Policy di accesso dei vault - AWS Backup

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy di accesso dei vault

Con AWS Backup, è possibile assegnare politiche agli archivi di backup e alle risorse che contengono. L'assegnazione di policy permette di eseguire operazioni come concedere l'accesso agli utenti per creare piani di backup e backup on demand, ma limita la possibilità di eliminare i punti di ripristino dopo la creazione.

Per informazioni sull'utilizzo delle politiche per concedere o limitare l'accesso alle risorse, vedere Politiche basate sull'identità e Politiche basate sulle risorse nella Guida per l'utente. IAM Puoi controllare l'accesso anche utilizzando i tag.

È possibile utilizzare le politiche di esempio seguenti come guida per limitare l'accesso alle risorse quando si lavora con i vault. AWS Backup A differenza di altre politiche IAM basate, le politiche di AWS Backup accesso non supportano l'uso di caratteri jolly nella Action chiave.

Per un elenco di Amazon Resource Names (ARNs) che puoi utilizzare per identificare i punti di ripristino per diversi tipi di risorse, consulta AWS Backup risorsa ARNs la sezione dedicata ai punti di ripristino specifici della risorsa. ARNs

Le politiche di accesso di Vault controllano solo l'accesso degli utenti a. AWS Backup APIs È possibile accedere anche ad alcuni tipi di backup, come gli snapshot di Amazon Elastic Block Store (AmazonEBS) e RDS Amazon Relational Database Service (Amazon), utilizzando APIs uno di questi servizi. È possibile creare policy di accesso separate per controllare l'accesso a quelle per APIs controllare completamente l'accesso a tali tipi di backup. IAM

Indipendentemente dalla politica di accesso del AWS Backup vault, l'accesso tra account per qualsiasi azione diversa backup:CopyIntoBackupVault verrà rifiutato, ovvero AWS Backup rifiuterà qualsiasi altra richiesta proveniente da un account diverso dall'account della risorsa a cui si fa riferimento.

Negare l'accesso a un tipo di risorsa in un vault di backup

Questa politica nega l'accesso alle API operazioni specificate per tutte le EBS istantanee di Amazon in un archivio di backup.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }

Negare l'accesso a un vault di backup

Questa politica nega l'accesso alle API operazioni specificate destinate a un archivio di backup.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }

Negare l'accesso all'eliminazione dei punti di ripristino in un vault di backup

La possibilità di accedere ai vault e di eliminare i punti di ripristino in essi archiviati è determinata dal tipo di accesso concesso agli utenti.

Segui questi passaggi per creare una policy di accesso basata sulle risorse in un vault di backup che impedisca l'eliminazione di qualsiasi backup al suo interno.

Per creare una policy di accesso basata su risorse per un vault di backup
  1. Accedi a e apri AWS Management Console la AWS Backup console in /backup. https://console.aws.amazon.com

  2. Nel riquadro di navigazione a sinistra scegliere Vault di backup.

  3. Scegliere un vault di backup nell'elenco.

  4. Nella sezione Politica di accesso, incolla il seguente JSON esempio. Questa policy impedisce a chiunque non sia l'entità principale di eliminare un punto di ripristino nel vault di backup di destinazione.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }

    Per consentire alle IAM identità degli elenchi di utilizzarleARN, utilizzate la chiave aws:PrincipalArn global condition nell'esempio seguente.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }

    Per informazioni su come ottenere un ID univoco per un'IAMentità, vedi Ottenere l'identificatore univoco nella Guida per l'IAMutente.

    Se si desidera limitare l'accesso a tipi di risorsa specifici, invece di "Resource": "*", è possibile includere esplicitamente i tipi di punti di ripristino a cui negare l'accesso. Ad esempio, per le EBS istantanee di Amazon, modifica il tipo di risorsa nel modo seguente.

    "Resource": ["arn:aws:ec2::Region::snapshot/*"]
  5. Scegli Collega policy.