IAMruoli di servizio - AWS Backup
Utilizzo AWS dei ruoli per controllare l'accesso ai backupRuolo di servizio predefinito per AWS BackupCreazione del ruolo di servizio predefinito nella console

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMruoli di servizio

Un ruolo AWS Identity and Access Management (IAM) è simile a quello di un utente, in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Un ruolo di servizio è un ruolo che un AWS servizio assume per eseguire azioni per conto dell'utente. In quanto servizio che esegue le operazioni di backup per tuo conto, è necessario trasferire a AWS Backup un ruolo da assumere durante l'esecuzione di operazioni di backup per tuo conto. Per ulteriori informazioni sui IAM ruoli, vedere IAMRuoli nella Guida per l'IAMutente.

Il ruolo a cui si passa AWS Backup deve disporre di una IAM politica con le autorizzazioni che consentano di eseguire azioni associate AWS Backup alle operazioni di backup, come la creazione, il ripristino o la scadenza dei backup. Sono necessarie autorizzazioni diverse per ciascuno dei servizi supportati. AWS AWS Backup Il ruolo deve inoltre essere AWS Backup elencato come entità attendibile, che consente di AWS Backup assumere il ruolo.

Quando si assegnano risorse a un piano di backup o se si esegue un backup, una copia o un ripristino su richiesta, è necessario assegnare un ruolo di servizio che abbia accesso all'esecuzione delle operazioni sottostanti sulle risorse specificate. AWS Backup utilizza questo ruolo per creare, etichettare ed eliminare risorse nel tuo account.

Utilizzo AWS dei ruoli per controllare l'accesso ai backup

È possibile utilizzare i ruoli per controllare l'accesso ai backup definendo i ruoli con ambito limitato e specificando chi può trasferire il ruolo a AWS Backup. Ad esempio, puoi creare un ruolo che conceda solo le autorizzazioni per il backup dei database Amazon Relational Database Service (AmazonRDS) e concedere solo ai proprietari di RDS database Amazon l'autorizzazione a passare quel ruolo. AWS Backup AWS Backup fornisce diverse politiche gestite predefinite per ciascuno dei servizi supportati. È possibile collegare queste policy gestite ai ruoli creati. Ciò semplifica la creazione di ruoli specifici del servizio con le autorizzazioni corrette necessarie. AWS Backup

Per ulteriori informazioni sulle politiche AWS gestite per AWS Backup, vedere. Politiche gestite per AWS Backup

Ruolo di servizio predefinito per AWS Backup

Quando si utilizza la AWS Backup console per la prima volta, è possibile scegliere di AWS Backup creare automaticamente un ruolo di servizio predefinito. Questo ruolo dispone delle autorizzazioni AWS Backup necessarie per creare e ripristinare i backup per tuo conto.

Nota

Il ruolo predefinito viene creato automaticamente quando si utilizza la AWS Management Console. È possibile creare il ruolo predefinito utilizzando AWS Command Line Interface (AWS CLI), ma deve essere eseguito manualmente.

Se preferisci utilizzare ruoli personalizzati, come ruoli separati per diversi tipi di risorse, puoi anche farlo e passare i tuoi ruoli personalizzati a AWS Backup. Per visualizzare esempi di ruoli che abilitano il backup e il ripristino per singoli tipi di risorse, consulta la tabella Policy gestite dal cliente.

Il ruolo di servizio predefinito è denominatoAWSBackupDefaultServiceRole. Questo ruolo di servizio contiene due politiche gestite AWSBackupServiceRolePolicyForBackupe AWSBackupServiceRolePolicyForRestores.

AWSBackupServiceRolePolicyForBackupinclude una IAM politica che concede AWS Backup le autorizzazioni per descrivere la risorsa di cui viene eseguito il backup, la possibilità di creare, eliminare, descrivere o aggiungere tag a un backup indipendentemente dalla AWS KMS chiave con cui è crittografato.

AWSBackupServiceRolePolicyForRestoresinclude una IAM politica che concede AWS Backup le autorizzazioni per creare, eliminare o descrivere la nuova risorsa creata da un backup, indipendentemente dalla AWS KMS chiave con cui è crittografata. Include anche le autorizzazioni necessarie per applicare tag alla risorsa appena creata.

Per ripristinare un'EC2istanza Amazon, devi avviare una nuova istanza.

Creazione del ruolo di servizio predefinito nella console

Le azioni specifiche che intraprendi nella AWS Backup console creano il ruolo di servizio AWS Backup predefinito.

Per creare il ruolo di servizio AWS Backup predefinito nel tuo AWS account

  1. Apri la AWS Backup console in https://console.aws.amazon.com/backup.

  2. Per creare il ruolo per il tuo account, assegna le risorse a un piano di backup o crea un backup su richiesta.

    1. Creare un piano di backup e assegnare risorse al backup. Vedi Creare un piano di backup.

    2. In alternativa, è possibile creare un backup su richiesta. Consulta Creazione di un backup su richiesta.

  3. Verifica di aver creato AWSBackupDefaultServiceRole nel tuo account seguendo questi passaggi:

    1. Attendi alcuni minuti. Per ulteriori informazioni, consulta Le modifiche che apporto non sono sempre immediatamente visibili nella Guida per l'utente di AWS Identity and Access Management.

    2. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

    3. Nel menu di navigazione a sinistra, scegliere Ruoli.

    4. Nella casella di ricerca, digitare AWSBackupDefaultServiceRole. Se questa selezione esiste, hai creato il ruolo AWS Backup predefinito e completato questa procedura.

    5. Se il problema AWSBackupDefaultServiceRole persiste, aggiungi le seguenti autorizzazioni all'IAMutente o al IAM ruolo che utilizzi per accedere alla console.

      {
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "iam:CreateRole",
        "iam:AttachRolePolicy",
        "iam:PassRole"
      ],
      "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
    },
    {
      "Effect":"Allow",
      "Action":[
        "iam:ListRoles"
      ],
      "Resource":"*"
    }
  ]
}

      Per le regioni cinesi, sostituisci aws con aws-cn. Per AWS GovCloud (US) le regioni, sostituisci aws con aws-us-gov.

    6. Se non riesci ad aggiungere autorizzazioni al tuo IAM utente o IAM ruolo, chiedi all'amministratore di creare manualmente un ruolo con un nome diverso da AWSBackupDefaultServiceRole e di associarlo a queste politiche gestite:

      • AWSBackupServiceRolePolicyForBackup

      • AWSBackupServiceRolePolicyForRestores