Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Backup
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità applicabili AWS Backup, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la responsabilità dell'utente AWS Backup include, a titolo esemplificativo ma non esaustivo, quanto segue. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda, nonché le leggi e le normative applicabili.
+ Rispondere alle comunicazioni ricevute da AWS.
+ Gestione delle credenziali utilizzate dall'utente e dal suo team. Per ulteriori informazioni, vedere [Gestione delle identità e degli accessi in AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-iam.html).
+ Configurazione dei piani di backup e dell'assegnazione delle risorse per riflettere le policy di protezione dei dati aziendali dell'organizzazione. Per ulteriori informazioni, consulta [Gestione dei piani di backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html).
+ Verifica regolarmente la tua capacità di individuare specifici punti di ripristino e di ripristinarli. Per ulteriori informazioni, consulta [Utilizzo dei backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/recovery-points.html).
+ Incorporazione di AWS Backup procedure nelle procedure scritte di disaster recovery e continuità aziendale dell'organizzazione. Per un punto di partenza, consulta [Guida introduttiva a AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html).
+ Garantire che i dipendenti conoscano e si siano esercitati AWS Backup a utilizzare le procedure organizzative in caso di emergenza. Per ulteriori informazioni, visitare il sito [AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html).
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS Backup. I seguenti argomenti mostrano come eseguire la configurazione AWS Backup per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere AWS Backup le tue risorse.
**Topics**
+ [Convalida della conformità](backup-compliance.md)
+ [Protezione dei dati](data-protection.md)
+ [Gestione dell’identità e degli accessi](backup-iam.md)
+ [Sicurezza dell’infrastruttura](infrastructure-security.md)
+ [Integrità](backup-integrity.md)
+ [Blocchi a fini giudiziari](legalhold.md)
+ [Protezione da malware](malware-protection.md)
+ [Resilienza](disaster-recovery-resiliency.md)
# Convalida della conformità per AWS Backup
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).
# Protezione dei dati in AWS Backup
AWS Backup è conforme al [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/), che include regolamenti e linee guida per la protezione dei dati. AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i AWS servizi. AWS mantiene il controllo sui dati ospitati su questa infrastruttura, compresi i controlli di configurazione di sicurezza per la gestione dei contenuti e dei dati personali dei clienti. AWS i clienti e i AWS partner del Partner Network (APN), che agiscono in qualità di titolari o incaricati del trattamento dei dati, sono responsabili dei dati personali che inseriscono nel. Cloud AWS
Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e configurare account utente individuali con AWS Identity and Access Management (IAM). In questo modo a ogni utente vengono assegnate solo le autorizzazioni necessarie per svolgere il proprio lavoro. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ Utilizza il protocollo Secure Sockets Layer (SSL)/Transport Layer Security (TLS) per comunicare con le risorse AWS .
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.
Consigliamo di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero come un campo **Nome**. Ciò include quando lavori con AWS Backup o con altri AWS servizi che utilizzano la console, l'API o AWS SDKs. AWS CLI Gli eventuali dati immessi in AWS Backup o altri servizi potrebbero essere prelevati per l'inserimento nei log di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta a tale server.
Per ulteriori informazioni sulla protezione dei dati, consulta il post del blog [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) su *AWS Security Blog*.
# Crittografia per i backup in AWS Backup
## Crittografia indipendente di
AWS Backup offre una crittografia indipendente per i [tipi di risorse che supportano la gestione completa AWS Backup](backup-feature-availability.md#features-by-resource). La crittografia indipendente significa che i punti di ripristino (backup) tramite cui vengono creati AWS Backup possono avere un metodo di crittografia diverso da quello determinato dalla crittografia della risorsa di origine. Ad esempio, il backup di un bucket Amazon S3 può avere un metodo di crittografia diverso rispetto al bucket di origine che hai crittografato con la crittografia Amazon S3. Questa crittografia è controllata tramite la configurazione delle AWS KMS chiavi nell'archivio di backup in cui è archiviato il backup.
I backup di tipi di risorse non completamente gestiti AWS Backup in genere ereditano le impostazioni di crittografia dalla risorsa di origine. Puoi configurare queste impostazioni di crittografia in base alle istruzioni del servizio, come la [crittografia Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) nella *Amazon EBS User* Guide.
Il tuo ruolo IAM deve avere accesso alla chiave KMS utilizzata per il backup e il ripristino dell'oggetto. Altrimenti il lavoro ha esito positivo ma gli oggetti non vengono sottoposti a backup o ripristinati. Le autorizzazioni nella politica IAM e nella politica chiave KMS devono essere coerenti. *Per ulteriori informazioni, consulta [Specificare le chiavi KMS nelle dichiarazioni delle politiche IAM nella Developer Guide](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html).AWS Key Management Service *
Nella tabella seguente sono elencati i vari tipi di risorsa supportati e viene indicato il modo in cui la crittografia viene configurata per i backup e se è supportata la crittografia indipendente per i backup. Quando AWS Backup esegue la crittografia di un backup in modo indipendente, utilizza l'algoritmo di crittografia AES-256 standard del settore. [Per ulteriori informazioni sulla crittografia in AWS Backup, consulta Backup [tra regioni](cross-region-backup.md) e tra account.](create-cross-account-backup.md)
| Tipo di risorsa | Come configurare la crittografia | Crittografia indipendente AWS Backup |
| --- | --- | --- |
| Amazon Simple Storage Service (Amazon S3) | I backup di Amazon S3 sono crittografati utilizzando una chiave AWS KMS (AWS Key Management Service) associata al backup vault. La chiave AWS KMS può essere una chiave gestita dal cliente o una AWS chiave gestita associata al servizio. AWS Backup AWS Backup crittografa tutti i backup anche se i bucket Amazon S3 di origine non sono crittografati. | Supportata |
| VMware macchine virtuali | I backup delle macchine virtuali sono sempre crittografati. La chiave di AWS KMS crittografia per i backup delle macchine virtuali è configurata nell' AWS Backup archivio in cui sono archiviati i backup delle macchine virtuali. | Supportata |
| Amazon DynamoDB dopo l'attivazione [Backup di DynamoDB avanzato](advanced-ddb-backup.md) | I backup di DynamoDB sono sempre crittografati. La chiave di AWS KMS crittografia per i backup DynamoDB è configurata nel AWS Backup vault in cui sono archiviati i backup DynamoDB. | Supportata |
| Amazon DynamoDB senza abilitazione [Backup di DynamoDB avanzato](advanced-ddb-backup.md) | I backup di DynamoDB sono crittografati automaticamente con la stessa chiave crittografica utilizzata per crittografare la tabella DynamoDB di origine. Gli snapshot delle tabelle DynamoDB non crittografati non sono a loro volta crittografati. AWS Backup Per creare un backup di una tabella DynamoDB crittografata, è necessario aggiungere le `kms:Decrypt` autorizzazioni `kms:GenerateDataKey` e il ruolo IAM utilizzato per il backup. In alternativa, è possibile utilizzare il ruolo di servizio predefinito. AWS Backup | Non supportata |
| Amazon Elastic File System (Amazon EFS) | I backup di Amazon EFS sono sempre crittografati. La chiave di AWS KMS crittografia per i backup di Amazon EFS è configurata nel AWS Backup vault in cui sono archiviati i backup di Amazon EFS. | Supportata |
| Amazon Elastic Block Store (Amazon EBS) | Per impostazione predefinita, i backup di Amazon EBS sono crittografati utilizzando la chiave utilizzata per crittografare il volume di origine oppure non sono crittografati. Durante il ripristino, puoi scegliere di sostituire il metodo di crittografia predefinito specificando una chiave KMS. | Non supportata |
| Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud AMIs | AMIs non sono crittografati. Le istantanee EBS sono crittografate secondo le regole di crittografia predefinite per i backup EBS (vedere la voce relativa a EBS). Le istantanee EBS di dati e volumi root possono essere crittografate e collegate a un'AMI. | Non supportata |
| Amazon Relational Database Service (Amazon RDS) | Gli snapshot di Amazon RDS vengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il database Amazon RDS di origine. Gli snapshot dei database di Amazon RDS non crittografati non sono a loro volta crittografati. | Non supportata |
| Amazon Aurora | Gli snapshot dei cluster Aurora vengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il cluster Amazon Aurora di origine. Gli snapshot dei cluster Aurora non crittografati non sono a loro volta crittografati. | Non supportata |
| Gateway di archiviazione AWS | Gli snapshot di Storage Gateway svengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il volume Storage Gateway di origine. Gli snapshot dei volumi di Storage Gateway non crittografati non sono a loro volta crittografati. Per abilitare Storage Gateway non è necessario utilizzare una chiave gestita dal cliente in tutti i servizi. È sufficiente copiare il backup di Storage Gateway in un vault per il quale è stata configurata una chiave KMS. Questo perché Storage Gateway non dispone di una chiave AWS KMS gestita specifica per il servizio. | Non supportata |
| Amazon FSx | Le funzionalità di crittografia per i FSx file system Amazon differiscono in base al file system sottostante. Per ulteriori informazioni sul tuo particolare FSx file system Amazon, consulta la [Guida per FSx l'utente](https://docs.aws.amazon.com/fsx/) appropriata. | Non supportata |
| Amazon DocumentDB | Gli snapshot dei cluster Amazon DocumentDB vengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il cluster Amazon DocumentDB di origine. Gli snapshot dei cluster Amazon DocumentDB non crittografati non sono a loro volta crittografati. | Non supportata |
| Amazon Neptune | Gli snapshot dei cluster Neptune vengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il cluster Neptune di origine. Gli snapshot dei cluster Neptune non crittografati non sono a loro volta crittografati. | Non supportata |
| Amazon Timestream | I backup degli snapshot delle tabelle Timestream sono sempre crittografati. La chiave di AWS KMS crittografia per i backup Timestream è configurata nell'archivio di backup in cui sono archiviati i backup Timestream. | Supportata |
| Amazon Redshift | Gli snapshot dei cluster Amazon Redshift vengono crittografati automaticamente con la stessa chiave di crittografia utilizzata per crittografare il cluster Amazon Redshift di origine. Gli snapshot dei cluster Amazon Redshift non crittografati non sono a loro volta crittografati. | Non supportata |
| Amazon Redshift Serverless | Le istantanee Serverless di Redshift vengono crittografate automaticamente con la stessa chiave di crittografia utilizzata per crittografare l'origine. | Non supportata |
| CloudFormation | CloudFormation i backup sono sempre crittografati. La chiave di CloudFormation crittografia per i CloudFormation backup è configurata nell' CloudFormation archivio in cui sono archiviati i CloudFormation backup. | Supportata |
| Database SAP HANA su istanze Amazon EC2 | I backup dei database SAP HANA sono sempre crittografati. La chiave di AWS KMS crittografia per i backup del database SAP HANA è configurata nell' AWS Backup archivio in cui sono archiviati i backup del database. | Supportata |
**Suggerimento**
[AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) consente di rilevare automaticamente i backup non crittografati.
## Crittografia per le copie di un backup su un altro account o Regione AWS
Quando copi i backup tra account o regioni, crittografa AWS Backup automaticamente tali copie per la maggior parte dei tipi di risorse, anche se il backup originale non è crittografato. AWS Backup crittografa la copia utilizzando la chiave KMS del vault di destinazione.
Prima di copiare un backup da un account a un altro (processo di copia tra account) o copiare un backup da una regione all'altra (processo di copia tra aree geografiche), tieni presente le seguenti condizioni, molte delle quali dipendono dal fatto che il tipo di risorsa nel backup (punto di ripristino) sia [completamente gestito o meno da AWS Backup](backup-feature-availability.md#features-by-resource).
+ Una copia di un backup su un altro Regione AWS viene crittografata utilizzando la chiave dell'archivio di destinazione.
+ Per una copia di un punto di ripristino (backup) di una risorsa **completamente gestita da AWS Backup**, puoi scegliere di crittografarla con una [chiave gestita dal cliente (CMK) o una chiave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) AWS Backup gestita (). `aws/backup`
Per una copia di un punto di ripristino di una risorsa **non completamente gestita** da AWS Backup, la chiave associata all'archivio di destinazione deve essere una CMK o la chiave gestita del servizio che possiede la risorsa sottostante. Ad esempio, se si copia un'istanza EC2, non è possibile utilizzare una chiave gestita da Backup. È invece necessario utilizzare una chiave CMK o Amazon EBS KMS (`aws/ebs`) per evitare errori nel processo di copia.
+ La copia su più account con chiavi AWS gestite non è supportata per le risorse che non sono completamente gestite da. AWS Backup La [politica chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di una chiave AWS gestita è immutabile, il che impedisce la copia della chiave tra account. Se le tue risorse sono crittografate con chiavi AWS gestite e desideri eseguire una copia su più account, puoi [modificare le chiavi di crittografia in una chiave gestita dal](https://repost.aws/knowledge-center/update-encryption-key-rds) cliente, che può essere utilizzata per la copia su più account. In alternativa, puoi seguire le istruzioni in [Proteggere le istanze crittografate di Amazon RDS con backup tra account e più regioni](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/) per continuare a utilizzare le chiavi gestite. AWS
+ Anche le copie dei cluster Amazon Aurora, Amazon DocumentDB e Amazon Neptune non crittografati non sono crittografate.
## AWS Backup autorizzazioni, concessioni e dichiarazioni di rifiuto
Per evitare il fallimento dei lavori, è possibile esaminare la politica AWS KMS chiave per assicurarsi che disponga delle autorizzazioni necessarie e che non contenga dichiarazioni di negazione che impediscano il successo delle operazioni.
I lavori non riusciti possono verificarsi a causa di una o più dichiarazioni di rifiuto applicate alla chiave KMS o a causa della revoca di una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per la chiave.
In una politica di accesso AWS gestito [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html), ad esempio, esistono azioni Allow che consentono di AWS Backup AWS KMS interfacciarsi con o creare una concessione su una chiave KMS per conto di un cliente nell'ambito delle operazioni di backup, copia e archiviazione.
Come minimo, la policy chiave richiede le seguenti autorizzazioni:
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`
Se le politiche Deny sono necessarie, sarà necessario consentire l'elenco dei ruoli richiesti per le operazioni di backup e ripristino.
Questi elementi possono avere il seguente aspetto:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KmsPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "KmsCreateGrantPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:backup:backup-vault"
},
"Bool": {
"kms:GrantIsForAWSResource": true
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
------
Queste autorizzazioni devono far parte della chiave, indipendentemente dal fatto che sia AWS gestita o gestita dal cliente.
1. Assicurati che le autorizzazioni richieste facciano parte della politica chiave di KMS
1. Esegui KMS `get-key-policy` CLI [https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)() per visualizzare la politica chiave allegata alla chiave KMS specificata.
1. Controlla le autorizzazioni restituite.
1. Assicurati che non vi siano istruzioni Deny che influiscano sulle operazioni
1. Esegui (o riesegui) `get-key-policy` CLI [https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)() per visualizzare la politica chiave allegata alla chiave KMS specificata.
1. Rivedi la politica.
1. Rimuovi le dichiarazioni di rifiuto pertinenti dalla politica chiave di KMS.
1. Se necessario, esegui [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)per sostituire o aggiornare la politica chiave con le autorizzazioni riviste e le dichiarazioni Deny rimosse.
Inoltre, la chiave associata al ruolo che avvia un processo di copia tra aree geografiche deve essere inclusa nell'autorizzazione. `"kms:ResourcesAliases": "alias/aws/backup"` `DescribeKey`
# Crittografia delle credenziali dell'hypervisor delle macchine virtuali
Le macchine virtuali [gestite da un hypervisor](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html) utilizzano [AWS Backup Gateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html) per connettere i sistemi on-premise a AWS Backup. È importante che gli hypervisor dispongano di un sistema di sicurezza altrettanto solido e affidabile. Questa sicurezza può essere ottenuta crittografando l'hypervisor, tramite chiavi di AWS proprietà o tramite chiavi gestite dal cliente.
## AWS chiavi possedute e gestite dal cliente
AWS Backup fornisce la crittografia delle credenziali dell'hypervisor per proteggere le informazioni sensibili di accesso dei clienti utilizzando chiavi di crittografia **AWS proprietarie**. In alternativa è possibile utilizzare chiavi **gestite dal cliente**.
**Per impostazione predefinita, le chiavi utilizzate per crittografare le credenziali nell'hypervisor sono chiavi di proprietà.AWS ** AWS Backup utilizza queste chiavi per crittografare automaticamente le credenziali dell'hypervisor. Non è possibile visualizzare, gestire o utilizzare chiavi AWS di proprietà, né controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta le chiavi AWS possedute nella [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt).
In alternativa, le credenziali possono essere crittografate utilizzando *chiavi gestite dal cliente*. AWS Backup supporta l'uso di chiavi simmetriche gestite dal cliente create, possedute e gestite dall'utente per eseguire la crittografia. Poiché hai il pieno controllo di questo tipo di crittografia, puoi eseguire attività come:
+ Stabilire e mantenere le policy relative alle chiavi
+ Stabilire e mantenere le policy e le sovvenzioni IAM
+ Abilitare e disabilitare le policy delle chiavi
+ Ruotare i materiali crittografici delle chiavi
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione delle chiavi
Quando utilizzi una chiave gestita dal cliente, AWS Backup verifica se il tuo ruolo è autorizzato a decrittografare utilizzando questa chiave (prima dell'esecuzione di un processo di backup o ripristino). Per avviare un processo di backup o ripristino è necessario aggiungere l'azione `kms:Decrypt` al ruolo utilizzato.
Poiché l'azione `kms:Decrypt` non può essere aggiunta al ruolo di backup predefinito, per utilizzare le chiavi gestite dal cliente è necessario utilizzare un ruolo diverso dal ruolo di backup predefinito.
Per ulteriori informazioni, consulta [Chiavi gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
## Autorizzazione richiesta quando si utilizzano le chiavi gestite dal cliente
AWS KMS richiede una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per utilizzare la chiave gestita dal cliente. Quando importi una [configurazione dell'hypervisor](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html) crittografata con una chiave gestita dal cliente, AWS Backup crea una concessione per tuo conto inviando una [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta a. AWS KMS AWS Backup utilizza le concessioni per accedere a una chiave KMS in un account cliente.
Puoi revocare l'accesso alla concessione o rimuovere AWS Backup l'accesso alla chiave gestita dal cliente in qualsiasi momento. In tal caso, tutti i gateway associati all'hypervisor non potranno più accedere al nome utente e alla password dell'hypervisor crittografati dalla chiave gestita dal cliente, il che influirà sui processi di backup e ripristino. In particolare, i processi di backup e ripristino eseguiti sulle macchine virtuali in questo hypervisor avranno esito negativo.
Backup Gateway utilizza l'operazione `RetireGrant` per rimuovere un'autorizzazione quando si elimina un hypervisor.
## Monitoraggio delle chiavi crittografiche
Quando utilizzi una chiave gestita AWS KMS dal cliente con AWS Backup le tue risorse, puoi utilizzare [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) per tenere traccia delle richieste AWS Backup inviate a AWS KMS.
Cerca AWS CloudTrail gli eventi con i seguenti `"eventName"` campi per monitorare AWS KMS le operazioni chiamate AWS Backup ad accedere ai dati crittografati dalla chiave gestita dal cliente:
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`
# Gestione delle identità e degli accessi in AWS Backup
L'accesso a AWS Backup richiede credenziali. Tali credenziali devono essere dotate delle autorizzazioni per accedere alle risorse AWS , come ad esempio un database Amazon DynamoDB o un volume Amazon EFS. Inoltre, i punti di ripristino creati da AWS Backup per alcuni servizi AWS Backup supportati non possono essere eliminati utilizzando il servizio di origine (come Amazon EFS). Puoi eliminare questi punti di ripristino utilizzando AWS Backup.
Le seguenti sezioni forniscono dettagli su come utilizzare [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) e su come AWS Backup proteggere l'accesso alle risorse.
**avvertimento**
AWS Backup utilizza lo stesso ruolo IAM che hai scelto per l'assegnazione delle risorse per gestire il ciclo di vita del punto di ripristino. Se elimini o modifichi quel ruolo, AWS Backup non puoi gestire il ciclo di vita del punto di ripristino. Quando ciò si verifica, proverà a utilizzare un ruolo collegato ai servizi per gestire il ciclo di vita. In una piccola percentuale di casi, inoltre, anche questa opzione potrebbe non funzionare, lasciando punti di ripristino di `EXPIRED` nello spazio di archiviazione, il che potrebbe comportare costi indesiderati. Per eliminare i punti di ripristino di `EXPIRED`, eliminali manualmente utilizzando la procedura descritta in [Eliminazione dei backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).
**Topics**
+ [Autenticazione](authentication.md)
+ [Controllo accessi](access-control.md)
+ [Ruoli di servizio IAM](iam-service-roles.md)
+ [Politiche gestite per AWS Backup](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per AWS Backup](using-service-linked-roles.md)
+ [Prevenzione del confused deputy tra servizi](cross-service-confused-deputy-prevention.md)
# Autenticazione
L'accesso AWS Backup o i AWS servizi di cui si sta eseguendo il backup richiedono credenziali che AWS possono essere utilizzate per autenticare le richieste. Puoi accedere AWS con uno dei seguenti tipi di identità:
+ **Account AWS utente root**: quando ti registri AWS, fornisci un indirizzo email e una password associati al tuo AWS account. Questo è l'*utente root dell'Account AWS *. Le sue credenziali forniscono l'accesso completo a tutte le tue AWS risorse.
**Importante**
Per motivi di sicurezza, si consiglia di utilizzare l'utente root solo per creare un *amministratore*. L'amministratore è un *utente IAM* con autorizzazioni complete per l'account Account AWS. Potrai quindi utilizzare questo utente amministratore per creare altri utenti e ruoli IAM con autorizzazioni limitate. Per ulteriori informazioni, consulta [Best practice di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) e [Creazione del primo utente e gruppo di amministrazione di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) nella *Guida per l'utente di IAM*.
+ **Utente IAM** - Un [utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) è un'identità all'interno dell' Account AWS dotato di autorizzazioni personalizzate specifiche (ad esempio quella di creare un vault di backup in cui archiviare i backup). [Puoi utilizzare un nome utente e una password IAM per accedere a AWS pagine Web sicure come [AWS Discussion Forums](https://forums.aws.amazon.com/) o Center. [Console di gestione AWS](https://console.aws.amazon.com/)Supporto AWS](https://console.aws.amazon.com/support/home#/)
Oltre a un nome utente e una password, è possibile anche generare [chiavi di accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) per ciascun utente. È possibile utilizzare queste chiavi quando si accede ai AWS servizi a livello di programmazione, tramite [una delle numerose](https://aws.amazon.com/developer/tools/) chiavi SDKs o utilizzando ([AWS Command Line Interface CLI AWS](https://aws.amazon.com/cli/)). L'SDK e gli strumenti AWS CLI utilizzano le chiavi di accesso per firmare crittograficamente la tua richiesta. Se non si utilizzano gli strumenti di AWS , è necessario firmare la richiesta personalmente. Per ulteriori informazioni sulle richieste di autenticazione, consulta la pagina relativa al [processo di firma Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) nella *Riferimenti generali di AWS*.
+ **Ruolo IAM** - Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'identità IAM che è possibile creare nell'account e che dispone di autorizzazioni specifiche. È simile a un utente IAM user, ma non è associato a una persona specifica. Un ruolo IAM consente di ottenere chiavi di accesso temporanee che possono essere utilizzate per accedere a AWS servizi e risorse. I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:
+ Accesso utente federato: invece di creare un utente IAM, puoi utilizzare identità utente preesistenti provenienti dalla Directory Service tua directory utenti aziendale o da un provider di identità web. Sono noti come *utenti federati*. AWS assegna un ruolo a un utente federato quando è richiesto l'accesso tramite un [provider di identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Per ulteriori informazioni sugli utenti federati, consulta la sezione relativa a [utenti federati e ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) nella *Guida per l'utente di IAM*.
+ Amministrazione su più account: puoi utilizzare un ruolo IAM nel tuo account per concedere altre Account AWS autorizzazioni per amministrare le risorse del tuo account. *Per un esempio, consulta [Tutorial: Delegate Access Across Account AWS Using IAM Roles nella IAM User](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) Guide.*
+ AWS accesso al servizio: puoi utilizzare un ruolo IAM nel tuo account per concedere a un AWS servizio le autorizzazioni per accedere alle risorse del tuo account. Per ulteriori informazioni, consulta [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella Guida per l'utente *IAM*.
+ Applicazioni in esecuzione su Amazon Elastic Compute Cloud (Amazon EC2): puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un'istanza Amazon EC2 e che effettuano richieste API. AWS Ciò è preferibile all’archiviazione delle chiavi di accesso nell’istanza EC2. Per assegnare un AWS ruolo a un'istanza EC2 e renderlo disponibile per tutte le sue applicazioni, crei un profilo di istanza collegato all'istanza. Un profilo di istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta [Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) nella *Guida per l'utente di IAM*.
# Controllo accessi
È possibile disporre di credenziali valide per autenticare le richieste, ma a meno che non si disponga delle autorizzazioni appropriate, non è possibile accedere a AWS Backup risorse come gli archivi di backup. Inoltre, non è possibile eseguire il backup di AWS risorse come i volumi Amazon Elastic Block Store (Amazon EBS).
Ogni AWS risorsa è di proprietà di un Account AWS utente e le autorizzazioni per creare o accedere a una risorsa sono regolate da politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione alle identità AWS Identity and Access Management (IAM) (ovvero utenti, gruppi e ruoli). Anche alcuni servizi supportano il collegamento di policy di autorizzazione alle risorse.
Un *amministratore account* (o un utente amministratore) è un utente con autorizzazioni di amministratore. Per ulteriori informazioni, consulta [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
Quando si concedono le autorizzazioni, è necessario specificare gli utenti che le riceveranno e le risorse per cui si concedono, nonché le operazioni specifiche da consentire su tali risorse.
Nelle sezioni seguenti viene descritto come funzionano le policy di accesso e come si utilizzano per proteggere i backup.
**Topics**
+ [Risorse e operazioni](#access-control-resources)
+ [Proprietà delle risorse](#access-control-owner)
+ [Specificare elementi delle policy: azioni, effetti e principali](#access-control-specify-backup-actions)
+ [Specifica delle condizioni in una policy](#specifying-conditions)
+ [Autorizzazioni API: riferimenti a operazioni, risorse e condizioni](#backup-api-permissions-ref)
+ [Autorizzazioni di copia di tag](#copy-tags)
+ [Policy di accesso](#access-policies)
## Risorse e operazioni
Una risorsa è un oggetto che esiste all'interno di un servizio. AWS Backup le risorse includono piani di backup, archivi di backup e backup. *Backup* è un termine generico che si riferisce ai vari tipi di risorse di backup esistenti in AWS. Ad esempio, gli snapshot Amazon EBS, gli snapshot Amazon Relational Database Service (Amazon RDS) e i backup Amazon DynamoDB sono tutti tipi di risorse di backup.
Nel AWS Backup, i backup vengono anche chiamati *punti di ripristino*. Durante l'utilizzo AWS Backup, lavori anche con le risorse di altri AWS servizi che stai cercando di proteggere, come i volumi Amazon EBS o le tabelle DynamoDB. A queste risorse sono associati Amazon Resource Names (ARNs) univoci. ARNs identifica in modo univoco le AWS risorse. Quando è necessario specificare una risorsa in modo inequivocabile in tutto AWS, ad esempio nelle policy IAM o nelle chiamate API, è necessario indicare un ARN.
La tabella seguente elenca le risorse, le risorse secondarie, il formato ARN e un ID univoco di esempio.
**AWS Backup risorsa ARNs**
| Tipo di risorsa | Formato ARN | Esempio di ID univoco |
| --- | --- | --- |
| Piano di backup | arn:aws:backup:region:account-id:backup-plan:\$1 | |
| Vault di backup | arn:aws:backup:region:account-id:backup-vault:\$1 | |
| Punto di ripristino per Amazon EBS | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 |
| Punto di ripristino per immagini Amazon EC2 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 |
| Punto di ripristino per Amazon RDS | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Punto di ripristino per Aurora | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Punto di ripristino per Aurora DSQL | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a |
| Punto di ripristino per Storage Gateway | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 |
| Punto di ripristino per DynamoDB senza [Backup di DynamoDB avanzato](advanced-ddb-backup.md) | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| Punto di ripristino per DynamoDB con [Backup di DynamoDB avanzato](advanced-ddb-backup.md) abilitato | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Punto di ripristino per Amazon EFS | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Punto di ripristino per Amazon FSx | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 |
| Punto di ripristino per macchina virtuale | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Punto di ripristino per il backup continuo di Amazon S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 |
| Punto di ripristino per il backup periodico S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 |
| Punto di ripristino per Amazon DocumentDB | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Punto di ripristino per Neptune | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Punto di ripristino per Amazon Redshift | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Punto di ripristino per Amazon Redshift Serverless | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Punto di ripristino per Amazon Timestream | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta |
| Punto di ripristino per il modello AWS CloudFormation | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Punto di ripristino per il database SAP HANA sull'istanza Amazon EC2 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
Le risorse che supportano la AWS Backup gestione completa dispongono tutte di punti di ripristino in questo formato, il che semplifica l'applicazione delle politiche di autorizzazione per proteggere tali punti di ripristino`arn:aws:backup:region:account-id::recovery-point:*`. Per vedere quali risorse supportano la AWS Backup gestione completa, consulta la sezione corrispondente della [Disponibilità delle funzionalità per risorsa](backup-feature-availability.md#features-by-resource) tabella.
AWS Backup fornisce una serie di operazioni per utilizzare le AWS Backup risorse. Per un elenco di operazioni disponibili, consulta la sezione AWS Backup [Azioni](API_Operations.md).
## Proprietà delle risorse
È Account AWS proprietario delle risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'[entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (ovvero l'utente Account AWS root, un utente IAM o un ruolo IAM) che autentica la richiesta di creazione delle risorse. Negli esempi seguenti viene illustrato il funzionamento:
+ Se utilizzi le tue credenziali utente Account AWS root Account AWS per creare un archivio di backup, sei il Account AWS proprietario del vault.
+ Se crei un utente IAM nel tuo account Account AWS e concedi le autorizzazioni per creare un archivio di backup a quell'utente, l'utente può creare un archivio di backup. Tieni presente, tuttavia, che l' AWS a cui appartiene l'utente è il proprietario della risorsa vault di backup.
+ Se crei un ruolo IAM Account AWS con le autorizzazioni per creare un vault di backup, chiunque possa assumere il ruolo può creare un vault. Il tuo Account AWS, a cui appartiene il ruolo, possiede la risorsa del vault di backup.
## Specificare elementi delle policy: azioni, effetti e principali
Per ogni AWS Backup risorsa (vedi[Risorse e operazioni](#access-control-resources)), il servizio definisce un insieme di operazioni API (vedi[Azioni](API_Operations.md)). Per concedere le autorizzazioni per queste operazioni API, AWS Backup definisce una serie di azioni che è possibile specificare in una politica. L'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'operazione.
Di seguito sono elencati gli elementi di base di una policy:
+ Risorsa: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa. Per ulteriori informazioni, consulta [Risorse e operazioni](#access-control-resources).
+ Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare.
+ Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
+ Principale - Nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse).
Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [Riferimento alle policy JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
Per una tabella che mostra tutte le azioni dell' AWS Backup API, consulta[Autorizzazioni API: riferimenti a operazioni, risorse e condizioni](#backup-api-permissions-ref).
## Specifica delle condizioni in una policy
Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della policy IAM per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione [Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
AWS Backup definisce il proprio set di chiavi di condizione. Per visualizzare un elenco di chiavi di AWS Backup condizione, vedere [Condition keys for AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys) nel *Service Authorization Reference*.
## Autorizzazioni API: riferimenti a operazioni, risorse e condizioni
Quando configuri il [Controllo accessi](#access-control) e scrivi una policy di autorizzazione che puoi collegare a un'identità IAM (policy basate su identità), puoi utilizzare l'elenco nella seguente come riferimento. L'elenco delle tabelle ogni operazione AWS Backup API, le azioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'azione e la AWS risorsa per la quale è possibile concedere le autorizzazioni. Puoi specificare le azioni nel campo `Action` della policy e il valore della risorsa nel campo `Resource`. Se il campo `Resource` è vuoto, puoi usare il carattere jolly (`*`) per includere tutte le risorse.
Puoi utilizzare le chiavi AWS-wide condition nelle tue AWS Backup politiche per esprimere condizioni. Per un elenco completo delle chiavi AWS-wide, consulta [Available Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) nella *IAM User Guide*.
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**AWS Backup API e autorizzazioni richieste per le azioni**
| AWS Backup Operazioni API | Autorizzazioni necessarie (operazioni API) | Resources |
| --- | --- | --- |
| [CreateBackupPlan](API_CreateBackupPlan.md) | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupSelection](API_CreateBackupSelection.md) | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupVault](API_CreateBackupVault.md) | `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey` | arn:aws:backup:region:account-id:backup-vault:\$1 Per `backup-storage`: \$1 Per `kms`: `arn:aws:kms:region:account-id:key/keystring` |
| [DeleteBackupPlan](API_DeleteBackupPlan.md) | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupSelection](API_DeleteBackupSelection.md) | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupVault](API_DeleteBackupVault.md) | backup:DeleteBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md) | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md) | backup:DeleteBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md) | backup:DeleteRecoveryPoint1 | 2 |
| [DescribeBackupJob](API_DescribeBackupJob.md) | backup:DescribeBackupJob | |
| [DescribeBackupVault](API_DescribeBackupVault.md) | backup:DescribeBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DescribeProtectedResource](API_DescribeProtectedResource.md) | backup:DescribeProtectedResource | |
| [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md) | backup:DescribeRecoveryPoint1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [DescribeRestoreJob](API_DescribeRestoreJob.md) | backup:DescribeRestoreJob | |
| [DescribeRegionSettings](API_DescribeRegionSettings.md) | backup:DescribeRegionSettings | |
| [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md) | backup:ExportBackupPlanTemplate | |
| [GetBackupPlan](API_GetBackupPlan.md) | backup:GetBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md) | backup:GetBackupPlanFromJSON | |
| [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md) | backup:GetBackupPlanFromTemplate | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupSelection](API_GetBackupSelection.md) | backup:GetBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md) | backup:GetBackupVaultAccessPolicy1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md) | backup:GetBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md) | backup:GetRecoveryPointRestoreMetadata1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md) | backup:GetSupportedResourceTypes | |
| [ListBackupJobs](API_ListBackupJobs.md) | backup:ListBackupJobs | |
| [ListBackupPlans](API_ListBackupPlans.md) | backup:ListBackupPlans | |
| [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md) | backup:ListBackupPlanTemplates | |
| [ListBackupPlanVersions](API_ListBackupPlanVersions.md) | backup:ListBackupPlanVersions | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupSelections](API_ListBackupSelections.md) | backup:ListBackupSelections | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupVaults](API_ListBackupVaults.md) | backup:ListBackupVaults | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListProtectedResources](API_ListProtectedResources.md) | backup:ListProtectedResources | |
| [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md) | backup:ListRecoveryPointsByBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md) | backup:ListRecoveryPointsByResource | |
| [ListRestoreJobs](API_ListRestoreJobs.md) | backup:ListRestoreJobs | |
| [ListTags](API_ListTags.md) | backup:ListTags | |
| [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md) | backup:PutBackupVaultAccessPolicy1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md) | backup:PutBackupVaultLockConfiguration1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md) | backup:PutBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartBackupJob](API_StartBackupJob.md) | backup:StartBackupJob | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartRestoreJob](API_StartRestoreJob.md) | backup:StartRestoreJob | `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3 |
| [StopBackupJob](API_StopBackupJob.md) | backup:StopBackupJob | |
| [TagResource](API_TagResource.md) | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 |
| [UntagResource](API_UntagResource.md) | backup:UntagResource | |
| [UpdateBackupPlan](API_UpdateBackupPlan.md) | backup:UpdateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md) | backup:UpdateRecoveryPointLifecycle1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [UpdateRegionSettings](API_UpdateRegionSettings.md) | `backup:UpdateRegionSettings` `backup:DescribeRegionSettings` | |
1 Utilizza la politica di accesso al vault esistente.
2 Vedi [AWS Backup risorsa ARNs](#resource-arns-table) per i punti di ripristino specifici della risorsa. ARNs
3 `StartRestoreJob` deve avere la coppia chiave-valore nei metadati della risorsa. Per ottenere i metadati della risorsa, richiamare l'API `GetRecoveryPointRestoreMetadata`.
Per ulteriori informazioni, consulta [Operazioni, risorse e chiavi di condizione per AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html) nella *Documentiazione di riferimento per l'autorizzazione al servizio*.
## Autorizzazioni di copia di tag
Quando AWS Backup esegue un processo di backup o copia, tenta di copiare i tag dalla risorsa di origine (o dal punto di ripristino in caso di copia) al punto di ripristino.
**Nota**
AWS Backup **non** copia nativamente i tag durante i processi di ripristino. Per un'architettura basata sugli eventi che copierà i tag durante i processi di ripristino, vedi [Come conservare i tag delle risorse nei AWS Backup](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/) processi di ripristino.
Durante un processo di backup o copia, AWS Backup aggrega i tag specificati nel piano di backup (o piano di copia o backup su richiesta) con i tag della risorsa di origine. Tuttavia, AWS impone un limite di 50 tag per risorsa, che AWS Backup non può essere superato. Quando un processo di backup o copia aggrega i tag dal piano e dalla risorsa di origine, potrebbe rilevare più di 50 tag in totale. In questo caso non sarà in grado di completare il processo ed esso fallirà. Ciò è coerente con le migliori pratiche AWS di etichettatura a livello globale.
+ La tua risorsa ha più di 50 tag dopo aver aggregato i tag dei job di backup con i tag delle risorse di origine. AWS supporta fino a 50 tag per risorsa.
+ Il ruolo IAM a cui fornisci AWS Backup non dispone delle autorizzazioni per leggere i tag di origine o impostare i tag di destinazione. Per ulteriori informazioni e esempi di policy relative ai ruoli IAM, consulta [Policy gestite](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies).
Puoi utilizzare il tuo piano di backup (tag aggiunti ai punti di ripristino) per creare tag che contraddicano i tag delle risorse di origine. Quando i due sono in conflitto, i tag del piano di backup hanno la precedenza. Utilizza questa tecnica se preferisci non copiare il valore di un tag dalla risorsa di origine. Specificate la stessa chiave di tag, ma un valore diverso o vuoto, utilizzando il piano di backup.
**Autorizzazioni necessarie per assegnare tag ai backup**
| Tipo di risorsa | Autorizzazione richiesta |
| --- | --- |
| File system Amazon EFS | `elasticfilesystem:DescribeTags` |
| FSx File system Amazon | `fsx:ListTagsForResource` |
| Database Amazon RDS for MySQL e cluster Amazon Aurora | `rds:AddTagsToResource` `rds:ListTagsForResource` |
| Volume Storage Gateway | `storagegateway:ListTagsForResource` |
| Istanza Amazon EC2 e volume EBS | `EC2:CreateTags` `EC2:DescribeTags` |
DynamoDB non supporta l'assegnazione di tag ai backup a meno che non venga prima abilitato [Backup di DynamoDB avanzato](advanced-ddb-backup.md).
Quando un backup Amazon EC2 crea un Image Recovery Point e un set di snapshot, AWS Backup copia i tag nell'AMI risultante. AWS Backup copia inoltre i tag dai volumi associati all'istanza Amazon EC2 negli snapshot risultanti.
## Policy di accesso
La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Le policy collegate a un'identità IAM vengono definite *policy basate su identità* (policy IAM). Le politiche associate a una risorsa vengono chiamate politiche basate sulle *risorse*. AWS Backup supporta sia politiche basate sull'identità che politiche basate sulle risorse.
**Nota**
Questa sezione illustra l'utilizzo di IAM nel contesto di. AWS Backup Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta [Riferimento alle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
### Policy basate su identità (policy IAM)
Le policy basate su identità sono policy che si possono collegare a identità IAM, come utenti o ruoli. Ad esempio, è possibile definire una policy che consenta a un utente di visualizzare ed eseguire il backup AWS delle risorse, ma che impedisca loro di ripristinare i backup.
Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta [Identità (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *Guida per l'utente di IAM*.
Per ulteriori informazioni su come utilizzare le policy IAM per controllare l'accesso ai backup, consulta [Politiche gestite per AWS Backup](security-iam-awsmanpol.md).
### Policy basate sulle risorse
AWS Backup supporta politiche di accesso basate sulle risorse per gli archivi di backup. Questo permette di definire una policy di accesso che possa controllare di quali tipi di accesso a uno qualsiasi dei backup organizzati in un vault di backup dispongono gli utenti. Le policy di accesso basate su risorse per i vault di backup offrono un modo semplice per controllare l'accesso ai backup.
Le policy di accesso di Backup Vault controllano l'accesso degli utenti durante l'utilizzo AWS Backup APIs. È possibile accedere anche ad alcuni tipi di backup, come gli snapshot di Amazon Elastic Block Store (Amazon EBS) e Amazon Relational Database Service (Amazon RDS), utilizzando tali servizi». APIs È possibile creare policy di accesso separate in IAM che controllano l'accesso a tali politiche APIs in modo da controllare completamente l'accesso ai backup.
Per informazioni su come creare una policy di accesso per i vault di backup, consulta [Policy di accesso dei vault](create-a-vault-access-policy.md).
# Ruoli di servizio IAM
Un ruolo AWS Identity and Access Management (IAM) è simile a quello di un utente, in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Un ruolo di servizio è un ruolo che un AWS servizio assume per eseguire azioni per conto dell'utente. In quanto servizio che esegue le operazioni di backup per tuo conto, è necessario trasferire a AWS Backup un ruolo da assumere durante l'esecuzione di operazioni di backup per tuo conto. Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) nella *Guida per l'utente di IAM*.
Il ruolo a cui passi AWS Backup deve disporre di una policy IAM con le autorizzazioni che consentano di eseguire azioni associate AWS Backup alle operazioni di backup, come la creazione, il ripristino o la scadenza dei backup. Sono necessarie autorizzazioni diverse per ciascuno dei servizi supportati. AWS AWS Backup Il ruolo deve inoltre essere AWS Backup elencato come entità attendibile, che consente di AWS Backup assumere il ruolo.
Quando si assegnano risorse a un piano di backup o se si esegue un backup, una copia o un ripristino su richiesta, è necessario assegnare un ruolo di servizio che abbia accesso all'esecuzione delle operazioni sottostanti sulle risorse specificate. AWS Backup utilizza questo ruolo per creare, etichettare ed eliminare risorse nel tuo account.
## Utilizzo AWS dei ruoli per controllare l'accesso ai backup
È possibile utilizzare i ruoli per controllare l'accesso ai backup definendo i ruoli con ambito limitato e specificando chi può trasferire il ruolo a AWS Backup. Ad esempio, puoi creare un ruolo che conceda solo le autorizzazioni per il backup dei database Amazon Relational Database Service (Amazon RDS) e concedere solo ai proprietari di database Amazon RDS l'autorizzazione a passare quel ruolo. AWS Backup AWS Backup fornisce diverse politiche gestite predefinite per ciascuno dei servizi supportati. È possibile collegare queste policy gestite ai ruoli creati. Ciò semplifica la creazione di ruoli specifici del servizio con le autorizzazioni corrette necessarie. AWS Backup
Per ulteriori informazioni sulle politiche AWS gestite per AWS Backup, vedere. [Politiche gestite per AWS Backup](security-iam-awsmanpol.md)
## Ruolo di servizio predefinito per AWS Backup
Quando si utilizza la AWS Backup console per la prima volta, è possibile scegliere di AWS Backup creare automaticamente un ruolo di servizio predefinito. Questo ruolo dispone delle autorizzazioni AWS Backup necessarie per creare e ripristinare i backup per tuo conto.
**Nota**
Il ruolo predefinito viene creato automaticamente quando si utilizza la Console di gestione AWS. È possibile creare il ruolo predefinito utilizzando AWS Command Line Interface (AWS CLI), ma deve essere eseguito manualmente.
Se preferisci utilizzare ruoli personalizzati, come ruoli separati per diversi tipi di risorse, puoi anche farlo e passare i tuoi ruoli personalizzati a AWS Backup. Per visualizzare esempi di ruoli che abilitano il backup e il ripristino per singoli tipi di risorse, consulta la tabella [Policy gestite dal cliente](security-iam-awsmanpol.md#customer-managed-policies).
Il ruolo di servizio predefinito è denominato`AWSBackupDefaultServiceRole`. Questo ruolo di servizio contiene due politiche gestite [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)e [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
`AWSBackupServiceRolePolicyForBackup`include una policy IAM che concede AWS Backup le autorizzazioni per descrivere la risorsa di cui viene eseguito il backup, la possibilità di creare, eliminare, descrivere o aggiungere tag a un backup indipendentemente dalla AWS KMS chiave con cui è crittografato.
`AWSBackupServiceRolePolicyForRestores`include una policy IAM che concede AWS Backup le autorizzazioni per creare, eliminare o descrivere la nuova risorsa creata da un backup, indipendentemente dalla AWS KMS chiave con cui è crittografata. Include anche le autorizzazioni necessarie per applicare tag alla risorsa appena creata.
Per ripristinare un'istanza Amazon EC2, è necessario avviare una nuova istanza.
## Creazione del ruolo di servizio predefinito nella console
Le azioni specifiche eseguite nella AWS Backup console creano il ruolo di servizio AWS Backup predefinito.
**Per creare il ruolo di servizio AWS Backup predefinito nel tuo AWS account**
1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Per creare il ruolo per il tuo account, assegna le risorse a un piano di backup o crea un backup su richiesta.
1. Creare un piano di backup e assegnare risorse al backup. Vedi [Creare un piano di backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html).
1. In alternativa, è possibile creare un backup su richiesta. Consulta [Creazione di un backup su richiesta](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html).
1. Verifica di aver creato `AWSBackupDefaultServiceRole` nel tuo account seguendo questi passaggi:
1. Attendi alcuni minuti. Per ulteriori informazioni, consulta [Le modifiche che apporto non sono sempre immediatamente visibili](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency) nella *Guida per l'utente di AWS Identity and Access Management.*
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel menu di navigazione a sinistra, scegliere **Ruoli**.
1. Nella casella di ricerca, digitare `AWSBackupDefaultServiceRole`. Se questa selezione esiste, hai creato il ruolo AWS Backup predefinito e completato questa procedura.
1. Se `AWSBackupDefaultServiceRole` ancora non viene visualizzato, aggiungi le seguenti autorizzazioni all'utente IAM o al ruolo IAM che utilizzi per accedere alla console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
},
{
"Effect":"Allow",
"Action":[
"iam:ListRoles"
],
"Resource":"*"
}
]
}
```
------
Per le regioni della Cina, sostituire *aws* con*aws-cn*. Per AWS GovCloud (US) le regioni, sostituire *aws* con*aws-us-gov*.
1. Se non riesci ad aggiungere autorizzazioni al tuo utente IAM o al tuo ruolo IAM, chiedi all'amministratore di creare manualmente un ruolo con un nome *diverso da* `AWSBackupDefaultServiceRole` e associarlo a queste policy gestite:
+ `AWSBackupServiceRolePolicyForBackup`
+ `AWSBackupServiceRolePolicyForRestores`
# Politiche gestite per AWS Backup
Le politiche gestite sono politiche autonome basate sull'identità che puoi allegare a più utenti, gruppi e ruoli nel tuo. Account AWS Quando si allega una policy a un'entità principale, è necessario fornire all'entità le autorizzazioni definite nella policy.
*AWS le politiche gestite* vengono create e amministrate da. AWS Non è possibile modificare le autorizzazioni definite nelle politiche AWS gestite. Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica.
*Le policy gestite dai clienti* offrono controlli granulari per impostare l'accesso ai backup. AWS Backup Ad esempio, puoi utilizzarle per consentire all'amministratore di backup del database di accedere ai backup di Amazon RDS ma non a quelli di Amazon EFS.
*Per ulteriori informazioni, consulta [Managed policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) nella IAM User Guide.*
## AWS politiche gestite
AWS Backup fornisce le seguenti politiche AWS gestite per casi d'uso comuni. Queste policy consentono di definire le autorizzazioni appropriate e di controllare l'accesso ai backup. Sono disponibili due tipi i policy gestite. Un tipo è stato progettato per essere assegnato agli utenti per controllare il proprio accesso a AWS Backup. L'altro tipo di policy gestita è stato progettato per essere collegato ai ruoli che vengono passati a AWS Backup. La tabella seguente elenca tutte le policy gestite che AWS Backup offre e spiega come vengono definite. Puoi trovare queste policy gestite nella sezione **Policy** della console IAM.
**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForBackup S3](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForS3 Restore](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)
### AWSBackupAuditAccess
Questa politica concede agli utenti le autorizzazioni per creare controlli e framework che definiscono le loro aspettative in termini di AWS Backup risorse e attività e per controllare AWS Backup risorse e attività rispetto ai controlli e ai framework definiti. Questa politica concede autorizzazioni AWS Config e servizi simili per descrivere le aspettative degli utenti, eseguire gli audit.
Questa policy concede inoltre le autorizzazioni per fornire report di audit ad Amazon S3 e a servizi simili e consente agli utenti di trovare e aprire i propri report di controllo.
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSBackupDataTransferAccess
Questa politica fornisce le autorizzazioni per il trasferimento dei dati sul piano AWS Backup di archiviazione APIs, consentendo all'agente AWS Backint di completare il trasferimento dei dati di backup con il piano di archiviazione. AWS Backup Puoi collegare questa policy ai ruoli assunti dalle istanze Amazon EC2 che eseguono SAP HANA con l'agente Backint.
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSBackupFullAccess
L'amministratore di backup ha pieno accesso alle AWS Backup operazioni, inclusa la creazione o la modifica dei piani di backup, l'assegnazione di AWS risorse ai piani di backup e il ripristino dei backup. Gli amministratori di backup sono responsabili di stabilire e di applicare la conformità dei backup definendo piani di backup che soddisfino i requisiti normativi e aziendali dell'organizzazione. Gli amministratori di Backup assicurano inoltre che AWS le risorse della propria organizzazione siano assegnate al piano appropriato.
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
Questa politica fornisce l'autorizzazione del gateway di Backup per sincronizzare i metadati delle macchine virtuali per conto dell'utente.
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSBackupGuardDutyRolePolicyForScans
Questa politica deve essere aggiunta a un nuovo ruolo di scansione che concede ad Amazon GuardDuty l'autorizzazione a leggere e scansionare i tuoi backup. Dovrai associare questo ruolo di scansione al tuo piano di backup all'interno delle impostazioni di scansione o protezione da malware. Quando AWS Backup avvia una scansione, passa questo ruolo di scansione ad Amazon GuardDuty.
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSBackupOperatorAccess
Gli operatori di backup sono utenti che hanno la responsabilità di garantire il backup delle risorse di cui sono responsabili venga eseguito correttamente. Gli operatori di backup dispongono delle autorizzazioni per assegnare AWS risorse ai piani di backup creati dall'amministratore di backup. Dispongono inoltre delle autorizzazioni per creare backup su richiesta delle proprie AWS risorse e per configurare il periodo di conservazione dei backup su richiesta. Non dispongono invece delle autorizzazioni per creare o modificare i piani di backup o per eliminare i backup pianificati dopo che sono stati creati. Gli operatori di backup possono ripristinare i backup. È possibile limitare i tipi di risorse che un operatore di backup può assegnare a un piano di backup o ripristinare da un backup. A tale scopo, è possibile passare solo determinati ruoli di servizio a cui sono consentite le autorizzazioni per AWS Backup un determinato tipo di risorsa.
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSBackupOrganizationAdminAccess
L'amministratore dell'organizzazione ha pieno accesso alle AWS Organizations operazioni, tra cui la creazione, la modifica o l'eliminazione delle politiche di backup, l'assegnazione delle politiche di backup agli account e alle unità organizzative e il monitoraggio delle attività di backup all'interno dell'organizzazione. Gli amministratori dell'organizzazione sono responsabili della protezione degli account nell'organizzazione mediante la definizione e l'assegnazione di policy di backup che soddisfino i requisiti aziendali e normativi dell'organizzazione.
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSBackupRestoreAccessForSAPHANA
Questa policy consente di AWS Backup ripristinare un backup di SAP HANA su Amazon EC2.
*Per visualizzare le autorizzazioni per questa policy, consulta [AWSBackupRestoreAccessForSAPHANA](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html) nel Managed Policy Reference.AWS *
### AWSBackupSearchOperatorAccess
Il ruolo di operatore di ricerca ha accesso alla creazione di indici di backup e alla creazione di ricerche di metadati di backup indicizzati.
Questa politica contiene le autorizzazioni necessarie per tali funzioni.
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSBackupServiceLinkedRolePolicyForBackup
Questa policy è allegata al ruolo collegato al servizio denominato AWSServiceRoleforBackup per consentire di chiamare AWS i servizi AWS Backup per conto dell'utente per gestire i backup. Per ulteriori informazioni, consulta [Utilizzo dei ruoli per il backup e la copia](using-service-linked-roles-AWSServiceRoleForBackup.md).
*Per visualizzare le autorizzazioni relative a questa policy, consulta il Managed Policy [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)Reference.AWS *
### AWSBackupServiceLinkedRolePolicyForBackupTest
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSBackupServiceRolePolicyForBackup
Fornisce AWS Backup le autorizzazioni per creare backup di tutti i tipi di risorse supportati per tuo conto.
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSBackupServiceRolePolicyForItemRestores
**Descrizione**
Questa policy concede agli utenti le autorizzazioni per ripristinare singoli file ed elementi in uno snapshot (punto di ripristino di backup periodico) in un bucket Amazon S3 nuovo o esistente o in un nuovo volume Amazon EBS. Queste autorizzazioni includono: autorizzazioni di lettura ad Amazon EBS per istantanee gestite da autorizzazioni di AWS Backup lettura/scrittura per i bucket Amazon S3 e generazione e descrizione delle autorizzazioni per le chiavi. AWS KMS
**Utilizzo di questa politica**
È possibile associare la policy `AWSBackupServiceRolePolicyForItemRestores` a utenti, gruppi e ruoli.
**Dettagli della politica**
+ **Tipo:** politica AWS gestita
+ **Ora di creazione:** 21 novembre 2024, 22:45 UTC
+ Ora di **modifica: prima istanza**
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`
**Versione della politica:** v1 (impostazione predefinita)
La versione di questa politica definisce le autorizzazioni per la politica. Quando l'utente o il ruolo responsabile della politica effettua una richiesta di accesso a una AWS risorsa, AWS controlla la versione predefinita della politica per determinare se consentire o meno la richiesta.
**Documento sulla politica JSON:**
#### AWSBackupServiceRolePolicyForItemRestores JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "S3ReadonlyPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "S3PermissionsForFileLevelRestore",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::*/*"
},
{
"Sid": "KMSDataKeyForS3AndEC2Permissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com",
"s3.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForIndexing
**Descrizione**
Questa politica concede agli utenti le autorizzazioni per indicizzare gli snapshot, noti anche come punti di ripristino periodici. Queste autorizzazioni includono: autorizzazioni di lettura ad Amazon EBS per istantanee gestite da autorizzazioni di AWS Backup lettura/scrittura per i bucket Amazon S3 e generazione e descrizione delle autorizzazioni per le chiavi. AWS KMS
**Utilizzo di questa politica**
È possibile associare la policy `AWSBackupServiceRolePolicyForIndexing` a utenti, gruppi e ruoli.
**Dettagli della politica**
+ **Tipo:** politica AWS gestita
+ **Ora di modifica:** prima istanza
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`
**Versione della politica:** v1 (impostazione predefinita)
La versione di questa politica definisce le autorizzazioni per la politica. Quando l'utente o il ruolo responsabile della politica effettua una richiesta di accesso a una AWS risorsa, AWS controlla la versione predefinita della politica per determinare se consentire o meno la richiesta.
**Documento sulla politica JSON:**
#### AWSBackupServiceRolePolicyForIndexing JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSDataKeyForEC2Permissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForRestores
Fornisce AWS Backup le autorizzazioni per ripristinare i backup di tutti i tipi di risorse supportati per tuo conto.
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) nella * Guida di riferimento sulle policy gestite da AWS *.
Per il ripristino delle istanze EC2, devi includere anche le seguenti autorizzazioni per avviare l'istanza EC2:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPassRole",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/role-name",
"Effect": "Allow"
}
]
}
```
------
### AWSBackupServiceRolePolicyForBackup S3
Questa policy contiene le autorizzazioni necessarie per eseguire il backup AWS Backup di qualsiasi bucket S3. Ciò include l'accesso a tutti gli oggetti in un bucket e a qualsiasi chiave associata. AWS KMS
*Per visualizzare le autorizzazioni per questa politica, consulta [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) nel Managed Policy Reference.AWS *
### AWSBackupServiceRolePolicyForS3 Restore
Questa policy contiene le autorizzazioni necessarie per AWS Backup ripristinare un backup S3 in un bucket. Ciò include le autorizzazioni di lettura e scrittura per i bucket e l'utilizzo di qualsiasi AWS KMS chiave per quanto riguarda le operazioni S3.
*Per visualizzare le autorizzazioni per questa politica, consulta [AWSBackupServiceRolePolicyForS3Restore nel](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) Managed Policy Reference.AWS *
### AWSBackupServiceRolePolicyForScans
La policy deve essere associata al ruolo IAM utilizzato nella selezione delle risorse del piano di backup. Questo ruolo concede a AWS Backup l'autorizzazione ad avviare scansioni in Amazon. GuardDuty
Per vedere le autorizzazioni per questa policy, consulta [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSServiceRolePolicyForBackupReports
AWS Backup utilizza questa politica per il ruolo collegato al servizio. [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html) Questo ruolo collegato al servizio fornisce AWS Backup le autorizzazioni per monitorare e generare report sulla conformità delle impostazioni, dei job e delle risorse di backup con i framework.
Per vedere le autorizzazioni per questa policy, consulta [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) nella * Guida di riferimento sulle policy gestite da AWS *.
### AWSServiceRolePolicyForBackupRestoreTesting
Per vedere le autorizzazioni per questa policy, consulta [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Policy gestite dal cliente
Le sezioni seguenti descrivono le autorizzazioni di backup e ripristino consigliate per i AWS servizi e le applicazioni di terze parti supportate da. AWS BackupÈ possibile utilizzare le politiche AWS gestite esistenti come modello durante la creazione di documenti di policy personalizzati e quindi personalizzarli per limitare ulteriormente l'accesso alle AWS risorse.
**Importante**
Quando si utilizzano ruoli IAM personalizzati per AWS Backup, è necessario includere autorizzazioni specifiche per le risorse oltre alle autorizzazioni. AWS Backup Ad esempio, quando richiami `backup:ListTags` una risorsa Amazon RDS, il tuo ruolo IAM personalizzato deve includere anche `rds:ListTagsForResource` l'autorizzazione. Sebbene queste autorizzazioni siano incluse nel ruolo di AWS Backup servizio predefinito, devono essere aggiunte esplicitamente alle politiche gestite dal cliente. Le autorizzazioni richieste per le risorse sottostanti dipendono dal AWS servizio e dall'operazione specifici eseguiti.
### Amazon Aurora
**Backup**
Inizia con le seguenti dichiarazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Ripristino**
Inizia con la `RDSPermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon Aurora DSQL
**Backup**
Inizia con le seguenti dichiarazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Ripristino**
Inizia con la `DSQLRestorePermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon DynamoDB
**Backup**
Inizia con le seguenti dichiarazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`
**Ripristino**
Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`
### Amazon EBS
**Backup**
Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Ripristino**
Inizia con la `EBSPermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
Aggiungi l'istruzione seguente.
```
{
"Effect":"Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource":"*"
},
```
### Amazon EC2
**Backup**
Inizia con le seguenti dichiarazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Ripristino**
Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`
Aggiungi l'istruzione seguente.
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/role-name"
},
```
Sostituisci *role-name* con il nome del ruolo del profilo dell'istanza EC2 che verrà associato all'istanza EC2 ripristinata. Questo non è il ruolo di AWS Backup servizio, ma piuttosto il ruolo IAM che fornisce le autorizzazioni alle applicazioni in esecuzione sull'istanza EC2.
### Amazon EFS
**Backup**
Inizia con le seguenti dichiarazioni di: [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Ripristino**
Inizia con la `EFSPermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon FSx
**Backup**
Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`
**Ripristino**
Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`
### Amazon Neptune
**Backup**
Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Ripristino**
Inizia con la `RDSPermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon RDS
**Backup**
Inizia con le seguenti dichiarazioni di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Ripristino**
Inizia con la `RDSPermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Simple Storage Service (Amazon S3)
**Backup**
Inizia con [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html).
Aggiungi le `BackupVaultCopyPermissions` istruzioni `BackupVaultPermissions` e se devi copiare i backup su un altro account.
**Ripristino**
Inizia con [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html).
### Gateway di archiviazione AWS
**Backup**
Inizia con le seguenti affermazioni di: [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
Aggiungi l'istruzione seguente.
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource":"*"
},
```
**Ripristino**
Inizia con le seguenti affermazioni di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`
### Macchina virtuale
**Backup**
Inizia con la `BackupGatewayBackupPermissions` dichiarazione di [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html).
**Ripristino**
Inizia con la `GatewayRestorePermissions` dichiarazione di [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Backup crittografato
**Per ripristinare un backup crittografato, puoi procedere in uno dei seguenti modi:**
+ Aggiungi il tuo ruolo alla lista consentita per la politica AWS KMS chiave
+ Aggiungi le seguenti istruzioni da [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)al tuo ruolo IAM per i ripristini:
+ `KMSDescribePermissions`
+ `KMSPermissions`
+ `KMSCreateGrantPermissions`
## Aggiornamenti delle policy per AWS Backup
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS Backup da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting): aggiornamento a una policy esistente | AWS Backup ha aggiunto la seguente autorizzazione a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono a AWS Backup Restore Testing di eliminare i database RDS Tenant dopo il completamento del test di ripristino. | 18 marzo 2026 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup avviare scansioni antimalware sui punti di ripristino. | 23 febbraio 2026 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans): nuova policy | AWS Backup ha aggiunto una nuova policy AWS gestita che fornisce ad Amazon GuardDuty l'autorizzazione a leggere e scansionare i backup dei clienti. AWS Backup assegna un ruolo con questa politica all' GuardDuty avvio delle operazioni. `StartMalwareScan` Ciò è necessario per fornire tutte le autorizzazioni necessarie per le scansioni di malware sui punti di ripristino delle risorse Amazon EC2, Amazon EBS e Amazon S3. Per ulteriori informazioni, consulta la policy gestita. [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) | 19 novembre 2025 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans): nuova policy | AWS Backup ha aggiunto una nuova policy AWS gestita che consente AWS Backup di avviare scansioni antimalware sui punti di ripristino. Ciò è necessario per fornire tutte le autorizzazioni necessarie per le scansioni di malware sui punti di ripristino delle risorse Amazon EC2, Amazon EBS e Amazon S3. Per ulteriori informazioni, consulta la policy gestita. [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) | 19 novembre 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Aggiunto `malware-protection.guardduty.amazonaws.com` a`IamPassRolePermissions`, necessario per avviare i processi di scansione antimalware. | 19 novembre 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per avviare processi di scansione antimalware. | 19 novembre 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup eseguire il backup e il ripristino dei cluster Amazon EKS. | 10 novembre 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup eseguire il backup e il ripristino dei cluster Amazon EKS. | 10 novembre 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup creare backup dei cluster Amazon EKS e delle relative risorse associate per conto dei clienti. | 10 novembre 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup creare backup dei cluster Amazon EKS e delle relative risorse associate per conto dei clienti. | 10 novembre 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup eseguire operazioni di ripristino per i cluster Amazon EKS e le relative risorse associate per conto dei clienti. | 10 novembre 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | AWS Backup ha aggiunto la seguente autorizzazione a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Questa autorizzazione consente di AWS Backup sincronizzare le informazioni degli amministratori delegati con Organizations per le funzionalità di gestione tra account. | 9 settembre 2025 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans): nuova policy | AWS Backup ha aggiunto una nuova policy AWS gestita che fornisce ad Amazon GuardDuty l'autorizzazione a leggere e scansionare i backup dei clienti. AWS Backup assegna un ruolo con questa politica all' GuardDuty avvio delle operazioni. `StartMalwareScan` Ciò è necessario per fornire tutte le autorizzazioni necessarie per le scansioni di malware sui punti di ripristino delle risorse Amazon EC2, Amazon EBS e Amazon S3. Per ulteriori informazioni, consulta la policy gestita. [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) | 24 novembre 2025 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans): nuova policy | AWS Backup ha aggiunto una nuova policy AWS gestita che consente AWS Backup di avviare scansioni antimalware sui punti di ripristino. Ciò è necessario per fornire tutte le autorizzazioni necessarie per le scansioni di malware sui punti di ripristino delle risorse Amazon EC2, Amazon EBS e Amazon S3. Per ulteriori informazioni, consulta la policy gestita. [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) | 24 novembre 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per AWS Backup eseguire operazioni di ripristino orchestrate in più regioni per le risorse DSQL per conto dei clienti. | 17 luglio 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per AWS Backup l'integrazione con Gestione dell'account AWS e AWS Organizations quindi i clienti possono scegliere l'approvazione multipartitica (MPA) come parte dei loro vault logicamente isolati. | 17 giugno 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— Aggiornamento a una politica esistente: | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per consentire ai clienti di ripristinare le istantanee di Amazon FSx for OpenZFS Multi-Availability Zone (Multi-AZ) tramite. AWS Backup | 27 maggio 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup eseguire il backup e il ripristino delle risorse SQL di Amazon Aurora. | 21 maggio 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup eseguire il backup e il ripristino delle risorse SQL di Amazon Aurora. | 21 maggio 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup creare, eliminare, recuperare e gestire istantanee SQL di Amazon Aurora per conto dei clienti. | 21 maggio 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di AWS Backup creare, eliminare, recuperare, crittografare, decrittografare e gestire gli snapshot SQL di Amazon Aurora per conto dei clienti. | 21 maggio 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni consentono di gestire i backup AWS Backup di Aurora DSQL a intervalli specificati dal cliente. | 21 maggio 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie affinché i clienti designati abbiano pieno accesso ai backup Serverless di Amazon Redshift, incluse le autorizzazioni di lettura richieste e la possibilità di eliminare i punti di ripristino Amazon Redshift Serverless (backup snapshot). | 31 marzo 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie affinché i clienti designati dispongano di tutte le autorizzazioni di backup necessarie per Amazon Redshift Serverless, incluse le autorizzazioni di lettura richieste. | 31 marzo 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per AWS Backup gestire gli snapshot Serverless di Amazon Redshift a intervalli specificati dal cliente. | 31 marzo 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie per consentire di AWS Backup creare, eliminare, recuperare e gestire gli snapshot Serverless di Amazon Redshift per conto dei clienti. | 31 marzo 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | AWS Backup ha aggiunto le seguenti autorizzazioni a questa politica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/aws-backup/latest/devguide/security-iam-awsmanpol.html) Queste autorizzazioni sono necessarie AWS Backup per consentire il ripristino degli snapshot Serverless di Amazon Redshift e Amazon Redshift per conto del cliente. | 31 marzo 2025 |
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— Aggiunta una nuova policy gestita AWS | AWS Backup ha aggiunto la politica AWSBackupSearchOperatorAccess AWS gestita. | 27 febbraio 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | AWS Backup ha aggiunto l'autorizzazione `rds:AddTagsToResource` a supportare la copia di backup con snapshot multi-tenant di Amazon RDS su più account. Questa autorizzazione è necessaria per completare le operazioni quando un cliente sceglie di creare una copia multiaccount di uno snapshot RDS multi-tenant. | 08 gennaio 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | AWS Backup ha aggiunto le autorizzazioni `rds:CreateTenantDatabase` e `rds:DeleteTenantDatabase` a questa policy per supportare il processo di ripristino delle risorse Amazon RDS. Queste autorizzazioni sono necessarie per completare le operazioni del cliente per il ripristino di istantanee multi-tenant. | 08 gennaio 2025 |
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— Aggiunta una nuova policy gestita AWS | AWS Backup ha aggiunto la politica AWSBackupServiceRolePolicyForItemRestores AWS gestita. | 26 novembre 2024 |
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— Aggiunta una nuova politica AWS gestita | AWS Backup ha aggiunto la politica AWSBackupServiceRolePolicyForIndexing AWS gestita. | 26 novembre 2024 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | AWS Backup ha aggiunto l'autorizzazione `backup:TagResource` a questa politica. L'autorizzazione è necessaria per ottenere le autorizzazioni di etichettatura durante la creazione di un punto di ripristino. | 17 maggio 2024 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): aggiornamento a una politica esistente | AWS Backup ha aggiunto l'autorizzazione `backup:TagResource` a questa politica. L'autorizzazione è necessaria per ottenere le autorizzazioni di etichettatura durante la creazione di un punto di ripristino. | 17 maggio 2024 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | AWS Backup ha aggiunto l'autorizzazione `backup:TagResource` a questa politica. L'autorizzazione è necessaria per ottenere le autorizzazioni di etichettatura durante la creazione di un punto di ripristino. | 17 maggio 2024 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | È stata aggiunta l'autorizzazione`rds:DeleteDBInstanceAutomatedBackups`. Questa autorizzazione è necessaria per AWS Backup supportare il backup continuo e point-in-time-restore delle istanze Amazon RDS. | 1º maggio 2024 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | AWS Backup ha aggiornato l'Amazon Resource Name (ARN) nell'autorizzazione `storagegateway:ListVolumes` da `arn:aws:storagegateway:*:*:gateway/*` a per `*` adattarsi a una modifica del modello API Storage Gateway. | 1º maggio 2024 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | AWS Backup ha aggiornato l'Amazon Resource Name (ARN) nell'autorizzazione `storagegateway:ListVolumes` da `arn:aws:storagegateway:*:*:gateway/*` a per `*` adattarsi a una modifica del modello API Storage Gateway. | 1º maggio 2024 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per descrivere ed elencare i punti di ripristino e le risorse protette al fine di condurre piani di test di ripristino:`backup:DescribeRecoveryPoint`, `backup:DescribeProtectedResource``backup:ListProtectedResources`, e. `backup:ListRecoveryPointsByResource` È stata aggiunta l'autorizzazione `ec2:DescribeSnapshotTierStatus` a supportare lo storage a livello di archivio di Amazon EBS. È stata aggiunta l'autorizzazione `rds:DescribeDBClusterAutomatedBackups` a supportare i backup continui di Amazon Aurora. Sono state aggiunte le seguenti autorizzazioni per supportare i test di ripristino dei backup `redshift:DescribeClusters` di Amazon Redshift: e. `redshift:DeleteCluster` È stata aggiunta l'autorizzazione `timestream:DeleteTable` a supportare i test di ripristino dei backup di Amazon Timestream. | 14 febbraio 2024 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Aggiunte le autorizzazioni `ec2:DescribeSnapshotTierStatus` e. `ec2:RestoreSnapshotTier` Queste autorizzazioni sono necessarie per consentire agli utenti di ripristinare le risorse Amazon EBS archiviate AWS Backup dallo storage di archivio. Per il ripristino delle istanze EC2, devi includere anche le autorizzazioni come mostrato nella seguente istruzione di policy per avviare l'istanza EC2: | 27 novembre 2023 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le autorizzazioni `ec2:DescribeSnapshotTierStatus` e `ec2:ModifySnapshotTier` il supporto di un'opzione di storage aggiuntiva per la transizione delle risorse di backup di Amazon EBS al livello di storage di archiviazione. Queste autorizzazioni sono necessarie affinché gli utenti abbiano la possibilità di trasferire le risorse Amazon EBS archiviate AWS Backup allo storage di archivio. | 27 novembre 2023 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le autorizzazioni `ec2:DescribeSnapshotTierStatus` e `ec2:ModifySnapshotTier` il supporto di un'opzione di storage aggiuntiva per la transizione delle risorse di backup di Amazon EBS al livello di storage di archiviazione. Queste autorizzazioni sono necessarie affinché gli utenti abbiano la possibilità di trasferire le risorse Amazon EBS archiviate AWS Backup allo storage di archivio. Sono state aggiunte le autorizzazioni `rds:DescribeDBClusterSnapshots` e`rds:RestoreDBClusterToPointInTime`, necessarie per PITR (point-in-time ripristini) dei cluster Aurora. |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting): nuova policy | Fornisce le autorizzazioni necessarie per eseguire i test di ripristino. Le autorizzazioni includono le azioni `list, read, and write` per i seguenti servizi da includere nei test di ripristino: Aurora, DocumentDB, DynamoDB, Amazon EBS FSx , Amazon EC2, Amazon EFS, for FSx Lustre, per Windows File Server, per FSx ONTAP, per FSx OpenZFS, Amazon Neptune, Amazon RDS e Amazon S3. | 27 novembre 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Aggiunto `restore-testing.backup.amazonaws.com` a `IamPassRolePermissions` e `IamCreateServiceLinkedRolePermissions`. Questa aggiunta è necessaria per eseguire test di ripristino per conto dei clienti. AWS Backup | 27 novembre 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Sono state aggiunte le autorizzazioni `rds:DescribeDBClusterSnapshots` e`rds:RestoreDBClusterToPointInTime`, necessarie per PITR (point-in-time ripristini) dei cluster Aurora. | 6 settembre 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | È stata aggiunta l'autorizzazione`rds:DescribeDBClusterAutomatedBackups`, necessaria per il backup e il point-in-time ripristino continui dei cluster Aurora. | 6 settembre 2023 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | È stata aggiunta l'autorizzazione`rds:DescribeDBClusterAutomatedBackups`, necessaria per il backup e il point-in-time ripristino continui dei cluster Aurora. | 6 settembre 2023 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | È stata aggiunta l'autorizzazione. `rds:DescribeDBClusterAutomatedBackups` Questa autorizzazione è necessaria per il AWS Backup supporto del backup e del point-in-time ripristino continui dei cluster Aurora. È stata aggiunta l'autorizzazione `rds:DeleteDBClusterAutomatedBackups` per consentire a AWS Backup Lifecycle di eliminare e dissociare i punti di ripristino continui di Amazon Aurora al termine di un periodo di conservazione. Questa autorizzazione è necessaria affinché il punto di ripristino Aurora eviti la transizione verso uno stato `EXIPIRED`. Aggiunta l'autorizzazione `rds:ModifyDBCluster` che consente di AWS Backup interagire con i cluster Aurora. Questa aggiunta consente agli utenti di abilitare o disabilitare i backup continui in base alle configurazioni desiderate. | 6 settembre 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | È stata aggiunta l'azione `ram:GetResourceShareAssociations` per concedere all'utente l'autorizzazione a ottenere associazioni di condivisione delle risorse per un nuovo tipo di archivio. | 8 agosto 2023 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | È stata aggiunta l'azione `ram:GetResourceShareAssociations` per concedere all'utente l'autorizzazione a ottenere associazioni di condivisione delle risorse per un nuovo tipo di archivio. | 8 agosto 2023 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): aggiornamento a una politica esistente | È stata aggiunta l'autorizzazione `s3:PutInventoryConfiguration` a migliorare la velocità delle prestazioni di backup utilizzando un bucket inventory. | 1° agosto 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per aggiungere tag `ec2:CreateTags` per ripristinare le risorse: `storagegateway:AddTagsToResource``elasticfilesystem:TagResource`,, solo `ec2:CreateAction` ciò include `RunInstances` o `CreateVolume``fsx:TagResource`, e. `cloudformation:TagResource` | 22 maggio 2023 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess): aggiornamento di una policy esistente | Ha sostituito la selezione delle risorse all'interno dell'API `config:DescribeComplianceByConfigRule` con una risorsa wildcard per facilitare la selezione delle risorse da parte di un utente. | 11 aprile 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | È stata aggiunta la seguente autorizzazione per ripristinare Amazon EFS utilizzando una chiave gestita dal cliente:`kms:GenerateDataKeyWithoutPlaintext`. Questo aiuta a garantire che gli utenti dispongano delle autorizzazioni necessarie per ripristinare le risorse Amazon EFS. | 27 marzo 2023 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports): aggiornamento di una policy esistente | Sono state aggiornate le `config:DescribeConfigRuleEvaluationStatus` azioni `config:DescribeConfigRules` and per consentire a AWS Backup Audit Manager di accedere alle regole gestite AWS Config da AWS Backup Audit Manager. | 9 marzo 2023 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore): aggiornamento a una politica esistente | Sono state aggiunte le seguenti autorizzazioni: `kms:Decrypt``s3:PutBucketOwnershipControls`, e `s3:GetBucketOwnershipControls` alla politica. `AWSBackupServiceRolePolicyForS3Restore` Queste autorizzazioni sono necessarie per supportare il ripristino degli oggetti quando la crittografia KMS viene utilizzata nel backup originale e per il ripristino degli oggetti quando la proprietà degli oggetti è configurata sul bucket originale anziché su ACL. | 13 febbraio 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per pianificare i backup utilizzando i VMware tag delle macchine virtuali e per supportare la limitazione della larghezza di banda basata sulla pianificazione:`backup-gateway:GetHypervisorPropertyMappings`,,,,, e. `backup-gateway:GetVirtualMachine` `backup-gateway:PutHypervisorPropertyMappings` `backup-gateway:GetHypervisor` `backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule` | 15 dicembre 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per pianificare i backup utilizzando i VMware tag delle macchine virtuali e per supportare la limitazione della larghezza di banda basata sulla pianificazione:,, e. `backup-gateway:GetHypervisorPropertyMappings` `backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule` | 15 dicembre 2022 |
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync): nuova policy | Fornisce le autorizzazioni a AWS Backup Gateway per sincronizzare i metadati delle macchine virtuali nelle reti locali con Backup Gateway. | 15 dicembre 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare i processi di backup di Timestream:`timestream:StartAwsBackupJob`,,,,,`timestream:GetAwsBackupStatus`, `timestream:ListTables` e. `timestream:ListDatabases` `timestream:ListTagsForResource` `timestream:DescribeTable` `timestream:DescribeDatabase` `timestream:DescribeEndpoints` | 13 dicembre 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare i processi di ripristino di Timestream:`timestream:StartAwsRestoreJob`,,,,,`timestream:GetAwsRestoreStatus`, `timestream:ListTables``timestream:ListTagsForResource`, `timestream:ListDatabases` e. `timestream:DescribeTable` `timestream:DescribeDatabase` `s3:GetBucketAcl` `timestream:DescribeEndpoints` | 13 dicembre 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare le risorse Timestream:,, e. `timestream:ListTables` `timestream:ListDatabases` `s3:ListAllMyBuckets` `timestream:DescribeEndpoints` | 13 dicembre 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare le risorse Timestream:,,, e. `timestream:ListDatabases` `timestream:ListTables` `s3:ListAllMyBuckets` `timestream:DescribeEndpoints` | 13 dicembre 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare le risorse Timestream:`timestream:ListDatabases`,,,,, `timestream:ListTables``timestream:ListTagsForResource`, `timestream:DescribeDatabase` e. `timestream:DescribeTable` `timestream:GetAwsBackupStatus` `timestream:GetAwsRestoreStatus` `timestream:DescribeEndpoints` | 13 dicembre 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare le risorse Amazon Redshift`redshift:DescribeClusters`:`redshift:DescribeClusterSubnetGroups`,,`redshift:DescribeNodeConfigurationOptions`,`redshift:DescribeOrderableClusterOptions`,`redshift:DescribeClusterParameterGroups`, `redshift:DescribeClusterTracks``redshift:DescribeSnapshotSchedules`, e. `ec2:DescribeAddresses` | 27 novembre 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare le risorse Amazon Redshift`redshift:DescribeClusters`:`redshift:DescribeClusterSubnetGroups`,,,, `redshift:DescribeNodeConfigurationOptions``redshift:DescribeOrderableClusterOptions`,`redshift:DescribeClusterParameterGroups,`. `redshift:DescribeClusterTracks` `redshift:DescribeSnapshotSchedules`, e. `ec2:DescribeAddresses` | 27 novembre 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare i processi di ripristino di Amazon Redshift`redshift:RestoreFromCluster Snapshot`:`redshift:RestoreTableFromClusterSnapshot`,`redshift:DescribeClusters`, e. `redshift:DescribeTableRestoreStatus` | 27 novembre 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare i processi di backup di Amazon Redshift`redshift:CreateClusterSnapshot`:`redshift:DescribeClusterSnapshots`,,`redshift:DescribeTags`, `redshift:DeleteClusterSnapshot``redshift:DescribeClusters`, e. `redshift:CreateTags` | 27 novembre 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | È stata aggiunta la seguente autorizzazione per supportare CloudFormation le risorse:. `cloudformation:ListStacks` | 27 novembre 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | È stata aggiunta la seguente autorizzazione per supportare CloudFormation le risorse:`cloudformation:ListStacks`. | 27 novembre 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare CloudFormation le risorse:`redshift:DescribeClusterSnapshots`, `redshift:DescribeTags``redshift:DeleteClusterSnapshot`, e`redshift:DescribeClusters`. | 27 novembre 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare i processi di backup dello stack di CloudFormation applicazioni:`cloudformation:GetTemplate`, e`cloudformation:DescribeStacks`. `cloudformation:ListStackResources` | 16 novembre 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare i job di backup dello stack di CloudFormation applicazioni: e `cloudformation:CreateChangeSet` `cloudformation:DescribeChangeSet` | 16 novembre 2022 |
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni a questa politica per consentire agli amministratori dell'organizzazione di utilizzare la funzionalità Amministratore delegato:,, e `organizations:ListDelegatedAdministrator` `organizations:RegisterDelegatedAdministrator` `organizations:DeregisterDelegatedAdministrator` | 27 novembre 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare SAP HANA su istanze Amazon EC2:`ssm-sap:GetOperation`,,,, `ssm-sap:ListDatabases` e. `ssm-sap:BackupDatabase` `ssm-sap:UpdateHanaBackupSettings` `ssm-sap:GetDatabase` `ssm-sap:ListTagsForResource` | 20 novembre 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare SAP HANA su istanze Amazon EC2:,, e. `ssm-sap:GetOperation` `ssm-sap:ListDatabases` `ssm-sap:GetDatabase` `ssm-sap:ListTagsForResource` | 20 novembre 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare SAP HANA su istanze Amazon EC2:,, e. `ssm-sap:GetOperation` `ssm-sap:ListDatabases` `ssm-sap:GetDatabase` `ssm-sap:ListTagsForResource` | 20 novembre 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | È stata aggiunta la seguente autorizzazione per supportare SAP HANA su istanze Amazon EC2:. `ssm-sap:GetOperation` | 20 novembre 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | È stata aggiunta la seguente autorizzazione per supportare i processi di ripristino del gateway di Backup su un'istanza EC2:`ec2:CreateTags`. | 20 novembre 2022 |
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti autorizzazioni per supportare il trasferimento sicuro dei dati di storage per SAP HANA sulle risorse Amazon EC2:`backup-storage:StartObject`,,,, `backup-storage:PutChunk``backup-storage:GetChunk`, `backup-storage:ListChunks` e. `backup-storage:ListObjects` `backup-storage:GetObjectMetadata` `backup-storage:NotifyObjectComplete` | 20 novembre 2022 |
| [AWSBackupRestoreAccessForSAPHANA: aggiornamento a](#AWSBackupRestoreAccessForSAPHANA) una policy esistente | Sono state aggiunte le seguenti autorizzazioni per consentire ai proprietari delle risorse di eseguire il ripristino di SAP HANA sulle risorse Amazon EC2:`backup:Get*`,,`backup:List*`,`backup:Describe*`,`backup:StartBackupJob`,`backup:StartRestoreJob`,`ssm-sap:GetOperation`, `ssm-sap:ListDatabases``ssm-sap:BackupDatabase`, `ssm-sap:RestoreDatabase` e. `ssm-sap:UpdateHanaBackupSettings` `ssm-sap:GetDatabase` `ssm-sap:ListTagsForResource` | 20 novembre 2022 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): aggiornamento a una policy esistente | È stata aggiunta l'autorizzazione `s3:GetBucketAcl` a supportare le operazioni di backup AWS Backup di Amazon S3. | 24 agosto 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Sono state aggiunte le seguenti azioni per concedere l'accesso alla creazione di un'istanza di database per supportare la funzionalità Multi-Availability Zone (Multi-AZ):. `rds:CreateDBInstance` | 20 luglio 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | È stata aggiunta l'`s3:GetBucketTagging`autorizzazione a concedere all'utente l'autorizzazione a selezionare i bucket di cui eseguire il backup con una jolly di risorse. Senza questa autorizzazione, gli utenti che selezionano i bucket di cui eseguire il backup con una risorsa wildcard non hanno successo. | 6 maggio 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte risorse di volume nell'ambito delle azioni esistenti `fsx:CreateBackup` e sono state aggiunte nuove `fsx:ListTagsForResource` azioni FSx per il supporto dei backup `fsx:DescribeVolumes` a livello di volume ONTAP. | 27 aprile 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Sono state aggiunte le seguenti azioni per concedere agli utenti le autorizzazioni FSx per il ripristino dei volumi ONTAP`fsx:DescribeVolumes`,, `fsx:CreateVolumeFromBackup` e. `fsx:DeleteVolume` `fsx:UntagResource` | 27 aprile 2022 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): aggiornamento a una politica esistente | Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per ricevere notifiche di modifiche ai propri bucket Amazon S3 durante le operazioni di backup: e. `s3:GetBucketNotification` `s3:PutBucketNotification` | 25 febbraio 2022 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup): nuova politica | Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per eseguire il backup dei propri bucket Amazon S3`s3:GetInventoryConfiguration`:`s3:PutInventoryConfiguration`,,`s3:ListBucketVersions`,`s3:ListBucket`,, `s3:GetBucketTagging``s3:GetBucketVersioning`, e `s3:GetBucketNotification` `s3:GetBucketLocation` `s3:ListAllMyBuckets` Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per il backup dei propri oggetti Amazon S3`s3:GetObject`:`s3GetObjectAcl`,,`s3:GetObjectVersionTagging`, `s3:GetObjectVersionAcl``s3:GetObjectTagging`, e. `s3:GetObjectVersion` Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per il backup dei dati `kms:Decrypt` crittografati di Amazon S3: e. `kms:DescribeKey` Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per eseguire backup incrementali dei dati Amazon S3 utilizzando le regole di EventBridge Amazon`events:DescribeRule`:`events:EnableRule`,,,`events:PutRule`,`events:DeleteRule`,, `events:PutTargets` `events:RemoveTargets``events:ListTargetsByRule`, `events:DisableRule` e. `cloudwatch:GetMetricData` `events:ListRules` | 17 febbraio 2022 |
| [AWSBackupServiceRolePolicyForS3Restore: nuova politica](#AWSBackupServiceRolePolicyForS3Restore) | Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per ripristinare i propri bucket Amazon S3`s3:CreateBucket`:`s3:ListBucketVersions`,,, `s3:ListBucket``s3:GetBucketVersioning`, `s3:GetBucketLocation` e. `s3:PutBucketVersioning` Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per ripristinare i propri bucket Amazon S3`s3:GetObject`:`s3:GetObjectVersion`,`s3:DeleteObject`,`s3:PutObjectVersionAcl`,`s3:GetObjectVersionAcl`,`s3:GetObjectTagging`,, `s3:PutObjectTagging` `s3:GetObjectAcl``s3:PutObjectAcl`, `s3:PutObject` e. `s3:ListMultipartUploadParts` Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per crittografare i dati Amazon S3 ripristinati`kms:Decrypt`:`kms:DescribeKey`, e. `kms:GenerateDataKey` | 17 febbraio 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | `s3:ListAllMyBuckets`Aggiunto per concedere all'utente le autorizzazioni per visualizzare un elenco dei propri bucket e scegliere quali assegnare a un piano di backup. | 14 febbraio 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | `backup-gateway:ListVirtualMachines`Aggiunto per concedere all'utente le autorizzazioni per visualizzare un elenco delle proprie macchine virtuali e scegliere quali assegnare a un piano di backup. `backup-gateway:ListTagsForResource`Aggiunto per concedere all'utente le autorizzazioni per elencare i tag per le proprie macchine virtuali. | 30 novembre 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | Aggiunto `backup-gateway:Backup` per concedere all'utente le autorizzazioni per ripristinare i backup delle macchine virtuali. AWS Backup aggiunto anche `backup-gateway:ListTagsForResource` per concedere all'utente le autorizzazioni per elencare i tag assegnati ai backup delle macchine virtuali. | 30 novembre 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Aggiunto `backup-gateway:Restore` per concedere all'utente le autorizzazioni per ripristinare i backup delle macchine virtuali. | 30 novembre 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti azioni per concedere agli utenti le autorizzazioni necessarie per utilizzare AWS Backup Gateway per il backup, il ripristino e la gestione delle macchine virtuali: `backup-gateway:AssociateGatewayToServer` `backup-gateway:CreateGateway` `backup-gateway:DeleteGateway``backup-gateway:DeleteHypervisor`,`backup-gateway:DisassociateGatewayFromServer`,`backup-gateway:ImportHypervisorConfiguration`,`backup-gateway:ListGateways`,`backup-gateway:ListHypervisors`,`backup-gateway:ListTagsForResource`,`backup-gateway:ListVirtualMachines`,`backup-gateway:PutMaintenanceStartTime`,, `backup-gateway:TagResource` `backup-gateway:TestHypervisorConfiguration``backup-gateway:UntagResource`, `backup-gateway:UpdateGatewayInformation` e. `backup-gateway:UpdateHypervisor` | 30 novembre 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Sono state aggiunte le seguenti azioni per concedere all'utente le autorizzazioni per il backup delle proprie macchine virtuali:`backup-gateway:ListGateways`, `backup-gateway:ListHypervisors``backup-gateway:ListTagsForResource`, e. `backup-gateway:ListVirtualMachines` | 30 novembre 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | `dynamodb:ListTagsOfResource`Aggiunto per concedere all'utente le autorizzazioni per elencare i tag delle tabelle DynamoDB di cui eseguire il backup utilizzando le funzionalità di backup avanzate AWS Backup di DynamoDB. | 23 novembre 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | `dynamodb:StartAwsBackupJob`Aggiunto per concedere all'utente le autorizzazioni per eseguire il backup delle tabelle DynamoDB utilizzando funzionalità di backup avanzate. `dynamodb:ListTagsOfResource`Aggiunto per concedere all'utente le autorizzazioni per copiare i tag dalle tabelle DynamoDB di origine ai propri backup. | 23 novembre 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | `dynamodb:RestoreTableFromAwsBackup`Aggiunto per concedere all'utente le autorizzazioni per ripristinare le tabelle DynamoDB di cui è stato eseguito il backup utilizzando le funzionalità di backup avanzate AWS Backup di DynamoDB. | 23 novembre 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | `dynamodb:RestoreTableFromAwsBackup`Aggiunto per concedere all'utente le autorizzazioni per ripristinare le tabelle DynamoDB di cui è stato eseguito il backup utilizzando le funzionalità di backup avanzate AWS Backup di DynamoDB. | 23 novembre 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Le azioni sono state rimosse perché erano `backup:GetRecoveryPointRestoreMetadata` ridondanti. `rds:DescribeDBSnapshots` AWS Backup non aveva bisogno di entrambi `backup:GetRecoveryPointRestoreMetadata` e `backup:Get*` come parte di. `AWSBackupOperatorAccess` Inoltre, AWS Backup non aveva bisogno di entrambi `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` come parte di`AWSBackupOperatorAccess`. | 23 novembre 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | Sono state aggiunte le nuove azioni `elasticfilesystem:DescribeFileSystems``dynamodb:ListTables`,`storagegateway:ListVolumes`,`ec2:DescribeVolumes`,`ec2:DescribeInstances`, `rds:DescribeDBInstances``rds:DescribeDBClusters`, e `fsx:DescribeFileSystems` per consentire ai clienti di visualizzare e scegliere da un elenco delle risorse AWS Backup supportate al momento di selezionare le risorse da assegnare a un piano di backup. | 10 novembre 2021 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess): nuova policy | Aggiunto `AWSBackupAuditAccess` per concedere all'utente le autorizzazioni per utilizzare AWS Backup Audit Manager. Le autorizzazioni includono la possibilità di configurare i framework di conformità e generare report. | 24 agosto 2021 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports): nuova policy | `AWSServiceRolePolicyForBackupReports`Aggiunto per concedere le autorizzazioni per un ruolo collegato al servizio per automatizzare il monitoraggio delle impostazioni, dei processi e delle risorse di backup per la conformità con i framework configurati dall'utente. | 24 agosto 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | `iam:CreateServiceLinkedRole`Aggiunto per creare un ruolo collegato ai servizi (nel migliore dei modi) per automatizzare l'eliminazione dei punti di ripristino scaduti per te. Senza questo ruolo collegato ai servizi, AWS Backup non è possibile eliminare i punti di ripristino scaduti dopo che i clienti hanno eliminato il ruolo IAM originale utilizzato per creare i punti di ripristino. | 5 luglio 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | È stata aggiunta la nuova azione `dynamodb:DeleteBackup` per concedere l'`DeleteRecoveryPoint`autorizzazione per automatizzare l'eliminazione dei punti di ripristino DynamoDB scaduti in base alle impostazioni del ciclo di vita del piano di backup. | 5 luglio 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Sono state rimosse le azioni perché erano ridondanti`backup:GetRecoveryPointRestoreMetadata`. `rds:DescribeDBSnapshots` AWS Backup non aveva bisogno di entrambi `backup:GetRecoveryPointRestoreMetadata` e `backup:Get*` come parte di Also`AWSBackupOperatorAccess`, non AWS Backup aveva bisogno di entrambi `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` come parte di `AWSBackupOperatorAccess` | 25 maggio 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess): aggiornamento di una policy esistente | Ho rimosso `backup:GetRecoveryPointRestoreMetadata` le azioni `rds:DescribeDBSnapshots` perché erano ridondanti. AWS Backup non aveva bisogno di entrambi `backup:GetRecoveryPointRestoreMetadata` e `backup:Get*` come parte di. `AWSBackupOperatorAccess` Inoltre, AWS Backup non aveva bisogno di entrambi `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` come parte di`AWSBackupOperatorAccess`. | 25 maggio 2021 |
| [AWSBackupServiceRolePolicyForRestores](): aggiornamento di una policy esistente | È stata aggiunta la nuova azione `fsx:TagResource` per concedere `StartRestoreJob` l'autorizzazione per consentire di applicare tag ai FSx file system Amazon durante il processo di ripristino. | 24 maggio 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores): aggiornamento di una policy esistente | Sono state aggiunte le nuove azioni `ec2:DescribeImages` e `ec2:DescribeInstances` la concessione `StartRestoreJob` dell'autorizzazione per consentire il ripristino delle istanze Amazon EC2 dai punti di ripristino. | 24 maggio 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | È stata aggiunta la nuova azione `fsx:CopyBackup` per concedere `StartCopyJob` l'autorizzazione per consentirti di copiare i punti di FSx ripristino Amazon tra regioni e account. | 12 Aprile 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup): aggiornamento di una policy esistente | È stata aggiunta la nuova azione `fsx:CopyBackup` per concedere `StartCopyJob` l'autorizzazione per consentirti di copiare i punti di FSx ripristino Amazon tra regioni e account. | 12 Aprile 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup): aggiornamento di una policy esistente | Aggiornato per soddisfare i seguenti requisiti: AWS Backup Per creare un backup di una tabella DynamoDB crittografata, è necessario aggiungere `kms:Decrypt` le autorizzazioni `kms:GenerateDataKey` e il ruolo IAM utilizzato per il backup. | 10 marzo 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess): aggiornamento di una policy esistente | Aggiornato per soddisfare i seguenti requisiti: AWS Backup Per configurare backup continui per il tuo database Amazon RDS, verifica che l'autorizzazione API `rds:ModifyDBInstance` esista nel ruolo IAM definito dalla configurazione del tuo piano di backup. Per ripristinare i backup continui di Amazon RDS, devi aggiungere l'autorizzazione `rds:RestoreDBInstanceToPointInTime` al ruolo IAM inviato per il processo di ripristino. Nella AWS Backup console, per descrivere l'intervallo di tempo disponibile per il point-in-time ripristino, devi includere l'autorizzazione `rds:DescribeDBInstanceAutomatedBackups` API nella tua policy gestita da IAM. | 10 marzo 2021 |
| AWS Backup ha iniziato a tenere traccia delle modifiche | AWS Backup ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 10 marzo 2021 |
# Utilizzo di ruoli collegati ai servizi per AWS Backup
AWS Backup utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Backup I ruoli collegati ai servizi sono predefiniti AWS Backup e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
**Topics**
+ [Utilizzo dei ruoli per il backup e la copia](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [Utilizzo dei ruoli per AWS Backup Audit Manager](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [Utilizzo dei ruoli per i test di ripristino](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)
# Utilizzo dei ruoli per il backup e la copia
AWS Backup utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Backup I ruoli collegati ai servizi sono predefiniti AWS Backup e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Backup perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Backup definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Backup Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi AWS Backup le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate al servizio per AWS Backup
AWS Backup utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForBackup**per creare ed eliminare backup delle risorse per tuo conto. AWS
Il ruolo AWSService RoleForBackup collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `backup.amazonaws.com`
*Per visualizzare le autorizzazioni per questa politica, consulta il Managed Policy [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)Reference.AWS *
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS Backup
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando elenchi risorse di cui eseguire il backup, configuri il backup su più account o esegui backup nella Console di gestione AWS, la o l' AWS API AWS CLI, AWS Backup crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando elenchi le risorse di cui eseguire il backup, configuri il backup su più account o esegui backup, viene nuovamente AWS Backup creato il ruolo collegato al servizio.
## Modifica di un ruolo collegato al servizio per AWS Backup
AWS Backup non consente di modificare il ruolo collegato al AWSService RoleForBackup servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Edit a service-linked role description](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) nella *Guida per l’utente IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS Backup
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo. Innanzitutto, devi eliminare tutti i punti di ripristino. Quindi, devi eliminare tutti i vault di backup.
**Nota**
Se il AWS Backup servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti, quindi ripeti l'operazione.
**Per eliminare AWS Backup le risorse utilizzate dalla AWSService RoleForBackup (console)**
1. Per eliminare tutti i punti di ripristino e gli archivi di backup (ad eccezione del vault predefinito), segui la procedura descritta in [Eliminare un](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault) vault.
1. Per eliminare il vault predefinito, utilizza il seguente comando in AWS CLI:
```
aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
```
**Per eliminare AWS Backup le risorse utilizzate da () AWSService RoleForBackup AWS CLI**
1. Per eliminare tutti i punti di ripristino, utilizza [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html).
1. Per eliminare tutti i vault di backup, utilizza [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html).
**Per eliminare AWS Backup le risorse utilizzate dall' AWSServiceRoleForBackup (API)**
1. Per eliminare tutti i punti di ripristino, utilizza `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`.
1. Per eliminare tutti i vault di backup, utilizza `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`.
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSService RoleForBackup collegato al servizio. Per ulteriori dettagli, consulta [Delete a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) nella *Guida per l’utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi AWS Backup
AWS Backup supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Disponibilità delle funzionalitàAWS Backup tramite Regione](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Utilizzo dei ruoli per AWS Backup Audit Manager
AWS Backup utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Backup I ruoli collegati ai servizi sono predefiniti AWS Backup e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Backup perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Backup definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Backup Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi AWS Backup le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate al servizio per AWS Backup
AWS Backup utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForBackupReports**: fornisce AWS Backup l'autorizzazione per creare controlli, framework e report.
Il ruolo AWSService RoleForBackupReports collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `reports.backup.amazonaws.com`
Per vedere le autorizzazioni per questa policy, consulta [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) nella * Guida di riferimento sulle policy gestite da AWS *.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS Backup
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un framework o un piano di report in Console di gestione AWS, the o nell' AWS API AWS CLI, AWS Backup crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un framework o un piano di report, AWS Backup crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per AWS Backup
AWS Backup non consente di modificare il ruolo collegato al AWSService RoleForBackupReports servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. *Per ulteriori informazioni, consulta Modificare [una descrizione di ruolo collegato al servizio nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) per l'utente IAM.*
## Eliminazione di un ruolo collegato al servizio per AWS Backup
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo. Devi eliminare tutti i framework e i piani di report.
**Nota**
Se il AWS Backup servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti, quindi ripeti l'operazione.
**Per eliminare AWS Backup le risorse utilizzate dalla AWSService RoleForBackupReports (console)**
1. Per eliminare tutti i framework, consulta [Eliminazione dei framework](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html).
1. Per eliminare tutti i piani di report, consulta [Eliminazione dei piani di report](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html).
**Per eliminare AWS Backup le risorse utilizzate da AWSService RoleForBackupReports (AWS CLI)**
1. Per eliminare tutti i framework, usa [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html).
1. Per eliminare tutti i piani di report, utilizza [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html).
**Per eliminare AWS Backup le risorse utilizzate dall' AWSServiceRoleForBackupReports (API)**
1. Per eliminare tutti i framework, utilizza [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html).
1. Per eliminare tutti i piani di report, utilizza [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html).
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSService RoleForBackupReports collegato al servizio. Per ulteriori dettagli, consulta [Delete a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) nella *Guida per l’utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi AWS Backup
AWS Backup supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Disponibilità delle funzionalitàAWS Backup tramite Regione](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Utilizzo dei ruoli per i test di ripristino
AWS Backup utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Backup I ruoli collegati ai servizi sono predefiniti AWS Backup e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Backup perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Backup definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Backup Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi AWS Backup le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate al servizio per AWS Backup
AWS Backup utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForBackupRestoreTesting**: fornisce le autorizzazioni di backup per eseguire test di ripristino.
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio **AWSServiceRoleForBackupRestoreTesting** considera attendibili i seguenti servizi:
+ `restore-testing.backup.amazonaws.com`
Per vedere le autorizzazioni per questa policy, consulta [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) nella * Guida di riferimento sulle policy gestite da AWS *.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS Backup
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando esegui il test di ripristino nell'API Console di gestione AWS AWS CLI, l'o l' AWS API, AWS Backup crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando esegui il test di ripristino, AWS Backup crea nuovamente il ruolo collegato al servizio.
## Modifica di un ruolo collegato al servizio per AWS Backup
AWS Backup non consente di modificare il ruolo collegato al AWSService RoleForBackupRestoreTesting servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Edit a service-linked role description](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) nella *Guida per l’utente IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS Backup
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo. È necessario eliminare tutti i piani di test di ripristino.
**Nota**
Se il AWS Backup servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti, quindi ripeti l'operazione.
**Per eliminare AWS Backup le risorse utilizzate dalla AWSService RoleForBackupRestoreTesting (console)**
+ Per eliminare tutti i piani di test di ripristino, consulta [Test di ripristino](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html).
**Per eliminare AWS Backup le risorse utilizzate da AWSService RoleForBackupRestoreTesting (AWS CLI)**
+ Per eliminare i piani di test di ripristino, usa `delete-restore-testing-plan`.
**Per eliminare AWS Backup le risorse utilizzate dall' AWSServiceRoleForBackupRestoreTesting (API)**
+ Per eliminare i piani di test di ripristino, usa `DeleteRestoreTestingPlan`.
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo **AWSServiceRoleForBackupRestoreTesting**collegato al servizio. Per ulteriori dettagli, consulta [Delete a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) nella *Guida per l’utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi AWS Backup
AWS Backup supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Disponibilità delle funzionalitàAWS Backup tramite Regione](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Prevenzione del confused deputy tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.
Ti consigliamo di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che AWS Backup forniscono un altro servizio alla risorsa. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account nella stessa istruzione di policy.
Il valore di `aws:SourceArn` deve essere un AWS Backup vault quando si utilizza AWS Backup per pubblicare argomenti di Amazon SNS per tuo conto.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws::servicename::123456789012:*`.
La seguente politica di esempio mostra come utilizzare le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition AWS Backup per prevenire il confuso problema del vice. Questa politica concede al responsabile del servizio backup-storage.amazonaws.com la capacità di eseguire azioni KMS solo quando il responsabile del servizio agisce per conto dell'account 123456789012 negli archivi di backup: AWS
# Sicurezza dell'infrastruttura in AWS Backup
In quanto servizio gestito, AWS Backup è protetto dalla sicurezza di rete AWS globale. Per ulteriori informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Protezione dell'infrastruttura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzate chiamate API AWS pubblicate per accedere AWS Backup attraverso la rete. I client devono supportare Transport Layer Security (TLS) 1.2 o versioni successive. I client devono inoltre supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
# Integrità dei dati in AWS Backup
## AWS Backup obiettivo di integrità dei dati
AWS Backup cerca di mantenere l'integrità durante la trasmissione, l'archiviazione e l'elaborazione dei dati. AWS Backup tratta i dati delle risorse archiviate come informazioni critiche indipendenti dal contenuto, in quanto offriamo lo stesso elevato livello di sicurezza ai clienti, indipendentemente dal tipo di dati archiviati. Siamo attenti alla sicurezza dei nostri clienti e abbiamo implementato sofisticate misure tecniche e fisiche contro l'accesso non autorizzato. Il cliente mantiene il controllo completo sulla classificazione dei dati, sulle regioni in cui vengono archiviati e sulle modalità di controllo, archiviazione e protezione dalla divulgazione dei dati.
## AWS Backup implementazione dell'integrità dei dati
AWS Backup collabora con altri servizi AWS e con Amazon per mantenere l'integrità dei dati archiviati e con cui interagisce. Gli strumenti utilizzati possono variare e possono includere (a solo titolo di esempio):
+ Convalida continua degli oggetti in base al relativo checksum per prevenirne il danneggiamento
+ Checksum interni per confermare l'integrità dei dati in transito e inattivi
+ Checksum calcolati sui dati nei backup creati dall'archivio principale
+ La correttezza dei checksum viene sempre verificata prima di utilizzare i dati corrispondenti. Se troviamo dati che non corrispondono al relativo checksum, li sostituiamo con una copia corretta. Se non riusciamo a sostituire la copia corretta, falliremo i lavori corrispondenti
+ Tentativo automatico di ripristinare i normali livelli di ridondanza dello storage degli oggetti in caso di danneggiamento del disco o rilevamento di un guasto del dispositivo
+ Archiviazione ridondante dei dati su più postazioni fisiche
+ Miglioramento della durabilità degli oggetti su più zone di disponibilità durante la scrittura iniziale, combinato con un'ulteriore replica in caso di indisponibilità del dispositivo o rilevamento di bit-rot
+ Checksum su tutto il traffico di rete per rilevare il danneggiamento dei pacchetti di dati durante l'archiviazione o il recupero dei dati
AWS Backup archivia nativamente i dati per Amazon DynamoDB con funzionalità avanzate, Amazon EFS, Amazon S3, Amazon Timestream e macchine virtuali in esecuzione con gateway di Backup connessi. VMware AWS Backup facilita i backup dei dati archiviati con altri servizi, tra cui Amazon Aurora, Amazon DocumentDB, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon for Windows File Server, Amazon for Lustre FSx , Amazon for OpenZFS, FSx Amazon for FSx NetApp ONTAP, Amazon Neptune, FSx Amazon RDS e Amazon Redshift.
## Conferma e controllo oggettivi dell'integrità dei dati AWS Backup
I dati archiviati direttamente da AWS Backup e i dati archiviati in collaborazione con altri AWS servizi con cui AWS Backup interagisce sono soggetti al rigoroso processo di Amazon Simple Storage Service (Amazon S3) alla base di tale integrità dei dati. Questa integrità è confermata da un revisore indipendente e terzo attraverso un rapporto di audit SOC annuale, disponibile tramite. [AWS Artifact](https://aws.amazon.com/artifact/)
# Prelievi legali e AWS Backup
## Panoramica sulla conservazione a fini legali
Un blocco a fini legali è uno strumento amministrativo che impedisce l'eliminazione dei backup mentre sono bloccati. Finché il blocco è in vigore, i backup bloccati non possono essere eliminati e le policy del ciclo di vita che potrebbero alterare lo stato del backup (ad esempio la transizione allo stato `Deleted`) vengono rimandate finché il blocco a fini legali non viene rimosso.
La conservazione legale può essere applicata a uno o più backup (noti anche come punti di ripristino) creati AWS Backup se il loro ciclo di vita lo consente. [Le conservazioni legali non si applicano ai backup continui.](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)
Quando viene creata una conservazione a fini legali, può tenere conto di criteri di filtro specifici, come i tipi di risorse e le risorse. IDs Inoltre, è possibile definire l'intervallo di date di creazione dei backup che si desidera includere in un blocco a fini legali.
I blocchi a fini legali si applicano solo al backup originale su cui sono imposti. Quando un backup viene copiato tra regioni o account diversi (se la risorsa lo supporta), tali copie non conservano né portano con sé il blocco a fini legali. A un blocco a fini legali, come a ogni altra risorsa, è associato un Amazon Resource Name (ARN) univoco. Solo i punti di ripristino creati da AWS Backup possono far parte di una conservazione legale.
Tieni presente che mentre [AWS Backup Vault Lock](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) fornisce protezioni e immutabilità aggiuntive a un archivio, un blocco legale fornisce una protezione aggiuntiva contro l'eliminazione di singoli backup (punti di ripristino). La conservazione legale non scade e conserva i dati all'interno del backup a tempo indeterminato. Il blocco rimane attivo finché non viene rilasciato da un utente con autorizzazioni sufficienti.
## Sospensioni legali multiple
Un backup può essere oggetto di molteplici blocchi a fini legali. Le conservazioni legali e i backup hanno una relazione «molti», il che significa che un backup può avere più di una conservazione legale e una conservazione legale può includere più di un backup.
Un backup non può essere eliminato purché disponga di almeno una conservazione a fini legali. Una volta rimosse tutte le conservazioni legali su un backup, quest'ultimo è soggetto alle relative proprietà relative al ciclo di vita di conservazione. Mantieni almeno una conservazione legale per impedire l'eliminazione dei backup. I blocchi legali possono essere applicati a un punto di ripristino conservato oltre la data di conservazione del ciclo di vita del backup (a causa di una conservazione legale esistente).
Ogni account può avere un massimo di 50 blocchi a fini legali attivi contemporaneamente.
## Creazione di un blocco a fini legali
È possibile aggiungere un blocco legale a un backup esistente (punto di ripristino).
I backup (punti di ripristino) con stato impostato a `EXPIRED` o `DELETING` non verranno inclusi nel blocco a fini legali. I punti di ripristino (backup) con lo stato impostato a `CREATING` potrebbero non essere inclusi nel blocco a fini legali, in base al momento del completamento.
I blocchi legali possono essere aggiunti dagli utenti che dispongono delle autorizzazioni IAM richieste.
### Creazione di un blocco a fini legali utilizzando la console di
**Per creare una conservazione a fini legali**
1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Nel pannello di controllo a sinistra della console, trovare la sezione Il mio account. Scegli **Sospensioni legali.**
1. Scegli **Aggiungi blocco a fini legali**.
1. Vengono visualizzati tre pannelli: **Dettagli sulla conservazione a fini legali**, **Ambito di conservazione** a fini **legali e tag di conservazione a** fini legali.
1. In **Dettagli sul blocco a fini legali**, inserire un titolo e una descrizione del blocco a fini legali nelle caselle di testo fornite.
1. Nel pannello **Ambito del blocco a fini legali**, scegliere in che modo selezionare la risorsa da includere nel blocco. Quando si crea un blocco, si sceglie il metodo utilizzato per selezionare le risorse che rientrano nel blocco legale. È possibile scegliere una delle seguenti opzioni:
+ Tipi di risorse specifici e IDs
+ Seleziona gli archivi di backup
+ Tutti i tipi di risorse o tutti gli archivi di backup all'interno del tuo account
1. Indicazione dell'intervallo di date del blocco a fini legali. Inserire le date nel formato YYYY:MM:DD (gli estremi sono inclusi).
1. Facoltativamente, puoi aggiungere tag per il blocco nella sezione Tag di conservazione **legale**. I tag possono aiutare a classificare il blocco per riferimenti e organizzazioni futuri. È possibile aggiungere fino a 50 tag in totale.
1. Quando sei soddisfatto della configurazione del nuovo blocco a fini legali, fai clic sul pulsante **Aggiungi nuovo blocco**.
### Crea un blocco a fini legali utilizzando il AWS CLI
È possibile creare un blocco legale utilizzando il [create-legal-hold](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-legal-hold.html)comando.
```
aws backup create-legal-hold --title "my title" \
--description "my description" \
--recovery-point-selection "VaultNames=string,DateRange={FromDate=timestamp,ToDate=timestamp}"
```
## Visualizzazione dei blocchi a fini legali
È possibile visualizzare i dettagli relativi alla conservazione a fini legali nella AWS Backup console o a livello di programmazione.
### Visualizza i blocchi legali utilizzando la console
Per visualizzare tutti i blocchi a fini legali all'interno di un account utilizzando la console di Backup,
1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Nella parte sinistra del pannello di controllo, nella sezione **Il mio account**, fare clic su **Blocchi a fini legali**.
1. La tabella dei **blocchi a fini legali** mostra il titolo, lo stato, la descrizione, l'ID e la data di creazione dei blocchi esistenti. Fare clic sulla freccia rivolta verso il basso accanto all'intestazione della tabella per filtrare la tabella in base alla colonna selezionata.
### Visualizzazione dei blocchi a fini legali a livello di codice
Per visualizzare tutte le riserve legali a livello di codice, puoi utilizzare le seguenti chiamate API: e. [ListLegalHolds[GetLegalHold](API_GetLegalHold.md)](API_ListLegalHolds.md)
È possibile utilizzare il seguente modello JSON per. `GetLegalHold`
```
GET /legal-holds/{legalHoldId} HTTP/1.1
Request
empty body
Response
{
Title: string,
Status: LegalHoldStatus,
Description: string, // 280 chars max
CancelDescription: string, // this is provided during cancel // 280 chars max
LegalHoldId: string,
LegalHoldArn: string,
CreatedTime: number,
CanceledTime: number,
ResourceSelection: {
VaultArns: [ string ]
Resources: [ string ]
},
ResourceFilters: {
DateRange: {
FromDate: number,
ToDate: number
}
}
}
```
È possibile utilizzare il seguente modello JSON per. `ListLegalHolds`
```
GET /legal-holds/
&maxResults=MaxResults
&nextToken=NextToken
Request
empty body
url params:
MaxResults: number // optional,
NextToken: string // optional
status: Valid values: CREATING | ACTIVE | CANCELED | CANCELING
maxResults: 1-1000
Response
{
NextToken: token,
LegalHolds: [
Title: string,
Status: string,
Description: string, // 280 chars max
CancelDescription: string, // this is provided during cancel // 280 chars max
LegalHoldId: string,
LegalHoldArn: string,
CreatedTime: number,
CanceledTime: number,
]
}
```
Di seguito sono riportati i possibili valori di stato.
| Stato | Description |
| --- | --- |
| CREAZIONE IN CORSO | I punti di ripristino richiesti sono in fase di attivazione del blocco e le richieste di eliminazione di tali punti di ripristino potrebbero avere esito positivo poiché il blocco non è ancora stato creato. |
| ACTIVE | Il blocco a fini legali è stato creato. Tutti i punti di ripristino elencati in tale blocco sono bloccati. |
| CANCELLING (ANNULLAMENTO IN CORSO) | I blocchi a fini legali sono in corso di rimozione e le richieste di eliminazione dei punti di ripristino oggetto del blocco potrebbero avere esito positivo. |
| CANCELED (ANNULLATO) | Il blocco a fini legali è stato completamente annullato e non ha più alcun effetto. I punti di ripristino possono essere eliminati. |
## Rilascio di un blocco a fini legali
I blocchi legali rimangono in vigore fino a quando non vengono rimossi da un utente con autorizzazioni sufficienti. La rimozione di un blocco a fini legali è nota anche come annullamento, eliminazione o rilascio di un blocco a fini legali. La rimozione di un blocco a fini legali lo elimina da tutti i backup a cui era collegato. Tutti i backup scaduti durante il periodo di conservazione legale vengono eliminati entro 24 ore dalla rimozione del blocco a fini legali.
### Rilascio di un blocco a fini legali utilizzando la console di
**Per rilasciare un blocco utilizzando la console**
1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Inserire la descrizione che si desidera associare al rilascio.
1. Controllare i dettagli, quindi fare clic su **Rimuovi blocco**.
1. Quando viene visualizzata la finestra di dialogo Rilascia blocco, confermare l'intenzione di annullare il blocco digitando `confirm` nella casella di testo.
1. Selezionare la casella che conferma l'intenzione di annullare il blocco.
Nella pagina **Legal holds (Blocchi a fini legali)** è possibile visualizzare tutti i propri blocchi a fini legali. Se il rilascio ha avuto esito positivo, lo stato di tale blocco verrà visualizzato come `Released`.
### Rilascia un blocco legale a livello di codice
Per rimuovere un blocco a fini legali a livello di codice, utilizzare la chiamata API [CancelLegalHold](API_CancelLegalHold.md).
Utilizza il seguente modello JSON.
```
DELETE /legal-holds/{legalHoldId}
Request
{
CancelDescription: String
DeleteAfterDays: number // optional
}
DeleteAfterDays: optional.
Defaults to 180 days. how long to keep legal hold record after canceled.
This applies to the actual legal hold record only.
Recovery points are unlocked as soon as cancelation processes and are not subject to this date.
Response
Empty body
200 if successful
other standard codes
```
# Protezione da malware in AWS Backup
La scansione antimalware dei tuoi backup è fornita da Amazon GuardDuty Malware Protection. L'utilizzo di Amazon GuardDuty Malware Protection for AWS Backup consente di automatizzare la scansione dei punti di ripristino attraverso i flussi di lavoro di backup esistenti o di avviare scansioni su richiesta di backup creati in precedenza. Questa soluzione AWS nativa aiuta a garantire che i backup siano privi di potenziali malware, consentendoti di soddisfare i requisiti di conformità e rispondere più rapidamente agli incidenti dannosi garantendo il ripristino di dati puliti.
Per visualizzare un elenco dei tipi di risorse e delle aree geografiche supportati, visita la pagina sulla [disponibilità delle funzionalità](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html).
**Topics**
+ [Integrazione con Amazon GuardDuty](#malware-guardduty-integration)
+ [Accesso istantaneo](backup-instant-access.md)
+ [Come utilizzare la scansione antimalware](#malware-how-to-use)
+ [Accesso](#malware-access)
+ [Scansioni incrementali e scansioni complete](#malware-scan-types)
+ [Monitoraggio delle scansioni antimalware](#malware-monitoring)
+ [Comprensione dei risultati della scansione](#malware-scan-results)
+ [Risoluzione dei problemi di scansione](#malware-troubleshooting)
+ [Misurazione](#malware-metering)
+ [Quote](#malware-quotas)
+ [Procedure di utilizzo della console e della CLI per i tipi di scansione antimalware](#malware-console-cli-usage)
## Integrazione con Amazon GuardDuty
AWS Backup si integra con Amazon GuardDuty Malware Protection per fornire il rilevamento delle minacce per i punti di ripristino. Quando avvii una scansione antimalware, chiama AWS Backup automaticamente l'`StartMalwareScan`API GuardDuty di Amazon dopo il completamento di ogni backup, passando i dettagli del punto di ripristino e le credenziali del ruolo dello scanner. Amazon inizia GuardDuty quindi a leggere, decriptare e scansionare tutti i file e gli oggetti all'interno del backup.
Quando Amazon GuardDuty accede ai tuoi dati di backup, tale accesso viene registrato AWS CloudTrail per motivi di visibilità.
Per ulteriori informazioni su questa integrazione, consulta la [documentazione di Amazon GuardDuty Malware Protection](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-backup.html).
# Backup delle autorizzazioni di accesso istantaneo
Quando si utilizza Amazon GuardDuty Malware Protection for AWS Backup con backup S3, Amazon GuardDuty accede ai backup S3 tramite tre APIs opzioni:, e. CreateBackupAccessPoint DescribeBackupAccessPoint DeleteBackupAccessPoint
Amazon GuardDuty utilizza CreateBackupAccessPoint per accedere ai tuoi dati di backup crittografati. Durante il processo di scansione, GuardDuty viene utilizzato DescribeBackupAccessPoint per verificare la corretta creazione del punto di accesso. Una volta completata la scansione, GuardDuty chiama DeleteBackupAccessPoint per rimuoverne l'accesso al backup.
Questo flusso di lavoro si applica sia ai backup S3 che ai backup EC2/EBS archiviati in un vault logicamente isolato.
## Come utilizzare la scansione antimalware
Quando usi Amazon GuardDuty Malware Protection con AWS Backup, puoi scansionare automaticamente i tuoi backup alla ricerca di malware. Questa integrazione ti aiuta a rilevare codice dannoso nei backup e a identificare punti di ripristino puliti per le operazioni di ripristino.
Amazon GuardDuty Malware Protection supporta due flussi di lavoro principali per la scansione dei backup:
+ **Scansione automatica del malware tramite piani di backup**: abilita la scansione del malware nei piani di backup per automatizzare il rilevamento del malware con. AWS Backup Se abilitato, avvia AWS Backup automaticamente una GuardDuty scansione Amazon dopo ogni completamento riuscito del backup. Puoi configurare la scansione completa o incrementale per regole specifiche del piano di backup, che determinano la frequenza di scansione dei backup. Per ulteriori informazioni sui tipi di scansione, vedere di seguito. [Scansioni incrementali e scansioni complete](#malware-scan-types) AWS Backup consiglia di abilitare la scansione antimalware automatica nei piani di backup per il rilevamento proattivo delle minacce dopo la creazione del backup.
+ Scansioni **su richiesta: esegui scansioni** su richiesta per scansionare manualmente i backup esistenti, scegliendo tra tipi di scansione completa o incrementale. AWS Backup consiglia di utilizzare scansioni su richiesta per identificare l'ultimo backup pulito. Quando esegui la scansione prima di un'operazione di ripristino, utilizza una scansione completa per esaminare l'intero backup con il modello di rilevamento delle minacce più recente.
## Accesso
Prima di iniziare con la protezione da malware, l'account deve disporre delle autorizzazioni necessarie per le operazioni.
AWS Backup la scansione antimalware richiede due ruoli IAM per la scansione dei punti di ripristino alla ricerca di potenziali malware:
+ Innanzitutto, la policy [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)o la policy [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)gestita devono essere collegate al ruolo di backup esistente o nuovo. Questo è lo stesso ruolo che si trova nell'assegnazione delle risorse per il piano di backup nella console o tramite l'[BackupSelection API](API_CreateBackupSelection.md). Questa politica gestita consente di AWS Backup avviare scansioni di malware con Amazon. GuardDuty
+ In secondo luogo, è necessario un nuovo ruolo di scanner con una policy [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)gestita che si fida. `malware-protection.guardduty.amazonaws.com` Questo è lo stesso ruolo che si trova nella sezione relativa alla protezione da malware del piano di backup nella console o nelle impostazioni di scansione dell'[BackupPlan API](API_CreateBackupPlan.md). Questo ruolo viene passato AWS Backup ad Amazon GuardDuty quando viene avviata una scansione, fornendo l'accesso ai backup.
## Scansioni incrementali e scansioni complete
Con la scansione antimalware, hai la possibilità di scegliere tra scansioni incrementali e complete in base ai tuoi requisiti di sicurezza e alle considerazioni relative ai costi.
**Le scansioni incrementali analizzano** solo i dati che sono cambiati tra il punto di ripristino di destinazione e quello di base. Queste scansioni sono più veloci ed economiche per la scansione regolare, il che le rende ideali per backup periodici frequenti in cui si desidera scansionare i nuovi dati di cui è stato eseguito il backup.
Anche quando è selezionata la scansione incrementale, AWS Backup esegue una scansione completa nelle seguenti situazioni:
+ **Scansioni iniziali:** la scansione iniziale di una risorsa è sempre una scansione completa, che consente GuardDuty ad Amazon di stabilire una base di potenziali minacce. Le scansioni successive saranno quindi incrementali.
+ **Baseline scaduta:** se il punto di ripristino di base è stato scansionato più di 365 giorni fa, viene eseguita una scansione completa. Poiché Amazon GuardDuty conserva la ricerca di informazioni solo per 365 giorni, è necessario stabilire una nuova linea di base per garantire risultati di scansione accurati.
+ **Baseline eliminata:** se il punto di ripristino di base viene eliminato prima dell'inizio della successiva scansione incrementale, viene eseguita automaticamente una scansione completa.
**Le scansioni complete** esaminano l'intero punto di ripristino indipendentemente dalle scansioni precedenti. Sebbene queste scansioni offrano una copertura completa, richiedono più tempo per essere completate e comportano costi più elevati. Puoi eseguire scansioni complete su richiesta o pianificarle tramite i tuoi piani di backup. AWS Backup consiglia di configurare scansioni complete periodiche nei piani di backup a intervalli prolungati per garantire che tutti i dati di backup vengano scansionati regolarmente con il modello di firma antimalware più recente.
Per una sicurezza ottimale rispetto alla gestione dei costi, considerate la frequenza di backup nella scelta dei tipi di scansione.
**Nota**
La scansione antimalware non è attualmente supportata per i punti di ripristino continui di Amazon S3. Per eseguire la scansione dei backup continui di Amazon S3, configura backup periodici per le tue risorse Amazon S3 e abilita la scansione antimalware su tali backup periodici. Puoi utilizzare una [combinazione di backup continui e periodici](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html) per i tuoi bucket Amazon S3.
**Nota**
La scansione antimalware incrementale non è supportata per i punti di ripristino Amazon EC2 in [un vault logicamente collegato all'air gap](https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html) o per i punti di ripristino Amazon EC2 copiati.
## Monitoraggio delle scansioni antimalware
Dopo aver abilitato la scansione, sia AWS Backup Amazon che Amazon GuardDuty forniscono meccanismi di monitoraggio e notifica che puoi utilizzare per tenere traccia dei risultati:
+ **AWS Backup Console:** la AWS Backup console è alimentata da `ListScanJobs` and `DescribeScanJob` APIs. È possibile visitare la sezione Protezione da malware per visualizzare l'elenco dei processi di scansione, che rappresentano lo stato del lavoro e i risultati della scansione. AWS Backup supporta anche un'`ListScanJobSummaries`API, sebbene non sia disponibile nella console.
+ **AWS Backup Audit Manager:** è possibile impostare un rapporto di scansione per visualizzare tutti i processi di scansione antimalware AWS Backup avviati nelle ultime 24 ore.
+ ** GuardDuty Console Amazon:** se Amazon base GuardDuty è abilitato, puoi visualizzare i dettagli nei risultati di Malware Scan e indagare sul malware nella pagina dei GuardDuty risultati di Amazon. Puoi visualizzare informazioni come la minaccia e il nome del file, il percorso del file, i dati objects/files scansionati, i byte scansionati, ecc. Tieni presente che queste informazioni dettagliate sulle minacce non sono disponibili tramite AWS Backup e devi disporre delle GuardDuty autorizzazioni Amazon appropriate per visualizzarle.
+ **Amazon EventBridge:** entrambi AWS Backup e Amazon GuardDuty emettono EventBridge eventi che consentono agli amministratori di backup e sicurezza di essere avvisati in modo sincrono. Puoi impostare regole personalizzate per ricevere notifiche quando le scansioni vengono completate o viene rilevato un malware.
+ **AWS CloudTrail:** Entrambi AWS Backup e Amazon GuardDuty emettono CloudTrail eventi, consentendoti di monitorare l'accesso alle API.
## Comprensione dei risultati della scansione
I lavori di scansione di AWS Backup avranno uno stato e un risultato di scansione.
### Stati di scansione
Lo stato di scansione indica lo stato del lavoro e può avere valori di: `CREATED``COMPLETED`,,`COMPLETED_WITH_ISSUES`,`RUNNING`,`FAILED`, o`CANCELED`.
Esistono diverse situazioni in cui il processo di scansione terminerà con lo stato`COMPLETED_WITH_ISSUES`:
Per i backup di Amazon S3, esistono size/type limitazioni agli oggetti che impediranno la scansione degli oggetti. Quando almeno un oggetto viene saltato all'interno di una scansione, il processo di scansione corrispondente verrà contrassegnato come. `COMPLETED_WITH_ISSUES` Per i backup di Amazon EC2/Amazon EBS, esistono size/quantity limitazioni di volume che comportano il salto dei volumi durante la scansione. Queste situazioni comporteranno un job di backup Amazon EC2/Amazon EBS. `COMPLETED_WITH_ISSUES`
Se il tuo lavoro termina con lo stato `COMPLETED_WITH_ISSUES` e hai bisogno di ulteriori informazioni sui motivi, dovrai ottenere tali dettagli dal processo di scansione corrispondente tramite Amazon GuardDuty.
**Nota**
I processi di scansione incrementale analizzano solo la differenza di dati tra due backup. Pertanto, se un processo di scansione incrementale non presenta nessuna delle situazioni sopra descritte, terminerà nello stesso stato `COMPLETE` e non erediterà la situazione `COMPLETED_WITH_ISSUES` dal punto di ripristino di base.
In rari casi, Amazon GuardDuty potrebbe riscontrare problemi interni durante la scansione di file e oggetti e i tentativi di riprovare potrebbero esaurirsi. Quando ciò accade, il processo di scansione viene visualizzato come `FAILED` in AWS Backup e `COMPLETED_WITH_ISSUES` in Amazon GuardDuty. Questa differenza di stato consente di visualizzare i risultati di scansione disponibili in Amazon, indicando al GuardDuty contempo che non tutti i file e gli oggetti supportati sono stati scansionati correttamente.
### Risultati della scansione
I risultati della scansione indicano un risultato aggregato di Amazon GuardDuty e possono avere valori pari a:`THREATS_FOUND`, o`NO_THREATS_FOUND`.
I risultati della scansione indicano se è stato rilevato un potenziale malware nei punti di ripristino. Uno `NO_THREATS_FOUND` stato indica che non è stato rilevato alcun malware potenziale, mentre `THREATS_FOUND` indica che è stato scoperto un potenziale malware. Per informazioni dettagliate sulle minacce, accedi ai GuardDuty risultati completi di Amazon tramite la GuardDuty console Amazon o APIs. I risultati della scansione sono disponibili anche tramite EventBridge eventi, che consentono di creare flussi di lavoro automatizzati che rispondono ai backup infetti.
Amazon GuardDuty conserva i risultati per 365 giorni, tracciando file o oggetti attraverso scansioni incrementali per monitorare se le minacce vengono rimosse o le firme dei malware cambiano. Ad esempio, se viene rilevato un malware nel backup 2, viene visualizzato il risultato della scansione. `THREATS_FOUND` Quando si esegue una scansione incrementale sul backup 3 utilizzando il backup 2 come base, il risultato della scansione rimane invariato `THREATS_FOUND` a meno che la minaccia non sia stata rimossa dai dati.
## Risoluzione dei problemi di scansione
Gli errori di scansione più comuni includono autorizzazioni IAM insufficienti, limiti di servizio e problemi di accesso alle risorse.
**Gli errori di autorizzazione** si verificano quando il ruolo di backup non dispone delle `AWSBackupServiceRolePolicyForScans` autorizzazioni o il ruolo scanner non dispone di relazioni `AWSBackupGuardDutyRolePolicyForScans` di fiducia adeguate.
**Gli errori relativi ai limiti di servizio** si verificano quando si superano le 150 scansioni simultanee per account o le 5 scansioni simultanee per tipo di risorsa: i lavori di scansione rimarranno invariati fino a quando la capacità non sarà disponibile`CREATED`.
**Gli errori di accesso negato** possono indicare punti di ripristino crittografati senza AWS KMS le autorizzazioni appropriate o punti di ripristino principali eliminati per le scansioni incrementali.
Gli **errori di timeout** possono verificarsi con punti di ripristino molto grandi o durante periodi di GuardDuty carico elevati di Amazon.
Per risolvere i problemi, controlla lo stato del processo di scansione utilizzando l'`DescribeScanJob`API, verifica le configurazioni dei ruoli IAM, assicurati che i punti di ripristino esistano e siano accessibili e valuta la possibilità di passare alle scansioni complete se mancano i riferimenti principali alla scansione incrementale.
Monitora l'utilizzo simultaneo delle scansioni e implementa il jittering nei flussi di lavoro automatizzati per evitare di raggiungere i limiti del servizio.
## Misurazione
La protezione da malware viene fornita e fatturata da Amazon GuardDuty. Non vedrai alcun AWS Backup addebito relativo all'utilizzo di questa funzionalità. Tutto l'utilizzo può essere visualizzato nella pagina GuardDuty di fatturazione di Amazon. Per ulteriori informazioni, consulta la pagina [ GuardDuty dei prezzi di Amazon](https://aws.amazon.com/guardduty/pricing/).
## Quote
Entrambi AWS Backup e Amazon GuardDuty hanno limiti di quota per Amazon GuardDuty Malware Protection for AWS Backup.
Per ulteriori informazioni, consulta la pagina [AWS Backup quote](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html) e [ GuardDuty quote Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_limits.html).
## Procedure di utilizzo della console e della CLI per i tipi di scansione antimalware
Le sezioni seguenti mostrano i passaggi per configurare diversi tipi di scansione antimalware utilizzando sia la console che. AWS CLI
### Come configurare le scansioni antimalware
**Console**
1. Vai alla AWS Backup console → Piani di backup
1. Crea un nuovo piano di backup o seleziona un piano esistente
1. Attiva l'opzione di **protezione da malware**
1. Seleziona il **ruolo dello scanner** per scegliere un nuovo ruolo dello scanner. Assicurati che sia il ruolo di backup che il ruolo scanner dispongano delle autorizzazioni appropriate, come descritto in[Accesso](#malware-access).
1. Seleziona i tipi di **risorse scansionabili**. Questo filtrerà la scansione antimalware in base ai criteri di selezione delle risorse che hai scelto. Ad esempio, se la selezione del tipo di risorsa scansionabile è Amazon EBS, ma la selezione di risorse del piano include Amazon EBS e Amazon S3, verranno eseguite solo le scansioni antimalware di Amazon EBS.
1. Imposta il tipo di **scansione** per ogni regola di backup. È possibile scegliere tra scansione completa, incrementale e senza scansione. La selezione del tipo di scansione indica che la scansione verrà eseguita alla frequenza di pianificazione della regola di backup associata.
1. Salva piano di backup
**AWS CLI**
**CreateBackupPlan**
È possibile creare un piano di backup con la scansione antimalware abilitata utilizzando il [create-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html)comando.
```
aws backup create-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules": [
{
"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle": {
"DeleteAfterDays": 3,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"
}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 100,
"CompletionWindowMinutes": 5000,
"Lifecycle": {
"DeleteAfterDays": 2,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings": [
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes": ["EBS", "EC2", "S3"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**UpdateBackupPlan**
È possibile aggiornare un piano di backup con la scansione antimalware abilitata utilizzando il [update-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)comando.
```
aws backup update-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules":
[
{"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 60,
"CompletionWindowMinutes": 3000,
"Lifecycle":
{
"DeleteAfterDays": 6,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle":
{
"DeleteAfterDays": 9,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings":
[
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes":
["ALL", "EBS"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**Note chiave**
+ L'immissione dell'ARN di destinazione è necessaria prima che le opzioni di scansione vengano abilitate (Console)
+ Per tutte le configurazioni sono necessari sia il ruolo IAM di backup che il ruolo IAM dello scanner
+ Utilizzare `aws backup list-scan-jobs` per visualizzare tutti i processi di scansione ()AWS CLI
+ Le implicazioni in termini di costi variano in base al tipo di scansione (incrementale o completa) e alla frequenza
**AWS CLI Note chiave**
+ Utilizzare `aws backup list-scan-jobs` per visualizzare tutti i lavori di scansione (AWS CLI)
+ I risultati della scansione sono disponibili tramite `describe-recovery-point` API con ScanResults campo
+ Per tutte le configurazioni sono necessari sia il ruolo IAM di backup che il ruolo IAM dello scanner
+ La struttura del piano di backup JSON include ScanSettings a livello di piano e ScanActions nelle regole
# Resilienza in AWS Backup
AWS Backup prende molto sul serio la sua resilienza e la sicurezza dei tuoi dati.
AWS Backup archivia i backup con una resilienza e una durabilità *almeno pari* a quelle offerte dal AWS servizio originale della risorsa, se ne facessi il backup.
AWS Backup è progettato per utilizzare l'infrastruttura AWS globale per replicare i backup su più zone di disponibilità per una durabilità del 99,99999% (11 nove) in un dato anno, a condizione che venga rispettata la documentazione corrente. AWS Backup
AWS Backup crittografa i piani di backup inattivi e ne esegue il backup continuo. Puoi anche limitare l'accesso ai tuoi piani di backup utilizzando credenziali e policy AWS Identity and Access Management (IAM). Per ulteriori informazioni, consulta le sezioni [Autenticazione](https://docs.aws.amazon.com/aws-backup/latest/devguide/authentication.html), [Controllo dell'accesso](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html) e [ Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
L'infrastruttura AWS globale è costruita attorno a zone Regioni AWS di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. AWS Backup archivia i backup tra le zone di disponibilità. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo. Per ulteriori informazioni, consulta l'[Accordo sul livello di servizio (SLA) di AWS Backup](https://aws.amazon.com/backup/sla/).
Inoltre, AWS Backup consente di copiare i backup tra le regioni per una resilienza ancora maggiore. Per ulteriori informazioni sulla funzionalità di copia AWS Backup tra aree geografiche, vedere [Creazione di una copia di backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html).
Per ulteriori informazioni sulle zone Regioni AWS di disponibilità, vedere [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/).