Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Sintaksis kebijakan Backup dan contoh
Halaman ini menjelaskan sintaksis kebijakan backup dan memberikan contohnya.
Sintaksis untuk kebijakan backup
Kebijakan cadangan adalah file teks biasa yang disusun sesuai dengan aturan. JSON
Sebagian besar kebijakan backup adalah paket backup dan aturannya. Sintaks untuk rencana cadangan dalam kebijakan AWS Organizations cadangan secara struktural identik dengan sintaks yang digunakan oleh AWS Backup, tetapi nama kuncinya berbeda. Dalam deskripsi nama kunci kebijakan di bawah ini, masing-masing menyertakan nama kunci AWS Backup paket yang setara. Untuk informasi selengkapnya tentang AWS Backup paket, lihat CreateBackupPlandi Panduan AWS Backup Pengembang.
catatan
Saat menggunakanJSON, nama kunci duplikat akan ditolak. Jika Anda ingin menyertakan beberapa paket, aturan, atau pilihan dalam satu kebijakan, pastikan nama setiap kunci unik.
Agar lengkap dan fungsional, kebijakan backup yang efektif harus menyertakan lebih dari sekedar paket backup dengan jadwal dan peraturannya. Kebijakan juga harus mengidentifikasi Wilayah AWS dan sumber daya yang akan dicadangkan, dan peran AWS Identity and Access Management (IAM) yang AWS Backup dapat digunakan untuk melakukan pencadangan.
Kebijakan fungsional lengkap berikut menunjukkan sintaksis kebijakan backup basic. Jika contoh ini dilampirkan langsung ke akun, AWS Backup akan mencadangkan semua sumber daya untuk akun tersebut di us-east-1 dan eu-north-1 Wilayah yang memiliki tag dataType dengan nilai salah satu PII atauRED. Ia men-support sumber daya tersebut setiap hari pada 5:00 AM hingga My_Backup_Vault dan juga menyimpan salinan di My_Secondary_Vault. Kedua ruang penyimpanan tersebut berada di akun yang sama dengan sumber daya. Ia juga menyimpan salinan backup dalam My_Tertiary_Vault dalam akun yang berbeda, yang ditentukan secara eksplisit. Brankas harus sudah ada di masing-masing yang ditentukan Wilayah AWS untuk masing-masing Akun AWS yang menerima kebijakan yang efektif. Jika salah satu sumber daya yang dicadangkan adalah EC2 instance, maka dukungan untuk Microsoft Volume Shadow Copy Service (VSS) diaktifkan untuk backup pada instance tersebut. Backup menerapkan tag Owner:Backup ke setiap titik pemulihan.
{ "plans": { "PII_Backup_Plan": { "rules": { "My_Hourly_Rule": { "schedule_expression": {"@@assign": "cron(0 5 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "complete_backup_window_minutes": {"@@assign": "604800"}, "enable_continuous_backup": {"@@assign": false}, "target_backup_vault_name": {"@@assign": "My_Backup_Vault"}, "recovery_point_tags": { "Owner": { "tag_key": {"@@assign": "Owner"}, "tag_value": {"@@assign": "Backup"} } }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } }, "arn:aws:backup:us-east-1:111111111111:backup-vault:My_Tertiary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:111111111111:backup-vault:My_Tertiary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "regions": { "@@append": [ "us-east-1", "eu-north-1" ] }, "selections": { "tags": { "My_Backup_Assignment": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": {"@@assign": "enabled"} } }, "backup_plan_tags": { "stage": { "tag_key": {"@@assign": "Stage"}, "tag_value": {"@@assign": "Beta"} } } } } }
Sintaksis kebijakan Backup mencakup komponen-komponen berikut:
-
Variabel
$account- Dalam string teks tertentu dalam kebijakan, Anda dapat menggunakan variabel$accountuntuk mewakili Akun AWS saat ini. Ketika AWS Backup menjalankan rencana dalam kebijakan yang efektif, secara otomatis mengganti variabel ini dengan saat ini Akun AWS di mana kebijakan efektif dan rencananya berjalan.penting
Anda dapat menggunakan
$accountvariabel hanya dalam elemen kebijakan yang dapat menyertakan Amazon Resource Name (ARN), seperti variabel yang menentukan vault cadangan untuk menyimpan cadangan, atau IAM peran dengan izin untuk melakukan pencadangan.Misalnya, berikut ini mensyaratkan bahwa vault bernama
My_Vaultada di setiap kebijakan Akun AWS yang berlaku.arn:aws:backup:us-west-2:$account:vault:My_Vault"Kami menyarankan Anda menggunakan kumpulan AWS CloudFormation tumpukan dan integrasinya dengan Organizations untuk secara otomatis membuat dan mengonfigurasi vault dan IAM peran cadangan untuk setiap akun anggota di organisasi. Untuk informasi lebih lanjut, lihat Membuat set tumpukan dengan izin dikelola sendiri di Panduan Pengguna AWS CloudFormation .
-
Operator warisan - Kebijakan Backup dapat menggunakan kedua operator warisan, operator pengaturan nilai dan operator kontrol anak.
-
plansPada tingkat atas, kunci kebijakan adalah kunci
plans. Kebijakan backup harus selalu dimulai dengan nama kunci tetap ini di bagian atas file kebijakan. Anda dapat memiliki satu atau beberapa paket backup berdasarkan kunci ini. -
Setiap paket berdasarkan kunci tingkat atas
plansmemiliki nama kunci yang terdiri dari nama paket backup yang ditetapkan oleh pengguna. Dalam contoh sebelumnya, nama paket backup adalahPII_Backup_Plan. Anda dapat memiliki beberapa paket dalam kebijakan, masing-masing denganrules,regions,selections, dantags.Nama kunci rencana cadangan ini dalam kebijakan cadangan memetakan nilai
BackupPlanNamekunci dalam AWS Backup rencana.Setiap paket dapat berisi elemen-elemen berikut:
-
rules— Kunci ini berisi kumpulan aturan. Setiap aturan diterjemahkan ke tugas terjadwal, dengan waktu mulai dan jendela di mana untuk membuat backup sumber daya diidentifikasi oleh elemenselectionsdanregionsdalam kebijakan backup efektif. -
regions— Kunci ini berisi daftar array Wilayah AWS yang sumber dayanya dapat didukung oleh kebijakan ini. -
selections— Kunci ini berisi satu atau lebih kumpulan sumber daya (dalamregionstertentu) yang di-backup olehrules. -
advanced_backup_settings— Kunci ini berisi pengaturan khusus untuk backup yang berjalan pada sumber daya tertentu. -
backup_plan_tags— Ini menentukan tag yang dilampirkan ke paket backup itu sendiri.
-
-
rulesKunci kebijakan
rulesmemetakan ke kunciRulesdalam paket AWS Backup . Anda dapat memiliki satu atau beberapa aturan berdasarkan kuncirules. Setiap aturan menjadi tugas terjadwal untuk melakukan backup sumber daya yang dipilih.Setiap aturan berisi kunci yang namanya adalah nama aturan. Pada contoh sebelumnya, nama aturannya adalah "My_Hourly_Rule". Nilai dari kunci aturan tersebut adalah kumpulan dari elemen aturan berikut:
-
schedule_expression— Kunci kebijakan ini memetakanScheduleExpressionkunci ke kunci dalam suatu AWS Backup rencana.Menentukan waktu mulai backup. Kunci ini berisi operator nilai @@assign warisan dan nilai string dengan CRONekspresi
yang menentukan kapan AWS Backup akan memulai pekerjaan cadangan. Format umum CRON string adalah: “cron ()”. Masing-masing adalah nomor atau wildcard. Misalnya, cron(0 5 ? * 1,3,5 *)memulai backup pada pukul 5 pagi setiap hari Senin, Rabu, dan Jumat.cron(0 0/1 ? * * *)memulai backup setiap jam pada jamnya, setiap hari dalam seminggu. -
target_backup_vault_name— Kunci kebijakan ini memetakanTargetBackupVaultNamekunci ke kunci dalam suatu AWS Backup rencana.Menentukan nama ruang penyimpanan backup di mana backup akan disimpan. Anda membuat nilai dengan menggunakan AWS Backup. Kunci ini berisi operator nilai warisan @@assign dan nilai string dengan nama ruang penyimpanan.
penting
Vault harus sudah ada saat paket backup diluncurkan untuk pertama kalinya. Kami menyarankan Anda menggunakan kumpulan AWS CloudFormation tumpukan dan integrasinya dengan Organizations untuk secara otomatis membuat dan mengonfigurasi vault dan IAM peran cadangan untuk setiap akun anggota di organisasi. Untuk informasi lebih lanjut, lihat Membuat set tumpukan dengan izin dikelola sendiri di Panduan Pengguna AWS CloudFormation .
-
start_backup_window_minutes— Kunci kebijakan ini memetakanStartWindowMinuteskunci ke kunci dalam suatu AWS Backup rencana.(Opsional) Menentukan jumlah menit untuk menunggu sebelum membatalkan tugas yang tidak berhasil memulai. Kunci ini berisi operator nilai warisan @@assign dan nilai dengan jumlah integer menit.
-
complete_backup_window_minutes— Kunci kebijakan ini memetakan ke kunciCompletionWindowMinutesdalam paket AWS Backup .(Opsional) Menentukan jumlah menit setelah tugas backup berhasil dimulai sebelum ia harus selesai atau dibatalkan oleh AWS Backup. Kunci ini berisi operator nilai warisan @@assign dan nilai dengan jumlah integer menit.
-
enable_continuous_backup— Kunci kebijakan ini memetakanEnableContinuousBackupkunci ke kunci dalam suatu AWS Backup rencana.(Opsional) Menentukan apakah AWS Backup membuat backup terus menerus.
Truemenyebabkan AWS Backup untuk membuat backup berkelanjutan yang mampu point-in-time restore ()PITR.False(atau tidak ditentukan) menyebabkan AWS Backup membuat cadangan snapshot.catatan
Karena cadangan PITR yang diaktifkan dapat dipertahankan selama maksimal 35 hari, Anda harus memilih
Falseatau tidak menentukan nilai jika Anda menetapkan salah satu opsi berikut:-
Atur
delete_after_dayshingga lebih besar dari 35. -
Atur
move_to_cold_storage_after_dayske nilai apapun.
Untuk informasi selengkapnya tentang pencadangan berkelanjutan, lihat oint-in-time pemulihan P di Panduan AWS Backup Pengembang.
-
-
lifecycle— Kunci kebijakan ini memetakanLifecyclekunci ke kunci dalam suatu AWS Backup rencana.(Opsional) Menentukan kapan AWS Backup transisi cadangan ini ke cold storage dan kapan kedaluwarsa.
-
move_to_cold_storage_after_days— Kunci kebijakan ini memetakanMoveToColdStorageAfterDayskunci ke kunci dalam suatu AWS Backup rencana.Menentukan jumlah hari setelah backup terjadi sebelum AWS Backup memindahkan titik pemulihan ke penyimpanan dingin. Kunci ini berisi operator nilai warisan @@assign dan nilai dengan angka integer hari.
-
delete_after_days— Kunci kebijakan ini memetakanDeleteAfterDayskunci ke kunci dalam suatu AWS Backup rencana.Menentukan jumlah hari setelah backup terjadi sebelum AWS Backup menghapus titik pemulihan. Kunci ini berisi operator nilai warisan @@assign dan nilai dengan angka integer hari. Nilai ini harus setidaknya 90 hari setelah jumlah hari yang ditentukan dalam
move_to_cold_storage_after_days. -
opt_in_to_archive_for_supported_resources— Kunci kebijakan ini memetakanOptInToArchiveForSupportedResourceskunci ke kunci dalam suatu AWS Backup rencana.Jika nilai ini ditetapkan sebagai
true, paket cadangan Anda akan mentransisikan sumber daya yang didukung ke tingkat penyimpanan arsip (dingin) sesuai dengan pengaturan siklus hidup Anda. Untuk informasi selengkapnya tentang tingkat Arsip EBS Snapshots Amazon, lihat Mengarsipkan EBS snapshot Amazon di EBSPanduan Pengguna Amazon.Anda hanya dapat mengaktifkan pengaturan ini jika kondisi berikut terpenuhi:
Kebijakan pencadangan Anda berada pada frekuensi satu bulan atau lebih.
move_to_cold_storage_after_daysharus ada.delete_after_daysminusmove_to_cold_storage_after_dayslebih besar dari atau sama dengan 90 hari.
Kunci ini berisi operator nilai @@assign warisan dan nilai
trueataufalse.
-
-
copy_actions— Kunci kebijakan ini memetakanCopyActionskunci ke kunci dalam suatu AWS Backup rencana.(Opsional) Menentukan yang AWS Backup harus menyalin cadangan ke satu atau lebih lokasi tambahan. Setiap lokasi salinan backup dijelaskan sebagai berikut:
-
Kunci yang namanya mengidentifikasi tindakan penyalinan ini secara unik. Pada saat ini, nama kunci harus menjadi Amazon Resource Name (ARN) dari brankas cadangan. Kunci ini berisi dua entri.
-
target_backup_vault_arn— Kunci kebijakan ini memetakan ke kunciDestinationBackupVaultArndalam paket AWS Backup .(Opsional) Menentukan brankas tempat AWS Backup menyimpan salinan cadangan tambahan. Nilai kunci ini berisi operator nilai @@assign warisan dan vault. ARN
-
Untuk mereferensikan vault tempat kebijakan pencadangan berjalan, gunakan
$accountvariabel sebagai ARN pengganti nomor ID akun. Akun AWS Saat AWS Backup menjalankan paket cadangan, secara otomatis akan mengganti variabel dengan nomor ID akun Akun AWS tempat kebijakan dijalankan. Hal ini memungkinkan backup untuk berjalan dengan benar ketika kebijakan backup berlaku untuk lebih dari satu akun dalam organisasi. -
Untuk mereferensikan vault Akun AWS di organisasi yang berbeda, gunakan nomor ID akun aktual diARN.
penting
-
Jika kunci ini hilang, maka versi huruf kecil dari nama ARN kunci induk digunakan. Karena ARNs peka huruf besar/kecil, string ini mungkin tidak cocok dengan kesalahan yang sebenarnya ARN dan rencana gagal. Untuk alasan ini, kami sarankan Anda selalu menyediakan kunci dan nilai ini.
-
Ruang penyimpanan backup yang ingin Anda salin backup-nya harus sudah ada saat pertama kali Anda meluncurkan paket backup. Kami menyarankan Anda menggunakan kumpulan AWS CloudFormation tumpukan dan integrasinya dengan Organizations untuk secara otomatis membuat dan mengonfigurasi vault dan IAM peran cadangan untuk setiap akun anggota di organisasi. Untuk informasi lebih lanjut, lihat Membuat set tumpukan dengan izin dikelola sendiri di Panduan Pengguna AWS CloudFormation .
-
-
lifecycle— Kunci kebijakan ini memetakanLifecyclekunci di bawahCopyActionkunci dalam AWS Backup rencana.(Opsional) Menentukan kapan AWS Backup transisi salinan cadangan ini ke cold storage dan kapan kedaluwarsa.
-
move_to_cold_storage_after_days— Kunci kebijakan ini memetakan ke kunciMoveToColdStorageAfterDaysdalam paket AWS Backup .Menentukan jumlah hari setelah tanggal pembuatan cadangan sebelum AWS Backup memindahkan titik pemulihan ke penyimpanan dingin. Kunci ini berisi operator nilai warisan @@assign dan nilai dengan angka integer hari.
-
delete_after_days— Kunci kebijakan ini memetakan ke kunciDeleteAfterDaysdalam paket AWS Backup .Menentukan jumlah hari setelah backup terjadi sebelum AWS Backup menghapus titik pemulihan. Kunci ini berisi operator nilai warisan @@assign dan nilai dengan angka integer hari. Jika Anda mengalihkan backup ke penyimpanan dingin, maka ia harus berada di sana minimal 90 hari, sehingga nilai ini harus minimal 90 hari lebih besar dari nilai
move_to_cold_storage_after_days.
-
-
-
-
recovery_point_tags— Kunci kebijakan ini memetakanRecoveryPointTagskunci ke kunci dalam suatu AWS Backup rencana.(Opsional) Menentukan tag yang AWS Backup melekat pada setiap cadangan yang dibuat dari rencana ini. Nilai kunci ini berisi satu elemen berikut atau lebih:
-
Sebuah pengidentifikasi untuk pasangan nama dan nilai kunci ini. Nama ini untuk setiap elemen di
recovery_point_tagsadalah nama kunci tag dalam semua huruf kecil, bahkan jikatag_keymemiliki perlakuan kasus yang berbeda. Pengidentifikasi ini tidak peka huruf besar kecil. Pada contoh sebelumnya, pasangan kunci ini diidentifikasi dengan namaOwner. Setiap pasangan kunci berisi elemen berikut:-
tag_key— Menentukan nama kunci tag untuk dilampirkan ke paket backup. Kunci ini berisi operator nilai warisan @@assign dan nilai string. Nilai ini memedulikan huruf besar atau huruf kecil. -
tag_value— Menentukan nilai yang melekat pada paket backup dan terkait dengantag_key. Kunci ini berisi salah satu operator nilai warisan, dan satu nilai atau lebih untuk mengganti, menambahkan, atau menghapus dari kebijakan efektif. Nilai ini peka huruf besar kecil.
-
-
-
-
regionsKunci
regionskebijakan menentukan mana Wilayah AWS yang AWS Backup mencari sumber daya yang cocok dengan kondisi diselectionskunci. Kunci ini berisi salah satu operator nilai warisan dan satu atau lebih nilai string untuk Wilayah AWS kode, misalnya:["us-east-1", "eu-north-1"]. -
selectionsKunci kebijakan
selectionsmenentukan sumber daya yang di-backup oleh aturan paket dalam kebijakan ini. Kunci ini kira-kira sesuai dengan BackupSelectionobjek di AWS Backup. Sumber daya yang ditentukan oleh kueri untuk pencocokan nama dan nilai kunci tag. Kunciselectionsberisi satu kunci di bawahnya —tags.-
tags— Menentukan tag yang mengidentifikasi sumber daya, dan IAM peran yang memiliki izin untuk menanyakan sumber daya dan mencadangkannya. Nilai kunci ini berisi satu elemen berikut atau lebih:-
Sebuah pengidentifikasi untuk elemen tag ini. Pengidentifikasi ini di bawah
tagsadalah nama kunci tag dalam semua huruf kecil, bahkan jika tag untuk kueri memiliki perlakuan kasus yang berbeda. Pengidentifikasi ini tidak peka huruf besar kecil. Pada contoh sebelumnya, satu elemen diidentifikasi dengan namaMy_Backup_Assignment. Setiap pengidentifikasi di bawahtagsberisi elemen-elemen berikut:-
iam_role_arn— Menentukan IAM peran yang memiliki izin untuk mengakses sumber daya yang diidentifikasi oleh kueri tag dalam Wilayah AWS ditentukan olehregionskunci. Nilai ini berisi operator nilai @@assign warisan dan nilai string yang ARN berisi peran. AWS Backup menggunakan peran ini untuk menanyakan dan menemukan sumber daya dan untuk melakukan pencadangan.Anda dapat menggunakan
$accountvariabel ARN di tempat nomor ID akun. Ketika paket cadangan dijalankan AWS Backup, secara otomatis akan mengganti variabel dengan nomor ID akun aktual Akun AWS tempat kebijakan dijalankan.penting
Peran tersebut harus sudah ada ketika Anda meluncurkan paket backup pertama kali. Kami menyarankan Anda menggunakan kumpulan AWS CloudFormation tumpukan dan integrasinya dengan Organizations untuk secara otomatis membuat dan mengonfigurasi vault dan IAM peran cadangan untuk setiap akun anggota di organisasi. Untuk informasi lebih lanjut, lihat Membuat set tumpukan dengan izin dikelola sendiri di Panduan Pengguna AWS CloudFormation .
-
tag_key— Menentukan nama kunci tag yang akan dicari. Kunci ini berisi operator nilai warisan @@assign dan nilai string. Nilai ini memedulikan huruf besar atau huruf kecil. -
tag_value— Menentukan nilai yang harus dikaitkan dengan nama kunci yang cocoktag_key. AWS Backup termasuk sumber daya dalam cadangan hanya jika keduanyatag_keydantag_valuecocok. Kunci ini berisi salah satu operator nilai warisan, dan satu nilai atau lebih untuk mengganti, menambahkan, atau menghapus dari kebijakan efektif. Nilai ini peka huruf besar kecil.
-
-
-
-
advanced_backup_settings— Menentukan pengaturan untuk skenario backup tertentu. Kunci ini berisi satu atau beberapa pengaturan. Setiap pengaturan adalah string JSON objek dengan elemen-elemen berikut:-
Nama kunci objek - Sebuah string yang menentukan jenis sumber daya yang padanya pengaturan lanjutan berikut berlaku.
-
Nilai objek - String JSON objek yang berisi satu atau lebih pengaturan cadangan khusus untuk jenis sumber daya terkait.
Pada saat ini, satu-satunya pengaturan cadangan lanjutan yang didukung memungkinkan Microsoft Volume Shadow Copy Service (VSS) backup untuk Windows atau SQL Server yang berjalan pada instans AmazonEC2. Nama kunci harus berupa tipe
"ec2"sumber daya, dan nilainya menentukan bahwa"windows_vss"dukungan adalah salah satuenabledataudisableduntuk pencadangan yang dilakukan pada instans Amazon tersebut. EC2 Untuk informasi selengkapnya tentang fitur ini, lihat Membuat VSS Cadangan Windows yang Diaktifkan di Panduan AWS Backup Pengembang."advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } -
-
backup_plan_tags— Menentukan tag yang dilampirkan ke paket backup itu sendiri. Ini tidak memengaruhi tag yang ditentukan dalam aturan atau pilihan apa pun.(Opsional) Anda dapat melampirkan tag ke paket backup Anda. Nilai kunci ini adalah kumpulan elemen.
Nama kunci untuk setiap elemen di
backup_plan_tagsadalah nama kunci tag dengan huruf kecil semua, bahkan jika tag untuk kueri memiliki perlakuan kasus yang berbeda. Pengidentifikasi ini tidak peka huruf besar kecil. Nilai untuk masing-masing entri ini terdiri dari kunci berikut:-
tag_key— Menentukan nama kunci tag untuk dilampirkan ke paket backup. Kunci ini berisi operator nilai warisan @@assign dan nilai string. Nilai ini peka huruf besar kecil. -
tag_value— Menentukan nilai yang melekat pada paket backup dan terkait dengantag_key. Kunci ini berisi operator nilai warisan @@assign dan nilai string. Nilai ini peka huruf besar kecil.
-
Contoh kebijakan Backup
Contoh kebijakan backup berikut adalah untuk tujuan informasi saja. Dalam beberapa contoh berikut, pemformatan JSON spasi dapat dikompresi untuk menghemat ruang.
Contoh 1: Kebijakan yang ditetapkan ke simpul induk
Contoh berikut menunjukkan kebijakan backup yang ditetapkan ke salah satu simpul induk akun.
Kebijakan Induk — Kebijakan ini dapat dilampirkan ke root organisasi, atau ke OU yang merupakan induk dari semua akun yang dimaksud.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } } } }
Jika tidak ada kebijakan lain yang diwarisi atau dilampirkan ke akun, kebijakan efektif yang diberikan di setiap yang berlaku Akun AWS terlihat seperti contoh berikut. CRONEkspresi menyebabkan cadangan berjalan sekali dalam satu jam pada jam tersebut. ID akun 123456789012 akan menjadi ID akun aktual untuk setiap akun.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } }, "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": { "windows_vss": "enabled" } } } } }
Contoh 2: Sebuah kebijakan induk digabung dengan sebuah kebijakan anak
Dalam contoh berikut, kebijakan induk yang diwariskan dan kebijakan anak diwariskan atau langsung dilampirkan pada Akun AWS penggabungan untuk membentuk kebijakan yang efektif.
Kebijakan Induk — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Kebijakan anak — Kebijakan ini dapat dilampirkan langsung ke akun atau ke OU di tingkat di bawahnya di mana kebijakan induk dilampirkan.
{ "plans": { "Monthly_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "eu-central-1" ] }, "rules": { "Monthly": { "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "MonthlyDatatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" }, "tag_key": { "@@assign": "BackupType" }, "tag_value": { "@@assign": [ "MONTHLY", "RED" ] } } } } } } }
Menghasilkan kebijakan efektif — Kebijakan efektif yang diterapkan pada akun yang berisi dua paket, masing-masing dengan seperangkat aturan dan seperangkat sumber daya sendiri untuk menerapkan aturan.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } }, "Monthly_Backup_Plan": { "regions": [ "us-east-1", "eu-central-1" ], "rules": { "monthly": { "schedule_expression": "cron(0 5 1 * ? *)", "start_backup_window_minutes": "480", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn": { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": "30", "delete_after_days": "365", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "monthlydatatype": { "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole", "tag_key": "BackupType", "tag_value": [ "MONTHLY", "RED" ] } } } } } }
Contoh 3: Kebijakan induk mencegah perubahan oleh kebijakan anak
Pada contoh berikut, kebijakan induk yang diwariskan menggunakan operator kontrol anak untuk menegakkan semua pengaturan dan mencegahnya diubah atau ditimpa oleh kebijakan anak.
Kebijakan Induk — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk. Kehadiran "@@operators_allowed_for_child_policies": ["@@none"] di setiap simpul kebijakan berarti bahwa kebijakan anak tidak dapat membuat perubahan dalam bentuk apapun pada paket. Kebijakan anak juga tidak dapat menambahkan paket tambahan untuk kebijakan efektif. Kebijakan ini menjadi kebijakan efektif untuk setiap OU dan akun di bawah OU yang padanya kebijakan tersebut dilampirkan.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@none"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { "@@operators_allowed_for_child_policies": ["@@none"], "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "@@operators_allowed_for_child_policies": ["@@none"], "Hourly": { "@@operators_allowed_for_child_policies": ["@@none"], "schedule_expression": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "60" }, "target_backup_vault_name": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "FortKnox" }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } }, "copy_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "@@operators_allowed_for_child_policies": ["@@none"], "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault", "@@operators_allowed_for_child_policies": ["@@none"] }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } } } } } }, "selections": { "@@operators_allowed_for_child_policies": ["@@none"], "tags": { "@@operators_allowed_for_child_policies": ["@@none"], "datatype": { "@@operators_allowed_for_child_policies": ["@@none"], "iam_role_arn": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "dataType" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "@@operators_allowed_for_child_policies": ["@@none"], "ec2": { "@@operators_allowed_for_child_policies": ["@@none"], "windows_vss": { "@@assign": "enabled", "@@operators_allowed_for_child_policies": ["@@none"] } } } } } }
Menghasilkan kebijakan efektif — Jika ada kebijakan backup anak apapun, mereka akan diabaikan dan kebijakan induk menjadi kebijakan efektif.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:vault:secondary_vault", "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": {"windows_vss": "enabled"} } } } }
Contoh 4: Kebijakan induk mencegah perubahan ke sebuah paket backup oleh kebijakan anak
Pada contoh berikut, kebijakan induk yang diwariskan menggunakan operator kontrol anak untuk menegakkan pengaturan untuk paket tunggal dan mencegahnya diubah atau ditimpa oleh kebijakan anak. Kebijakan anak masih dapat menambahkan paket tambahan.
Kebijakan Induk — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk. Contoh ini mirip dengan contoh sebelumnya dengan semua operator warisan anak diblokir, kecuali pada plans tingkat atas. Pengaturan @@append pada tingkat yang memungkinkan kebijakan anak untuk menambahkan paket lain untuk kumpulan dalam kebijakan efektif. Setiap perubahan pada paket yang diwariskan masih diblokir.
Bagian dalam paket dipotong untuk kejelasan.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@append"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { ... }, "rules": { ... }, "selections": { ... } } } }
Kebijakan anak — Kebijakan ini dapat dilampirkan langsung ke akun atau ke OU di tingkat di bawahnya di mana kebijakan induk dilampirkan. Kebijakan anak ini menentukan paket baru.
Bagian dalam paket dipotong untuk kejelasan.
{ "plans": { "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Menghasilkan kebijakan efektif — Kebijakan efektif menyertakan kedua paket tersebut.
{ "plans": { "PII_Backup_Plan": { "regions": { ... }, "rules": { ... }, "selections": { ... } }, "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Contoh 5: Kebijakan anak menimpa pengaturan di kebijakan induk
Pada contoh berikut, kebijakan anak menggunakan operator pengaturan nilai untuk menimpa beberapa pengaturan yang diwarisi dari kebijakan induk.
Kebijakan Induk — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk. Setiap pengaturan dapat ditimpa oleh kebijakan anak karena perilaku default, dengan tidak adanya operator kontrol anak yang mencegah hal itu, maka itu akan memungkinkan kebijakan anak untuk @@assign, @@append, atau @@remove. Kebijakan induk berisi semua elemen yang diperlukan untuk paket backup yang valid, sehingga ia berhasil mencadangkan sumber daya Anda jika diwariskan sebagaimana adanya.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "target_backup_vault_name": {"@@assign": "FortKnox"}, "lifecycle": { "delete_after_days": {"@@assign": "2"}, "move_to_cold_storage_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:t2": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:t2"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "28"}, "delete_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Kebijakan anak — Kebijakan anak hanya mencakup pengaturan yang harus berbeda dari kebijakan induk yang diwariskan. Harus ada kebijakan induk yang diwariskan yang menyediakan pengaturan lain yang diperlukan ketika digabungkan ke kebijakan efektif. Jika tidak, kebijakan backup efektif berisi paket backup yang tidak valid dan tidak membuat mencadangkan sumber daya Anda seperti yang diharapkan.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "us-west-2", "eu-central-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "80"}, "target_backup_vault_name": {"@@assign": "Default"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "30"}, "delete_after_days": {"@@assign": "365"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } } }
Menghasilkan kebijakan efektif — Kebijakan efektif mencakup pengaturan dari kedua kebijakan, dengan pengaturan yang disediakan oleh kebijakan anak yang menimpa pengaturan yang diwarisi dari induk. Dalam contoh ini, perubahan berikut terjadi:
-
Daftar Wilayah diganti dengan daftar yang sama sekali berbeda. Jika Anda ingin menambahkan Wilayah ke daftar warisan, gunakan
@@append, bukan@@assigndalam kebijakan anak. -
AWS Backup melakukan setiap jam, bukan setiap jam.
-
AWS Backup memungkinkan 80 menit untuk pencadangan dimulai, bukan 60 menit.
-
AWS Backup menggunakan lemari
Defaultbesi alih-alih.FortKnox -
Siklus hidup diperpanjang baik untuk transfer backup ke penyimpanan dingin atau pun penghapusan di akhir.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-west-2", "eu-central-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/2 ? * * *)", "start_backup_window_minutes": "80", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault"}, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } } } }
