag ke cadangan**
| Tipe sumber daya | Izin yang diperlukan |
| --- | --- |
| Sistem file Amazon EFS | `elasticfilesystem:DescribeTags` |
| Sistem FSx file Amazon | `fsx:ListTagsForResource` |
| Basis data Amazon RDS dan cluster Amazon Aurora | `rds:AddTagsToResource` `rds:ListTagsForResource` |
| Volume Storage Gateway | `storagegateway:ListTagsForResource` |
| Instans Amazon EC2 dan volume Amazon EBS | `EC2:CreateTags` `EC2:DescribeTags` |
DynamoDB tidak mendukung penetapan tag ke cadangan kecuali Anda mengaktifkan terlebih dahulu. [Cadangan DynamoDB lanjutan](advanced-ddb-backup.md)
Saat cadangan Amazon EC2 membuat Titik Pemulihan Gambar dan sekumpulan snapshot, AWS Backup menyalin tag ke AMI yang dihasilkan. AWS Backup juga menyalin tag dari volume yang terkait dengan instans Amazon EC2 ke snapshot yang dihasilkan.
## Kebijakan akses
*Kebijakan izin* menjelaskan siapa yang memiliki akses ke suatu objek. Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan *berbasis identitas* (kebijakan IAM). Kebijakan yang melekat pada sumber daya disebut sebagai kebijakan berbasis *sumber daya*. AWS Backup mendukung kebijakan berbasis identitas dan kebijakan berbasis sumber daya.
**catatan**
Bagian ini membahas penggunaan IAM dalam konteks. AWS Backup Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat [Apa yang Dimaksud dengan IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dalam *Panduan Pengguna IAM*. Untuk informasi tentang sintaksis dan penjelasan kebijakan IAM, lihat [Referensi Kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis identitas (kebijakan IAM)
Kebijakan berbasis identitas adalah kebijakan yang dapat Anda lampirkan ke identitas IAM, seperti pengguna atau peran. Misalnya, Anda dapat menentukan kebijakan yang memungkinkan pengguna untuk melihat dan mencadangkan AWS sumber daya, tetapi mencegahnya memulihkan cadangan.
Untuk informasi lebih lanjut tentang pengguna, grup, peran, dan izin, lihat [Identitas (Pengguna, Grup, dan Peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dalam *Panduan Pengguna IAM*.
Untuk informasi tentang cara menggunakan kebijakan IAM untuk mengontrol akses ke cadangan, lihat. [Kebijakan terkelola untuk AWS Backup](security-iam-awsmanpol.md)
### Kebijakan berbasis sumber daya
AWS Backup mendukung kebijakan akses berbasis sumber daya untuk brankas cadangan. Ini memungkinkan Anda menentukan kebijakan akses yang dapat mengontrol pengguna mana yang memiliki jenis akses apa pun ke cadangan apa pun yang diatur dalam brankas cadangan. Kebijakan akses berbasis sumber daya untuk brankas cadangan menyediakan cara mudah untuk mengontrol akses ke cadangan Anda.
Kebijakan akses brankas cadangan mengontrol akses pengguna saat Anda menggunakan AWS Backup APIs. Beberapa jenis cadangan, seperti snapshot Amazon Elastic Block Store (Amazon EBS) dan Amazon Relational Database Service (Amazon RDS), juga dapat diakses menggunakan layanan tersebut. APIs Anda dapat membuat kebijakan akses terpisah di IAM yang mengontrol akses ke mereka APIs untuk sepenuhnya mengontrol akses ke cadangan.
Untuk mempelajari cara membuat kebijakan akses untuk brankas cadangan, lihat. [Kebijakan akses vault](create-a-vault-access-policy.md)
# Peran layanan IAM
Peran AWS Identity and Access Management (IAM) mirip dengan pengguna, karena itu adalah AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya. Peran layanan adalah peran yang diasumsikan AWS layanan untuk melakukan tindakan atas nama Anda. Sebagai layanan yang melakukan operasi pencadangan atas nama Anda, AWS Backup mengharuskan Anda meneruskannya peran untuk diasumsikan saat melakukan operasi pencadangan atas nama Anda. Untuk informasi selengkapnya tentang peran IAM, lihat [Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dalam *Panduan Pengguna IAM*.
Peran yang Anda berikan AWS Backup harus memiliki kebijakan IAM dengan izin yang memungkinkan AWS Backup untuk melakukan tindakan yang terkait dengan operasi pencadangan, seperti membuat, memulihkan, atau kedaluwarsa pencadangan. Izin yang berbeda diperlukan untuk setiap AWS layanan yang AWS Backup mendukung. Peran juga harus AWS Backup terdaftar sebagai entitas tepercaya, yang memungkinkan AWS Backup untuk mengambil peran.
Saat Anda menetapkan sumber daya ke paket cadangan, atau jika Anda melakukan pencadangan, penyalinan, atau pemulihan sesuai permintaan, Anda harus meneruskan peran layanan yang memiliki akses untuk melakukan operasi dasar pada sumber daya yang ditentukan. AWS Backup menggunakan peran ini untuk membuat, menandai, dan menghapus sumber daya di akun Anda.
## Menggunakan AWS peran untuk mengontrol akses ke cadangan
Anda dapat menggunakan peran untuk mengontrol akses ke cadangan Anda dengan mendefinisikan peran dengan cakupan sempit dan dengan menentukan siapa yang dapat meneruskan peran itu. AWS Backup Misalnya, Anda dapat membuat peran yang hanya memberikan izin untuk mencadangkan database Amazon Relational Database Service (Amazon RDS) dan hanya memberikan izin kepada pemilik database Amazon RDS untuk meneruskan peran tersebut. AWS Backup AWS Backup menyediakan beberapa kebijakan terkelola yang telah ditetapkan untuk setiap layanan yang didukung. Anda dapat melampirkan kebijakan terkelola ini ke peran yang Anda buat. Ini membuatnya lebih mudah untuk membuat peran khusus layanan yang memiliki izin yang benar yang diperlukan. AWS Backup
Untuk informasi selengkapnya tentang kebijakan AWS terkelola AWS Backup, lihat[Kebijakan terkelola untuk AWS Backup](security-iam-awsmanpol.md).
## Peran layanan default untuk AWS Backup
Saat menggunakan AWS Backup konsol untuk pertama kalinya, Anda dapat memilih untuk AWS Backup membuat peran layanan default untuk Anda. Peran ini memiliki izin yang AWS Backup diperlukan untuk membuat dan memulihkan cadangan atas nama Anda.
**catatan**
Peran default dibuat secara otomatis saat Anda menggunakan Konsol Manajemen AWS. Anda dapat membuat peran default menggunakan AWS Command Line Interface (AWS CLI), tetapi harus dilakukan secara manual.
Jika Anda lebih suka menggunakan peran kustom, seperti peran terpisah untuk jenis sumber daya yang berbeda, Anda juga dapat melakukannya dan meneruskan peran kustom Anda AWS Backup. Untuk melihat contoh peran yang mengaktifkan pencadangan dan pemulihan untuk masing-masing jenis sumber daya, lihat [Kebijakan yang dikelola pelanggan](security-iam-awsmanpol.md#customer-managed-policies) tabel.
Peran layanan default diberi nama`AWSBackupDefaultServiceRole`. Peran layanan ini berisi dua kebijakan terkelola, [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)dan [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
`AWSBackupServiceRolePolicyForBackup`mencakup kebijakan IAM yang memberikan AWS Backup izin untuk menggambarkan sumber daya yang dicadangkan, kemampuan untuk membuat, menghapus, mendeskripsikan, atau menambahkan tag ke cadangan terlepas dari AWS KMS kunci yang dienkripsi.
`AWSBackupServiceRolePolicyForRestores`menyertakan kebijakan IAM yang memberikan AWS Backup izin untuk membuat, menghapus, atau menjelaskan sumber daya baru yang dibuat dari cadangan, terlepas dari AWS KMS kunci yang dienkripsi. Ini juga mencakup izin untuk menandai sumber daya yang baru dibuat.
Untuk memulihkan instans Amazon EC2, Anda harus meluncurkan instans baru.
## Membuat peran layanan default di konsol
Tindakan spesifik yang Anda lakukan di AWS Backup Konsol membuat peran layanan AWS Backup default.
**Untuk membuat peran layanan AWS Backup default di AWS akun Anda**
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Untuk membuat peran untuk akun Anda, tetapkan sumber daya ke paket cadangan atau buat cadangan sesuai permintaan.
1. Buat rencana cadangan dan tetapkan sumber daya ke cadangan. Lihat [Membuat paket cadangan](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html).
1. Atau, buat cadangan sesuai permintaan. Lihat [Membuat cadangan sesuai permintaan](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html).
1. Verifikasi bahwa Anda telah membuat akun Anda dengan mengikuti langkah-langkah berikut: `AWSBackupDefaultServiceRole`
1. Tunggu beberapa menit. Untuk informasi selengkapnya, lihat [Perubahan yang saya buat tidak selalu langsung terlihat](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency) di *Panduan Pengguna AWS Identity and Access Management.*
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di menu navigasi kiri, pilih **Peran**.
1. Di bilah pencarian, ketik`AWSBackupDefaultServiceRole`. Jika pilihan ini ada, Anda telah membuat peran AWS Backup default dan menyelesaikan prosedur ini.
1. Jika `AWSBackupDefaultServiceRole` masih tidak muncul, tambahkan izin berikut ke pengguna IAM atau peran IAM yang Anda gunakan untuk mengakses konsol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
},
{
"Effect":"Allow",
"Action":[
"iam:ListRoles"
],
"Resource":"*"
}
]
}
```
------
Untuk Wilayah Tiongkok, *aws* ganti *aws-cn* dengan. Untuk AWS GovCloud (US) Wilayah, ganti *aws* dengan*aws-us-gov*.
1. Jika Anda tidak dapat menambahkan izin ke pengguna IAM atau peran IAM, minta administrator untuk membuat peran dengan nama *selain* secara manual `AWSBackupDefaultServiceRole` dan melampirkan peran tersebut ke kebijakan terkelola ini:
+ `AWSBackupServiceRolePolicyForBackup`
+ `AWSBackupServiceRolePolicyForRestores`
# Kebijakan terkelola untuk AWS Backup
Kebijakan terkelola adalah kebijakan berbasis identitas mandiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran dalam. Akun AWS Saat Anda melampirkan kebijakan pada entitas prinsipal, Anda memberikan entitas sebuah izin yang ditentukan dalam kebijakan.
*AWS kebijakan yang dikelola* dibuat dan dikelola oleh AWS. Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut.
*Kebijakan terkelola pelanggan* memberi Anda kontrol halus untuk mengatur akses ke cadangan. AWS Backup Misalnya, Anda dapat menggunakannya untuk memberikan akses administrator cadangan database Anda ke cadangan Amazon RDS tetapi bukan yang Amazon EFS.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) di *Panduan Pengguna IAM*.
## AWS kebijakan terkelola
AWS Backup menyediakan kebijakan AWS terkelola berikut untuk kasus penggunaan umum. Kebijakan ini memudahkan Anda menentukan izin yang tepat dan mengontrol akses ke cadangan Anda. Ada dua jenis kebijakan yang dikelola. Satu jenis dirancang untuk ditugaskan kepada pengguna untuk mengontrol akses mereka AWS Backup. Jenis kebijakan terkelola lainnya dirancang untuk dilampirkan pada peran yang Anda berikan AWS Backup. Tabel berikut mencantumkan semua kebijakan terkelola yang AWS Backup menyediakan dan menjelaskan bagaimana kebijakan tersebut didefinisikan. Anda dapat menemukan kebijakan terkelola ini di bagian **Kebijakan** konsol IAM.
**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)
### AWSBackupAuditAccess
Kebijakan ini memberikan izin bagi pengguna untuk membuat kontrol dan kerangka kerja yang menentukan harapan mereka terhadap AWS Backup sumber daya dan aktivitas, dan untuk mengaudit sumber AWS Backup daya dan aktivitas terhadap kontrol dan kerangka kerja yang ditentukan. Kebijakan ini memberikan izin AWS Config dan layanan serupa untuk menjelaskan ekspektasi pengguna untuk melakukan audit.
Kebijakan ini juga memberikan izin untuk mengirimkan laporan audit ke Amazon S3 dan layanan serupa, dan memungkinkan pengguna untuk menemukan dan membuka laporan audit mereka.
Untuk melihat izin kebijakan ini, lihat [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSBackupDataTransferAccess
Kebijakan ini memberikan izin untuk transfer data pesawat AWS Backup penyimpanan APIs, yang memungkinkan agen AWS Backint untuk menyelesaikan transfer data cadangan dengan bidang AWS Backup penyimpanan. Anda dapat melampirkan kebijakan ini ke peran yang diasumsikan oleh instans Amazon EC2 yang menjalankan SAP HANA dengan agen Backint.
Untuk melihat izin kebijakan ini, lihat [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSBackupFullAccess
Administrator cadangan memiliki akses penuh ke AWS Backup operasi, termasuk membuat atau mengedit rencana cadangan, menetapkan AWS sumber daya untuk rencana cadangan, dan memulihkan cadangan. Administrator Backup bertanggung jawab untuk menentukan dan menegakkan kepatuhan cadangan dengan mendefinisikan rencana cadangan yang memenuhi persyaratan bisnis dan peraturan organisasi mereka. Administrator cadangan juga memastikan bahwa AWS sumber daya organisasi mereka ditugaskan ke rencana yang sesuai.
Untuk melihat izin kebijakan ini, lihat [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
Kebijakan ini memberikan izin gateway Backup untuk menyinkronkan metadata Mesin Virtual atas nama Anda
Untuk melihat izin kebijakan ini, lihat [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSBackupGuardDutyRolePolicyForScans
Kebijakan ini harus ditambahkan ke peran pemindaian baru yang memberikan GuardDuty izin Amazon untuk membaca dan memindai cadangan Anda. Anda harus melampirkan peran pemindaian ini ke paket cadangan Anda dalam perlindungan malware atau pengaturan pemindaian. Saat AWS Backup memulai pemindaian, ia meneruskan peran pemindaian ini ke Amazon GuardDuty.
Untuk melihat izin kebijakan ini, lihat [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSBackupOperatorAccess
Operator Backup adalah pengguna yang bertanggung jawab untuk memastikan sumber daya yang menjadi tanggung jawab mereka didukung dengan benar. Operator cadangan memiliki izin untuk menetapkan AWS sumber daya ke rencana cadangan yang dibuat oleh administrator cadangan. Mereka juga memiliki izin untuk membuat cadangan sesuai permintaan AWS sumber daya mereka dan untuk mengonfigurasi periode retensi cadangan sesuai permintaan. Operator cadangan tidak memiliki izin untuk membuat atau mengedit rencana cadangan atau menghapus cadangan terjadwal setelah dibuat. Operator Backup dapat memulihkan backup. Anda dapat membatasi jenis sumber daya yang dapat ditetapkan oleh operator cadangan ke paket cadangan atau memulihkan dari cadangan. Anda melakukan ini dengan mengizinkan hanya peran layanan tertentu yang akan diteruskan ke AWS Backup yang memiliki izin untuk jenis sumber daya tertentu.
Untuk melihat izin kebijakan ini, lihat [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSBackupOrganizationAdminAccess
Administrator organisasi memiliki akses penuh ke AWS Organizations operasi, termasuk membuat, mengedit, atau menghapus kebijakan cadangan, menetapkan kebijakan cadangan ke akun dan unit organisasi, dan memantau aktivitas pencadangan dalam organisasi. Administrator organisasi bertanggung jawab untuk melindungi akun di organisasi mereka dengan mendefinisikan dan menetapkan kebijakan cadangan yang memenuhi persyaratan bisnis dan peraturan organisasi mereka.
Untuk melihat izin kebijakan ini, lihat [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSBackupRestoreAccessForSAPHANA
Kebijakan ini memberikan AWS Backup izin untuk memulihkan cadangan SAP HANA di Amazon EC2.
Untuk melihat izin kebijakan ini, lihat [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html) di Referensi *Kebijakan AWS Terkelola*.
### AWSBackupSearchOperatorAccess
Peran operator pencarian memiliki akses untuk membuat indeks cadangan dan untuk membuat pencarian metadata cadangan yang diindeks.
Kebijakan ini berisi izin yang diperlukan untuk fungsi-fungsi tersebut.
Untuk melihat izin kebijakan ini, lihat [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSBackupServiceLinkedRolePolicyForBackup
Kebijakan ini dilampirkan pada peran terkait layanan yang diberi nama AWSServiceRoleforBackup AWS Backup untuk memungkinkan AWS layanan panggilan atas nama Anda untuk mengelola cadangan Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk membuat cadangan dan menyalin](using-service-linked-roles-AWSServiceRoleForBackup.md).
Untuk melihat izin kebijakan ini, lihat [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSBackupServiceLinkedRolePolicyForBackupTest
Untuk melihat izin kebijakan ini, lihat [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSBackupServiceRolePolicyForBackup
Memberikan AWS Backup izin untuk membuat cadangan semua jenis sumber daya yang didukung atas nama Anda.
Untuk melihat izin kebijakan ini, lihat [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSBackupServiceRolePolicyForItemRestores
**Deskripsi**
Kebijakan ini memberi pengguna izin untuk memulihkan file dan item individual dalam snapshot (titik pemulihan cadangan berkala) ke bucket Amazon S3 baru atau yang sudah ada atau volume Amazon EBS baru. Izin ini meliputi: izin baca ke Amazon EBS untuk snapshot yang dikelola oleh AWS Backup izin baca/tulis ke bucket Amazon S3, dan buat serta jelaskan izin untuk kunci. AWS KMS
**Menggunakan kebijakan ini**
Anda dapat melampirkan `AWSBackupServiceRolePolicyForItemRestores` ke pengguna, grup, dan peran Anda.
**Rincian kebijakan**
+ **Jenis:** kebijakan AWS terkelola
+ **Waktu pembuatan:** 21 November 2024, 22:45 UTC
+ **Waktu diedit: Contoh** pertama
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`
**Versi kebijakan:** v1 (default)
Versi kebijakan ini menentukan izin untuk kebijakan tersebut. Saat pengguna atau peran dengan kebijakan membuat permintaan untuk mengakses AWS sumber daya, AWS periksa versi default kebijakan untuk menentukan apakah akan mengizinkan permintaan atau tidak.
**Dokumen kebijakan JSON:**
#### AWSBackupServiceRolePolicyForItemRestores JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "S3ReadonlyPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "S3PermissionsForFileLevelRestore",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::*/*"
},
{
"Sid": "KMSDataKeyForS3AndEC2Permissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com",
"s3.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForIndexing
**Deskripsi**
Kebijakan ini memberi pengguna izin untuk mengindeks snapshot, juga dikenal sebagai titik pemulihan periodik. Izin ini meliputi: izin baca ke Amazon EBS untuk snapshot yang dikelola oleh AWS Backup izin baca/tulis ke bucket Amazon S3, dan buat serta jelaskan izin untuk kunci. AWS KMS
**Menggunakan kebijakan ini**
Anda dapat melampirkan `AWSBackupServiceRolePolicyForIndexing` ke pengguna, grup, dan peran Anda.
**Rincian kebijakan**
+ **Jenis:** kebijakan AWS terkelola
+ **Waktu diedit: Contoh** pertama
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`
**Versi kebijakan:** v1 (default)
Versi kebijakan ini menentukan izin untuk kebijakan tersebut. Saat pengguna atau atau peran dengan kebijakan membuat permintaan untuk mengakses AWS sumber daya, AWS periksa versi default kebijakan untuk menentukan apakah akan mengizinkan permintaan atau tidak.
**Dokumen kebijakan JSON:**
#### AWSBackupServiceRolePolicyForIndexing JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSDataKeyForEC2Permissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForRestores
Memberikan AWS Backup izin untuk memulihkan cadangan semua jenis sumber daya yang didukung atas nama Anda.
Untuk melihat izin kebijakan ini, lihat [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)di *Referensi Kebijakan AWS Terkelola*.
Untuk pemulihan instans EC2, Anda juga harus menyertakan izin berikut untuk meluncurkan instans EC2:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPassRole",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/role-name",
"Effect": "Allow"
}
]
}
```
------
### AWSBackupServiceRolePolicyForS3Backup
Kebijakan ini berisi izin yang diperlukan AWS Backup untuk mencadangkan bucket S3 apa pun. Ini termasuk akses ke semua objek dalam ember dan AWS KMS kunci terkait apa pun.
Untuk melihat izin kebijakan ini, lihat [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) di Referensi Kebijakan *AWS Terkelola*.
### AWSBackupServiceRolePolicyForS3Restore
Kebijakan ini berisi izin yang diperlukan AWS Backup untuk memulihkan cadangan S3 ke bucket. Ini termasuk izin baca dan tulis ke bucket dan penggunaan AWS KMS kunci apa pun sehubungan dengan operasi S3.
Untuk melihat izin kebijakan ini, lihat [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) di Referensi Kebijakan *AWS Terkelola*.
### AWSBackupServiceRolePolicyForScans
Kebijakan harus dilampirkan ke peran IAM yang Anda gunakan dalam pemilihan sumber daya paket cadangan. Peran ini memberikan izin AWS Backup untuk memulai pemindaian di Amazon. GuardDuty
Untuk melihat izin kebijakan ini, lihat [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSServiceRolePolicyForBackupReports
AWS Backup menggunakan kebijakan ini untuk peran [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html)terkait layanan. Peran terkait layanan ini memberikan AWS Backup izin untuk memantau dan melaporkan kepatuhan pengaturan cadangan, pekerjaan, dan sumber daya Anda dengan kerangka kerja Anda.
Untuk melihat izin kebijakan ini, lihat [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)di *Referensi Kebijakan AWS Terkelola*.
### AWSServiceRolePolicyForBackupRestoreTesting
Untuk melihat izin kebijakan ini, lihat [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)di *Referensi Kebijakan AWS Terkelola*.
## Kebijakan yang dikelola pelanggan
Bagian berikut menjelaskan izin pencadangan dan pemulihan yang disarankan untuk AWS layanan dan aplikasi pihak ketiga yang didukung oleh AWS Backup. Anda dapat menggunakan kebijakan AWS terkelola yang ada sebagai model saat Anda membuat dokumen kebijakan sendiri, lalu menyesuaikannya untuk membatasi akses ke AWS sumber daya Anda lebih lanjut.
**penting**
Saat menggunakan peran IAM khusus untuk AWS Backup, Anda harus menyertakan izin khusus sumber daya selain izin. AWS Backup Misalnya, saat memanggil `backup:ListTags` sumber daya Amazon RDS, peran IAM kustom Anda juga harus menyertakan `rds:ListTagsForResource` izin. Meskipun izin ini disertakan dalam peran AWS Backup layanan default, izin tersebut harus ditambahkan secara eksplisit ke kebijakan yang dikelola pelanggan. Izin sumber daya dasar yang diperlukan bergantung pada AWS layanan dan operasi tertentu yang sedang dilakukan.
### Amazon Aurora
**Pencadangan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Memulihkan**
Mulailah dengan `RDSPermissions` pernyataan dari [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon Aurora DSQL
**Pencadangan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Memulihkan**
Mulailah dengan `DSQLRestorePermissions` pernyataan dari [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon DynamoDB
**Pencadangan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`
**Memulihkan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`
### Amazon EBS
**Pencadangan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Memulihkan**
Mulailah dengan `EBSPermissions` pernyataan dari [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
Tambahkan pernyataan berikut.
```
{
"Effect":"Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource":"*"
},
```
### Amazon EC2
**Pencadangan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Memulihkan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`
Tambahkan pernyataan berikut.
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/role-name"
},
```
Ganti *role-name* dengan nama peran profil instans EC2 yang akan dilampirkan ke instans EC2 yang dipulihkan. Ini bukan peran AWS Backup layanan, melainkan peran IAM yang memberikan izin untuk aplikasi yang berjalan pada instance EC2.
### Amazon EFS
**Pencadangan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Memulihkan**
Mulailah dengan `EFSPermissions` pernyataan dari [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon FSx
**Pencadangan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`
**Memulihkan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`
### Amazon Neptune
**Pencadangan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Memulihkan**
Mulailah dengan `RDSPermissions` pernyataan dari [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon RDS
**Pencadangan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Memulihkan**
Mulailah dengan `RDSPermissions` pernyataan dari [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon S3
**Pencadangan**
Mulailah dengan [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html).
Tambahkan `BackupVaultPermissions` dan `BackupVaultCopyPermissions` pernyataan jika Anda perlu menyalin cadangan ke akun lain.
**Memulihkan**
Mulailah dengan [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html).
### AWS Storage Gateway
**Pencadangan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
Tambahkan pernyataan berikut.
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource":"*"
},
```
**Memulihkan**
Mulailah dengan pernyataan berikut dari [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`
### Mesin virtual
**Pencadangan**
Mulailah dengan `BackupGatewayBackupPermissions` pernyataan dari [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html).
**Memulihkan**
Mulailah dengan `GatewayRestorePermissions` pernyataan dari [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Cadangan terenkripsi
**Untuk memulihkan cadangan terenkripsi, lakukan salah satu hal berikut**
+ Tambahkan peran Anda ke daftar yang diizinkan untuk kebijakan AWS KMS kunci
+ Tambahkan pernyataan berikut dari peran IAM Anda [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)untuk pemulihan:
+ `KMSDescribePermissions`
+ `KMSPermissions`
+ `KMSCreateGrantPermissions`
## Pembaruan kebijakan untuk AWS Backup
Lihat detail tentang pembaruan kebijakan AWS terkelola AWS Backup sejak layanan ini mulai melacak perubahan ini.
| Ubah | Deskripsi | Tanggal |
| --- | --- | --- |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) — Permbaruan ke kebijakan yang sudah ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup Restore Testing untuk menghapus RDS Tenant Databases setelah pemulihan selesai pengujian. | Maret 18, 2026 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk memulai pemindaian malware pada titik pemulihan Anda. | Februari 23, 2026 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – Kebijakan baru | AWS Backup menambahkan kebijakan AWS terkelola baru yang memberikan GuardDuty izin Amazon untuk membaca dan memindai cadangan pelanggan. AWS Backup meneruskan peran dengan kebijakan ini GuardDuty ketika memulai operasi`StartMalwareScan`. Ini diperlukan untuk memberikan semua izin yang diperlukan untuk pemindaian malware pada titik pemulihan Amazon EC2, Amazon EBS, dan sumber daya Amazon S3. Untuk informasi selengkapnya, lihat kebijakan terkelola [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans). | November 19, 2025 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – Kebijakan baru | AWS Backup menambahkan kebijakan AWS terkelola baru yang memberikan AWS Backup izin untuk memulai pemindaian malware pada titik pemulihan Anda. Ini diperlukan untuk memberikan semua izin yang diperlukan untuk pemindaian malware pada titik pemulihan Amazon EC2, Amazon EBS, dan sumber daya Amazon S3. Untuk informasi selengkapnya, lihat kebijakan terkelola [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans). | November 19, 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Ditambahkan `malware-protection.guardduty.amazonaws.com` ke`IamPassRolePermissions`, yang diperlukan untuk memulai pekerjaan pemindaian malware. | November 19, 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini diperlukan untuk memulai pekerjaan pemindaian malware. | November 19, 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk mencadangkan dan memulihkan kluster Amazon EKS. | November 10, 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk mencadangkan dan memulihkan kluster Amazon EKS. | November 10, 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk membuat cadangan kluster Amazon EKS dan sumber daya terkait mereka atas nama pelanggan. | November 10, 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk membuat cadangan kluster Amazon EKS dan sumber daya terkait mereka atas nama pelanggan. | November 10, 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk melakukan operasi pemulihan untuk kluster Amazon EKS dan sumber daya terkait mereka atas nama pelanggan. | November 10, 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk menyinkronkan informasi administrator yang didelegasikan dengan Organizations untuk fitur manajemen lintas akun. | September 9, 2025 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – Kebijakan baru | AWS Backup menambahkan kebijakan AWS terkelola baru yang memberikan GuardDuty izin Amazon untuk membaca dan memindai cadangan pelanggan. AWS Backup meneruskan peran dengan kebijakan ini GuardDuty ketika memulai operasi`StartMalwareScan`. Ini diperlukan untuk memberikan semua izin yang diperlukan untuk pemindaian malware pada titik pemulihan Amazon EC2, Amazon EBS, dan sumber daya Amazon S3. Untuk informasi selengkapnya, lihat kebijakan terkelola [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans). | November 24, 2025 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – Kebijakan baru | AWS Backup menambahkan kebijakan AWS terkelola baru yang memberikan AWS Backup izin untuk memulai pemindaian malware pada titik pemulihan Anda. Ini diperlukan untuk memberikan semua izin yang diperlukan untuk pemindaian malware pada titik pemulihan Amazon EC2, Amazon EBS, dan sumber daya Amazon S3. Untuk informasi selengkapnya, lihat kebijakan terkelola [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans). | November 24, 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini diperlukan AWS Backup untuk melakukan operasi pemulihan Multi-wilayah yang diatur untuk sumber daya DSQL atas nama pelanggan. | Juli 17, 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini diperlukan untuk AWS Backup integrasi dengan AWS Account Management AWS Organizations sehingga pelanggan memiliki opsi persetujuan Multi-pihak (MPA) sebagai bagian dari brankas celah udara mereka secara logis. | Juni 17, 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— Perbarui ke kebijakan yang ada: | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini diperlukan untuk memungkinkan pelanggan memulihkan Amazon FSx untuk snapshot OpenZFS Multi-availability zone (Multi-AZ) melalui. AWS Backup | 27 Mei 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk mencadangkan dan memulihkan sumber daya Amazon Aurora DSQL. | 21 Mei 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk mencadangkan dan memulihkan sumber daya Amazon Aurora DSQL. | 21 Mei 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk membuat, menghapus, mengambil, dan mengelola snapshot Amazon Aurora DSQL atas nama pelanggan. | 21 Mei 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk membuat, menghapus, mengambil, mengenkripsi, mendekripsi, dan mengelola snapshot Amazon Aurora DSQL atas nama pelanggan. | 21 Mei 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini memungkinkan AWS Backup untuk mengelola backup Aurora DSQL pada interval yang ditentukan pelanggan. | 21 Mei 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini diperlukan bagi pelanggan yang ditunjuk untuk memiliki akses penuh ke cadangan Amazon Redshift Tanpa Server, termasuk izin baca yang diperlukan serta kemampuan untuk menghapus titik pemulihan Amazon Redshift Tanpa Server (cadangan snapshot). | Maret 31, 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini diperlukan bagi pelanggan yang ditunjuk untuk memiliki semua izin pencadangan yang diperlukan ke Amazon Redshift Tanpa Server, termasuk izin baca yang diperlukan. | Maret 31, 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini diperlukan AWS Backup untuk mengelola snapshot Amazon Redshift Tanpa Server pada interval yang ditentukan pelanggan. | Maret 31, 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini diperlukan AWS Backup untuk memungkinkan Anda membuat, menghapus, mengambil, dan mengelola snapshot Amazon Redshift Tanpa Server atas nama pelanggan. | Maret 31, 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin berikut ke kebijakan ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/aws-backup/latest/devguide/security-iam-awsmanpol.html) Izin ini diperlukan AWS Backup untuk memungkinkan memulihkan snapshot Amazon Redshift dan Amazon Redshift Tanpa Server atas nama pelanggan. | Maret 31, 2025 |
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— Menambahkan kebijakan AWS terkelola baru | AWS Backup menambahkan kebijakan AWSBackupSearchOperatorAccess AWS terkelola. | Februari 27, 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin `rds:AddTagsToResource` untuk mendukung salinan cadangan lintas akun snapshot multi-penyewa Amazon RDS. Izin ini diperlukan untuk menyelesaikan operasi ketika pelanggan memilih untuk membuat salinan lintas akun dari snapshot RDS multi-penyewa. | Januari 8, 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin `rds:CreateTenantDatabase` dan kebijakan ini `rds:DeleteTenantDatabase` untuk mendukung proses pemulihan sumber daya Amazon RDS. Izin ini diperlukan untuk menyelesaikan operasi pelanggan untuk memulihkan snapshot multi-penyewa. | Januari 8, 2025 |
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— Menambahkan kebijakan AWS terkelola baru | AWS Backup menambahkan kebijakan AWSBackupServiceRolePolicyForItemRestores AWS terkelola. | November 26, 2024 |
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— Menambahkan kebijakan AWS terkelola baru | AWS Backup menambahkan kebijakan AWSBackupServiceRolePolicyForIndexing AWS terkelola. | November 26, 2024 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin `backup:TagResource` untuk kebijakan ini. Izin diperlukan untuk mendapatkan izin penandaan selama pembuatan titik pemulihan. | 17 Mei 2024 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) - Perbarui ke kebijakan yang ada | AWS Backup menambahkan izin `backup:TagResource` untuk kebijakan ini. Izin diperlukan untuk mendapatkan izin penandaan selama pembuatan titik pemulihan. | 17 Mei 2024 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | AWS Backup menambahkan izin `backup:TagResource` untuk kebijakan ini. Izin diperlukan untuk mendapatkan izin penandaan selama pembuatan titik pemulihan. | 17 Mei 2024 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan izin`rds:DeleteDBInstanceAutomatedBackups`. Izin ini diperlukan AWS Backup untuk mendukung pencadangan berkelanjutan dan point-in-time-restore instans Amazon RDS. | 1 Mei 2024 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | AWS Backup memperbarui Amazon Resource Name (ARN) dengan izin `storagegateway:ListVolumes` dari `arn:aws:storagegateway:*:*:gateway/*` to untuk mengakomodasi perubahan `*` dalam model Storage Gateway API. | 1 Mei 2024 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | AWS Backup memperbarui Amazon Resource Name (ARN) dengan izin `storagegateway:ListVolumes` dari `arn:aws:storagegateway:*:*:gateway/*` to untuk mengakomodasi perubahan `*` dalam model Storage Gateway API. | 1 Mei 2024 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk menjelaskan dan mencantumkan titik pemulihan dan sumber daya yang dilindungi untuk melakukan rencana pengujian pemulihan:`backup:DescribeRecoveryPoint`,, `backup:DescribeProtectedResource``backup:ListProtectedResources`, dan`backup:ListRecoveryPointsByResource`. Menambahkan izin `ec2:DescribeSnapshotTierStatus` untuk mendukung penyimpanan tingkat arsip Amazon EBS. Menambahkan izin `rds:DescribeDBClusterAutomatedBackups` untuk mendukung backup berkelanjutan Amazon Aurora. Menambahkan izin berikut untuk mendukung pengujian pemulihan cadangan `redshift:DescribeClusters` Amazon Redshift: dan. `redshift:DeleteCluster` Menambahkan izin `timestream:DeleteTable` untuk mendukung pengujian pemulihan cadangan Amazon Timestream. | Februari 14, 2024 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Menambahkan izin `ec2:DescribeSnapshotTierStatus` dan`ec2:RestoreSnapshotTier`. Izin ini diperlukan bagi pengguna untuk memiliki opsi untuk memulihkan sumber daya Amazon EBS yang disimpan AWS Backup dari penyimpanan arsip. Untuk pemulihan instans EC2, Anda juga harus menyertakan izin seperti yang ditunjukkan dalam pernyataan kebijakan berikut untuk meluncurkan instans EC2: | 27 November 2023 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan izin `ec2:DescribeSnapshotTierStatus` dan `ec2:ModifySnapshotTier` untuk mendukung opsi penyimpanan tambahan untuk sumber daya Amazon EBS yang dicadangkan untuk dialihkan ke tingkat penyimpanan arsip. Izin ini diperlukan bagi pengguna untuk memiliki opsi untuk mentransisikan sumber daya Amazon EBS yang disimpan AWS Backup ke penyimpanan arsip. | 27 November 2023 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan izin `ec2:DescribeSnapshotTierStatus` dan `ec2:ModifySnapshotTier` untuk mendukung opsi penyimpanan tambahan untuk sumber daya Amazon EBS yang dicadangkan untuk dialihkan ke tingkat penyimpanan arsip. Izin ini diperlukan bagi pengguna untuk memiliki opsi untuk mentransisikan sumber daya Amazon EBS yang disimpan AWS Backup ke penyimpanan arsip. Menambahkan izin `rds:DescribeDBClusterSnapshots` dan`rds:RestoreDBClusterToPointInTime`, yang diperlukan untuk PITR (point-in-time mengembalikan) cluster Aurora. |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – Kebijakan baru | Memberikan izin yang diperlukan untuk melakukan pengujian pemulihan. Izin tersebut mencakup tindakan `list, read, and write` untuk layanan berikut yang akan disertakan dalam pengujian pemulihan: Aurora, DocumentDB, DynamoDB, Amazon EBS, Amazon EC2, Amazon EFS, untuk Lustre, untuk Windows File FSx Server, untuk FSx ONTAP, untuk OpenZFS FSx , FSx Amazon Neptunus, Amazon RDS, dan Amazon S3. | 27 November 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan `restore-testing.backup.amazonaws.com` ke `IamPassRolePermissions` dan `IamCreateServiceLinkedRolePermissions`. Penambahan ini diperlukan AWS Backup untuk melakukan tes pemulihan atas nama pelanggan. | 27 November 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Menambahkan izin `rds:DescribeDBClusterSnapshots` dan`rds:RestoreDBClusterToPointInTime`, yang diperlukan untuk PITR (point-in-time mengembalikan) cluster Aurora. | September 6, 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin`rds:DescribeDBClusterAutomatedBackups`, yang diperlukan untuk pencadangan terus menerus dan point-in-time pemulihan cluster Aurora. | September 6, 2023 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin`rds:DescribeDBClusterAutomatedBackups`, yang diperlukan untuk pencadangan terus menerus dan point-in-time pemulihan cluster Aurora. | September 6, 2023 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan izin`rds:DescribeDBClusterAutomatedBackups`. Izin ini diperlukan untuk AWS Backup mendukung pencadangan berkelanjutan dan point-in-time pemulihan cluster Aurora. Menambahkan izin `rds:DeleteDBClusterAutomatedBackups` untuk mengizinkan AWS Backup siklus hidup menghapus dan memisahkan titik pemulihan berkelanjutan Amazon Aurora saat periode retensi selesai. Izin ini diperlukan untuk titik pemulihan Aurora untuk menghindari transisi ke suatu `EXIPIRED` keadaan. Menambahkan izin `rds:ModifyDBCluster` yang memungkinkan AWS Backup untuk berinteraksi dengan cluster Aurora. Penambahan ini memungkinkan pengguna kemampuan untuk mengaktifkan atau menonaktifkan pencadangan berkelanjutan berdasarkan konfigurasi yang diinginkan. | September 6, 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan `ram:GetResourceShareAssociations` untuk memberikan izin pengguna untuk mendapatkan asosiasi berbagi sumber daya untuk jenis vault baru. | 8 Agustus 2023 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan `ram:GetResourceShareAssociations` untuk memberikan izin pengguna untuk mendapatkan asosiasi berbagi sumber daya untuk jenis vault baru. | 8 Agustus 2023 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) - Perbarui ke kebijakan yang ada | Menambahkan izin `s3:PutInventoryConfiguration` untuk meningkatkan kecepatan kinerja pencadangan dengan menggunakan inventaris bucket. | 1 Agustus 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan berikut untuk memberikan izin pengguna untuk menambahkan tag untuk memulihkan sumber daya:`storagegateway:AddTagsToResource`,`elasticfilesystem:TagResource`, `ec2:CreateTags` hanya `ec2:CreateAction` yang mencakup salah satu `RunInstances` atau`CreateVolume`,`fsx:TagResource`, dan`cloudformation:TagResource`. | 22 Mei 2023 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – Pembaruan ke kebijakan yang ada | Mengganti pemilihan sumber daya dalam API `config:DescribeComplianceByConfigRule` dengan sumber daya wildcard untuk memudahkan pengguna memilih sumber daya. | 11 April 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk memulihkan Amazon EFS menggunakan kunci terkelola pelanggan:`kms:GenerateDataKeyWithoutPlaintext`. Ini membantu memastikan pengguna memiliki izin yang diperlukan untuk memulihkan sumber daya Amazon EFS. | Maret 27, 2023 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – Pembaruan ke kebijakan yang ada | Memperbarui `config:DescribeConfigRules` dan `config:DescribeConfigRuleEvaluationStatus` tindakan untuk memungkinkan AWS Backup Audit Manager mengakses aturan yang dikelola Manajer AWS Backup AWS Config Audit. | 9 Maret 2023 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) - Perbarui ke kebijakan yang ada | Menambahkan izin berikut:`kms:Decrypt`,`s3:PutBucketOwnershipControls`, dan `s3:GetBucketOwnershipControls` ke kebijakan`AWSBackupServiceRolePolicyForS3Restore`. Izin ini diperlukan untuk mendukung pemulihan objek saat enkripsi KMS digunakan dalam cadangan asli dan untuk memulihkan objek saat kepemilikan objek dikonfigurasi pada bucket asli, bukan ACL. | 13 Februari 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk menjadwalkan pencadangan menggunakan VMware tag mesin virtual dan untuk mendukung pembatasan bandwidth berbasis jadwal:`backup-gateway:GetHypervisorPropertyMappings`,,,,,, dan. `backup-gateway:GetVirtualMachine` `backup-gateway:PutHypervisorPropertyMappings` `backup-gateway:GetHypervisor` `backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule` | 15 Desember 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk menjadwalkan pencadangan menggunakan VMware tag mesin virtual dan untuk mendukung pembatasan bandwidth berbasis jadwal:,,, dan. `backup-gateway:GetHypervisorPropertyMappings` `backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule` | 15 Desember 2022 |
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync) – Kebijakan baru | Memberikan izin bagi AWS Backup Gateway untuk menyinkronkan metadata mesin virtual di jaringan on-premise dengan Backup Gateway. | 15 Desember 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung pekerjaan cadangan Timestream:`timestream:StartAwsBackupJob`,,`timestream:GetAwsBackupStatus`,,`timestream:ListTables`,`timestream:ListDatabases`, `timestream:ListTagsForResource` `timestream:DescribeTable``timestream:DescribeDatabase`, dan. `timestream:DescribeEndpoints` | 13 Desember 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung pekerjaan pemulihan Timestream:`timestream:StartAwsRestoreJob`,,`timestream:GetAwsRestoreStatus`,`timestream:ListTables`,`timestream:ListTagsForResource`,`timestream:ListDatabases`, `timestream:DescribeTable` `timestream:DescribeDatabase``s3:GetBucketAcl`, dan. `timestream:DescribeEndpoints` | 13 Desember 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung sumber daya Timestream:`timestream:ListTables`,`timestream:ListDatabases`, `s3:ListAllMyBuckets` dan. `timestream:DescribeEndpoints` | 13 Desember 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung sumber daya Timestream:`timestream:ListDatabases`,, `timestream:ListTables``s3:ListAllMyBuckets`, dan. `timestream:DescribeEndpoints` | 13 Desember 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung sumber daya Timestream:`timestream:ListDatabases`,,`timestream:ListTables`,`timestream:ListTagsForResource`,`timestream:DescribeDatabase`,, `timestream:DescribeTable` `timestream:GetAwsBackupStatus``timestream:GetAwsRestoreStatus`, dan. `timestream:DescribeEndpoints` | 13 Desember 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung sumber daya Amazon Redshift`redshift:DescribeClusters`:`redshift:DescribeClusterSubnetGroups`,,,`redshift:DescribeNodeConfigurationOptions`,`redshift:DescribeOrderableClusterOptions`, `redshift:DescribeClusterParameterGroups` `redshift:DescribeClusterTracks``redshift:DescribeSnapshotSchedules`, dan. `ec2:DescribeAddresses` | 27 November 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung sumber daya Amazon Redshift`redshift:DescribeClusters`:`redshift:DescribeClusterSubnetGroups`,,,, `redshift:DescribeNodeConfigurationOptions``redshift:DescribeOrderableClusterOptions`,`redshift:DescribeClusterParameterGroups,`. `redshift:DescribeClusterTracks` `redshift:DescribeSnapshotSchedules`, dan`ec2:DescribeAddresses`. | 27 November 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung pekerjaan pemulihan Amazon Redshift`redshift:RestoreFromCluster Snapshot`:`redshift:RestoreTableFromClusterSnapshot`,,`redshift:DescribeClusters`, dan. `redshift:DescribeTableRestoreStatus` | 27 November 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung pekerjaan pencadangan Amazon Redshift`redshift:CreateClusterSnapshot`:`redshift:DescribeClusterSnapshots`,,,, `redshift:DescribeTags` `redshift:DeleteClusterSnapshot``redshift:DescribeClusters`, dan. `redshift:CreateTags` | 27 November 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung CloudFormation sumber daya:`cloudformation:ListStacks`. | 27 November 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung CloudFormation sumber daya:`cloudformation:ListStacks`. | 27 November 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung CloudFormation sumber daya:`redshift:DescribeClusterSnapshots`,, `redshift:DescribeTags``redshift:DeleteClusterSnapshot`, dan`redshift:DescribeClusters`. | 27 November 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung pekerjaan cadangan tumpukan CloudFormation aplikasi:`cloudformation:GetTemplate`,`cloudformation:DescribeStacks`, dan`cloudformation:ListStackResources`. | 16 November 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung pekerjaan pencadangan tumpukan CloudFormation aplikasi: `cloudformation:CreateChangeSet` dan `cloudformation:DescribeChangeSet` | 16 November 2022 |
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut ke kebijakan ini untuk mengizinkan administrator organisasi menggunakan fitur Administrator Delegasi:,, dan `organizations:ListDelegatedAdministrator` `organizations:RegisterDelegatedAdministrator` `organizations:DeregisterDelegatedAdministrator` | 27 November 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung SAP HANA di instans Amazon EC2`ssm-sap:GetOperation`:`ssm-sap:ListDatabases`,,,,`ssm-sap:BackupDatabase`, `ssm-sap:UpdateHanaBackupSettings` dan. `ssm-sap:GetDatabase` `ssm-sap:ListTagsForResource` | November 20, 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung SAP HANA di instans Amazon EC2`ssm-sap:GetOperation`:`ssm-sap:ListDatabases`,,, dan. `ssm-sap:GetDatabase` `ssm-sap:ListTagsForResource` | November 20, 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung SAP HANA di instans Amazon EC2`ssm-sap:GetOperation`:`ssm-sap:ListDatabases`,,, dan. `ssm-sap:GetDatabase` `ssm-sap:ListTagsForResource` | November 20, 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung SAP HANA di instans Amazon EC2:. `ssm-sap:GetOperation` | November 20, 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung pekerjaan pemulihan gateway Backup ke instans EC2:`ec2:CreateTags`. | November 20, 2022 |
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess) – Pembaruan ke kebijakan yang ada | Menambahkan izin berikut untuk mendukung transfer data penyimpanan yang aman untuk sumber daya SAP HANA Di Amazon EC2`backup-storage:StartObject`:`backup-storage:PutChunk`,,,,, `backup-storage:GetChunk` `backup-storage:ListChunks``backup-storage:ListObjects`, `backup-storage:GetObjectMetadata` dan. `backup-storage:NotifyObjectComplete` | November 20, 2022 |
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) — Update ke kebijakan yang ada | Menambahkan izin berikut bagi pemilik sumber daya untuk melakukan pemulihan sumber daya SAP HANA Di Amazon EC2`backup:Get*`:`backup:List*`,,,,,,,`backup:Describe*`,`backup:StartBackupJob`,`backup:StartRestoreJob`,`ssm-sap:GetOperation`,`ssm-sap:ListDatabases`,, `ssm-sap:BackupDatabase` `ssm-sap:RestoreDatabase``ssm-sap:UpdateHanaBackupSettings`, `ssm-sap:GetDatabase` dan. `ssm-sap:ListTagsForResource` | November 20, 2022 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) - Perbarui ke kebijakan yang ada | Menambahkan izin `s3:GetBucketAcl` untuk mendukung operasi pencadangan AWS Backup untuk Amazon S3. | Agustus 24, 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan berikut untuk memberikan akses untuk membuat instance database untuk mendukung fungsionalitas Multi-availability Zone (Multi-AZ):. `rds:CreateDBInstance` | 20 Juli 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan `s3:GetBucketTagging` izin untuk memberikan izin kepada pengguna untuk memilih bucket yang akan dicadangkan dengan wildcard sumber daya. Tanpa izin ini, pengguna yang memilih bucket mana yang akan dicadangkan dengan wildcard sumber daya tidak berhasil. | 6 Mei 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan sumber daya volume dalam lingkup yang ada `fsx:CreateBackup` dan `fsx:ListTagsForResource` tindakan, dan menambahkan tindakan baru `fsx:DescribeVolumes` FSx untuk mendukung pencadangan tingkat volume ONTAP. | 27 April 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan berikut untuk memberikan izin pengguna FSx untuk memulihkan volume ONTAP`fsx:DescribeVolumes`,, `fsx:CreateVolumeFromBackup``fsx:DeleteVolume`, dan. `fsx:UntagResource` | 27 April 2022 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) - Perbarui ke kebijakan yang ada | Menambahkan tindakan berikut untuk memberikan izin pengguna untuk menerima pemberitahuan perubahan pada bucket Amazon S3 mereka selama operasi pencadangan: dan. `s3:GetBucketNotification` `s3:PutBucketNotification` | 25 Februari 2022 |
| [AWSBackupServiceRolePolicyForS3Backup - Kebijakan](#AWSBackupServiceRolePolicyForS3Backup) baru | Menambahkan tindakan berikut untuk memberikan izin kepada pengguna untuk mencadangkan bucket Amazon S3 mereka`s3:GetInventoryConfiguration`:`s3:PutInventoryConfiguration`,,,,,,`s3:ListBucketVersions`,`s3:ListBucket`, `s3:GetBucketTagging``s3:GetBucketVersioning`, `s3:GetBucketNotification` dan `s3:GetBucketLocation` `s3:ListAllMyBuckets` Menambahkan tindakan berikut untuk memberikan izin pengguna untuk mencadangkan objek Amazon S3 mereka`s3:GetObject`:`s3GetObjectAcl`,,,, `s3:GetObjectVersionTagging` `s3:GetObjectVersionAcl``s3:GetObjectTagging`, dan. `s3:GetObjectVersion` Menambahkan tindakan berikut untuk memberikan izin pengguna untuk mencadangkan data Amazon S3 terenkripsi mereka: dan. `kms:Decrypt` `kms:DescribeKey` Menambahkan tindakan berikut untuk memberikan izin pengguna untuk mengambil cadangan tambahan data Amazon S3 mereka menggunakan EventBridge aturan Amazon:,,,`events:DescribeRule`,,,,,,,,,`events:EnableRule`,, `events:PutRule` `events:DeleteRule``events:PutTargets`, `events:RemoveTargets` dan. `events:ListTargetsByRule` `events:DisableRule` `cloudwatch:GetMetricData` `events:ListRules` | Februari 17, 2022 |
| [AWSBackupServiceRolePolicyForS3Restore - Kebijakan](#AWSBackupServiceRolePolicyForS3Restore) baru | Menambahkan tindakan berikut untuk memberikan izin pengguna untuk memulihkan bucket Amazon S3 mereka`s3:CreateBucket`:`s3:ListBucketVersions`,,,, `s3:ListBucket``s3:GetBucketVersioning`, `s3:GetBucketLocation` dan. `s3:PutBucketVersioning` Menambahkan tindakan berikut untuk memberikan izin pengguna untuk memulihkan bucket Amazon S3 mereka`s3:GetObject`:`s3:GetObjectVersion`,,,,,`s3:DeleteObject`,`s3:PutObjectVersionAcl`,`s3:GetObjectVersionAcl`,`s3:GetObjectTagging`, `s3:PutObjectTagging` `s3:GetObjectAcl``s3:PutObjectAcl`, `s3:PutObject` dan. `s3:ListMultipartUploadParts` Menambahkan tindakan berikut untuk memberikan izin pengguna untuk mengenkripsi data Amazon S3 yang dipulihkan`kms:Decrypt`:`kms:DescribeKey`,, dan. `kms:GenerateDataKey` | Februari 17, 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Ditambahkan `s3:ListAllMyBuckets` untuk memberikan izin pengguna untuk melihat daftar bucket mereka dan memilih mana yang akan ditetapkan ke paket cadangan. | 14 Februari 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Ditambahkan `backup-gateway:ListVirtualMachines` untuk memberikan izin pengguna untuk melihat daftar mesin virtual mereka dan memilih mana yang akan ditetapkan ke paket cadangan. Ditambahkan `backup-gateway:ListTagsForResource` untuk memberikan izin pengguna untuk daftar tag untuk mesin virtual mereka. | 30 November 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Ditambahkan `backup-gateway:Backup` untuk memberikan izin pengguna mengembalikan cadangan mesin virtual mereka. AWS Backup juga ditambahkan `backup-gateway:ListTagsForResource` untuk memberikan izin pengguna untuk mencantumkan tag yang ditetapkan ke cadangan mesin virtual mereka. | 30 November 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Ditambahkan `backup-gateway:Restore` untuk memberikan izin pengguna mengembalikan cadangan mesin virtual mereka. | 30 November 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan berikut untuk memberikan izin kepada pengguna untuk menggunakan AWS Backup Gateway untuk membuat cadangan, memulihkan, dan mengelola mesin virtual mereka:,,,,,`backup-gateway:AssociateGatewayToServer`,,,,,`backup-gateway:CreateGateway`,`backup-gateway:DeleteGateway`,,`backup-gateway:DeleteHypervisor`,`backup-gateway:DisassociateGatewayFromServer`,`backup-gateway:ImportHypervisorConfiguration`,,`backup-gateway:ListGateways`,`backup-gateway:ListHypervisors`,`backup-gateway:ListTagsForResource`,,`backup-gateway:ListVirtualMachines`,`backup-gateway:PutMaintenanceStartTime`,`backup-gateway:TagResource`,,`backup-gateway:TestHypervisorConfiguration`,`backup-gateway:UntagResource`,`backup-gateway:UpdateGatewayInformation`, dan`backup-gateway:UpdateHypervisor`. | 30 November 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan berikut untuk memberikan izin pengguna untuk mencadangkan mesin virtual mereka:`backup-gateway:ListGateways`,, `backup-gateway:ListHypervisors``backup-gateway:ListTagsForResource`, dan`backup-gateway:ListVirtualMachines`. | 30 November 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Ditambahkan `dynamodb:ListTagsOfResource` untuk memberikan izin pengguna untuk mencantumkan tag tabel DynamoDB mereka untuk dicadangkan menggunakan fitur cadangan AWS Backup DynamoDB lanjutan. | 23 November 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Ditambahkan `dynamodb:StartAwsBackupJob` untuk memberikan izin pengguna untuk mencadangkan tabel DynamoDB mereka menggunakan fitur cadangan lanjutan. Ditambahkan `dynamodb:ListTagsOfResource` untuk memberikan pengguna izin untuk menyalin tag dari tabel DynamoDB sumber mereka ke backup mereka. | 23 November 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Ditambahkan `dynamodb:RestoreTableFromAwsBackup` untuk memberikan izin pengguna mengembalikan tabel DynamoDB mereka yang dicadangkan menggunakan fitur cadangan lanjutan AWS Backup DynamoDB lanjutan. | 23 November 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Ditambahkan `dynamodb:RestoreTableFromAwsBackup` untuk memberikan izin pengguna mengembalikan tabel DynamoDB mereka yang dicadangkan menggunakan fitur cadangan lanjutan AWS Backup DynamoDB lanjutan. | 23 November 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | Menghapus tindakan `backup:GetRecoveryPointRestoreMetadata` dan `rds:DescribeDBSnapshots` karena mereka berlebihan. AWS Backup tidak membutuhkan keduanya `backup:GetRecoveryPointRestoreMetadata` dan `backup:Get*` sebagai bagian dari`AWSBackupOperatorAccess`. Juga, AWS Backup tidak membutuhkan keduanya `rds:DescribeDBSnapshots` dan `rds:describeDBSnapshots` sebagai bagian dari`AWSBackupOperatorAccess`. | 23 November 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan baru`elasticfilesystem:DescribeFileSystems`,`dynamodb:ListTables`,`storagegateway:ListVolumes`,`ec2:DescribeVolumes`,`ec2:DescribeInstances`,`rds:DescribeDBInstances`,`rds:DescribeDBClusters`,, dan `fsx:DescribeFileSystems` untuk memungkinkan pelanggan melihat dan memilih dari daftar sumber daya yang AWS Backup didukung saat memilih sumber daya mana yang akan ditetapkan ke rencana cadangan. | November 10, 2021 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – Kebijakan baru | Ditambahkan `AWSBackupAuditAccess` untuk memberikan izin pengguna untuk menggunakan AWS Backup Audit Manager. Izin mencakup kemampuan untuk mengonfigurasi kerangka kerja kepatuhan dan menghasilkan laporan. | Agustus 24, 2021 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – Kebijakan baru | Ditambahkan `AWSServiceRolePolicyForBackupReports` untuk memberikan izin untuk peran terkait layanan untuk mengotomatiskan pemantauan pengaturan cadangan, pekerjaan, dan sumber daya untuk kepatuhan dengan kerangka kerja yang dikonfigurasi oleh pengguna. | Agustus 24, 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Ditambahkan `iam:CreateServiceLinkedRole` untuk membuat peran terkait layanan (dengan upaya terbaik) untuk mengotomatiskan penghapusan titik pemulihan yang kedaluwarsa untuk Anda. Tanpa peran terkait layanan ini, AWS Backup tidak dapat menghapus titik pemulihan yang kedaluwarsa setelah pelanggan menghapus peran IAM asli yang mereka gunakan untuk membuat titik pemulihan mereka. | Juli 5, 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan baru `dynamodb:DeleteBackup` untuk memberikan `DeleteRecoveryPoint` izin untuk mengotomatiskan penghapusan titik pemulihan DynamoDB yang kedaluwarsa berdasarkan pengaturan siklus hidup rencana cadangan Anda. | Juli 5, 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | Menghapus tindakan `backup:GetRecoveryPointRestoreMetadata` dan `rds:DescribeDBSnapshots` karena mereka berlebihan. AWS Backup tidak membutuhkan keduanya `backup:GetRecoveryPointRestoreMetadata` dan `backup:Get*` sebagai bagian dari `AWSBackupOperatorAccess` Juga, AWS Backup tidak membutuhkan keduanya `rds:DescribeDBSnapshots` dan `rds:describeDBSnapshots` sebagai bagian dari `AWSBackupOperatorAccess` | 25 Mei 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – Pembaruan ke kebijakan yang ada | Menghapus tindakan `backup:GetRecoveryPointRestoreMetadata` dan `rds:DescribeDBSnapshots` karena mereka berlebihan. AWS Backup tidak membutuhkan keduanya `backup:GetRecoveryPointRestoreMetadata` dan `backup:Get*` sebagai bagian dari`AWSBackupOperatorAccess`. Juga, AWS Backup tidak membutuhkan keduanya `rds:DescribeDBSnapshots` dan `rds:describeDBSnapshots` sebagai bagian dari`AWSBackupOperatorAccess`. | 25 Mei 2021 |
| [AWSBackupServiceRolePolicyForRestores]() – Pembaruan ke kebijakan yang ada | Menambahkan tindakan baru `fsx:TagResource` untuk memberikan `StartRestoreJob` izin agar Anda dapat menerapkan tag ke sistem FSx file Amazon selama proses pemulihan. | 24 Mei 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan baru `ec2:DescribeImages` dan `ec2:DescribeInstances` memberikan `StartRestoreJob` izin untuk memungkinkan Anda memulihkan instans Amazon EC2 dari titik pemulihan. | 24 Mei 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan baru `fsx:CopyBackup` untuk memberikan `StartCopyJob` izin agar Anda dapat menyalin titik FSx pemulihan Amazon di seluruh Wilayah dan akun. | 12 April 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan baru `fsx:CopyBackup` untuk memberikan `StartCopyJob` izin agar Anda dapat menyalin titik FSx pemulihan Amazon di seluruh Wilayah dan akun. | 12 April 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – Pembaruan ke kebijakan yang ada | Diperbarui untuk memenuhi persyaratan berikut: AWS Backup Untuk membuat cadangan tabel DynamoDB terenkripsi, Anda harus menambahkan izin `kms:Decrypt` dan peran IAM yang digunakan `kms:GenerateDataKey` untuk cadangan. | 10 Maret 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – Pembaruan ke kebijakan yang ada | Diperbarui untuk memenuhi persyaratan berikut: Untuk digunakan AWS Backup untuk mengonfigurasi pencadangan berkelanjutan untuk database Amazon RDS Anda, verifikasi izin API yang `rds:ModifyDBInstance` ada dalam peran IAM yang ditentukan oleh konfigurasi paket Backup Anda. Untuk memulihkan backup berkelanjutan Amazon RDS, Anda harus menambahkan izin `rds:RestoreDBInstanceToPointInTime` ke peran IAM yang Anda kirimkan untuk pekerjaan pemulihan. Di AWS Backup konsol, untuk menjelaskan rentang waktu yang tersedia untuk point-in-time pemulihan, Anda harus menyertakan izin `rds:DescribeDBInstanceAutomatedBackups` API dalam kebijakan yang dikelola IAM. | 10 Maret 2021 |
| AWS Backup mulai melacak perubahan | AWS Backup mulai melacak perubahan untuk kebijakan AWS-managed nya. | 10 Maret 2021 |
# Menggunakan peran terkait layanan untuk AWS Backup
AWS Backup menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Backup Peran terkait layanan telah ditentukan sebelumnya oleh AWS Backup dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
**Topics**
+ [Menggunakan peran untuk membuat cadangan dan menyalin](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [Menggunakan peran untuk AWS Backup Audit Manager](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [Menggunakan peran untuk memulihkan pengujian](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)
# Menggunakan peran untuk membuat cadangan dan menyalin
AWS Backup menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Backup Peran terkait layanan telah ditentukan sebelumnya oleh AWS Backup dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan AWS Backup lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Backup mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Backup dapat mengambil perannya. Izin-izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah terlebih dahulu menghapus sumber dayanya yang terkait. Ini melindungi AWS Backup sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk AWS Backup
AWS Backup menggunakan peran terkait layanan bernama **AWSServiceRoleForBackup**untuk membuat dan menghapus cadangan AWS sumber daya Anda atas nama Anda.
Peran AWSService RoleForBackup terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `backup.amazonaws.com`
Untuk melihat izin kebijakan ini, lihat [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)di *Referensi Kebijakan AWS Terkelola*.
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk AWS Backup
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mencantumkan sumber daya untuk dicadangkan, menyiapkan cadangan lintas akun, atau melakukan pencadangan di, API Konsol Manajemen AWS, atau AWS API AWS CLI, akan AWS Backup menciptakan peran terkait layanan untuk Anda.
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Untuk mempelajari lebih lanjut, lihat [Peran Baru yang Muncul di Akun IAM Saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mencantumkan sumber daya untuk dicadangkan, menyiapkan cadangan lintas akun, atau melakukan pencadangan, AWS Backup buat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk AWS Backup
AWS Backup tidak memungkinkan Anda untuk mengedit peran AWSService RoleForBackup terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit deskripsi peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) di Panduan Pengguna *IAM*.
## Menghapus peran terkait layanan untuk AWS Backup
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.
### Membersihkan peran tertaut-layanan
Sebelum dapat menggunakan IAM untuk menghapus peran tertaut-layanan, Anda harus terlebih dahulu menghapus semua sumber daya yang digunakan oleh peran tersebut. Pertama, Anda harus menghapus semua titik pemulihan Anda. Kemudian, Anda harus menghapus semua brankas cadangan Anda.
**catatan**
Jika AWS Backup layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika itu terjadi, tunggu beberapa menit, lalu coba operasi lagi.
**Untuk menghapus AWS Backup sumber daya yang digunakan oleh AWSService RoleForBackup (konsol)**
1. Untuk menghapus semua titik pemulihan dan brankas cadangan (kecuali brankas default Anda), ikuti prosedur di [Hapus](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault) vault.
1. Untuk menghapus vault default Anda, gunakan perintah berikut di AWS CLI:
```
aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
```
**Untuk menghapus AWS Backup sumber daya yang digunakan oleh AWSService RoleForBackup (AWS CLI)**
1. Untuk menghapus semua titik pemulihan Anda, gunakan [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html).
1. Untuk menghapus semua brankas cadangan Anda, gunakan. [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html)
**Untuk menghapus AWS Backup sumber daya yang digunakan oleh AWSService RoleForBackup (API)**
1. Untuk menghapus semua titik pemulihan Anda, gunakan`[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`.
1. Untuk menghapus semua brankas cadangan Anda, gunakan. `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`
### Menghapus peran tertaut layanan secara manual
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForBackup terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) di Panduan Pengguna *IAM*.
## Wilayah yang Didukung untuk AWS Backup peran terkait layanan
AWS Backup mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [fitur dan Wilayah yang AWS Backup didukung](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Menggunakan peran untuk AWS Backup Audit Manager
AWS Backup menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Backup Peran terkait layanan telah ditentukan sebelumnya oleh AWS Backup dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan AWS Backup lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Backup mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Backup dapat mengambil perannya. Izin-izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah terlebih dahulu menghapus sumber dayanya yang terkait. Ini melindungi AWS Backup sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk AWS Backup
AWS Backup menggunakan peran terkait layanan bernama **AWSServiceRoleForBackupReports**— Menyediakan AWS Backup izin untuk membuat kontrol, kerangka kerja, dan laporan.
Peran AWSService RoleForBackupReports terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `reports.backup.amazonaws.com`
Untuk melihat izin kebijakan ini, lihat [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html)di *Referensi Kebijakan AWS Terkelola*.
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk AWS Backup
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat kerangka kerja atau rencana laporan di Konsol Manajemen AWS, API AWS CLI, atau AWS API, akan AWS Backup membuat peran terkait layanan untuk Anda.
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Untuk mempelajari lebih lanjut, lihat [Peran Baru yang Muncul di Akun IAM Saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat kerangka kerja atau rencana laporan, AWS Backup buat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk AWS Backup
AWS Backup tidak memungkinkan Anda untuk mengedit peran AWSService RoleForBackupReports terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit deskripsi peran terkait layanan di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) *IAM*.
## Menghapus peran terkait layanan untuk AWS Backup
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.
### Membersihkan peran tertaut-layanan
Sebelum dapat menggunakan IAM untuk menghapus peran tertaut-layanan, Anda harus terlebih dahulu menghapus semua sumber daya yang digunakan oleh peran tersebut. Anda harus menghapus semua kerangka kerja dan rencana laporan.
**catatan**
Jika AWS Backup layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika itu terjadi, tunggu beberapa menit, lalu coba operasi lagi.
**Untuk menghapus AWS Backup sumber daya yang digunakan oleh AWSService RoleForBackupReports (konsol)**
1. Untuk menghapus semua kerangka kerja, lihat [Menghapus](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html) kerangka kerja.
1. Untuk menghapus semua rencana laporan, lihat [Menghapus rencana laporan](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html).
**Untuk menghapus AWS Backup sumber daya yang digunakan oleh AWSService RoleForBackupReports (AWS CLI)**
1. Untuk menghapus semua kerangka kerja, gunakan [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html).
1. Untuk menghapus semua rencana laporan, gunakan [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html).
**Untuk menghapus AWS Backup sumber daya yang digunakan oleh AWSService RoleForBackupReports (API)**
1. Untuk menghapus semua kerangka kerja, gunakan [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html).
1. Untuk menghapus semua rencana laporan, gunakan [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html).
### Menghapus peran tertaut layanan secara manual
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForBackupReports terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) di Panduan Pengguna *IAM*.
## Wilayah yang Didukung untuk AWS Backup peran terkait layanan
AWS Backup mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [fitur dan Wilayah yang AWS Backup didukung](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Menggunakan peran untuk memulihkan pengujian
AWS Backup menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Backup Peran terkait layanan telah ditentukan sebelumnya oleh AWS Backup dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan AWS Backup lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Backup mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Backup dapat mengambil perannya. Izin-izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah terlebih dahulu menghapus sumber dayanya yang terkait. Ini melindungi AWS Backup sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk AWS Backup
AWS Backup menggunakan peran terkait layanan bernama **AWSServiceRoleForBackupRestoreTesting**— Menyediakan izin cadangan untuk melakukan pengujian pemulihan.
Peran tertaut layanan **AWSServiceRoleForBackupRestoreTesting** memercayai layanan berikut untuk mengambil peran tersebut:
+ `restore-testing.backup.amazonaws.com`
Untuk melihat izin kebijakan ini, lihat [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html)di *Referensi Kebijakan AWS Terkelola*.
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk AWS Backup
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda melakukan pengujian pemulihan di Konsol Manajemen AWS, the AWS CLI, atau AWS API, AWS Backup buat peran terkait layanan untuk Anda.
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Untuk mempelajari lebih lanjut, lihat [Peran Baru yang Muncul di Akun IAM Saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda melakukan pengujian pemulihan, AWS Backup buat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk AWS Backup
AWS Backup tidak memungkinkan Anda untuk mengedit peran AWSService RoleForBackupRestoreTesting terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit deskripsi peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) di Panduan Pengguna *IAM*.
## Menghapus peran terkait layanan untuk AWS Backup
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.
### Membersihkan peran tertaut-layanan
Sebelum dapat menggunakan IAM untuk menghapus peran tertaut-layanan, Anda harus terlebih dahulu menghapus semua sumber daya yang digunakan oleh peran tersebut. Anda harus menghapus semua rencana pengujian pemulihan.
**catatan**
Jika AWS Backup layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika itu terjadi, tunggu beberapa menit, lalu coba operasi lagi.
**Untuk menghapus AWS Backup sumber daya yang digunakan oleh AWSService RoleForBackupRestoreTesting (konsol)**
+ Untuk menghapus semua paket pengujian pemulihan, lihat [Memulihkan pengujian](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html).
**Untuk menghapus AWS Backup sumber daya yang digunakan oleh AWSService RoleForBackupRestoreTesting (AWS CLI)**
+ Untuk menghapus rencana pengujian pemulihan, gunakan`delete-restore-testing-plan`.
**Untuk menghapus AWS Backup sumber daya yang digunakan oleh AWSService RoleForBackupRestoreTesting (API)**
+ Untuk menghapus rencana pengujian pemulihan, gunakan`DeleteRestoreTestingPlan`.
### Menghapus peran tertaut layanan secara manual
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran **AWSServiceRoleForBackupRestoreTesting**terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) di Panduan Pengguna *IAM*.
## Wilayah yang Didukung untuk AWS Backup peran terkait layanan
AWS Backup mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [fitur dan Wilayah yang AWS Backup didukung](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Pencegahan "confused deputy" lintas layanan
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS sediakan alat yang membantu Anda melindungi data Anda untuk semua layanan dengan prinsip layanan yang telah diberikan akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan dalam kebijakan sumber daya untuk membatasi izin yang AWS Backup memberikan layanan lain ke sumber daya. Jika Anda menggunakan kedua kunci konteks kondisi global, `aws:SourceAccount` nilai dan akun dalam `aws:SourceArn` nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama.
Nilai `aws:SourceArn` harus berupa AWS Backup brankas saat menggunakan AWS Backup untuk mempublikasikan topik Amazon SNS atas nama Anda.
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws::servicename::123456789012:*`.
Contoh kebijakan berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan AWS Backup untuk mencegah masalah deputi yang membingungkan. Kebijakan ini memberi kepala layanan backup-storage.amazonaws.com kemampuan untuk melakukan tindakan KMS hanya ketika kepala layanan bertindak atas nama akun 123456789012 pada brankas cadangan: AWS
# Keamanan infrastruktur di AWS Backup
Sebagai layanan terkelola, AWS Backup dilindungi oleh keamanan jaringan AWS global. Untuk informasi selengkapnya tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan infrastruktur](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dalam Kerangka Kerja * AWS Arsitektur Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS Backup melalui jaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.2 atau versi yang lebih baru. Klien juga harus mendukung cipher suite dengan perfect forward secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan principal IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.
# Integritas Data di AWS Backup
## AWS Backup tujuan integritas data
AWS Backup berusaha untuk menjaga integritas selama transmisi, penyimpanan, dan pemrosesan data Anda. AWS Backup memperlakukan data sumber daya yang tersimpan sebagai informasi penting konten-agnostik, karena kami menawarkan tingkat keamanan yang sama tinggi kepada pelanggan, terlepas dari jenis data yang Anda simpan. Kami waspada terhadap keamanan pelanggan kami dan telah menerapkan langkah-langkah teknis dan fisik yang canggih terhadap akses yang tidak sah. Anda memiliki kendali penuh atas bagaimana data Anda diklasifikasikan, Wilayah tempat Anda menyimpan data, dan cara Anda mengontrol, mengarsipkan, dan melindungi data Anda dari pengungkapan.
## AWS Backup implementasi integritas data
AWS Backup bekerja bersama dengan layanan lain AWS dan Amazon untuk menjaga integritas data yang disimpannya dan berinteraksi dengannya. Alat yang digunakan dapat bervariasi dan dapat mencakup (tetapi tidak terbatas pada):
+ Validasi objek berkelanjutan terhadap checksum mereka untuk mencegah kerusakan objek
+ Checksum internal untuk mengonfirmasi integritas data saat transit dan saat istirahat
+ Checksum dihitung pada data dalam backup yang dibuat dari toko utama
+ Checksum selalu diverifikasi agar benar sebelum menggunakan data yang sesuai. Jika kami menemukan data yang tidak cocok dengan checksum-nya, kami menggantinya dengan salinan yang benar. Jika kami gagal mengganti salinan yang benar, kami akan gagal dalam pekerjaan yang sesuai
+ Upaya otomatis untuk mengembalikan tingkat normal redundansi penyimpanan objek jika terjadi kerusakan disk atau deteksi kegagalan perangkat
+ Penyimpanan data yang berlebihan di beberapa lokasi fisik
+ Peningkatan daya tahan objek di beberapa zona ketersediaan selama penulisan awal, dikombinasikan dengan replikasi lebih lanjut jika perangkat tidak tersedia atau bit-rot yang terdeteksi
+ Checksum pada semua lalu lintas jaringan untuk mendeteksi kerusakan paket data saat menyimpan atau mengambil data
AWS Backup menyimpan data asli untuk Amazon DynamoDB dengan fitur-fitur canggih, Amazon EFS, Amazon S3, Amazon Timestream, dan mesin virtual yang berjalan dengan terhubung melalui gateway Backup. VMware AWS Backup memfasilitasi pencadangan data yang disimpan dengan layanan lain, termasuk Amazon Aurora, Amazon DocumentDB, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon untuk Windows FSx File Server, Amazon untuk Lustre, Amazon untuk OpenZFS, Amazon untuk ONTAP, Amazon Neptunus, Amazon RDS, dan FSx Amazon Redshift Amazon Redshift FSx . FSx NetApp
## Konfirmasi obyektif dan audit integritas AWS Backup data
Data yang disimpan langsung oleh AWS Backup dan data yang disimpan dalam kemitraan dengan sesama AWS layanan yang AWS Backup berinteraksi menjadi sasaran proses ketat Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) yang mendukung integritas data ini. Integritas ini dikonfirmasi oleh auditor pihak ketiga yang independen melalui laporan audit SOC tahunan yang tersedia melalui. [AWS Artifact](https://aws.amazon.com/artifact/)
# Kepemilikan hukum dan AWS Backup
## Ikhtisar penahanan hukum
Penahanan hukum adalah alat administratif yang membantu mencegah cadangan dihapus saat berada di bawah penahanan. Saat penahanan dilakukan, pencadangan di bawah penahanan tidak dapat dihapus dan kebijakan siklus hidup yang akan mengubah status pencadangan (seperti transisi ke `Deleted` negara bagian) ditunda hingga penahanan hukum dihapus.
Penahanan hukum dapat diterapkan pada satu atau lebih cadangan (juga dikenal sebagai titik pemulihan) yang dibuat oleh AWS Backup jika siklus hidup mereka memungkinkan. Penahanan hukum tidak berlaku untuk [pencadangan berkelanjutan](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html).
Ketika penahanan hukum dibuat, ia dapat mempertimbangkan kriteria penyaringan tertentu, seperti jenis sumber daya dan sumber daya IDs. Selain itu, Anda dapat menentukan rentang tanggal pembuatan cadangan yang ingin Anda sertakan dalam penangguhan hukum.
Penahanan hukum hanya berlaku untuk cadangan asli tempat mereka ditempatkan. Ketika cadangan disalin di seluruh Wilayah atau akun (jika sumber daya mendukungnya), cadangan tersebut tidak mempertahankan atau membawa pegangan hukumnya. Penangguhan hukum, seperti sumber daya lainnya, memiliki ARN (Nama Sumber Daya Amazon) unik yang terkait dengannya. Hanya poin pemulihan yang dibuat oleh yang AWS Backup dapat menjadi bagian dari penahanan hukum.
Perhatikan bahwa meskipun [AWS Backup Vault Lock](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) memberikan perlindungan tambahan dan kekekalan ke brankas, penangguhan hukum memberikan perlindungan tambahan terhadap penghapusan cadangan individu (titik pemulihan). Penahanan hukum tidak kedaluwarsa dan menyimpan data dalam cadangan tanpa batas waktu. Penahanan tetap aktif sampai dirilis oleh pengguna dengan izin yang memadai.
## Beberapa pegangan hukum
Cadangan dapat memiliki lebih dari satu pegangan hukum. Penahanan dan pencadangan hukum memiliki banyak: banyak hubungan, yang berarti bahwa cadangan dapat memiliki lebih dari sekadar penahanan hukum dan penahanan hukum dapat mencakup lebih dari satu cadangan.
Cadangan tidak dapat dihapus selama memiliki setidaknya satu pegangan hukum. Setelah semua penahanan hukum pada cadangan dihapus, itu tunduk pada properti siklus hidup retensi. Pertahankan setidaknya satu penahanan hukum untuk mencegah penghapusan cadangan. Penahanan hukum dapat diterapkan pada titik pemulihan yang dipertahankan setelah tanggal retensi siklus hidup cadangannya (karena penahanan hukum yang ada).
Setiap akun dapat memiliki maksimal 50 penahanan hukum yang aktif pada satu waktu.
## Buat pegangan hukum
Penahanan hukum dapat ditambahkan ke cadangan yang ada (titik pemulihan).
Cadangan (poin pemulihan) dengan status `EXPIRED` atau tidak `DELETING` akan dimasukkan dalam penahanan hukum. Poin pemulihan (cadangan) dengan status `CREATING` mungkin tidak termasuk dalam penangguhan hukum, tergantung pada waktu penyelesaian.
Penahanan hukum dapat ditambahkan oleh pengguna yang memiliki izin IAM yang diperlukan.
### Buat penahanan hukum menggunakan konsol
**Untuk membuat pegangan hukum**
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Di dasbor di sebelah kiri konsol, temukan Akun Saya. Pilih **pegangan Legal**.
1. Pilih **Tambahkan penahanan hukum**.
1. Tiga panel ditampilkan: **Detail penahanan hukum**, **Ruang lingkup penahanan hukum**, dan **tag penahanan hukum**.
1. Di bawah **rincian penahanan hukum**, masukkan judul penahanan hukum dan deskripsi untuk penahanan di kotak teks yang disediakan.
1. Di panel **Lingkup penahanan hukum**, pilih bagaimana Anda ingin memilih sumber daya yang akan disertakan dalam penahanan. Saat Anda membuat penahanan, Anda memilih metode yang digunakan untuk memilih sumber daya yang berada dalam penahanan hukum. Anda dapat memilih untuk memasukkan salah satu dari berikut ini:
+ Jenis sumber daya tertentu dan IDs
+ Pilih brankas cadangan
+ Semua jenis sumber daya atau semua brankas cadangan dalam akun Anda
1. Tentukan rentang tanggal penangguhan hukum Anda. Masukkan tanggal dalam format TTTT:BB:HH (tanggal dianggap termasuk dalam rentang).
1. Secara opsional, Anda dapat menambahkan tag untuk penahanan di bawah **tag penahanan hukum**. Tag dapat membantu mengkategorikan penahanan untuk referensi dan organisasi masa depan. Anda dapat menambahkan hingga 50 tag total.
1. Ketika Anda puas dengan konfigurasi penahanan hukum baru Anda, klik tombol **Tambahkan penahanan baru**.
### Buat penahanan hukum menggunakan AWS CLI
Anda dapat membuat penahanan hukum menggunakan [create-legal-hold](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-legal-hold.html)perintah.
```
aws backup create-legal-hold --title "my title" \
--description "my description" \
--recovery-point-selection "VaultNames=string,DateRange={FromDate=timestamp,ToDate=timestamp}"
```
## Lihat pegangan hukum
Anda dapat melihat detail penahanan hukum di AWS Backup konsol atau secara terprogram.
### Lihat penahanan hukum menggunakan konsol
Untuk melihat semua penahanan hukum dalam akun menggunakan konsol Backup,
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Menggunakan bagian kiri dasbor, di bawah **Akun saya**, klik Penahanan **hukum**.
1. Tabel **penahanan hukum** menampilkan judul, status, deskripsi, ID, dan tanggal pembuatan penahanan yang ada. Klik pada karat (panah bawah) di sebelah header tabel untuk memfilter tabel dengan kolom yang dipilih.
### Lihat pegangan hukum secara terprogram
Untuk melihat semua penahanan hukum secara terprogram, Anda dapat menggunakan panggilan API berikut: [ListLegalHolds](API_ListLegalHolds.md)dan. [GetLegalHold](API_GetLegalHold.md)
Template JSON berikut dapat digunakan untuk`GetLegalHold`.
```
GET /legal-holds/{legalHoldId} HTTP/1.1
Request
empty body
Response
{
Title: string,
Status: LegalHoldStatus,
Description: string, // 280 chars max
CancelDescription: string, // this is provided during cancel // 280 chars max
LegalHoldId: string,
LegalHoldArn: string,
CreatedTime: number,
CanceledTime: number,
ResourceSelection: {
VaultArns: [ string ]
Resources: [ string ]
},
ResourceFilters: {
DateRange: {
FromDate: number,
ToDate: number
}
}
}
```
Template JSON berikut dapat digunakan untuk`ListLegalHolds`.
```
GET /legal-holds/
&maxResults=MaxResults
&nextToken=NextToken
Request
empty body
url params:
MaxResults: number // optional,
NextToken: string // optional
status: Valid values: CREATING | ACTIVE | CANCELED | CANCELING
maxResults: 1-1000
Response
{
NextToken: token,
LegalHolds: [
Title: string,
Status: string,
Description: string, // 280 chars max
CancelDescription: string, // this is provided during cancel // 280 chars max
LegalHoldId: string,
LegalHoldArn: string,
CreatedTime: number,
CanceledTime: number,
]
}
```
Berikut ini adalah nilai status yang mungkin.
| Status | Deskripsi |
| --- | --- |
| CREATING | Poin pemulihan yang diminta sedang dalam proses ditahan, dan menghapus permintaan dari titik pemulihan tersebut mungkin berhasil karena penahanan belum selesai dibuat. |
| AKTIF | Penahanan hukum telah dibuat, Semua poin pemulihan yang tercantum dalam penangguhan hukum ini diadakan. |
| MEMBATALKAN | Penahanan hukum sedang dalam proses dihapus, dan menghapus permintaan poin pemulihan di bawah penahanan mungkin berhasil. |
| MEMBATALKAN | Penahanan hukum sepenuhnya dilepaskan dan tidak lagi berpengaruh. Poin pemulihan dapat dihapus. |
## Lepaskan pegangan hukum
Penahanan hukum tetap berlaku sampai dihapus oleh pengguna dengan izin yang memadai. Menghapus penahanan hukum juga dikenal sebagai membatalkan, menghapus, atau melepaskan penahanan hukum. Menghapus penahanan hukum menghilangkannya dari semua cadangan yang dilampirkan. Setiap cadangan yang kedaluwarsa selama penangguhan hukum akan dihapus dalam waktu 24 jam setelah penangguhan hukum dihapus.
### Lepaskan penahanan hukum menggunakan konsol
**Untuk melepaskan penahanan menggunakan konsol**
1. Buka AWS Backup konsol di [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).
1. Masukkan deskripsi yang ingin Anda kaitkan dengan rilis.
1. Tinjau detailnya, lalu klik **Lepaskan penahanan**.
1. Saat kotak dialog Lepaskan penahanan muncul, konfirmasikan alasan Anda melepaskan penahanan legal dengan mengetik `confirm` ke dalam kotak teksnya.
1. Centang kotak yang menyatakan bahwa Anda membatalkan penahanan.
Pada halaman **penahanan hukum** Anda dapat melihat semua pegangan Anda. Jika rilis berhasil, status penahanan itu akan ditampilkan sebagai`Released`.
### Lepaskan penahanan hukum secara terprogram
Untuk menghapus penahanan secara terprogram, gunakan panggilan API. [CancelLegalHold](API_CancelLegalHold.md)
Gunakan template JSON berikut.
```
DELETE /legal-holds/{legalHoldId}
Request
{
CancelDescription: String
DeleteAfterDays: number // optional
}
DeleteAfterDays: optional.
Defaults to 180 days. how long to keep legal hold record after canceled.
This applies to the actual legal hold record only.
Recovery points are unlocked as soon as cancelation processes and are not subject to this date.
Response
Empty body
200 if successful
other standard codes
```
# Perlindungan malware di AWS Backup
Pemindaian malware cadangan Anda disediakan oleh Amazon GuardDuty Malware Protection. Menggunakan Amazon GuardDuty Malware Protection for AWS Backup memungkinkan Anda mengotomatiskan pemindaian titik pemulihan melalui alur kerja pencadangan yang ada, atau memulai pemindaian berdasarkan permintaan dari cadangan yang dibuat sebelumnya. Solusi AWS asli ini membantu memastikan cadangan Anda bersih dari potensi malware, memungkinkan Anda memenuhi persyaratan kepatuhan dan merespons insiden berbahaya lebih cepat dengan memastikan pemulihan data bersih.
Untuk melihat daftar jenis dan wilayah sumber daya yang didukung, kunjungi [halaman ketersediaan fitur](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html).
**Topics**
+ [Integrasi dengan Amazon GuardDuty](#malware-guardduty-integration)
+ [Akses instan](backup-instant-access.md)
+ [Cara menggunakan pemindaian malware](#malware-how-to-use)
+ [Akses](#malware-access)
+ [Pemindaian tambahan vs penuh](#malware-scan-types)
+ [Memantau pemindaian malware Anda](#malware-monitoring)
+ [Memahami hasil pemindaian](#malware-scan-results)
+ [Memecahkan masalah kegagalan pemindaian](#malware-troubleshooting)
+ [Pengukuran](#malware-metering)
+ [Kuota](#malware-quotas)
+ [Langkah-langkah penggunaan konsol dan CLI untuk jenis pemindaian malware](#malware-console-cli-usage)
## Integrasi dengan Amazon GuardDuty
AWS Backup terintegrasi dengan Amazon GuardDuty Malware Protection untuk memberikan deteksi ancaman untuk titik pemulihan Anda. Saat Anda memulai pemindaian malware, AWS Backup secara otomatis memanggil `StartMalwareScan` API GuardDuty Amazon setelah setiap pencadangan selesai, meneruskan detail titik pemulihan dan kredensyal peran pemindai Anda. Amazon GuardDuty kemudian mulai membaca, mendekripsi, dan memindai semua file dan objek dalam cadangan.
Saat Amazon GuardDuty mengakses data cadangan Anda, akses tersebut masuk AWS CloudTrail untuk visibilitas.
Untuk informasi selengkapnya tentang integrasi ini, lihat [dokumentasi Perlindungan GuardDuty Malware Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-backup.html).
# Backup izin akses instan
Saat menggunakan Perlindungan GuardDuty Malware Amazon untuk AWS Pencadangan dengan cadangan S3, Amazon GuardDuty mengakses cadangan S3 Anda melalui tiga:,, dan. APIs CreateBackupAccessPoint DescribeBackupAccessPoint DeleteBackupAccessPoint
Amazon GuardDuty menggunakan CreateBackupAccessPoint untuk mengakses data cadangan terenkripsi Anda. Selama pekerjaan pemindaian, GuardDuty gunakan DescribeBackupAccessPoint untuk memverifikasi pembuatan titik akses yang berhasil. Setelah pemindaian selesai, GuardDuty panggil DeleteBackupAccessPoint untuk menghapus aksesnya ke cadangan Anda.
Alur kerja ini berlaku untuk cadangan S3 dan cadangan EC2/EBS yang disimpan dalam brankas yang memiliki celah udara secara logis.
## Cara menggunakan pemindaian malware
Saat Anda menggunakan Amazon GuardDuty Malware Protection dengan AWS Backup, Anda dapat secara otomatis memindai cadangan Anda untuk malware. Integrasi ini membantu Anda mendeteksi kode berbahaya dalam cadangan Anda dan mengidentifikasi titik pemulihan bersih untuk operasi pemulihan.
Amazon GuardDuty Malware Protection mendukung dua alur kerja utama untuk memindai cadangan Anda:
+ **Pemindaian malware otomatis melalui paket cadangan** — Aktifkan pemindaian malware dalam rencana cadangan untuk mengotomatiskan deteksi malware. AWS Backup Saat diaktifkan, AWS Backup secara otomatis memulai GuardDuty pemindaian Amazon setelah setiap penyelesaian pencadangan berhasil. Anda dapat mengonfigurasi pemindaian penuh atau inkremental untuk aturan rencana cadangan tertentu, yang menentukan seberapa sering pencadangan Anda dipindai. Untuk informasi selengkapnya tentang jenis pemindaian, lihat [Pemindaian tambahan vs penuh](#malware-scan-types) di bawah. AWS Backup merekomendasikan untuk mengaktifkan pemindaian malware otomatis dalam rencana cadangan untuk deteksi ancaman proaktif setelah pembuatan cadangan.
+ **Pemindaian sesuai permintaan** — Jalankan pemindaian sesuai permintaan untuk memindai cadangan yang ada secara manual, memilih antara jenis pemindaian penuh atau tambahan. AWS Backup merekomendasikan menggunakan pemindaian sesuai permintaan untuk mengidentifikasi cadangan bersih terakhir Anda. Saat memindai sebelum operasi pemulihan, gunakan pemindaian penuh untuk memeriksa seluruh cadangan dengan model deteksi ancaman terbaru.
## Akses
Sebelum Anda mulai dengan perlindungan malware, akun Anda harus memiliki izin yang diperlukan untuk operasi.
AWS Backup Pemindaian malware memerlukan dua peran IAM untuk memindai titik pemulihan Anda untuk mencari malware potensial:
+ Pertama, kebijakan [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)atau [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)terkelola harus dilampirkan ke peran cadangan Anda yang ada atau yang baru. Ini adalah peran yang sama yang ditemukan dalam penetapan sumber daya untuk paket cadangan Anda di konsol, atau melalui [BackupSelection API](API_CreateBackupSelection.md). Kebijakan terkelola ini memungkinkan AWS Backup untuk memulai pemindaian malware dengan Amazon. GuardDuty
+ Kedua, peran pemindai baru diperlukan dengan kebijakan [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)terkelola yang dipercaya`malware-protection.guardduty.amazonaws.com`. Ini adalah peran yang sama yang ditemukan di bagian perlindungan malware dari paket cadangan Anda di konsol atau melalui pengaturan pemindaian di [BackupPlan API](API_CreateBackupPlan.md) Anda. Peran ini diteruskan AWS Backup ke Amazon GuardDuty saat pemindaian dimulai, menyediakan akses ke cadangan.
## Pemindaian tambahan vs penuh
Dengan pemindaian malware, Anda memiliki opsi untuk memilih antara pemindaian tambahan dan penuh berdasarkan persyaratan keamanan dan pertimbangan biaya Anda.
**Pemindaian tambahan** hanya menganalisis data yang berubah antara target dan titik pemulihan dasar. Pemindaian ini lebih cepat dan lebih hemat biaya untuk pemindaian reguler, menjadikannya ideal untuk pencadangan berkala yang sering di mana Anda ingin memindai data yang baru dicadangkan.
Bahkan ketika pemindaian tambahan dipilih, AWS Backup lakukan pemindaian penuh dalam situasi ini:
+ **Pemindaian pertama kali:** Pemindaian awal sumber daya selalu merupakan pemindaian penuh, memungkinkan Amazon GuardDuty untuk menetapkan dasar ancaman potensial. Pemindaian selanjutnya kemudian akan bersifat inkremental.
+ **Garis dasar kedaluwarsa:** Jika titik pemulihan dasar Anda dipindai lebih dari 365 hari yang lalu, pemindaian penuh terjadi. Karena Amazon GuardDuty tetap menemukan informasi hanya selama 365 hari, garis dasar baru harus ditetapkan untuk memastikan hasil pemindaian yang akurat.
+ **Garis dasar yang dihapus:** Jika titik pemulihan dasar Anda dihapus sebelum pemindaian tambahan berikutnya dimulai, pemindaian penuh terjadi secara otomatis.
**Pemindaian penuh** memeriksa seluruh titik pemulihan terlepas dari pemindaian sebelumnya. Sementara pemindaian ini memberikan cakupan yang komprehensif, mereka membutuhkan waktu lebih lama untuk menyelesaikan dan mengeluarkan biaya yang lebih tinggi. Anda dapat menjalankan pemindaian penuh sesuai permintaan atau menjadwalkannya melalui rencana cadangan Anda. AWS Backup merekomendasikan untuk mengonfigurasi pemindaian penuh berkala dalam rencana pencadangan Anda pada interval yang diperpanjang untuk memastikan seluruh data cadangan Anda dipindai secara teratur dengan model tanda tangan malware terbaru.
Untuk keamanan optimal versus manajemen biaya, pertimbangkan frekuensi cadangan Anda saat memilih jenis pemindaian.
**catatan**
Pemindaian malware saat ini tidak didukung untuk titik pemulihan berkelanjutan Amazon S3. Untuk memindai cadangan berkelanjutan Amazon S3, konfigurasikan pencadangan berkala untuk sumber daya Amazon S3 Anda dan aktifkan pemindaian malware pada cadangan berkala tersebut. Anda dapat menggunakan [kombinasi pencadangan berkelanjutan dan berkala](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html) untuk bucket Amazon S3 Anda.
**catatan**
Pemindaian malware tambahan tidak didukung untuk titik pemulihan Amazon EC2 di [brankas celah udara secara logis](https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html) atau titik pemulihan Amazon EC2 yang disalin.
## Memantau pemindaian malware Anda
Setelah pemindaian diaktifkan, keduanya AWS Backup dan Amazon GuardDuty menyediakan mekanisme pemantauan dan pemberitahuan yang dapat Anda gunakan untuk melacak hasil Anda:
+ **AWS Backup Konsol:** AWS Backup Konsol ini didukung oleh `ListScanJobs` dan `DescribeScanJob` APIs. Anda dapat mengunjungi bagian Perlindungan malware untuk melihat daftar pekerjaan pemindaian, yang mewakili status pekerjaan dan hasil pemindaian. AWS Backup juga mendukung `ListScanJobSummaries` API, meskipun tidak tersedia di konsol.
+ **AWS Backup Audit Manager:** Anda dapat menyiapkan laporan pemindaian untuk melihat semua pekerjaan pemindaian malware yang AWS Backup dimulai selama 24 jam terakhir.
+ ** GuardDuty Konsol Amazon:** Jika Amazon dasar GuardDuty diaktifkan, Anda dapat melihat detail di hasil Pemindaian Malware dan menyelidiki malware di halaman GuardDuty temuan Amazon. Anda dapat melihat informasi seperti ancaman dan nama file, jalur file, objects/files dipindai, byte yang dipindai, dll. Perhatikan bahwa informasi ancaman terperinci ini tidak tersedia melalui AWS Backup, dan Anda harus memiliki GuardDuty izin Amazon yang sesuai untuk melihat informasi ini.
+ **Amazon EventBridge:** Keduanya AWS Backup dan Amazon GuardDuty memancarkan EventBridge peristiwa, memungkinkan administrator cadangan dan keamanan untuk diperingatkan secara sinkron. Anda dapat mengatur aturan khusus untuk menerima pemberitahuan saat pemindaian selesai atau malware terdeteksi.
+ **AWS CloudTrail:** Keduanya AWS Backup dan Amazon GuardDuty memancarkan CloudTrail peristiwa, memungkinkan Anda memantau akses API.
## Memahami hasil pemindaian
Pekerjaan pemindaian Anda dari AWS Backup akan memiliki status pemindaian dan hasil pemindaian.
### Negara Pindai
Status pemindaian menunjukkan status pekerjaan dan dapat memiliki nilai:`CREATED`,`COMPLETED`,`COMPLETED_WITH_ISSUES`,`RUNNING`,`FAILED`, atau`CANCELED`.
Ada beberapa situasi di mana pekerjaan pemindaian Anda akan selesai dengan status`COMPLETED_WITH_ISSUES`:
Untuk cadangan Amazon S3, ada size/type batasan objek yang akan mencegah objek dipindai. Ketika setidaknya satu objek dilewati dalam pemindaian, pekerjaan pemindaian yang sesuai akan ditandai sebagai`COMPLETED_WITH_ISSUES`. Untuk cadangan Amazon EC2/Amazon EBS, ada size/quantity batasan volume yang mengakibatkan volume dilewati selama pemindaian. Situasi ini akan menghasilkan pekerjaan cadangan Amazon EC2/Amazon EBS. `COMPLETED_WITH_ISSUES`
Jika pekerjaan Anda selesai dengan status `COMPLETED_WITH_ISSUES` dan Anda memerlukan informasi lebih lanjut tentang alasannya, Anda perlu mendapatkan detail tersebut dari pekerjaan pemindaian yang sesuai melalui Amazon GuardDuty.
**catatan**
Pekerjaan pemindaian tambahan hanya memindai perbedaan data antara dua cadangan. Oleh karena itu, jika pekerjaan pemindaian tambahan tidak menemukan salah satu situasi yang dijelaskan di atas, itu akan selesai dalam keadaan `COMPLETE` dan tidak akan mewarisi `COMPLETED_WITH_ISSUES` dari titik pemulihan dasar.
Dalam kasus yang jarang terjadi, Amazon GuardDuty mungkin mengalami masalah internal saat memindai file dan objek, dan upaya coba lagi mungkin habis. Ketika ini terjadi, pekerjaan pemindaian muncul seperti `FAILED` di AWS Backup dan `COMPLETED_WITH_ISSUES` di Amazon GuardDuty. Perbedaan status ini memungkinkan Anda untuk melihat hasil pemindaian yang tersedia di Amazon GuardDuty sambil menunjukkan bahwa tidak semua file dan objek yang didukung berhasil dipindai.
### Hasil Pindai
Hasil pemindaian menunjukkan hasil agregat dari Amazon GuardDuty dan dapat memiliki nilai:`THREATS_FOUND`, atau`NO_THREATS_FOUND`.
Hasil pemindaian menunjukkan apakah malware potensial terdeteksi di titik pemulihan Anda. `NO_THREATS_FOUND`Status berarti tidak ada malware potensial yang terdeteksi, sementara `THREATS_FOUND` menunjukkan potensi malware ditemukan. Untuk informasi ancaman terperinci, akses GuardDuty temuan Amazon lengkap melalui GuardDuty konsol Amazon atau APIs. Hasil pemindaian juga tersedia melalui EventBridge peristiwa, memungkinkan Anda membuat alur kerja otomatis yang merespons cadangan yang terinfeksi.
Amazon GuardDuty menyimpan temuan selama 365 hari, melacak file atau objek di seluruh pemindaian tambahan untuk memantau jika ancaman dihapus atau tanda tangan malware berubah. Misalnya, jika malware terdeteksi di cadangan 2, hasil pemindaian akan ditampilkan`THREATS_FOUND`. Saat Anda melakukan pemindaian tambahan pada cadangan 3 menggunakan cadangan 2 sebagai basis, hasil pemindaian tetap ada `THREATS_FOUND` kecuali ancaman telah dihapus dari data.
## Memecahkan masalah kegagalan pemindaian
Kegagalan pemindaian umum termasuk izin IAM yang tidak memadai, batas layanan, dan masalah akses sumber daya.
**Kesalahan izin** terjadi ketika peran cadangan tidak memiliki `AWSBackupServiceRolePolicyForScans` izin atau peran pemindai tidak memiliki hubungan kepercayaan `AWSBackupGuardDutyRolePolicyForScans` yang tepat.
**Kesalahan batas layanan** terjadi ketika Anda melebihi 150 pemindaian bersamaan per akun atau 5 pemindaian bersamaan per jenis sumber daya - pekerjaan pemindaian akan tetap dalam `CREATED` status hingga kapasitas tersedia.
**Kesalahan akses ditolak** dapat menunjukkan titik pemulihan terenkripsi tanpa AWS KMS izin yang tepat atau titik pemulihan induk yang dihapus untuk pemindaian tambahan.
**Kegagalan batas waktu** dapat terjadi dengan titik pemulihan yang sangat besar atau selama periode GuardDuty pemuatan Amazon yang tinggi.
Untuk memecahkan masalah, periksa status pekerjaan pemindaian menggunakan `DescribeScanJob` API, verifikasi konfigurasi peran IAM, pastikan titik pemulihan ada dan dapat diakses, dan pertimbangkan untuk beralih ke pemindaian penuh jika referensi induk pemindaian tambahan tidak ada.
Pantau penggunaan pemindaian bersamaan Anda dan terapkan jittering dalam alur kerja otomatis untuk menghindari mencapai batas layanan.
## Pengukuran
Perlindungan malware disediakan dan ditagih oleh Amazon GuardDuty. Anda tidak akan melihat AWS Backup biaya apa pun yang terkait dengan penggunaan fitur ini. Semua penggunaan dapat dilihat di bawah penagihan GuardDuty Amazon. Untuk mempelajari lebih lanjut, kunjungi [ GuardDuty harga Amazon](https://aws.amazon.com/guardduty/pricing/).
## Kuota
Keduanya AWS Backup dan Amazon GuardDuty memiliki batas kuota untuk Perlindungan GuardDuty Malware Amazon untuk AWS Backup.
Untuk informasi lebih lanjut, kunjungi [AWS Backup kuota](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html) dan [ GuardDuty kuota Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_limits.html).
## Langkah-langkah penggunaan konsol dan CLI untuk jenis pemindaian malware
Bagian berikut menunjukkan langkah-langkah untuk mengonfigurasi berbagai jenis pemindaian malware menggunakan konsol dan AWS CLI.
### Cara mengatur pemindaian malware
**Konsol**
1. Arahkan ke AWS Backup konsol → Paket Backup
1. Buat rencana cadangan baru atau pilih paket yang ada
1. Aktifkan **perlindungan Malware** toggle
1. Pilih **peran Pemindai** untuk memilih peran pemindai baru. Pastikan peran cadangan dan peran pemindai memiliki izin yang sesuai seperti yang dibahas dalam[Akses](#malware-access).
1. Pilih Jenis **sumber daya yang dapat dipindai**. Ini akan memfilter pemindaian malware ke kriteria pemilihan sumber daya yang telah Anda pilih. Misalnya, jika pilihan jenis sumber daya yang dapat dipindai adalah Amazon EBS, tetapi pemilihan sumber daya paket Anda mencakup Amazon EBS dan Amazon S3, maka hanya pemindaian malware Amazon EBS yang akan dilakukan.
1. Atur **jenis Pindai** untuk setiap aturan cadangan. Anda dapat memilih antara pemindaian penuh, inkremental, dan tanpa pemindaian. Pemilihan jenis pemindaian berarti bahwa pemindaian akan terjadi pada frekuensi jadwal aturan pencadangan terkait.
1. Simpan paket cadangan
**AWS CLI**
**CreateBackupPlan**
Anda dapat membuat rencana cadangan dengan pemindaian malware diaktifkan menggunakan [create-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html)perintah.
```
aws backup create-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules": [
{
"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle": {
"DeleteAfterDays": 3,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"
}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 100,
"CompletionWindowMinutes": 5000,
"Lifecycle": {
"DeleteAfterDays": 2,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings": [
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes": ["EBS", "EC2", "S3"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**UpdateBackupPlan**
Anda dapat memperbarui paket cadangan dengan pemindaian malware diaktifkan menggunakan [update-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)perintah.
```
aws backup update-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules":
[
{"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 60,
"CompletionWindowMinutes": 3000,
"Lifecycle":
{
"DeleteAfterDays": 6,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle":
{
"DeleteAfterDays": 9,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings":
[
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes":
["ALL", "EBS"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**Catatan Kunci**
+ Entri ARN target diperlukan sebelum opsi pemindaian diaktifkan (Konsol)
+ Kedua peran IAM cadangan dan peran IAM pemindai diperlukan untuk semua konfigurasi
+ Gunakan `aws backup list-scan-jobs` untuk melihat semua pekerjaan pemindaian (AWS CLI)
+ Implikasi biaya bervariasi menurut jenis pemindaian (inkremental vs penuh) dan frekuensi
**AWS CLI Catatan Kunci**
+ Gunakan `aws backup list-scan-jobs` untuk melihat semua pekerjaan pemindaian (AWS CLI)
+ Hasil pemindaian tersedia melalui `describe-recovery-point` API dengan ScanResults bidang
+ Kedua peran IAM cadangan dan peran IAM pemindai diperlukan untuk semua konfigurasi
+ Struktur rencana cadangan JSON mencakup ScanSettings pada tingkat rencana dan ScanActions aturan
# Ketahanan di AWS Backup
AWS Backup mengambil ketahanannya — dan keamanan data Anda — dengan sangat serius.
AWS Backup menyimpan cadangan Anda dengan *setidaknya* ketahanan dan daya tahan sebanyak AWS layanan asli sumber daya Anda akan memberi Anda, jika Anda mendukungnya di sana.
AWS Backup dirancang untuk menggunakan infrastruktur AWS global untuk mereplikasi cadangan Anda di beberapa Availability Zone untuk daya tahan 99,999999999% (11 sembilan) pada tahun tertentu, asalkan Anda mematuhi dokumentasi saat ini. AWS Backup
AWS Backup mengenkripsi paket cadangan Anda saat istirahat dan terus mencadangkannya. Anda juga dapat membatasi akses ke paket cadangan menggunakan kredensyal dan kebijakan AWS Identity and Access Management (IAM). Untuk informasi selengkapnya, lihat [Autentikasi](https://docs.aws.amazon.com/aws-backup/latest/devguide/authentication.html), [Kontrol Akses](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html), dan [Praktik Terbaik Keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. AWS Backup menyimpan cadangan Anda di seluruh Availability Zones. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data. Untuk informasi selengkapnya, lihat [Perjanjian Tingkat AWS Backup Layanan (SLA)](https://aws.amazon.com/backup/sla/).
Selain itu, AWS Backup memberdayakan Anda untuk menyalin cadangan Anda di seluruh Wilayah untuk ketahanan yang lebih besar. Untuk informasi selengkapnya tentang fitur Salin AWS Backup lintas wilayah, lihat [Membuat Salinan Cadangan](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html).
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).