Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo accessi
È possibile disporre di credenziali valide per autenticare le richieste, ma a meno che non si disponga delle autorizzazioni appropriate, non è possibile accedere a AWS Backup risorse come gli archivi di backup. Inoltre, non è possibile eseguire il backup di AWS risorse come i volumi Amazon Elastic Block Store (AmazonEBS).
Ogni AWS risorsa è di proprietà di un Account AWS utente e le autorizzazioni per creare o accedere a una risorsa sono regolate da politiche di autorizzazione. Un amministratore di account può allegare politiche di autorizzazione a AWS Identity and Access Management (IAM) identità (ovvero utenti, gruppi e ruoli). Anche alcuni servizi supportano il collegamento di policy di autorizzazione alle risorse.
Un amministratore account (o un utente amministratore) è un utente con autorizzazioni di amministratore. Per ulteriori informazioni, consulta IAMBest Practices nella Guida per l'IAMutente.
Quando si concedono le autorizzazioni, è necessario specificare gli utenti che le riceveranno e le risorse per cui si concedono, nonché le operazioni specifiche da consentire su tali risorse.
Nelle sezioni seguenti viene descritto come funzionano le policy di accesso e come si utilizzano per proteggere i backup.
Argomenti
Risorse e operazioni
Una risorsa è un oggetto che esiste all'interno di un servizio. AWS Backup le risorse includono piani di backup, archivi di backup e backup. Backup è un termine generico che si riferisce ai vari tipi di risorse di backup esistenti in AWS. Ad esempio, EBS gli snapshot di Amazon, gli snapshot di Amazon Relational Database Service (RDSAmazon) e i backup di Amazon DynamoDB sono tutti tipi di risorse di backup.
Nel AWS Backup, i backup vengono anche chiamati punti di ripristino. Durante l'utilizzo AWS Backup, lavori anche con le risorse di altri AWS servizi che stai cercando di proteggere, come i EBS volumi Amazon o le tabelle DynamoDB. A queste risorse sono associati Amazon Resource Names (ARNs) univoci. ARNsidentifica in modo univoco le AWS risorse. È necessario disporre di un valore ARN quando è necessario specificare una risorsa in modo inequivocabile per tutti AWS, ad esempio nelle IAM politiche o nelle chiamate. API
La tabella seguente elenca le risorse, le sottorisorse, il ARN formato e un ID univoco di esempio.
Tipo di risorsa | ARNformato | Esempio di ID univoco |
---|---|---|
Piano di backup | arn:aws:backup: |
|
Vault di backup | arn:aws:backup: |
|
Punto di ripristino per Amazon EBS | arn:aws:ec2: |
snapshot/snap-05f426fd8kdjb4224 |
Punto di ripristino per EC2 le immagini Amazon | arn:aws:ec2: |
image/ami-1a2b3e4f5e6f7g890 |
Punto di ripristino per Amazon RDS | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
Punto di ripristino per Aurora | arn:aws:rds: |
awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
Punto di ripristino per Storage Gateway | arn:aws:ec2: |
snapshot/snap-0d40e49137e31d9e0 |
Punto di ripristino per DynamoDB senza Backup di DynamoDB avanzato | arn:aws:dynamodb: |
table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
Punto di ripristino per DynamoDB con Backup di DynamoDB avanzato abilitato | arn:aws:backup: |
12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
Punto di ripristino per Amazon EFS | arn:aws:backup: |
d99699e7-e183-477e-bfcd-ccb1c6e5455e |
Punto di ripristino per Amazon FSx | arn:aws:fsx: |
backup/backup-1a20e49137e31d9e0 |
Punto di ripristino per macchina virtuale | arn:aws:backup: |
1801234a-5b6b-7dc8-8032-836f7ffc623b |
Punto di ripristino per il backup continuo di Amazon S3 | arn:aws:backup: |
|
Punto di ripristino per il backup periodico S3 | arn:aws:backup: |
|
Punto di ripristino per Amazon DocumentDB | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
Punto di ripristino per Neptune | arn:aws:rds: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
Punto di ripristino per Amazon Redshift | arn:aws:redshift: |
awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
Punto di ripristino per Amazon Timestream | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta |
Punto di ripristino per il modello AWS CloudFormation | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
Punto di ripristino per SAP HANA database su EC2 istanza Amazon | arn:aws:backup: |
recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
Le risorse che supportano la AWS Backup gestione completa dispongono tutte di punti di ripristino in questo formato, il che semplifica l'applicazione delle politiche di autorizzazione per proteggere tali punti di ripristinoarn:aws:backup:
. Per vedere quali risorse supportano la AWS Backup gestione completa, consulta la sezione corrispondente della Disponibilità delle funzionalità per risorsa tabella.region
:account-id:
:recovery-point:*
AWS Backup fornisce una serie di operazioni per utilizzare le AWS Backup risorse. Per un elenco di operazioni disponibili, consulta la sezione AWS Backup Azioni.
Proprietà delle risorse
È Account AWS proprietario delle risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'entità principale (ovvero l'utente Account AWS root, un utente o un IAM IAM ruolo) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:
-
Se utilizzi le tue credenziali utente Account AWS root Account AWS per creare un archivio di backup, sei il Account AWS proprietario del vault.
-
Se crei un IAM utente nel tuo Account AWS e concedi le autorizzazioni per creare un archivio di backup a quell'utente, l'utente può creare un archivio di backup. Tieni presente, tuttavia, che l' AWS a cui appartiene l'utente è il proprietario della risorsa vault di backup.
-
Se crei un IAM ruolo nel tuo account Account AWS con le autorizzazioni per creare un archivio di backup, chiunque possa assumere il ruolo può creare un vault. Il tuo Account AWS, a cui appartiene il ruolo, possiede la risorsa del vault di backup.
Specificare elementi delle policy: azioni, effetti e principali
Per ogni AWS Backup risorsa (vediRisorse e operazioni), il servizio definisce un insieme di API operazioni (vediAzioni). Per concedere le autorizzazioni per queste API operazioni, AWS Backup definisce una serie di azioni che è possibile specificare in una politica. L'esecuzione di un'APIoperazione può richiedere le autorizzazioni per più di un'azione.
Di seguito sono elencati gli elementi di base di una policy:
-
Risorsa: in una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta Risorse e operazioni.
-
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare.
-
Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
-
Principal: nelle politiche basate sull'identità (IAMpolicy), l'utente a cui è associata la policy è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse).
Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM policy, consulta IAMJSONPolicy Reference nella Guida per l'utente. IAM
Per una tabella che mostra tutte le AWS Backup API azioni, vedereAPIautorizzazioni: riferimento alle azioni, alle risorse e alle condizioni.
Specifica delle condizioni in una policy
Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio delle IAM policy per specificare le condizioni in cui una politica deve avere effetto. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, consulta Condition nella Guida per l'IAMutente.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'IAMutente.
AWS Backup definisce il proprio set di chiavi di condizione. Per visualizzare un elenco di chiavi di AWS Backup condizione, vedere Condition keys for AWS Backup nel Service Authorization Reference.
APIautorizzazioni: riferimento alle azioni, alle risorse e alle condizioni
L' ogni AWS Backup API operazione, le azioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'azione e la AWS risorsa per la quale è possibile concedere le autorizzazioni. Puoi specificare le azioni nel campo Action
della policy e il valore della risorsa nel campo Resource
. Se il campo Resource
è vuoto, puoi usare il carattere jolly (*
) per includere tutte le risorse.
Puoi utilizzare i tasti AWS-wide condition nelle tue AWS Backup politiche per esprimere condizioni. Per un elenco completo delle chiavi AWS-wide, consulta Available Keys nella Guida per l'IAMutente.
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
1 Utilizza la politica di accesso al vault esistente.
2 Vedi AWS Backup risorsa ARNs per i punti di ripristino specifici della risorsa. ARNs
3 StartRestoreJob
deve avere la coppia chiave-valore nei metadati della risorsa. Per ottenere i metadati della risorsa, chiama il. GetRecoveryPointRestoreMetadata
API
4 Alcuni tipi di risorse richiedono che il ruolo che esegue il backup disponga di un'autorizzazione specifica per l'etichettatura backup:TagResource
se si prevede di includere i tag delle risorse originali nel backup o di aggiungere tag aggiuntivi a un backup. Qualsiasi backup con una lettera ARN iniziale arn:aws:backup:
o un backup continuo richiede questa autorizzazione. region
:account-id
:recovery-point:backup:TagResource
l'autorizzazione deve essere applicata a "
resourcetype
":
"arn:aws:backup:region
:account-id:
recovery-point:*"
Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per AWS Backup nella Documentiazione di riferimento per l'autorizzazione al servizio.
Autorizzazioni di copia di tag
Quando AWS Backup esegue un processo di backup o copia, tenta di copiare i tag dalla risorsa di origine (o dal punto di ripristino in caso di copia) al punto di ripristino.
Nota
AWS Backup non copia nativamente i tag durante i processi di ripristino. Per un'architettura basata sugli eventi che copierà i tag durante i processi di ripristino, vedi Come conservare i tag delle risorse nei AWS Backup
Durante un processo di backup o copia, AWS Backup aggrega i tag specificati nel piano di backup (o piano di copia o backup su richiesta) con i tag della risorsa di origine. Tuttavia, AWS impone un limite di 50 tag per risorsa, che AWS Backup non può essere superato. Quando un processo di backup o copia aggrega i tag dal piano e dalla risorsa di origine, potrebbe rilevare più di 50 tag in totale. In questo caso non sarà in grado di completare il processo ed esso fallirà. Ciò è coerente con le migliori pratiche AWS di etichettatura a livello globale. Per ulteriori informazioni, consulta Limiti dei tag nella Guida di riferimento generale di AWS .
-
La tua risorsa ha più di 50 tag dopo aver aggregato i tag dei job di backup con i tag delle risorse di origine. AWS supporta fino a 50 tag per risorsa. Per ulteriori informazioni, consulta la pagina relativa ai Limiti dei tag.
-
Il IAM ruolo a cui fornisci AWS Backup non dispone delle autorizzazioni per leggere i tag di origine o impostare i tag di destinazione. Per ulteriori informazioni e esempi di policy relative ai IAM ruoli, consulta Managed Policies.
Puoi utilizzare il tuo piano di backup per creare tag che contraddicano i tag delle risorse di origine. Quando i due sono in conflitto, i tag del piano di backup hanno la precedenza. Utilizza questa tecnica se preferisci non copiare il valore di un tag dalla risorsa di origine. Specificate la stessa chiave di tag, ma un valore diverso o vuoto, utilizzando il piano di backup.
Tipo di risorsa | Autorizzazione richiesta |
---|---|
EFSFile system Amazon |
|
FSxFile system Amazon |
|
RDSDatabase Amazon e cluster Amazon Aurora |
|
Volume Storage Gateway |
|
EC2Istanza Amazon e EBS volume Amazon |
|
DynamoDB non supporta l'assegnazione di tag ai backup a meno che non venga prima abilitato Backup di DynamoDB avanzato.
Quando un EC2 backup Amazon crea un Image Recovery Point e un set di istantanee, AWS Backup copia i tag nel risultatoAMI. AWS Backup copia inoltre i tag dai volumi associati all'EC2istanza Amazon negli snapshot risultanti.
Policy di accesso
La policy delle autorizzazioni descrive chi ha accesso a cosa. Le politiche associate a un'IAMidentità sono denominate politiche basate sull'identità (politiche). IAM Le politiche associate a una risorsa vengono chiamate politiche basate sulle risorse. AWS Backup supporta sia politiche basate sull'identità che politiche basate sulle risorse.
Nota
Questa sezione illustra l'utilizzo nel contesto di. IAM AWS Backup Non fornisce informazioni dettagliate sul IAM servizio. Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM policy, vedere IAMJSONPolicy Reference nella Guida per l'IAMutente.
Politiche basate sull'identità (politiche) IAM
Le politiche basate sull'identità sono politiche che è possibile allegare alle IAM identità, ad esempio utenti o ruoli. Ad esempio, è possibile definire una policy che consenta a un utente di visualizzare ed eseguire il backup AWS delle risorse, ma che impedisca loro di ripristinare i backup.
Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente. IAM
Per informazioni su come utilizzare IAM le policy per controllare l'accesso ai backup, vedere. Politiche gestite per AWS Backup
Policy basate su risorse
AWS Backup supporta politiche di accesso basate sulle risorse per gli archivi di backup. Questo permette di definire una policy di accesso che possa controllare di quali tipi di accesso a uno qualsiasi dei backup organizzati in un vault di backup dispongono gli utenti. Le policy di accesso basate su risorse per i vault di backup offrono un modo semplice per controllare l'accesso ai backup.
Le policy di accesso di Backup Vault controllano l'accesso degli utenti durante l'utilizzo AWS Backup APIs. È possibile accedere anche ad alcuni tipi di backup, come gli snapshot di Amazon Elastic Block Store (AmazonEBS) e RDS Amazon Relational Database Service (Amazon), utilizzando tali servizi». APIs È possibile creare policy di accesso separate IAM che controllino l'accesso a queste ultime APIs in modo da controllare completamente l'accesso ai backup.
Per informazioni su come creare una policy di accesso per i vault di backup, consulta Policy di accesso dei vault.