Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gestione delle identità e degli accessi in AWS Backup
<a name="backup-iam"></a>

L'accesso a AWS Backup richiede credenziali. Tali credenziali devono essere dotate delle autorizzazioni per accedere alle risorse AWS , come ad esempio un database Amazon DynamoDB o un volume Amazon EFS. Inoltre, i punti di ripristino creati da AWS Backup per alcuni servizi AWS Backup supportati non possono essere eliminati utilizzando il servizio di origine (come Amazon EFS). Puoi eliminare questi punti di ripristino utilizzando AWS Backup.

Le seguenti sezioni forniscono dettagli su come utilizzare [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) e su come AWS Backup proteggere l'accesso alle risorse.

**avvertimento**  
AWS Backup utilizza lo stesso ruolo IAM che hai scelto per l'assegnazione delle risorse per gestire il ciclo di vita del punto di ripristino. Se elimini o modifichi quel ruolo, AWS Backup non puoi gestire il ciclo di vita del punto di ripristino. Quando ciò si verifica, proverà a utilizzare un ruolo collegato ai servizi per gestire il ciclo di vita. In una piccola percentuale di casi, inoltre, anche questa opzione potrebbe non funzionare, lasciando punti di ripristino di `EXPIRED` nello spazio di archiviazione, il che potrebbe comportare costi indesiderati. Per eliminare i punti di ripristino di `EXPIRED`, eliminali manualmente utilizzando la procedura descritta in [Eliminazione dei backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).

**Topics**
+ [Autenticazione](authentication.md)
+ [Controllo accessi](access-control.md)
+ [Ruoli di servizio IAM](iam-service-roles.md)
+ [Politiche gestite per AWS Backup](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per AWS Backup](using-service-linked-roles.md)
+ [Prevenzione del confused deputy tra servizi](cross-service-confused-deputy-prevention.md)

# Autenticazione
<a name="authentication"></a>

L'accesso AWS Backup o i AWS servizi di cui si sta eseguendo il backup richiedono credenziali che AWS possono essere utilizzate per autenticare le richieste. Puoi accedere AWS con uno dei seguenti tipi di identità:
+ **Account AWS utente root**: quando ti registri AWS, fornisci un indirizzo email e una password associati al tuo AWS account. Questo è l'*utente root dell'Account AWS *. Le sue credenziali forniscono l'accesso completo a tutte le tue AWS risorse.
**Importante**  
Per motivi di sicurezza, si consiglia di utilizzare l'utente root solo per creare un *amministratore*. L'amministratore è un *utente IAM* con autorizzazioni complete per l'account Account AWS. Potrai quindi utilizzare questo utente amministratore per creare altri utenti e ruoli IAM con autorizzazioni limitate. Per ulteriori informazioni, consulta [Best practice di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) e [Creazione del primo utente e gruppo di amministrazione di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) nella *Guida per l'utente di IAM*.
+ **Utente IAM** - Un [utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) è un'identità all'interno dell' Account AWS dotato di autorizzazioni personalizzate specifiche (ad esempio quella di creare un vault di backup in cui archiviare i backup). [Puoi utilizzare un nome utente e una password IAM per accedere a AWS pagine Web sicure come [AWS Discussion Forums](https://forums.aws.amazon.com/) o Center. [Console di gestione AWS](https://console.aws.amazon.com/)Supporto AWS](https://console.aws.amazon.com/support/home#/)

  Oltre a un nome utente e una password, è possibile anche generare [chiavi di accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) per ciascun utente. È possibile utilizzare queste chiavi quando si accede ai AWS servizi a livello di programmazione, tramite [una delle numerose](https://aws.amazon.com/developer/tools/) chiavi SDKs o utilizzando ([AWS Command Line Interface CLI AWS](https://aws.amazon.com/cli/)). L'SDK e gli strumenti AWS CLI utilizzano le chiavi di accesso per firmare crittograficamente la tua richiesta. Se non si utilizzano gli strumenti di AWS , è necessario firmare la richiesta personalmente. Per ulteriori informazioni sulle richieste di autenticazione, consulta la pagina relativa al [processo di firma Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) nella *Riferimenti generali di AWS*.
+ **Ruolo IAM** - Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'identità IAM che è possibile creare nell'account e che dispone di autorizzazioni specifiche. È simile a un utente IAM user, ma non è associato a una persona specifica. Un ruolo IAM consente di ottenere chiavi di accesso temporanee che possono essere utilizzate per accedere a AWS servizi e risorse. I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:
  + Accesso utente federato: invece di creare un utente IAM, puoi utilizzare identità utente preesistenti provenienti dalla Directory Service tua directory utenti aziendale o da un provider di identità web. Sono noti come *utenti federati*. AWS assegna un ruolo a un utente federato quando è richiesto l'accesso tramite un [provider di identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Per ulteriori informazioni sugli utenti federati, consulta la sezione relativa a [utenti federati e ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) nella *Guida per l'utente di IAM*.
  + Amministrazione su più account: puoi utilizzare un ruolo IAM nel tuo account per concedere altre Account AWS autorizzazioni per amministrare le risorse del tuo account. *Per un esempio, consulta [Tutorial: Delegate Access Across Account AWS Using IAM Roles nella IAM User](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) Guide.*
  + AWS accesso al servizio: puoi utilizzare un ruolo IAM nel tuo account per concedere a un AWS servizio le autorizzazioni per accedere alle risorse del tuo account. Per ulteriori informazioni, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella Guida per l'utente *IAM*.
  + Applicazioni in esecuzione su Amazon Elastic Compute Cloud (Amazon EC2): puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un'istanza Amazon EC2 e che effettuano richieste API. AWS Ciò è preferibile all’archiviazione delle chiavi di accesso nell’istanza EC2. Per assegnare un AWS ruolo a un'istanza EC2 e renderlo disponibile per tutte le sue applicazioni, crei un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta [Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) nella *Guida per l'utente di IAM*.

    

# Controllo accessi
<a name="access-control"></a>

È possibile disporre di credenziali valide per autenticare le richieste, ma a meno che non si disponga delle autorizzazioni appropriate, non è possibile accedere a AWS Backup risorse come gli archivi di backup. Inoltre, non è possibile eseguire il backup di AWS risorse come i volumi Amazon Elastic Block Store (Amazon EBS).

Ogni AWS risorsa è di proprietà di un Account AWS utente e le autorizzazioni per creare o accedere a una risorsa sono regolate da politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione alle identità AWS Identity and Access Management (IAM) (ovvero utenti, gruppi e ruoli). Anche alcuni servizi supportano il collegamento di policy di autorizzazione alle risorse. 

Un *amministratore account* (o un utente amministratore) è un utente con autorizzazioni di amministratore. Per ulteriori informazioni, consulta [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.

Quando si concedono le autorizzazioni, è necessario specificare gli utenti che le riceveranno e le risorse per cui si concedono, nonché le operazioni specifiche da consentire su tali risorse.

Nelle sezioni seguenti viene descritto come funzionano le policy di accesso e come si utilizzano per proteggere i backup. 

**Topics**
+ [Risorse e operazioni](#access-control-resources)
+ [Proprietà delle risorse](#access-control-owner)
+ [Specificare elementi delle policy: azioni, effetti e principali](#access-control-specify-backup-actions)
+ [Specifica delle condizioni in una policy](#specifying-conditions)
+ [Autorizzazioni API: riferimenti a operazioni, risorse e condizioni](#backup-api-permissions-ref)
+ [Autorizzazioni di copia di tag](#copy-tags)
+ [Policy di accesso](#access-policies)

## Risorse e operazioni
<a name="access-control-resources"></a>

Una risorsa è un oggetto che esiste all'interno di un servizio. AWS Backup le risorse includono piani di backup, archivi di backup e backup. *Backup* è un termine generico che si riferisce ai vari tipi di risorse di backup esistenti in AWS. Ad esempio, gli snapshot Amazon EBS, gli snapshot Amazon Relational Database Service (Amazon RDS) e i backup Amazon DynamoDB sono tutti tipi di risorse di backup. 

Nel AWS Backup, i backup vengono anche chiamati *punti di ripristino*. Durante l'utilizzo AWS Backup, lavori anche con le risorse di altri AWS servizi che stai cercando di proteggere, come i volumi Amazon EBS o le tabelle DynamoDB. A queste risorse sono associati Amazon Resource Names (ARNs) univoci. ARNs identifica in modo univoco le AWS risorse. Quando è necessario specificare una risorsa in modo inequivocabile in tutto AWS, ad esempio nelle policy IAM o nelle chiamate API, è necessario indicare un ARN. 

La tabella seguente elenca le risorse, le risorse secondarie, il formato ARN e un ID univoco di esempio.


**AWS Backup risorsa ARNs**  

| Tipo di risorsa | Formato ARN | Esempio di ID univoco | 
| --- | --- | --- | 
| Piano di backup | arn:aws:backup:region:account-id:backup-plan:\$1 |  | 
| Vault di backup | arn:aws:backup:region:account-id:backup-vault:\$1 |  | 
| Punto di ripristino per Amazon EBS | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 | 
| Punto di ripristino per immagini Amazon EC2 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 | 
| Punto di ripristino per Amazon RDS | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Punto di ripristino per Aurora | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Punto di ripristino per Aurora DSQL | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a | 
| Punto di ripristino per Storage Gateway | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 | 
| Punto di ripristino per DynamoDB senza [Backup di DynamoDB avanzato](advanced-ddb-backup.md) | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 | 
| Punto di ripristino per DynamoDB con [Backup di DynamoDB avanzato](advanced-ddb-backup.md) abilitato | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 | 
| Punto di ripristino per Amazon EFS | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e | 
| Punto di ripristino per Amazon FSx | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 | 
| Punto di ripristino per macchina virtuale | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b | 
| Punto di ripristino per il backup continuo di Amazon S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 | 
| Punto di ripristino per il backup periodico S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 | 
| Punto di ripristino per Amazon DocumentDB | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Punto di ripristino per Neptune | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Punto di ripristino per Amazon Redshift | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Punto di ripristino per Amazon Redshift Serverless | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Punto di ripristino per Amazon Timestream | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta | 
| Punto di ripristino per il modello AWS CloudFormation  | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 
| Punto di ripristino per il database SAP HANA sull'istanza Amazon EC2 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 

Le risorse che supportano la AWS Backup gestione completa dispongono tutte di punti di ripristino in questo formato, il che semplifica l'applicazione delle politiche di autorizzazione per proteggere tali punti di ripristino`arn:aws:backup:region:account-id::recovery-point:*`. Per vedere quali risorse supportano la AWS Backup gestione completa, consulta la sezione corrispondente della [Disponibilità delle funzionalità per risorsa](backup-feature-availability.md#features-by-resource) tabella.

AWS Backup fornisce una serie di operazioni per utilizzare le AWS Backup risorse. Per un elenco di operazioni disponibili, consulta la sezione AWS Backup [Azioni](API_Operations.md).

## Proprietà delle risorse
<a name="access-control-owner"></a>

È Account AWS proprietario delle risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'[entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (ovvero l'utente Account AWS root, un utente IAM o un ruolo IAM) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:
+ Se utilizzi le tue credenziali utente Account AWS root Account AWS per creare un archivio di backup, sei il Account AWS proprietario del vault.
+ Se crei un utente IAM nel tuo account Account AWS e concedi le autorizzazioni per creare un archivio di backup a quell'utente, l'utente può creare un archivio di backup. Tieni presente, tuttavia, che l' AWS a cui appartiene l'utente è il proprietario della risorsa vault di backup.
+ Se crei un ruolo IAM Account AWS con le autorizzazioni per creare un vault di backup, chiunque possa assumere il ruolo può creare un vault. Il tuo Account AWS, a cui appartiene il ruolo, possiede la risorsa del vault di backup. 

## Specificare elementi delle policy: azioni, effetti e principali
<a name="access-control-specify-backup-actions"></a>

Per ogni AWS Backup risorsa (vedi[Risorse e operazioni](#access-control-resources)), il servizio definisce un insieme di operazioni API (vedi[Azioni](API_Operations.md)). Per concedere le autorizzazioni per queste operazioni API, AWS Backup definisce una serie di azioni che è possibile specificare in una politica. L'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'operazione.

Di seguito sono elencati gli elementi di base di una policy:
+ Risorsa: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa. Per ulteriori informazioni, consulta [Risorse e operazioni](#access-control-resources).
+ Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare.
+ Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
+ Principale - Nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse).

Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [Riferimento alle policy JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.

Per una tabella che mostra tutte le azioni dell' AWS Backup API, consulta[Autorizzazioni API: riferimenti a operazioni, risorse e condizioni](#backup-api-permissions-ref).

## Specifica delle condizioni in una policy
<a name="specifying-conditions"></a>

Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della policy IAM per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione [Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*. 

AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.

AWS Backup definisce il proprio set di chiavi di condizione. Per visualizzare un elenco di chiavi di AWS Backup condizione, vedere [Condition keys for AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys) nel *Service Authorization Reference*.

## Autorizzazioni API: riferimenti a operazioni, risorse e condizioni
<a name="backup-api-permissions-ref"></a>

Quando configuri il [Controllo accessi](#access-control) e scrivi una policy di autorizzazione che puoi collegare a un'identità IAM (policy basate su identità), puoi utilizzare l'elenco nella seguente come riferimento. L'elenco delle tabelle ogni operazione AWS Backup API, le azioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'azione e la AWS risorsa per la quale è possibile concedere le autorizzazioni. Puoi specificare le azioni nel campo `Action` della policy e il valore della risorsa nel campo `Resource`. Se il campo `Resource` è vuoto, puoi usare il carattere jolly (`*`) per includere tutte le risorse.

Puoi utilizzare le chiavi AWS-wide condition nelle tue AWS Backup politiche per esprimere condizioni. Per un elenco completo delle chiavi AWS-wide, consulta [Available Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) nella *IAM User Guide*. 

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.


**AWS Backup API e autorizzazioni richieste per le azioni**  

| AWS Backup Operazioni API | Autorizzazioni necessarie (operazioni API) | Resources | 
| --- | --- | --- | 
|  [CreateBackupPlan](API_CreateBackupPlan.md)  | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupSelection](API_CreateBackupSelection.md)  | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupVault](API_CreateBackupVault.md)  |  `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey`  |  arn:aws:backup:region:account-id:backup-vault:\$1 Per `backup-storage`: \$1 Per `kms`: `arn:aws:kms:region:account-id:key/keystring` | 
|  [DeleteBackupPlan](API_DeleteBackupPlan.md)  | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupSelection](API_DeleteBackupSelection.md)  | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupVault](API_DeleteBackupVault.md)  | backup:DeleteBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md)  | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md)  |  backup:DeleteBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md)  |  backup:DeleteRecoveryPoint1  | 2 | 
|  [DescribeBackupJob](API_DescribeBackupJob.md)  | backup:DescribeBackupJob |  | 
|  [DescribeBackupVault](API_DescribeBackupVault.md)  |  backup:DescribeBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DescribeProtectedResource](API_DescribeProtectedResource.md)  | backup:DescribeProtectedResource |  | 
|  [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md)  |  backup:DescribeRecoveryPoint1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [DescribeRestoreJob](API_DescribeRestoreJob.md)  | backup:DescribeRestoreJob |  | 
|  [DescribeRegionSettings](API_DescribeRegionSettings.md)  |  backup:DescribeRegionSettings  |  | 
|  [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md)  | backup:ExportBackupPlanTemplate |  | 
|  [GetBackupPlan](API_GetBackupPlan.md)  | backup:GetBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md)  | backup:GetBackupPlanFromJSON |  | 
|  [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md)  | backup:GetBackupPlanFromTemplate |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupSelection](API_GetBackupSelection.md)  | backup:GetBackupSelection |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md)  |  backup:GetBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md)  |  backup:GetBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md)  |  backup:GetRecoveryPointRestoreMetadata1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md)  | backup:GetSupportedResourceTypes |  | 
|  [ListBackupJobs](API_ListBackupJobs.md)  | backup:ListBackupJobs |  | 
|  [ListBackupPlans](API_ListBackupPlans.md)  | backup:ListBackupPlans |  | 
|  [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md)  | backup:ListBackupPlanTemplates |  | 
|  [ListBackupPlanVersions](API_ListBackupPlanVersions.md)  | backup:ListBackupPlanVersions |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupSelections](API_ListBackupSelections.md)  | backup:ListBackupSelections |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupVaults](API_ListBackupVaults.md)  | backup:ListBackupVaults |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListProtectedResources](API_ListProtectedResources.md)  | backup:ListProtectedResources |  | 
|  [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md)  |  backup:ListRecoveryPointsByBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md)  | backup:ListRecoveryPointsByResource |  | 
|  [ListRestoreJobs](API_ListRestoreJobs.md)  | backup:ListRestoreJobs |  | 
|  [ListTags](API_ListTags.md)  | backup:ListTags |  | 
|  [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md)  |  backup:PutBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md)  |  backup:PutBackupVaultLockConfiguration1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md)  |  backup:PutBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartBackupJob](API_StartBackupJob.md)  | backup:StartBackupJob |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartRestoreJob](API_StartRestoreJob.md)  | backup:StartRestoreJob |  `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3  | 
|  [StopBackupJob](API_StopBackupJob.md)  | backup:StopBackupJob |  | 
|  [TagResource](API_TagResource.md)  | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 | 
|  [UntagResource](API_UntagResource.md)  | backup:UntagResource |  | 
|  [UpdateBackupPlan](API_UpdateBackupPlan.md)  | backup:UpdateBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md)  |  backup:UpdateRecoveryPointLifecycle1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [UpdateRegionSettings](API_UpdateRegionSettings.md)  |  `backup:UpdateRegionSettings` `backup:DescribeRegionSettings`  |  | 

1 Utilizza la politica di accesso al vault esistente.

2 Vedi [AWS Backup risorsa ARNs](#resource-arns-table) per i punti di ripristino specifici della risorsa. ARNs

3 `StartRestoreJob` deve avere la coppia chiave-valore nei metadati della risorsa. Per ottenere i metadati della risorsa, richiamare l'API `GetRecoveryPointRestoreMetadata`.

Per ulteriori informazioni, consulta [Operazioni, risorse e chiavi di condizione per AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html) nella *Documentiazione di riferimento per l'autorizzazione al servizio*.

## Autorizzazioni di copia di tag
<a name="copy-tags"></a>

Quando AWS Backup esegue un processo di backup o copia, tenta di copiare i tag dalla risorsa di origine (o dal punto di ripristino in caso di copia) al punto di ripristino.

**Nota**  
AWS Backup **non** copia nativamente i tag durante i processi di ripristino. Per un'architettura basata sugli eventi che copierà i tag durante i processi di ripristino, vedi [Come conservare i tag delle risorse nei AWS Backup](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/) processi di ripristino.

Durante un processo di backup o copia, AWS Backup aggrega i tag specificati nel piano di backup (o piano di copia o backup su richiesta) con i tag della risorsa di origine. Tuttavia, AWS impone un limite di 50 tag per risorsa, che AWS Backup non può essere superato. Quando un processo di backup o copia aggrega i tag dal piano e dalla risorsa di origine, potrebbe rilevare più di 50 tag in totale. In questo caso non sarà in grado di completare il processo ed esso fallirà. Ciò è coerente con le migliori pratiche AWS di etichettatura a livello globale.
+ La tua risorsa ha più di 50 tag dopo aver aggregato i tag dei job di backup con i tag delle risorse di origine. AWS supporta fino a 50 tag per risorsa.
+ Il ruolo IAM a cui fornisci AWS Backup non dispone delle autorizzazioni per leggere i tag di origine o impostare i tag di destinazione. Per ulteriori informazioni e esempi di policy relative ai ruoli IAM, consulta [Policy gestite](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies).

Puoi utilizzare il tuo piano di backup (tag aggiunti ai punti di ripristino) per creare tag che contraddicano i tag delle risorse di origine. Quando i due sono in conflitto, i tag del piano di backup hanno la precedenza. Utilizza questa tecnica se preferisci non copiare il valore di un tag dalla risorsa di origine. Specificate la stessa chiave di tag, ma un valore diverso o vuoto, utilizzando il piano di backup.


**Autorizzazioni necessarie per assegnare tag ai backup**  

| Tipo di risorsa | Autorizzazione richiesta | 
| --- | --- | 
| File system Amazon EFS | `elasticfilesystem:DescribeTags` | 
|  FSx File system Amazon | `fsx:ListTagsForResource` | 
| Database Amazon RDS for MySQL e cluster Amazon Aurora |  `rds:AddTagsToResource` `rds:ListTagsForResource`  | 
| Volume Storage Gateway | `storagegateway:ListTagsForResource` | 
| Istanza Amazon EC2 e volume EBS |  `EC2:CreateTags` `EC2:DescribeTags`  | 

DynamoDB non supporta l'assegnazione di tag ai backup a meno che non venga prima abilitato [Backup di DynamoDB avanzato](advanced-ddb-backup.md).

Quando un backup Amazon EC2 crea un Image Recovery Point e un set di snapshot, AWS Backup copia i tag nell'AMI risultante. AWS Backup copia inoltre i tag dai volumi associati all'istanza Amazon EC2 negli snapshot risultanti.

## Policy di accesso
<a name="access-policies"></a>

La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Le policy collegate a un'identità IAM vengono definite *policy basate su identità* (policy IAM). Le politiche associate a una risorsa vengono chiamate politiche basate sulle *risorse*. AWS Backup supporta sia politiche basate sull'identità che politiche basate sulle risorse.

**Nota**  
Questa sezione illustra l'utilizzo di IAM nel contesto di. AWS Backup Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta [Riferimento alle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.

### Policy basate su identità (policy IAM)
<a name="identity-based-policies"></a>

Le policy basate su identità sono policy che si possono collegare a identità IAM, come utenti o ruoli. Ad esempio, è possibile definire una policy che consenta a un utente di visualizzare ed eseguire il backup AWS delle risorse, ma che impedisca loro di ripristinare i backup.

Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta [Identità (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *Guida per l'utente di IAM*.

Per ulteriori informazioni su come utilizzare le policy IAM per controllare l'accesso ai backup, consulta [Politiche gestite per AWS Backup](security-iam-awsmanpol.md).

### Policy basate sulle risorse
<a name="resource-based-policies"></a>

AWS Backup supporta politiche di accesso basate sulle risorse per gli archivi di backup. Questo permette di definire una policy di accesso che possa controllare di quali tipi di accesso a uno qualsiasi dei backup organizzati in un vault di backup dispongono gli utenti. Le policy di accesso basate su risorse per i vault di backup offrono un modo semplice per controllare l'accesso ai backup. 

Le policy di accesso di Backup Vault controllano l'accesso degli utenti durante l'utilizzo AWS Backup APIs. È possibile accedere anche ad alcuni tipi di backup, come gli snapshot di Amazon Elastic Block Store (Amazon EBS) e Amazon Relational Database Service (Amazon RDS), utilizzando tali servizi». APIs È possibile creare policy di accesso separate in IAM che controllano l'accesso a tali politiche APIs in modo da controllare completamente l'accesso ai backup.

Per informazioni su come creare una policy di accesso per i vault di backup, consulta [Policy di accesso dei vault](create-a-vault-access-policy.md).

# Ruoli di servizio IAM
<a name="iam-service-roles"></a>

Un ruolo AWS Identity and Access Management (IAM) è simile a quello di un utente, in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Un ruolo di servizio è un ruolo che un AWS servizio assume per eseguire azioni per conto dell'utente. In quanto servizio che esegue le operazioni di backup per tuo conto, è necessario trasferire a AWS Backup un ruolo da assumere durante l'esecuzione di operazioni di backup per tuo conto. Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) nella *Guida per l'utente di IAM*. 

Il ruolo a cui passi AWS Backup deve disporre di una policy IAM con le autorizzazioni che consentano di eseguire azioni associate AWS Backup alle operazioni di backup, come la creazione, il ripristino o la scadenza dei backup. Sono necessarie autorizzazioni diverse per ciascuno dei servizi supportati. AWS AWS Backup Il ruolo deve inoltre essere AWS Backup elencato come entità attendibile, che consente di AWS Backup assumere il ruolo. 

Quando si assegnano risorse a un piano di backup o se si esegue un backup, una copia o un ripristino su richiesta, è necessario assegnare un ruolo di servizio che abbia accesso all'esecuzione delle operazioni sottostanti sulle risorse specificate. AWS Backup utilizza questo ruolo per creare, etichettare ed eliminare risorse nel tuo account.

## Utilizzo AWS dei ruoli per controllare l'accesso ai backup
<a name="using-roles-to-control-access"></a>

È possibile utilizzare i ruoli per controllare l'accesso ai backup definendo i ruoli con ambito limitato e specificando chi può trasferire il ruolo a AWS Backup. Ad esempio, puoi creare un ruolo che conceda solo le autorizzazioni per il backup dei database Amazon Relational Database Service (Amazon RDS) e concedere solo ai proprietari di database Amazon RDS l'autorizzazione a passare quel ruolo. AWS Backup AWS Backup fornisce diverse politiche gestite predefinite per ciascuno dei servizi supportati. È possibile collegare queste policy gestite ai ruoli creati. Ciò semplifica la creazione di ruoli specifici del servizio con le autorizzazioni corrette necessarie. AWS Backup 

Per ulteriori informazioni sulle politiche AWS gestite per AWS Backup, vedere. [Politiche gestite per AWS Backup](security-iam-awsmanpol.md)

## Ruolo di servizio predefinito per AWS Backup
<a name="default-service-roles"></a>

Quando si utilizza la AWS Backup console per la prima volta, è possibile scegliere di AWS Backup creare automaticamente un ruolo di servizio predefinito. Questo ruolo dispone delle autorizzazioni AWS Backup necessarie per creare e ripristinare i backup per tuo conto.

**Nota**  
Il ruolo predefinito viene creato automaticamente quando si utilizza la Console di gestione AWS. È possibile creare il ruolo predefinito utilizzando AWS Command Line Interface (AWS CLI), ma deve essere eseguito manualmente.

Se preferisci utilizzare ruoli personalizzati, come ruoli separati per diversi tipi di risorse, puoi anche farlo e passare i tuoi ruoli personalizzati a AWS Backup. Per visualizzare esempi di ruoli che abilitano il backup e il ripristino per singoli tipi di risorse, consulta la tabella [Policy gestite dal cliente](security-iam-awsmanpol.md#customer-managed-policies).

Il ruolo di servizio predefinito è denominato`AWSBackupDefaultServiceRole`. Questo ruolo di servizio contiene due politiche gestite [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)e [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

`AWSBackupServiceRolePolicyForBackup`include una policy IAM che concede AWS Backup le autorizzazioni per descrivere la risorsa di cui viene eseguito il backup, la possibilità di creare, eliminare, descrivere o aggiungere tag a un backup indipendentemente dalla AWS KMS chiave con cui è crittografato. 

`AWSBackupServiceRolePolicyForRestores`include una policy IAM che concede AWS Backup le autorizzazioni per creare, eliminare o descrivere la nuova risorsa creata da un backup, indipendentemente dalla AWS KMS chiave con cui è crittografata. Include anche le autorizzazioni necessarie per applicare tag alla risorsa appena creata.

Per ripristinare un'istanza Amazon EC2, è necessario avviare una nuova istanza. 

## Creazione del ruolo di servizio predefinito nella console
<a name="creating-default-service-role-console"></a>

 Le azioni specifiche eseguite nella AWS Backup console creano il ruolo di servizio AWS Backup predefinito. 

**Per creare il ruolo di servizio AWS Backup predefinito nel tuo AWS account**

1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Per creare il ruolo per il tuo account, assegna le risorse a un piano di backup o crea un backup su richiesta.

   1. Creare un piano di backup e assegnare risorse al backup. Vedi [Creare un piano di backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html).

   1. In alternativa, è possibile creare un backup su richiesta. Consulta [Creazione di un backup su richiesta](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html).

1.  Verifica di aver creato `AWSBackupDefaultServiceRole` nel tuo account seguendo questi passaggi: 

   1. Attendi alcuni minuti. Per ulteriori informazioni, consulta [Le modifiche che apporto non sono sempre immediatamente visibili](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency) nella *Guida per l'utente di AWS Identity and Access Management.*

   1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Nel menu di navigazione a sinistra, scegliere **Ruoli**.

   1. Nella casella di ricerca, digitare `AWSBackupDefaultServiceRole`. Se questa selezione esiste, hai creato il ruolo AWS Backup predefinito e completato questa procedura.

   1. Se `AWSBackupDefaultServiceRole` ancora non viene visualizzato, aggiungi le seguenti autorizzazioni all'utente IAM o al ruolo IAM che utilizzi per accedere alla console.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement":[
          {
            "Effect":"Allow",
            "Action":[
              "iam:CreateRole",
              "iam:AttachRolePolicy",
              "iam:PassRole"
            ],
            "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
          },
          {
            "Effect":"Allow",
            "Action":[
              "iam:ListRoles"
            ],
            "Resource":"*"
          }
        ]
      }
      ```

------

      Per le regioni della Cina, sostituire *aws* con*aws-cn*. Per AWS GovCloud (US) le regioni, sostituire *aws* con*aws-us-gov*.

   1. Se non riesci ad aggiungere autorizzazioni al tuo utente IAM o al tuo ruolo IAM, chiedi all'amministratore di creare manualmente un ruolo con un nome *diverso da* `AWSBackupDefaultServiceRole` e associarlo a queste policy gestite:
      + `AWSBackupServiceRolePolicyForBackup`
      + `AWSBackupServiceRolePolicyForRestores`

# Politiche gestite per AWS Backup
<a name="security-iam-awsmanpol"></a>

Le politiche gestite sono politiche autonome basate sull'identità che puoi allegare a più utenti, gruppi e ruoli nel tuo. Account AWS Quando si allega una policy a un'entità principale, è necessario fornire all'entità le autorizzazioni definite nella policy.

*AWS le politiche gestite* vengono create e amministrate da. AWS Non è possibile modificare le autorizzazioni definite nelle politiche AWS gestite. Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica.

*Le policy gestite dai clienti* offrono controlli granulari per impostare l'accesso ai backup. AWS Backup Ad esempio, puoi utilizzarle per consentire all'amministratore di backup del database di accedere ai backup di Amazon RDS ma non a quelli di Amazon EFS.

*Per ulteriori informazioni, consulta [Managed policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) nella IAM User Guide.*

## AWS politiche gestite
<a name="aws-managed-policies"></a>

AWS Backup fornisce le seguenti politiche AWS gestite per casi d'uso comuni. Queste policy consentono di definire le autorizzazioni appropriate e di controllare l'accesso ai backup. Sono disponibili due tipi i policy gestite. Un tipo è stato progettato per essere assegnato agli utenti per controllare il proprio accesso a AWS Backup. L'altro tipo di policy gestita è stato progettato per essere collegato ai ruoli che vengono passati a AWS Backup. La tabella seguente elenca tutte le policy gestite che AWS Backup offre e spiega come vengono definite. Puoi trovare queste policy gestite nella sezione **Policy** della console IAM.

**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForBackup S3](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3 Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)

### AWSBackupAuditAccess
<a name="AWSBackupAuditAccess"></a>

Questa politica concede agli utenti le autorizzazioni per creare controlli e framework che definiscono le loro aspettative in termini di AWS Backup risorse e attività e per controllare AWS Backup risorse e attività rispetto ai controlli e ai framework definiti. Questa politica concede autorizzazioni AWS Config e servizi simili per descrivere le aspettative degli utenti, eseguire gli audit.

Questa policy concede inoltre le autorizzazioni per fornire report di audit ad Amazon S3 e a servizi simili e consente agli utenti di trovare e aprire i propri report di controllo.

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSBackupDataTransferAccess
<a name="AWSBackupDataTransferAccess"></a>

Questa politica fornisce le autorizzazioni per il trasferimento dei dati sul piano AWS Backup di archiviazione APIs, consentendo all'agente AWS Backint di completare il trasferimento dei dati di backup con il piano di archiviazione. AWS Backup Puoi collegare questa policy ai ruoli assunti dalle istanze Amazon EC2 che eseguono SAP HANA con l'agente Backint.

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSBackupFullAccess
<a name="AWSBackupFullAccess"></a>

L'amministratore di backup ha pieno accesso alle AWS Backup operazioni, inclusa la creazione o la modifica dei piani di backup, l'assegnazione di AWS risorse ai piani di backup e il ripristino dei backup. Gli amministratori di backup sono responsabili di stabilire e di applicare la conformità dei backup definendo piani di backup che soddisfino i requisiti normativi e aziendali dell'organizzazione. Gli amministratori di Backup assicurano inoltre che AWS le risorse della propria organizzazione siano assegnate al piano appropriato.

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
<a name="AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync"></a>

Questa politica fornisce l'autorizzazione del gateway di Backup per sincronizzare i metadati delle macchine virtuali per conto dell'utente.

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSBackupGuardDutyRolePolicyForScans
<a name="AWSBackupGuardDutyRolePolicyForScans"></a>

Questa politica deve essere aggiunta a un nuovo ruolo di scansione che concede ad Amazon GuardDuty l'autorizzazione a leggere e scansionare i tuoi backup. Dovrai associare questo ruolo di scansione al tuo piano di backup all'interno delle impostazioni di scansione o protezione da malware. Quando AWS Backup avvia una scansione, passa questo ruolo di scansione ad Amazon GuardDuty.

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSBackupOperatorAccess
<a name="AWSBackupOperatorAccess"></a>

Gli operatori di backup sono utenti che hanno la responsabilità di garantire il backup delle risorse di cui sono responsabili venga eseguito correttamente. Gli operatori di backup dispongono delle autorizzazioni per assegnare AWS risorse ai piani di backup creati dall'amministratore di backup. Dispongono inoltre delle autorizzazioni per creare backup su richiesta delle proprie AWS risorse e per configurare il periodo di conservazione dei backup su richiesta. Non dispongono invece delle autorizzazioni per creare o modificare i piani di backup o per eliminare i backup pianificati dopo che sono stati creati. Gli operatori di backup possono ripristinare i backup. È possibile limitare i tipi di risorse che un operatore di backup può assegnare a un piano di backup o ripristinare da un backup. A tale scopo, è possibile passare solo determinati ruoli di servizio a cui sono consentite le autorizzazioni per AWS Backup un determinato tipo di risorsa.

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSBackupOrganizationAdminAccess
<a name="AWSBackupOrganizationAdminAccess"></a>

L'amministratore dell'organizzazione ha pieno accesso alle AWS Organizations operazioni, tra cui la creazione, la modifica o l'eliminazione delle politiche di backup, l'assegnazione delle politiche di backup agli account e alle unità organizzative e il monitoraggio delle attività di backup all'interno dell'organizzazione. Gli amministratori dell'organizzazione sono responsabili della protezione degli account nell'organizzazione mediante la definizione e l'assegnazione di policy di backup che soddisfino i requisiti aziendali e normativi dell'organizzazione.

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSBackupRestoreAccessForSAPHANA
<a name="AWSBackupRestoreAccessForSAPHANA"></a>

Questa policy consente di AWS Backup ripristinare un backup di SAP HANA su Amazon EC2.

*Per visualizzare le autorizzazioni per questa policy, consulta [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html) nel Managed Policy Reference.AWS *

### AWSBackupSearchOperatorAccess
<a name="AWSBackupSearchOperatorAccess"></a>

Il ruolo di operatore di ricerca ha accesso alla creazione di indici di backup e alla creazione di ricerche di metadati di backup indicizzati.

Questa politica contiene le autorizzazioni necessarie per tali funzioni.

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSBackupServiceLinkedRolePolicyForBackup
<a name="AWSBackupServiceLinkedRolePolicyForBackup"></a>

Questa policy è allegata al ruolo collegato al servizio denominato AWSServiceRoleforBackup per consentire di chiamare AWS i servizi AWS Backup per conto dell'utente per gestire i backup. Per ulteriori informazioni, consulta [Utilizzo dei ruoli per il backup e la copia](using-service-linked-roles-AWSServiceRoleForBackup.md).

*Per visualizzare le autorizzazioni relative a questa policy, consulta il Managed Policy [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)Reference.AWS *

### AWSBackupServiceLinkedRolePolicyForBackupTest
<a name="AWSBackupServiceLinkedRolePolicyForBackupTest"></a>

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSBackupServiceRolePolicyForBackup
<a name="AWSBackupServiceRolePolicyForBackup"></a>

Fornisce AWS Backup le autorizzazioni per creare backup di tutti i tipi di risorse supportati per tuo conto.

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSBackupServiceRolePolicyForItemRestores
<a name="AWSBackupServiceRolePolicyForItemRestores"></a>

**Descrizione**

Questa policy concede agli utenti le autorizzazioni per ripristinare singoli file ed elementi in uno snapshot (punto di ripristino di backup periodico) in un bucket Amazon S3 nuovo o esistente o in un nuovo volume Amazon EBS. Queste autorizzazioni includono: autorizzazioni di lettura ad Amazon EBS per istantanee gestite da autorizzazioni di AWS Backup lettura/scrittura per i bucket Amazon S3 e generazione e descrizione delle autorizzazioni per le chiavi. AWS KMS 

**Utilizzo di questa politica**

È possibile associare la policy `AWSBackupServiceRolePolicyForItemRestores` a utenti, gruppi e ruoli.

**Dettagli della politica**
+ **Tipo:** politica AWS gestita
+ **Ora di creazione:** 21 novembre 2024, 22:45 UTC
+ Ora di **modifica: prima istanza**
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`

**Versione della politica:** v1 (impostazione predefinita)

La versione di questa politica definisce le autorizzazioni per la politica. Quando l'utente o il ruolo responsabile della politica effettua una richiesta di accesso a una AWS risorsa, AWS controlla la versione predefinita della politica per determinare se consentire o meno la richiesta.

**Documento sulla politica JSON:**

#### AWSBackupServiceRolePolicyForItemRestores JSON
<a name="AWSBackupServiceRolePolicyForItemRestoresJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "S3ReadonlyPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "S3PermissionsForFileLevelRestore",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "KMSDataKeyForS3AndEC2Permissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com",
                        "s3.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForIndexing
<a name="AWSBackupServiceRolePolicyForIndexing"></a>

**Descrizione**

Questa politica concede agli utenti le autorizzazioni per indicizzare gli snapshot, noti anche come punti di ripristino periodici. Queste autorizzazioni includono: autorizzazioni di lettura ad Amazon EBS per istantanee gestite da autorizzazioni di AWS Backup lettura/scrittura per i bucket Amazon S3 e generazione e descrizione delle autorizzazioni per le chiavi. AWS KMS 

**Utilizzo di questa politica**

È possibile associare la policy `AWSBackupServiceRolePolicyForIndexing` a utenti, gruppi e ruoli.

**Dettagli della politica**
+ **Tipo:** politica AWS gestita
+ **Ora di modifica:** prima istanza
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`

**Versione della politica:** v1 (impostazione predefinita)

La versione di questa politica definisce le autorizzazioni per la politica. Quando l'utente o il ruolo responsabile della politica effettua una richiesta di accesso a una AWS risorsa, AWS controlla la versione predefinita della politica per determinare se consentire o meno la richiesta.

**Documento sulla politica JSON:**

#### AWSBackupServiceRolePolicyForIndexing JSON
<a name="AWSBackupServiceRolePolicyForIndexingJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSDataKeyForEC2Permissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForRestores
<a name="AWSBackupServiceRolePolicyForRestores"></a>

Fornisce AWS Backup le autorizzazioni per ripristinare i backup di tutti i tipi di risorse supportati per tuo conto.

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) nella * Guida di riferimento sulle policy gestite da AWS *.

Per il ripristino delle istanze EC2, devi includere anche le seguenti autorizzazioni per avviare l'istanza EC2:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPassRole",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/role-name",
      "Effect": "Allow"
    }
  ]
}
```

------

### AWSBackupServiceRolePolicyForBackup S3
<a name="AWSBackupServiceRolePolicyForS3Backup"></a>

Questa policy contiene le autorizzazioni necessarie per eseguire il backup AWS Backup di qualsiasi bucket S3. Ciò include l'accesso a tutti gli oggetti in un bucket e a qualsiasi chiave associata. AWS KMS 

*Per visualizzare le autorizzazioni per questa politica, consulta [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) nel Managed Policy Reference.AWS *

### AWSBackupServiceRolePolicyForS3 Restore
<a name="AWSBackupServiceRolePolicyForS3Restore"></a>

Questa policy contiene le autorizzazioni necessarie per AWS Backup ripristinare un backup S3 in un bucket. Ciò include le autorizzazioni di lettura e scrittura per i bucket e l'utilizzo di qualsiasi AWS KMS chiave per quanto riguarda le operazioni S3.

*Per visualizzare le autorizzazioni per questa politica, consulta [AWSBackupServiceRolePolicyForS3Restore nel](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) Managed Policy Reference.AWS *

### AWSBackupServiceRolePolicyForScans
<a name="AWSBackupServiceRolePolicyForScans"></a>

La policy deve essere associata al ruolo IAM utilizzato nella selezione delle risorse del piano di backup. Questo ruolo concede a AWS Backup l'autorizzazione ad avviare scansioni in Amazon. GuardDuty 

Per vedere le autorizzazioni per questa policy, consulta [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSServiceRolePolicyForBackupReports
<a name="AWSServiceRolePolicyForBackupReports"></a>

AWS Backup utilizza questa politica per il ruolo collegato al servizio. [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html) Questo ruolo collegato al servizio fornisce AWS Backup le autorizzazioni per monitorare e generare report sulla conformità delle impostazioni, dei job e delle risorse di backup con i framework.

Per vedere le autorizzazioni per questa policy, consulta [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWSServiceRolePolicyForBackupRestoreTesting
<a name="AWSServiceRolePolicyForBackupRestoreTesting"></a>

Per vedere le autorizzazioni per questa policy, consulta [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) nella * Guida di riferimento sulle policy gestite da AWS *.

## Policy gestite dal cliente
<a name="customer-managed-policies"></a>

Le sezioni seguenti descrivono le autorizzazioni di backup e ripristino consigliate per i AWS servizi e le applicazioni di terze parti supportate da. AWS BackupÈ possibile utilizzare le politiche AWS gestite esistenti come modello durante la creazione di documenti di policy personalizzati e quindi personalizzarli per limitare ulteriormente l'accesso alle AWS risorse.

**Importante**  
Quando si utilizzano ruoli IAM personalizzati per AWS Backup, è necessario includere autorizzazioni specifiche per le risorse oltre alle autorizzazioni. AWS Backup Ad esempio, quando richiami `backup:ListTags` una risorsa Amazon RDS, il tuo ruolo IAM personalizzato deve includere anche `rds:ListTagsForResource` l'autorizzazione. Sebbene queste autorizzazioni siano incluse nel ruolo di AWS Backup servizio predefinito, devono essere aggiunte esplicitamente alle politiche gestite dal cliente. Le autorizzazioni richieste per le risorse sottostanti dipendono dal AWS servizio e dall'operazione specifici eseguiti.

### Amazon Aurora
<a name="aurora-customer-managed-policies"></a>

**Backup**

Inizia con le seguenti dichiarazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Ripristino**  
Inizia con la `RDSPermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon Aurora DSQL
<a name="aurora-dsql-customer-managed-policies"></a>

**Backup**

Inizia con le seguenti dichiarazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Ripristino**  
Inizia con la `DSQLRestorePermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon DynamoDB
<a name="ddb-customer-managed-policies"></a>

**Backup**

Inizia con le seguenti dichiarazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`

**Ripristino**

Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`

### Amazon EBS
<a name="ebs-customer-managed-policies"></a>

**Backup**

Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Ripristino**  
Inizia con la `EBSPermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

Aggiungi l'istruzione seguente.

```
{
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
},
```

### Amazon EC2
<a name="ec2-customer-managed-policies"></a>

**Backup**

Inizia con le seguenti dichiarazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Ripristino**

Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`

Aggiungi l'istruzione seguente.

```
{
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::account-id:role/role-name"
},
```

Sostituisci *role-name* con il nome del ruolo del profilo dell'istanza EC2 che verrà associato all'istanza EC2 ripristinata. Questo non è il ruolo di AWS Backup servizio, ma piuttosto il ruolo IAM che fornisce le autorizzazioni alle applicazioni in esecuzione sull'istanza EC2.

### Amazon EFS
<a name="efs-customer-managed-policies"></a>

**Backup**

Inizia con le seguenti dichiarazioni di: [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Ripristino**  
Inizia con la `EFSPermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon FSx
<a name="fsx-customer-managed-policies"></a>

**Backup**

Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`

**Ripristino**

Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`

### Amazon Neptune
<a name="neptune-customer-managed-policies"></a>

**Backup**

Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Ripristino**  
Inizia con la `RDSPermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon RDS
<a name="rds-customer-managed-policies"></a>

**Backup**

Inizia con le seguenti dichiarazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Ripristino**  
Inizia con la `RDSPermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Simple Storage Service (Amazon S3)
<a name="s3-customer-managed-policies"></a>

**Backup**  
Inizia con [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html).

Aggiungi le `BackupVaultCopyPermissions` istruzioni `BackupVaultPermissions` e se devi copiare i backup su un altro account.

**Ripristino**  
Inizia con [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html).

### Gateway di archiviazione AWS
<a name="storage-gateway-customer-managed-policies"></a>

**Backup**

Inizia con le seguenti affermazioni di: [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

Aggiungi l'istruzione seguente.

```
{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
},
```

**Ripristino**

Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`

### Macchina virtuale
<a name="vm-customer-managed-policies"></a>

**Backup**  
Inizia con la `BackupGatewayBackupPermissions` dichiarazione di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html).

**Ripristino**  
Inizia con la `GatewayRestorePermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Backup crittografato
<a name="customer-managed-policies-encrypted-backup"></a>

**Per ripristinare un backup crittografato, puoi procedere in uno dei seguenti modi:**
+ Aggiungi il tuo ruolo alla lista consentita per la politica AWS KMS chiave
+ Aggiungi le seguenti istruzioni da [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)al tuo ruolo IAM per i ripristini:
  + `KMSDescribePermissions`
  + `KMSPermissions`
  + `KMSCreateGrantPermissions`

## Aggiornamenti delle policy per AWS Backup
<a name="policy-updates"></a>

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS Backup da quando questo servizio ha iniziato a tenere traccia di queste modifiche.


| Modifica | Descrizione | Data | 
| --- | --- | --- | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting): aggiornamento a una policy esistente |  AWS Backup ha aggiunto la seguente autorizzazione a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono a AWS Backup Restore Testing di eliminare i database RDS Tenant dopo il completamento del test di ripristino.  | 18 marzo 2026 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup avviare scansioni antimalware sui punti di ripristino.  | 23 febbraio 2026 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans): nuova policy |  AWS Backup ha aggiunto una nuova policy AWS gestita che fornisce ad Amazon GuardDuty l'autorizzazione a leggere e scansionare i backup dei clienti. AWS Backup assegna un ruolo con questa politica all' GuardDuty avvio delle operazioni. `StartMalwareScan` Ciò è necessario per fornire tutte le autorizzazioni necessarie per le scansioni di malware sui punti di ripristino delle risorse Amazon EC2, Amazon EBS e Amazon S3. Per ulteriori informazioni, consulta la policy gestita. [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)  | 19 novembre 2025 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans): nuova policy |  AWS Backup ha aggiunto una nuova policy AWS gestita che consente AWS Backup di avviare scansioni antimalware sui punti di ripristino. Ciò è necessario per fornire tutte le autorizzazioni necessarie per le scansioni di malware sui punti di ripristino delle risorse Amazon EC2, Amazon EBS e Amazon S3. Per ulteriori informazioni, consulta la policy gestita. [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)  | 19 novembre 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente |  Aggiunto `malware-protection.guardduty.amazonaws.com` a`IamPassRolePermissions`, necessario per avviare i processi di scansione antimalware.   | 19 novembre 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per avviare processi di scansione antimalware.  | 19 novembre 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup eseguire il backup e il ripristino dei cluster Amazon EKS.  | 10 novembre 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup eseguire il backup e il ripristino dei cluster Amazon EKS.  | 10 novembre 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup creare backup dei cluster Amazon EKS e delle relative risorse associate per conto dei clienti.  | 10 novembre 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup creare backup dei cluster Amazon EKS e delle relative risorse associate per conto dei clienti.  | 10 novembre 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup eseguire operazioni di ripristino per i cluster Amazon EKS e le relative risorse associate per conto dei clienti.  | 10 novembre 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente |  AWS Backup ha aggiunto la seguente autorizzazione a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Questa autorizzazione consente di AWS Backup sincronizzare le informazioni degli amministratori delegati con Organizations per le funzionalità di gestione tra account.  | 9 settembre 2025 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans): nuova policy |  AWS Backup ha aggiunto una nuova policy AWS gestita che fornisce ad Amazon GuardDuty l'autorizzazione a leggere e scansionare i backup dei clienti. AWS Backup assegna un ruolo con questa politica all' GuardDuty avvio delle operazioni. `StartMalwareScan` Ciò è necessario per fornire tutte le autorizzazioni necessarie per le scansioni di malware sui punti di ripristino delle risorse Amazon EC2, Amazon EBS e Amazon S3. Per ulteriori informazioni, consulta la policy gestita. [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)  | 24 novembre 2025 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans): nuova policy |  AWS Backup ha aggiunto una nuova policy AWS gestita che consente AWS Backup di avviare scansioni antimalware sui punti di ripristino. Ciò è necessario per fornire tutte le autorizzazioni necessarie per le scansioni di malware sui punti di ripristino delle risorse Amazon EC2, Amazon EBS e Amazon S3. Per ulteriori informazioni, consulta la policy gestita. [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)  | 24 novembre 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per AWS Backup eseguire operazioni di ripristino orchestrate in più regioni per le risorse DSQL per conto dei clienti.  | 17 luglio 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per AWS Backup l'integrazione con Gestione dell'account AWS e AWS Organizations quindi i clienti possono scegliere l'approvazione multipartitica (MPA) come parte dei loro vault logicamente isolati.  | 17 giugno 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— Aggiornamento a una politica esistente: |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per consentire ai clienti di ripristinare le istantanee di Amazon FSx for OpenZFS Multi-Availability Zone (Multi-AZ) tramite. AWS Backup  | 27 maggio 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup eseguire il backup e il ripristino delle risorse SQL di Amazon Aurora.  | 21 maggio 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup eseguire il backup e il ripristino delle risorse SQL di Amazon Aurora.  | 21 maggio 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup creare, eliminare, recuperare e gestire istantanee SQL di Amazon Aurora per conto dei clienti.  | 21 maggio 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup creare, eliminare, recuperare, crittografare, decrittografare e gestire gli snapshot SQL di Amazon Aurora per conto dei clienti.  | 21 maggio 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di gestire i backup AWS Backup di Aurora DSQL a intervalli specificati dal cliente.  | 21 maggio 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie affinché i clienti designati abbiano pieno accesso ai backup Serverless di Amazon Redshift, incluse le autorizzazioni di lettura richieste e la possibilità di eliminare i punti di ripristino Amazon Redshift Serverless (backup snapshot).   | 31 marzo 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie affinché i clienti designati dispongano di tutte le autorizzazioni di backup necessarie per Amazon Redshift Serverless, incluse le autorizzazioni di lettura richieste.  | 31 marzo 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per AWS Backup gestire gli snapshot Serverless di Amazon Redshift a intervalli specificati dal cliente.  | 31 marzo 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per consentire di AWS Backup creare, eliminare, recuperare e gestire gli snapshot Serverless di Amazon Redshift per conto dei clienti.  | 31 marzo 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie AWS Backup per consentire il ripristino degli snapshot Serverless di Amazon Redshift e Amazon Redshift per conto del cliente.  | 31 marzo 2025 | 
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— Aggiunta una nuova policy gestita AWS  | AWS Backup ha aggiunto la politica AWSBackupSearchOperatorAccess AWS gestita. | 27 febbraio 2025 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente  |  AWS Backup ha aggiunto l'autorizzazione `rds:AddTagsToResource` a supportare la copia di backup con snapshot multi-tenant di Amazon RDS su più account. Questa autorizzazione è necessaria per completare le operazioni quando un cliente sceglie di creare una copia multiaccount di uno snapshot RDS multi-tenant.  | 08 gennaio 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente |  AWS Backup ha aggiunto le autorizzazioni `rds:CreateTenantDatabase` e `rds:DeleteTenantDatabase` a questa policy per supportare il processo di ripristino delle risorse Amazon RDS. Queste autorizzazioni sono necessarie per completare le operazioni del cliente per il ripristino di istantanee multi-tenant.  | 08 gennaio 2025 | 
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— Aggiunta una nuova policy gestita AWS  | AWS Backup ha aggiunto la politica AWSBackupServiceRolePolicyForItemRestores AWS gestita. | 26 novembre 2024 | 
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— Aggiunta una nuova politica AWS gestita | AWS Backup ha aggiunto la politica AWSBackupServiceRolePolicyForIndexing AWS gestita. | 26 novembre 2024 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente |  AWS Backup ha aggiunto l'autorizzazione `backup:TagResource` a questa politica. L'autorizzazione è necessaria per ottenere le autorizzazioni di etichettatura durante la creazione di un punto di ripristino.  | 17 maggio 2024 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): aggiornamento a una politica esistente  |  AWS Backup ha aggiunto l'autorizzazione `backup:TagResource` a questa politica. L'autorizzazione è necessaria per ottenere le autorizzazioni di etichettatura durante la creazione di un punto di ripristino.  | 17 maggio 2024 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente  |  AWS Backup ha aggiunto l'autorizzazione `backup:TagResource` a questa politica. L'autorizzazione è necessaria per ottenere le autorizzazioni di etichettatura durante la creazione di un punto di ripristino.  | 17 maggio 2024 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | È stata aggiunta l'autorizzazione`rds:DeleteDBInstanceAutomatedBackups`.  Questa autorizzazione è necessaria per AWS Backup supportare il backup continuo e point-in-time-restore delle istanze Amazon RDS.  | 1º maggio 2024 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | AWS Backup ha aggiornato l'Amazon Resource Name (ARN) nell'autorizzazione `storagegateway:ListVolumes` da `arn:aws:storagegateway:*:*:gateway/*` a per `*` adattarsi a una modifica del modello API Storage Gateway. | 1º maggio 2024 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | AWS Backup ha aggiornato l'Amazon Resource Name (ARN) nell'autorizzazione `storagegateway:ListVolumes` da `arn:aws:storagegateway:*:*:gateway/*` a per `*` adattarsi a una modifica del modello API Storage Gateway. | 1º maggio 2024 | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting): aggiornamento di una policy esistente |  Sono state aggiunte le seguenti autorizzazioni per descrivere ed elencare i punti di ripristino e le risorse protette al fine di condurre piani di test di ripristino:`backup:DescribeRecoveryPoint`, `backup:DescribeProtectedResource``backup:ListProtectedResources`, e. `backup:ListRecoveryPointsByResource` È stata aggiunta l'autorizzazione `ec2:DescribeSnapshotTierStatus` a supportare lo storage a livello di archivio di Amazon EBS. È stata aggiunta l'autorizzazione `rds:DescribeDBClusterAutomatedBackups` a supportare i backup continui di Amazon Aurora. Sono state aggiunte le seguenti autorizzazioni per supportare i test di ripristino dei backup `redshift:DescribeClusters` di Amazon Redshift: e. `redshift:DeleteCluster` È stata aggiunta l'autorizzazione `timestream:DeleteTable` a supportare i test di ripristino dei backup di Amazon Timestream.  | 14 febbraio 2024 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente  |  Aggiunte le autorizzazioni `ec2:DescribeSnapshotTierStatus` e. `ec2:RestoreSnapshotTier` Queste autorizzazioni sono necessarie per consentire agli utenti di ripristinare le risorse Amazon EBS archiviate AWS Backup dallo storage di archivio. Per il ripristino delle istanze EC2, devi includere anche le autorizzazioni come mostrato nella seguente istruzione di policy per avviare l'istanza EC2:  | 27 novembre 2023 | 
|  [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente  |  Sono state aggiunte le autorizzazioni `ec2:DescribeSnapshotTierStatus` e `ec2:ModifySnapshotTier` il supporto di un'opzione di storage aggiuntiva per la transizione delle risorse di backup di Amazon EBS al livello di storage di archiviazione. Queste autorizzazioni sono necessarie affinché gli utenti abbiano la possibilità di trasferire le risorse Amazon EBS archiviate AWS Backup allo storage di archivio.  | 27 novembre 2023 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente  |  Sono state aggiunte le autorizzazioni `ec2:DescribeSnapshotTierStatus` e `ec2:ModifySnapshotTier` il supporto di un'opzione di storage aggiuntiva per la transizione delle risorse di backup di Amazon EBS al livello di storage di archiviazione. Queste autorizzazioni sono necessarie affinché gli utenti abbiano la possibilità di trasferire le risorse Amazon EBS archiviate AWS Backup allo storage di archivio. Sono state aggiunte le autorizzazioni `rds:DescribeDBClusterSnapshots` e`rds:RestoreDBClusterToPointInTime`, necessarie per PITR (point-in-time ripristini) dei cluster Aurora.  | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting): nuova policy |  Fornisce le autorizzazioni necessarie per eseguire i test di ripristino. Le autorizzazioni includono le azioni `list, read, and write` per i seguenti servizi da includere nei test di ripristino: Aurora, DocumentDB, DynamoDB, Amazon EBS FSx , Amazon EC2, Amazon EFS, for FSx Lustre, per Windows File Server, per FSx ONTAP, per FSx OpenZFS, Amazon Neptune, Amazon RDS e Amazon S3.  | 27 novembre 2023 | 
|  [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente  |  Aggiunto `restore-testing.backup.amazonaws.com` a `IamPassRolePermissions` e `IamCreateServiceLinkedRolePermissions`. Questa aggiunta è necessaria per eseguire test di ripristino per conto dei clienti. AWS Backup   | 27 novembre 2023 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Sono state aggiunte le autorizzazioni `rds:DescribeDBClusterSnapshots` e`rds:RestoreDBClusterToPointInTime`, necessarie per PITR (point-in-time ripristini) dei cluster Aurora. | 6 settembre 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | È stata aggiunta l'autorizzazione`rds:DescribeDBClusterAutomatedBackups`, necessaria per il backup e il point-in-time ripristino continui dei cluster Aurora. | 6 settembre 2023 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | È stata aggiunta l'autorizzazione`rds:DescribeDBClusterAutomatedBackups`, necessaria per il backup e il point-in-time ripristino continui dei cluster Aurora. | 6 settembre 2023 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente |  È stata aggiunta l'autorizzazione. `rds:DescribeDBClusterAutomatedBackups` Questa autorizzazione è necessaria per il AWS Backup supporto del backup e del point-in-time ripristino continui dei cluster Aurora. È stata aggiunta l'autorizzazione `rds:DeleteDBClusterAutomatedBackups` per consentire a AWS Backup Lifecycle di eliminare e dissociare i punti di ripristino continui di Amazon Aurora al termine di un periodo di conservazione. Questa autorizzazione è necessaria affinché il punto di ripristino Aurora eviti la transizione verso uno stato `EXIPIRED`. Aggiunta l'autorizzazione `rds:ModifyDBCluster` che consente di AWS Backup interagire con i cluster Aurora. Questa aggiunta consente agli utenti di abilitare o disabilitare i backup continui in base alle configurazioni desiderate.  | 6 settembre 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente |  È stata aggiunta l'azione `ram:GetResourceShareAssociations` per concedere all'utente l'autorizzazione a ottenere associazioni di condivisione delle risorse per un nuovo tipo di archivio.  | 8 agosto 2023 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente |  È stata aggiunta l'azione `ram:GetResourceShareAssociations` per concedere all'utente l'autorizzazione a ottenere associazioni di condivisione delle risorse per un nuovo tipo di archivio.  | 8 agosto 2023 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): aggiornamento a una politica esistente  |  È stata aggiunta l'autorizzazione `s3:PutInventoryConfiguration` a migliorare la velocità delle prestazioni di backup utilizzando un bucket inventory.  | 1° agosto 2023 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente  |  Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per aggiungere tag `ec2:CreateTags` per ripristinare le risorse: `storagegateway:AddTagsToResource``elasticfilesystem:TagResource`,, solo `ec2:CreateAction` ciò include `RunInstances` o `CreateVolume``fsx:TagResource`, e. `cloudformation:TagResource`  | 22 maggio 2023 | 
|  [AWSBackupAuditAccess](#AWSBackupAuditAccess): aggiornamento di una policy esistente  |  Ha sostituito la selezione delle risorse all'interno dell'API `config:DescribeComplianceByConfigRule` con una risorsa wildcard per facilitare la selezione delle risorse da parte di un utente.  | 11 aprile 2023 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente  |  È stata aggiunta la seguente autorizzazione per ripristinare Amazon EFS utilizzando una chiave gestita dal cliente:`kms:GenerateDataKeyWithoutPlaintext`. Questo aiuta a garantire che gli utenti dispongano delle autorizzazioni necessarie per ripristinare le risorse Amazon EFS.  | 27 marzo 2023 | 
|  [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports): aggiornamento di una policy esistente  |  Sono state aggiornate le `config:DescribeConfigRuleEvaluationStatus` azioni `config:DescribeConfigRules` and per consentire a AWS Backup Audit Manager di accedere alle regole gestite AWS Config da AWS Backup Audit Manager.  | 9 marzo 2023 | 
|  [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore): aggiornamento a una politica esistente  |  Sono state aggiunte le seguenti autorizzazioni: `kms:Decrypt``s3:PutBucketOwnershipControls`, e `s3:GetBucketOwnershipControls` alla politica. `AWSBackupServiceRolePolicyForS3Restore` Queste autorizzazioni sono necessarie per supportare il ripristino degli oggetti quando la crittografia KMS viene utilizzata nel backup originale e per il ripristino degli oggetti quando la proprietà degli oggetti è configurata sul bucket originale anziché su ACL.  | 13 febbraio 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per pianificare i backup utilizzando i VMware tag delle macchine virtuali e per supportare la limitazione della larghezza di banda basata sulla pianificazione:`backup-gateway:GetHypervisorPropertyMappings`,,,,, e. `backup-gateway:GetVirtualMachine` `backup-gateway:PutHypervisorPropertyMappings` `backup-gateway:GetHypervisor` `backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule`  | 15 dicembre 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per pianificare i backup utilizzando i VMware tag delle macchine virtuali e per supportare la limitazione della larghezza di banda basata sulla pianificazione:,, e. `backup-gateway:GetHypervisorPropertyMappings` `backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule`  | 15 dicembre 2022 | 
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync): nuova policy |  Fornisce le autorizzazioni a AWS Backup Gateway per sincronizzare i metadati delle macchine virtuali nelle reti locali con Backup Gateway.  | 15 dicembre 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare i processi di backup di Timestream:`timestream:StartAwsBackupJob`,,,,,`timestream:GetAwsBackupStatus`, `timestream:ListTables` e. `timestream:ListDatabases` `timestream:ListTagsForResource` `timestream:DescribeTable` `timestream:DescribeDatabase` `timestream:DescribeEndpoints`  | 13 dicembre 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare i processi di ripristino di Timestream:`timestream:StartAwsRestoreJob`,,,,,`timestream:GetAwsRestoreStatus`, `timestream:ListTables``timestream:ListTagsForResource`, `timestream:ListDatabases` e. `timestream:DescribeTable` `timestream:DescribeDatabase` `s3:GetBucketAcl` `timestream:DescribeEndpoints`  | 13 dicembre 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare le risorse Timestream:,, e. `timestream:ListTables` `timestream:ListDatabases` `s3:ListAllMyBuckets` `timestream:DescribeEndpoints`  | 13 dicembre 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare le risorse Timestream:,,, e. `timestream:ListDatabases` `timestream:ListTables` `s3:ListAllMyBuckets` `timestream:DescribeEndpoints`  | 13 dicembre 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare le risorse Timestream:`timestream:ListDatabases`,,,,, `timestream:ListTables``timestream:ListTagsForResource`, `timestream:DescribeDatabase` e. `timestream:DescribeTable` `timestream:GetAwsBackupStatus` `timestream:GetAwsRestoreStatus` `timestream:DescribeEndpoints`  | 13 dicembre 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare le risorse Amazon Redshift`redshift:DescribeClusters`:`redshift:DescribeClusterSubnetGroups`,,`redshift:DescribeNodeConfigurationOptions`,`redshift:DescribeOrderableClusterOptions`,`redshift:DescribeClusterParameterGroups`, `redshift:DescribeClusterTracks``redshift:DescribeSnapshotSchedules`, e. `ec2:DescribeAddresses`  | 27 novembre 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare le risorse Amazon Redshift`redshift:DescribeClusters`:`redshift:DescribeClusterSubnetGroups`,,,, `redshift:DescribeNodeConfigurationOptions``redshift:DescribeOrderableClusterOptions`,`redshift:DescribeClusterParameterGroups,`. `redshift:DescribeClusterTracks` `redshift:DescribeSnapshotSchedules`, e. `ec2:DescribeAddresses`  | 27 novembre 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente |  Sono state aggiunte le seguenti autorizzazioni per supportare i processi di ripristino di Amazon Redshift`redshift:RestoreFromCluster Snapshot`:`redshift:RestoreTableFromClusterSnapshot`,`redshift:DescribeClusters`, e. `redshift:DescribeTableRestoreStatus`  | 27 novembre 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente |  Sono state aggiunte le seguenti autorizzazioni per supportare i processi di backup di Amazon Redshift`redshift:CreateClusterSnapshot`:`redshift:DescribeClusterSnapshots`,,`redshift:DescribeTags`, `redshift:DeleteClusterSnapshot``redshift:DescribeClusters`, e. `redshift:CreateTags`  | 27 novembre 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | È stata aggiunta la seguente autorizzazione per supportare CloudFormation le risorse:. `cloudformation:ListStacks`  | 27 novembre 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | È stata aggiunta la seguente autorizzazione per supportare CloudFormation le risorse:`cloudformation:ListStacks`. | 27 novembre 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare CloudFormation le risorse:`redshift:DescribeClusterSnapshots`, `redshift:DescribeTags``redshift:DeleteClusterSnapshot`, e`redshift:DescribeClusters`.  | 27 novembre 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare i processi di backup dello stack di CloudFormation applicazioni:`cloudformation:GetTemplate`, e`cloudformation:DescribeStacks`. `cloudformation:ListStackResources`  | 16 novembre 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare i job di backup dello stack di CloudFormation applicazioni: e `cloudformation:CreateChangeSet` `cloudformation:DescribeChangeSet`  | 16 novembre 2022 | 
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni a questa politica per consentire agli amministratori dell'organizzazione di utilizzare la funzionalità Amministratore delegato:,, e `organizations:ListDelegatedAdministrator` `organizations:RegisterDelegatedAdministrator` `organizations:DeregisterDelegatedAdministrator`  | 27 novembre 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare SAP HANA su istanze Amazon EC2:`ssm-sap:GetOperation`,,,, `ssm-sap:ListDatabases` e. `ssm-sap:BackupDatabase` `ssm-sap:UpdateHanaBackupSettings` `ssm-sap:GetDatabase` `ssm-sap:ListTagsForResource`  | 20 novembre 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare SAP HANA su istanze Amazon EC2:,, e. `ssm-sap:GetOperation` `ssm-sap:ListDatabases` `ssm-sap:GetDatabase` `ssm-sap:ListTagsForResource`  | 20 novembre 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare SAP HANA su istanze Amazon EC2:,, e. `ssm-sap:GetOperation` `ssm-sap:ListDatabases` `ssm-sap:GetDatabase` `ssm-sap:ListTagsForResource`  | 20 novembre 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | È stata aggiunta la seguente autorizzazione per supportare SAP HANA su istanze Amazon EC2:. `ssm-sap:GetOperation`  | 20 novembre 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | È stata aggiunta la seguente autorizzazione per supportare i processi di ripristino del gateway di Backup su un'istanza EC2:`ec2:CreateTags`.  | 20 novembre 2022 | 
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare il trasferimento sicuro dei dati di storage per SAP HANA sulle risorse Amazon EC2:`backup-storage:StartObject`,,,, `backup-storage:PutChunk``backup-storage:GetChunk`, `backup-storage:ListChunks` e. `backup-storage:ListObjects` `backup-storage:GetObjectMetadata` `backup-storage:NotifyObjectComplete`  | 20 novembre 2022 | 
| [AWSBackupRestoreAccessForSAPHANA: aggiornamento a](#AWSBackupRestoreAccessForSAPHANA) una policy esistente | Sono state aggiunte le seguenti autorizzazioni per consentire ai proprietari delle risorse di eseguire il ripristino di SAP HANA sulle risorse Amazon EC2:`backup:Get*`,,`backup:List*`,`backup:Describe*`,`backup:StartBackupJob`,`backup:StartRestoreJob`,`ssm-sap:GetOperation`, `ssm-sap:ListDatabases``ssm-sap:BackupDatabase`, `ssm-sap:RestoreDatabase` e. `ssm-sap:UpdateHanaBackupSettings` `ssm-sap:GetDatabase` `ssm-sap:ListTagsForResource`  | 20 novembre 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): aggiornamento a una policy esistente  |  È stata aggiunta l'autorizzazione `s3:GetBucketAcl` a supportare le operazioni di backup AWS Backup di Amazon S3.  | 24 agosto 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente  |  Sono state aggiunte le seguenti azioni per concedere l'accesso alla creazione di un'istanza di database per supportare la funzionalità Multi-Availability Zone (Multi-AZ):. `rds:CreateDBInstance`  | 20 luglio 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente  |  È stata aggiunta l'`s3:GetBucketTagging`autorizzazione a concedere all'utente l'autorizzazione a selezionare i bucket di cui eseguire il backup con una jolly di risorse. Senza questa autorizzazione, gli utenti che selezionano i bucket di cui eseguire il backup con una risorsa wildcard non hanno successo.  | 6 maggio 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente  |  Sono state aggiunte risorse di volume nell'ambito delle azioni esistenti `fsx:CreateBackup` e sono state aggiunte nuove `fsx:ListTagsForResource` azioni FSx per il supporto dei backup `fsx:DescribeVolumes` a livello di volume ONTAP.  | 27 aprile 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente  |  Sono state aggiunte le seguenti azioni per concedere agli utenti le autorizzazioni FSx per il ripristino dei volumi ONTAP`fsx:DescribeVolumes`,, `fsx:CreateVolumeFromBackup` e. `fsx:DeleteVolume` `fsx:UntagResource`  | 27 aprile 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): aggiornamento a una politica esistente  |  Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per ricevere notifiche di modifiche ai propri bucket Amazon S3 durante le operazioni di backup: e. `s3:GetBucketNotification` `s3:PutBucketNotification`  | 25 febbraio 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): nuova politica  |  Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per eseguire il backup dei propri bucket Amazon S3`s3:GetInventoryConfiguration`:`s3:PutInventoryConfiguration`,,`s3:ListBucketVersions`,`s3:ListBucket`,, `s3:GetBucketTagging``s3:GetBucketVersioning`, e `s3:GetBucketNotification` `s3:GetBucketLocation` `s3:ListAllMyBuckets` Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per il backup dei propri oggetti Amazon S3`s3:GetObject`:`s3GetObjectAcl`,,`s3:GetObjectVersionTagging`, `s3:GetObjectVersionAcl``s3:GetObjectTagging`, e. `s3:GetObjectVersion`  Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per il backup dei dati `kms:Decrypt` crittografati di Amazon S3: e. `kms:DescribeKey`  Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per eseguire backup incrementali dei dati Amazon S3 utilizzando le regole di EventBridge Amazon`events:DescribeRule`:`events:EnableRule`,,,`events:PutRule`,`events:DeleteRule`,, `events:PutTargets` `events:RemoveTargets``events:ListTargetsByRule`, `events:DisableRule` e. `cloudwatch:GetMetricData` `events:ListRules`  | 17 febbraio 2022 | 
| [AWSBackupServiceRolePolicyForS3Restore: nuova politica](#AWSBackupServiceRolePolicyForS3Restore)  |  Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per ripristinare i propri bucket Amazon S3`s3:CreateBucket`:`s3:ListBucketVersions`,,, `s3:ListBucket``s3:GetBucketVersioning`, `s3:GetBucketLocation` e. `s3:PutBucketVersioning` Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per ripristinare i propri bucket Amazon S3`s3:GetObject`:`s3:GetObjectVersion`,`s3:DeleteObject`,`s3:PutObjectVersionAcl`,`s3:GetObjectVersionAcl`,`s3:GetObjectTagging`,, `s3:PutObjectTagging` `s3:GetObjectAcl``s3:PutObjectAcl`, `s3:PutObject` e. `s3:ListMultipartUploadParts` Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per crittografare i dati Amazon S3 ripristinati`kms:Decrypt`:`kms:DescribeKey`, e. `kms:GenerateDataKey`  | 17 febbraio 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente  |  `s3:ListAllMyBuckets`Aggiunto per concedere all'utente le autorizzazioni per visualizzare un elenco dei propri bucket e scegliere quali assegnare a un piano di backup.  | 14 febbraio 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente  |  `backup-gateway:ListVirtualMachines`Aggiunto per concedere all'utente le autorizzazioni per visualizzare un elenco delle proprie macchine virtuali e scegliere quali assegnare a un piano di backup. `backup-gateway:ListTagsForResource`Aggiunto per concedere all'utente le autorizzazioni per elencare i tag per le proprie macchine virtuali.  | 30 novembre 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente  |  Aggiunto `backup-gateway:Backup` per concedere all'utente le autorizzazioni per ripristinare i backup delle macchine virtuali. AWS Backup aggiunto anche `backup-gateway:ListTagsForResource` per concedere all'utente le autorizzazioni per elencare i tag assegnati ai backup delle macchine virtuali.  | 30 novembre 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente  |  Aggiunto `backup-gateway:Restore` per concedere all'utente le autorizzazioni per ripristinare i backup delle macchine virtuali.  | 30 novembre 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente  |  Sono state aggiunte le seguenti azioni per concedere agli utenti le autorizzazioni necessarie per utilizzare AWS Backup Gateway per il backup, il ripristino e la gestione delle macchine virtuali: `backup-gateway:AssociateGatewayToServer` `backup-gateway:CreateGateway` `backup-gateway:DeleteGateway``backup-gateway:DeleteHypervisor`,`backup-gateway:DisassociateGatewayFromServer`,`backup-gateway:ImportHypervisorConfiguration`,`backup-gateway:ListGateways`,`backup-gateway:ListHypervisors`,`backup-gateway:ListTagsForResource`,`backup-gateway:ListVirtualMachines`,`backup-gateway:PutMaintenanceStartTime`,, `backup-gateway:TagResource` `backup-gateway:TestHypervisorConfiguration``backup-gateway:UntagResource`, `backup-gateway:UpdateGatewayInformation` e. `backup-gateway:UpdateHypervisor`  | 30 novembre 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente  |  Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per il backup delle proprie macchine virtuali:`backup-gateway:ListGateways`, `backup-gateway:ListHypervisors``backup-gateway:ListTagsForResource`, e. `backup-gateway:ListVirtualMachines`  | 30 novembre 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente  |  `dynamodb:ListTagsOfResource`Aggiunto per concedere all'utente le autorizzazioni per elencare i tag delle tabelle DynamoDB di cui eseguire il backup utilizzando le funzionalità di backup avanzate AWS Backup di DynamoDB.  | 23 novembre 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente  |  `dynamodb:StartAwsBackupJob`Aggiunto per concedere all'utente le autorizzazioni per eseguire il backup delle tabelle DynamoDB utilizzando funzionalità di backup avanzate. `dynamodb:ListTagsOfResource`Aggiunto per concedere all'utente le autorizzazioni per copiare i tag dalle tabelle DynamoDB di origine ai propri backup.  | 23 novembre 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente  |  `dynamodb:RestoreTableFromAwsBackup`Aggiunto per concedere all'utente le autorizzazioni per ripristinare le tabelle DynamoDB di cui è stato eseguito il backup utilizzando le funzionalità di backup avanzate AWS Backup di DynamoDB.  | 23 novembre 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente  |  `dynamodb:RestoreTableFromAwsBackup`Aggiunto per concedere all'utente le autorizzazioni per ripristinare le tabelle DynamoDB di cui è stato eseguito il backup utilizzando le funzionalità di backup avanzate AWS Backup di DynamoDB.  | 23 novembre 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente  |  Le azioni sono state rimosse perché erano `backup:GetRecoveryPointRestoreMetadata` ridondanti. `rds:DescribeDBSnapshots`  AWS Backup non aveva bisogno di entrambi `backup:GetRecoveryPointRestoreMetadata` e `backup:Get*` come parte di. `AWSBackupOperatorAccess` Inoltre, AWS Backup non aveva bisogno di entrambi `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` come parte di`AWSBackupOperatorAccess`.  | 23 novembre 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente  |  Sono state aggiunte le nuove azioni `elasticfilesystem:DescribeFileSystems``dynamodb:ListTables`,`storagegateway:ListVolumes`,`ec2:DescribeVolumes`,`ec2:DescribeInstances`, `rds:DescribeDBInstances``rds:DescribeDBClusters`, e `fsx:DescribeFileSystems` per consentire ai clienti di visualizzare e scegliere da un elenco delle risorse AWS Backup supportate al momento di selezionare le risorse da assegnare a un piano di backup.  | 10 novembre 2021 | 
| [AWSBackupAuditAccess](#AWSBackupAuditAccess): nuova policy  |  Aggiunto `AWSBackupAuditAccess` per concedere all'utente le autorizzazioni per utilizzare AWS Backup Audit Manager. Le autorizzazioni includono la possibilità di configurare i framework di conformità e generare report.  | 24 agosto 2021 | 
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports): nuova policy  |  `AWSServiceRolePolicyForBackupReports`Aggiunto per concedere le autorizzazioni per un ruolo collegato al servizio per automatizzare il monitoraggio delle impostazioni, dei processi e delle risorse di backup per la conformità con i framework configurati dall'utente.  | 24 agosto 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente  |  `iam:CreateServiceLinkedRole`Aggiunto per creare un ruolo collegato ai servizi (nel migliore dei modi) per automatizzare l'eliminazione dei punti di ripristino scaduti per te. Senza questo ruolo collegato ai servizi, AWS Backup non è possibile eliminare i punti di ripristino scaduti dopo che i clienti hanno eliminato il ruolo IAM originale utilizzato per creare i punti di ripristino.  | 5 luglio 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente  |  È stata aggiunta la nuova azione `dynamodb:DeleteBackup` per concedere l'`DeleteRecoveryPoint`autorizzazione per automatizzare l'eliminazione dei punti di ripristino DynamoDB scaduti in base alle impostazioni del ciclo di vita del piano di backup.  | 5 luglio 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente  |  Sono state rimosse le azioni perché erano ridondanti`backup:GetRecoveryPointRestoreMetadata`. `rds:DescribeDBSnapshots` AWS Backup non aveva bisogno di entrambi `backup:GetRecoveryPointRestoreMetadata` e `backup:Get*` come parte di Also`AWSBackupOperatorAccess`, non AWS Backup aveva bisogno di entrambi `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` come parte di `AWSBackupOperatorAccess`  | 25 maggio 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente  |  Ho rimosso `backup:GetRecoveryPointRestoreMetadata` le azioni `rds:DescribeDBSnapshots` perché erano ridondanti. AWS Backup non aveva bisogno di entrambi `backup:GetRecoveryPointRestoreMetadata` e `backup:Get*` come parte di. `AWSBackupOperatorAccess` Inoltre, AWS Backup non aveva bisogno di entrambi `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` come parte di`AWSBackupOperatorAccess`.  | 25 maggio 2021 | 
| [AWSBackupServiceRolePolicyForRestores](): aggiornamento di una policy esistente  |  È stata aggiunta la nuova azione `fsx:TagResource` per concedere `StartRestoreJob` l'autorizzazione per consentire di applicare tag ai FSx file system Amazon durante il processo di ripristino.  | 24 maggio 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente  |  Sono state aggiunte le nuove azioni `ec2:DescribeImages` e `ec2:DescribeInstances` la concessione `StartRestoreJob` dell'autorizzazione per consentire il ripristino delle istanze Amazon EC2 dai punti di ripristino.  | 24 maggio 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente  |  È stata aggiunta la nuova azione `fsx:CopyBackup` per concedere `StartCopyJob` l'autorizzazione per consentirti di copiare i punti di FSx ripristino Amazon tra regioni e account.  | 12 Aprile 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente  |  È stata aggiunta la nuova azione `fsx:CopyBackup` per concedere `StartCopyJob` l'autorizzazione per consentirti di copiare i punti di FSx ripristino Amazon tra regioni e account.  | 12 Aprile 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente  |  Aggiornato per soddisfare i seguenti requisiti:  AWS Backup Per creare un backup di una tabella DynamoDB crittografata, è necessario aggiungere `kms:Decrypt` le autorizzazioni `kms:GenerateDataKey` e il ruolo IAM utilizzato per il backup.  | 10 marzo 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente  |  Aggiornato per soddisfare i seguenti requisiti:  AWS Backup Per configurare backup continui per il tuo database Amazon RDS, verifica che l'autorizzazione API `rds:ModifyDBInstance` esista nel ruolo IAM definito dalla configurazione del tuo piano di backup. Per ripristinare i backup continui di Amazon RDS, devi aggiungere l'autorizzazione `rds:RestoreDBInstanceToPointInTime` al ruolo IAM inviato per il processo di ripristino. Nella AWS Backup console, per descrivere l'intervallo di tempo disponibile per il point-in-time ripristino, devi includere l'autorizzazione `rds:DescribeDBInstanceAutomatedBackups` API nella tua policy gestita da IAM.  | 10 marzo 2021 | 
|  AWS Backup ha iniziato a tenere traccia delle modifiche  |  AWS Backup ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.  | 10 marzo 2021 | 

# Utilizzo di ruoli collegati ai servizi per AWS Backup
<a name="using-service-linked-roles"></a>

AWS Backup utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Backup I ruoli collegati ai servizi sono predefiniti AWS Backup e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS 

**Topics**
+ [Utilizzo dei ruoli per il backup e la copia](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [Utilizzo dei ruoli per AWS Backup Audit Manager](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [Utilizzo dei ruoli per i test di ripristino](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)

# Utilizzo dei ruoli per il backup e la copia
<a name="using-service-linked-roles-AWSServiceRoleForBackup"></a>

AWS Backup utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Backup I ruoli collegati ai servizi sono predefiniti AWS Backup e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS 

Un ruolo collegato al servizio semplifica la configurazione AWS Backup perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Backup definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Backup Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi AWS Backup le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

## Autorizzazioni di ruolo collegate al servizio per AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackup"></a>

AWS Backup utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForBackup**per creare ed eliminare backup delle risorse per tuo conto. AWS 

Il ruolo AWSService RoleForBackup collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `backup.amazonaws.com`

*Per visualizzare le autorizzazioni per questa politica, consulta il Managed Policy [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)Reference.AWS *

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.

## Creazione di un ruolo collegato al servizio per AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackup"></a>

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando elenchi risorse di cui eseguire il backup, configuri il backup su più account o esegui backup nella Console di gestione AWS, la o l' AWS API AWS CLI, AWS Backup crea automaticamente il ruolo collegato al servizio. 

**Importante**  
 Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando elenchi le risorse di cui eseguire il backup, configuri il backup su più account o esegui backup, viene nuovamente AWS Backup creato il ruolo collegato al servizio. 

## Modifica di un ruolo collegato al servizio per AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackup"></a>

AWS Backup non consente di modificare il ruolo collegato al AWSService RoleForBackup servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Edit a service-linked role description](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) nella *Guida per l’utente IAM*.

## Eliminazione di un ruolo collegato al servizio per AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackup"></a>

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

### Pulizia di un ruolo collegato ai servizi
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackup"></a>

Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo. Innanzitutto, devi eliminare tutti i punti di ripristino. Quindi, devi eliminare tutti i vault di backup.

**Nota**  
Se il AWS Backup servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti, quindi ripeti l'operazione.

**Per eliminare AWS Backup le risorse utilizzate dalla AWSService RoleForBackup (console)**

1. Per eliminare tutti i punti di ripristino e gli archivi di backup (ad eccezione del vault predefinito), segui la procedura descritta in [Eliminare un](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault) vault.

1. Per eliminare il vault predefinito, utilizza il seguente comando in AWS CLI:

   ```
   aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
   ```

**Per eliminare AWS Backup le risorse utilizzate da () AWSService RoleForBackup AWS CLI**

1. Per eliminare tutti i punti di ripristino, utilizza [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html).

1. Per eliminare tutti i vault di backup, utilizza [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html).

**Per eliminare AWS Backup le risorse utilizzate dall' AWSServiceRoleForBackup (API)**

1. Per eliminare tutti i punti di ripristino, utilizza `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`.

1. Per eliminare tutti i vault di backup, utilizza `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`.

### Eliminazione manuale del ruolo collegato ai servizi
<a name="slr-manual-delete-AWSServiceRoleForBackup"></a>

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSService RoleForBackup collegato al servizio. Per ulteriori dettagli, consulta [Delete a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) nella *Guida per l’utente IAM*.

## Regioni supportate per i ruoli collegati ai servizi AWS Backup
<a name="slr-regions-AWSServiceRoleForBackup"></a>

AWS Backup supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Disponibilità delle funzionalitàAWS Backup tramite Regione](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Utilizzo dei ruoli per AWS Backup Audit Manager
<a name="using-service-linked-roles-AWSServiceRoleForBackupReports"></a>

AWS Backup utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Backup I ruoli collegati ai servizi sono predefiniti AWS Backup e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS 

Un ruolo collegato al servizio semplifica la configurazione AWS Backup perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Backup definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Backup Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi AWS Backup le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

## Autorizzazioni di ruolo collegate al servizio per AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupReports"></a>

AWS Backup utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForBackupReports**: fornisce AWS Backup l'autorizzazione per creare controlli, framework e report.

Il ruolo AWSService RoleForBackupReports collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `reports.backup.amazonaws.com`

Per vedere le autorizzazioni per questa policy, consulta [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) nella * Guida di riferimento sulle policy gestite da AWS *.

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.

## Creazione di un ruolo collegato al servizio per AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupReports"></a>

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un framework o un piano di report in Console di gestione AWS, the o nell' AWS API AWS CLI, AWS Backup crea automaticamente il ruolo collegato al servizio. 

**Importante**  
 Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un framework o un piano di report, AWS Backup crea nuovamente il ruolo collegato al servizio per te. 

## Modifica di un ruolo collegato al servizio per AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupReports"></a>

AWS Backup non consente di modificare il ruolo collegato al AWSService RoleForBackupReports servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. *Per ulteriori informazioni, consulta Modificare [una descrizione di ruolo collegato al servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) per l'utente IAM.*

## Eliminazione di un ruolo collegato al servizio per AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupReports"></a>

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

### Pulizia di un ruolo collegato ai servizi
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupReports"></a>

Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo. Devi eliminare tutti i framework e i piani di report.

**Nota**  
Se il AWS Backup servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti, quindi ripeti l'operazione.

**Per eliminare AWS Backup le risorse utilizzate dalla AWSService RoleForBackupReports (console)**

1. Per eliminare tutti i framework, consulta [Eliminazione dei framework](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html).

1. Per eliminare tutti i piani di report, consulta [Eliminazione dei piani di report](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html).

**Per eliminare AWS Backup le risorse utilizzate da AWSService RoleForBackupReports (AWS CLI)**

1. Per eliminare tutti i framework, usa [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html).

1. Per eliminare tutti i piani di report, utilizza [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html).

**Per eliminare AWS Backup le risorse utilizzate dall' AWSServiceRoleForBackupReports (API)**

1. Per eliminare tutti i framework, utilizza [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html).

1. Per eliminare tutti i piani di report, utilizza [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html).

### Eliminazione manuale del ruolo collegato ai servizi
<a name="slr-manual-delete-AWSServiceRoleForBackupReports"></a>

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSService RoleForBackupReports collegato al servizio. Per ulteriori dettagli, consulta [Delete a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) nella *Guida per l’utente IAM*.

## Regioni supportate per i ruoli collegati ai servizi AWS Backup
<a name="slr-regions-AWSServiceRoleForBackupReports"></a>

AWS Backup supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Disponibilità delle funzionalitàAWS Backup tramite Regione](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Utilizzo dei ruoli per i test di ripristino
<a name="using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Backup I ruoli collegati ai servizi sono predefiniti AWS Backup e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS 

Un ruolo collegato al servizio semplifica la configurazione AWS Backup perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Backup definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Backup Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi AWS Backup le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

## Autorizzazioni di ruolo collegate al servizio per AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForBackupRestoreTesting**: fornisce le autorizzazioni di backup per eseguire test di ripristino.

Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio **AWSServiceRoleForBackupRestoreTesting** considera attendibili i seguenti servizi:
+ `restore-testing.backup.amazonaws.com`

Per vedere le autorizzazioni per questa policy, consulta [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) nella * Guida di riferimento sulle policy gestite da AWS *.

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.

## Creazione di un ruolo collegato al servizio per AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando esegui il test di ripristino nell'API Console di gestione AWS AWS CLI, l'o l' AWS API, AWS Backup crea automaticamente il ruolo collegato al servizio. 

**Importante**  
 Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando esegui il test di ripristino, AWS Backup crea nuovamente il ruolo collegato al servizio.

## Modifica di un ruolo collegato al servizio per AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup non consente di modificare il ruolo collegato al AWSService RoleForBackupRestoreTesting servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Edit a service-linked role description](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) nella *Guida per l’utente IAM*.

## Eliminazione di un ruolo collegato al servizio per AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

### Pulizia di un ruolo collegato ai servizi
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupRestoreTesting"></a>

Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo. È necessario eliminare tutti i piani di test di ripristino.

**Nota**  
Se il AWS Backup servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti, quindi ripeti l'operazione.

**Per eliminare AWS Backup le risorse utilizzate dalla AWSService RoleForBackupRestoreTesting (console)**
+ Per eliminare tutti i piani di test di ripristino, consulta [Test di ripristino](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html).

**Per eliminare AWS Backup le risorse utilizzate da AWSService RoleForBackupRestoreTesting (AWS CLI)**
+ Per eliminare i piani di test di ripristino, usa `delete-restore-testing-plan`.

**Per eliminare AWS Backup le risorse utilizzate dall' AWSServiceRoleForBackupRestoreTesting (API)**
+ Per eliminare i piani di test di ripristino, usa `DeleteRestoreTestingPlan`.

### Eliminazione manuale del ruolo collegato ai servizi
<a name="slr-manual-delete-AWSServiceRoleForBackupRestoreTesting"></a>

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo **AWSServiceRoleForBackupRestoreTesting**collegato al servizio. Per ulteriori dettagli, consulta [Delete a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) nella *Guida per l’utente IAM*.

## Regioni supportate per i ruoli collegati ai servizi AWS Backup
<a name="slr-regions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Disponibilità delle funzionalitàAWS Backup tramite Regione](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Prevenzione del confused deputy tra servizi
<a name="cross-service-confused-deputy-prevention"></a>

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.

Ti consigliamo di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che AWS Backup forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account nella stessa istruzione di policy.

Il valore di `aws:SourceArn` deve essere un AWS Backup vault quando si utilizza AWS Backup per pubblicare argomenti di Amazon SNS per tuo conto.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws::servicename::123456789012:*`. 

La seguente politica di esempio mostra come utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition AWS Backup per prevenire il confuso problema del vice. Questa politica concede al responsabile del servizio backup-storage.amazonaws.com la capacità di eseguire azioni KMS solo quando il responsabile del servizio agisce per conto dell'account 123456789012 negli archivi di backup: AWS