Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sintassi ed esempi delle policy di backup
In questa pagina viene descritta la sintassi delle policy di backup e vengono forniti esempi.
Sintassi per le policy di backup
Una politica di backup è un file di testo semplice strutturato secondo le regole di. JSON
La parte sostanziale di una policy di backup è costituita dal piano di backup con le relative regole. La sintassi del piano di backup all'interno di una policy di AWS Organizations backup è strutturalmente identica alla sintassi utilizzata da AWS Backup, ma i nomi delle chiavi sono diversi. Nelle descrizioni dei nomi delle chiavi delle policy riportate di seguito, ognuno include il nome chiave del piano equivalente AWS Backup . Per ulteriori informazioni sui AWS Backup piani, consulta CreateBackupPlanla Guida per AWS Backup gli sviluppatori.
Nota
Quando vengono utilizzatiJSON, i nomi di chiave duplicati verranno rifiutati. Se desideri includere più piani, regole o selezioni in un'unica politica, assicurati che il nome di ogni chiave sia univoco.
Per essere completa e funzionale, una policy di backup efficace deve includere più piani di backup con la relativa pianificazione e regole. La policy deve inoltre identificare le Regioni AWS e le risorse da sottoporre a backup e il ruolo AWS Identity and Access Management (IAM) che è AWS Backup possibile utilizzare per eseguire il backup.
La seguente policy funzionalmente completa mostra la sintassi della policy di backup di base. Se questo esempio fosse collegato direttamente a un account, AWS Backup eseguirebbe il backup di tutte le risorse per quell'account nelle eu-north-1
aree us-east-1
e nelle regioni che hanno il tag dataType
con un valore pari PII
oRED
. Esegue il backup di tali risorse ogni giorno alle 5:00 in My_Backup_Vault
e archivia anche una copia in My_Secondary_Vault
. Entrambi i vault si trovano nello stesso account della risorsa. Memorizza inoltre una copia del backup nel My_Tertiary_Vault
in un account diverso, esplicitamente specificato. Le casseforti devono già esistere in ciascuna delle casseforti specificate Regioni AWS per ciascuna di esse Account AWS che riceve la politica effettiva. Se una delle risorse di backup è costituita da EC2 istanze, il supporto per Microsoft Volume Shadow Copy Service (VSS) è abilitato per i backup su tali istanze. Il backup applica il tag Owner:Backup
a ciascun punto di ripristino.
{ "plans": { "PII_Backup_Plan": { "rules": { "My_Hourly_Rule": { "schedule_expression": {"@@assign": "cron(0 5 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "complete_backup_window_minutes": {"@@assign": "604800"}, "enable_continuous_backup": {"@@assign": false}, "target_backup_vault_name": {"@@assign": "My_Backup_Vault"}, "recovery_point_tags": { "Owner": { "tag_key": {"@@assign": "Owner"}, "tag_value": {"@@assign": "Backup"} } }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-2:$account:backup-vault:My_Secondary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } }, "arn:aws:backup:us-east-1:111111111111:backup-vault:My_Tertiary_Vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:111111111111:backup-vault:My_Tertiary_Vault" }, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "180"}, "delete_after_days": {"@@assign": "270"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "regions": { "@@append": [ "us-east-1", "eu-north-1" ] }, "selections": { "tags": { "My_Backup_Assignment": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": {"@@assign": "enabled"} } }, "backup_plan_tags": { "stage": { "tag_key": {"@@assign": "Stage"}, "tag_value": {"@@assign": "Beta"} } } } } }
La sintassi della policy di backup include i seguenti componenti:
-
Variabili
$account
- In alcune stringhe di testo nelle policy, è possibile utilizzare la variabile$account
per rappresentare l' Account AWS corrente. Quando AWS Backup esegue un piano nella policy effettiva, sostituisce automaticamente questa variabile con quella corrente Account AWS in cui vengono eseguiti la policy effettiva e i relativi piani.Importante
Puoi utilizzare la
$account
variabile solo negli elementi di policy che possono includere un Amazon Resource Name (ARN), come quelli che specificano l'archivio di backup in cui archiviare il backup o il IAM ruolo con le autorizzazioni per eseguire il backup.Ad esempio, quanto segue richiede che
My_Vault
esista un vault denominato in ogni archivio a Account AWS cui si applica la policy.arn:aws:backup:us-west-2:$account:vault:My_Vault"
Ti consigliamo di utilizzare gli AWS CloudFormation stack set e la relativa integrazione con Organizations per creare e configurare automaticamente gli archivi e IAM i ruoli di backup per ogni account membro dell'organizzazione. Per ulteriori informazioni, consulta Creazione di uno stack set con autorizzazioni gestite dal cliente nella Guida per l'utente di AWS CloudFormation .
-
Operatori di ereditarietà - Le policy di backup possono utilizzare sia gli operatori di impostazione del valore di ereditarietà sia gli operatori di controllo figlio.
-
plans
In corrispondenza della chiave di livello superiore della policy si trova la chiave
plans
. Una policy di backup deve sempre iniziare con questo nome chiave fissa nella parte superiore del file di policy. Sotto questa chiave puoi avere uno o più piani di backup. -
Ogni piano sotto la chiave di livello superiore
plans
ha un nome chiave costituito dal nome del piano di backup assegnato dall'utente. Nell'esempio precedente, il nome del piano di backup èPII_Backup_Plan
. Puoi includere più piani in una policy, ognuno conrules
,regions
,selections
etags
specifici.Questo nome chiave del piano di backup in una politica di backup corrisponde al valore della
BackupPlanName
chiave in un AWS Backup piano.Ogni oggetto può contenere i seguenti elementi:
-
rules
- Questa chiave contiene una raccolta di regole. Ogni regola si traduce in un'attività pianificata, con un'ora di inizio e una finestra in cui eseguire il backup delle risorse identificate dagli elementiselections
eregions
nella policy di backup effettiva. -
regions
— Questa chiave contiene un elenco di matrici delle risorse di Regioni AWS cui è possibile eseguire il backup mediante questa politica. -
selections
- Questa chiave contiene una o più raccolte di risorse (all'interno delleregions
specificate) di cui viene eseguito il backup in base allerules
specificate. -
advanced_backup_settings
- Questa chiave contiene impostazioni specifiche per i backup in esecuzione su determinate risorse. -
backup_plan_tags
- Specifica i tag collegati al piano di backup stesso.
-
-
rules
La chiave di policy
rules
viene mappata alla chiaveRules
di un piano AWS Backup . Sotto la chiaverules
possono essere presenti una o più regole. Ogni regola diventa un'attività pianificata per eseguire un backup delle risorse selezionate.Ogni regola contiene una chiave il cui nome chiave è il nome della regola. Nell'esempio precedente, il nome della regola è «My_Hourly_Rule». Il valore della chiave della regola è la seguente raccolta di elementi della regola:
-
schedule_expression
— Questa chiave politica corrisponde allaScheduleExpression
chiave di un AWS Backup piano.Specifica l'ora di inizio del backup. Questa chiave contiene l'operatore del valore di @@assign ereditarietà e un valore di stringa con un'CRONespressione
che specifica quando AWS Backup avviare un processo di backup. Il formato generale della CRON stringa è: «cron ()». Ciascun elemento è un numero o un carattere jolly. Ad esempio, cron(0 5 ? * 1,3,5 *)
avvia il backup alle 5 di ogni lunedì, mercoledì e venerdì.cron(0 0/1 ? * * *)
avvia il backup ogni ora ad un orario prestabilito, ogni giorno della settimana. -
target_backup_vault_name
— Questa chiave politica corrisponde allaTargetBackupVaultName
chiave di un AWS Backup piano.Specifica il nome del vault di backup in cui archiviare il backup. Il valore viene creato utilizzando AWS Backup. Questa chiave contiene l'operatore del valore di ereditarietà @@assign e un valore stringa con un nome vault.
Importante
Il vault deve esistere già la prima volta che sia avvia il piano di backup. Ti consigliamo di utilizzare gli AWS CloudFormation stack set e la relativa integrazione con Organizations per creare e configurare automaticamente gli archivi e IAM i ruoli di backup per ogni account membro dell'organizzazione. Per ulteriori informazioni, consulta Creazione di uno stack set con autorizzazioni gestite dal cliente nella Guida per l'utente di AWS CloudFormation .
-
start_backup_window_minutes
— Questa chiave politica corrisponde allaStartWindowMinutes
chiave di un AWS Backup piano.(Facoltativo) Specifica il numero di minuti di attesa prima di annullare un processo che non viene avviato correttamente. Questa chiave contiene l'operatore del valore di ereditarietà @@assign e un valore con un numero intero di minuti.
-
complete_backup_window_minutes
- Questa chiave di policy viene mappata alla chiaveCompletionWindowMinutes
in un piano AWS Backup .(Facoltativo) Specifica il numero di minuti dopo l'avvio corretto di un processo di backup prima che venga completato o venga annullato da AWS Backup. Questa chiave contiene l'operatore del valore di ereditarietà @@assign e un valore con un numero intero di minuti.
-
enable_continuous_backup
— Questa chiave politica corrisponde allaEnableContinuousBackup
chiave di un AWS Backup piano.(Facoltativo) Specifica se AWS Backup crea backup continui.
True
causa AWS Backup la creazione di backup continui in grado di eseguire il point-in-time ripristino (). PITRFalse
(o non specificate) causa la creazione AWS Backup di backup istantanei.Nota
Poiché i backup PITR abilitati possono essere conservati per un massimo di 35 giorni, è necessario scegliere
False
o non specificare un valore se si imposta una delle seguenti opzioni:-
Imposta
delete_after_days
su un valore maggiore di 35. -
Imposta
move_to_cold_storage_after_days
su qualsiasi valore.
Per ulteriori informazioni sui backup continui, consulta il Point-in-time ripristino nella Guida per gli sviluppatori.AWS Backup
-
-
lifecycle
— Questa chiave politica corrisponde allaLifecycle
chiave di un AWS Backup piano.(Facoltativo) Specifica quando AWS Backup trasferisce questo backup alla conservazione a freddo e quando scade.
-
move_to_cold_storage_after_days
— Questa chiave politica corrisponde alla chiave di unMoveToColdStorageAfterDays
piano. AWS BackupSpecifica il numero di giorni dopo l'esecuzione del backup prima che AWS Backup sposti il punto di ripristino nello storage a freddo. Questa chiave contiene l'operatore del valore di ereditarietà @@assign e un valore con un numero intero di giorni.
-
delete_after_days
— Questa chiave politica corrisponde allaDeleteAfterDays
chiave di un AWS Backup piano.Specifica il numero di giorni dopo l'esecuzione del backup prima che AWS Backup elimini il punto di ripristino. Questa chiave contiene l'operatore del valore di ereditarietà @@assign e un valore con un numero intero di giorni. Questo valore deve corrispondere ad almeno 90 giorni dal numero di giorni specificato in
move_to_cold_storage_after_days
. -
opt_in_to_archive_for_supported_resources
— Questa chiave politica corrisponde allaOptInToArchiveForSupportedResources
chiave di un AWS Backup piano.Se questo valore viene assegnato come
true
, il piano di backup trasferisce le risorse supportate al livello di archiviazione (a freddo) in base alle impostazioni del ciclo di vita. Per ulteriori informazioni sul livello Amazon EBS Snapshots Archive, consulta Archive Amazon EBS snapshots nella Amazon EBS User Guide.Puoi abilitare questa impostazione solo se sono soddisfatte le seguenti condizioni:
La tua politica di backup ha una frequenza pari o superiore a un mese.
move_to_cold_storage_after_days
deve esistere.delete_after_days
menomove_to_cold_storage_after_days
è maggiore o uguale a 90 giorni.
Questa chiave contiene l'operatore del valore di @@assign ereditarietà e il valore or.
true
false
-
-
copy_actions
— Questa chiave politica corrisponde allaCopyActions
chiave di un AWS Backup piano.(Facoltativo) Specifica che AWS Backup deve copiare il backup in una o più posizioni aggiuntive. Ogni percorso di copia di backup è descritto come segue:
-
Una chiave il cui nome identifica in modo univoco questa operazione di copia. Al momento, il nome della chiave deve essere Amazon Resource Name (ARN) del backup vault. Questa chiave contiene due voci.
-
target_backup_vault_arn
- Questa chiave di policy viene mappata alla chiaveDestinationBackupVaultArn
in un piano AWS Backup .(Facoltativo) Speciifica il vault in cui AWS Backup memorizza una copia aggiuntiva del backup. Il valore di questa chiave contiene l'operatore del valore di @@assign ereditarietà e il valore del ARN vault.
-
Per fare riferimento a un vault in Account AWS cui è in esecuzione la policy di backup, usa la
$account
variabile al posto del ARN numero ID dell'account. Quando AWS Backup esegue il piano di backup, sostituisce automaticamente la variabile con il numero ID dell'account Account AWS in cui viene eseguita la policy. Ciò consente di eseguire correttamente il backup quando la policy di backup si applica a più account di un'organizzazione. -
Per fare riferimento a un vault in un'altra Account AWS organizzazione, utilizza il numero ID dell'account effettivo presente in. ARN
Importante
-
Se manca questa chiave, viene utilizzata una versione interamente minuscola del ARN nome della chiave principale. Poiché ARNs fanno distinzione tra maiuscole e minuscole, questa stringa potrebbe non corrispondere al valore effettivo ARN dell'errore e il piano fallisce. Per questo motivo, ti consigliamo di fornire sempre questa chiave e questo valore.
-
La prima volta che si avvia il piano di backup, il vault di backup su cui vuoi copiare il backup deve già esistere. Ti consigliamo di utilizzare gli AWS CloudFormation stack set e la relativa integrazione con Organizations per creare e configurare automaticamente gli archivi e IAM i ruoli di backup per ogni account membro dell'organizzazione. Per ulteriori informazioni, consulta Creazione di uno stack set con autorizzazioni gestite dal cliente nella Guida per l'utente di AWS CloudFormation .
-
-
lifecycle
— Questa chiave politica corrisponde allaLifecycle
chiave sotto laCopyAction
chiave di un AWS Backup piano.(Facoltativo) Speciifica quando AWS Backup trasferisce questa copia di un backup alla conservazione a freddo e quando scade.
-
move_to_cold_storage_after_days
- Questa chiave di policy viene mappata alla chiaveMoveToColdStorageAfterDays
in un piano AWS Backup .Speciifica il numero di giorni dopo la data di creazione del backup prima dello AWS Backup spostamento del punto di ripristino nella conservazione a freddo. Questa chiave contiene l'operatore del valore di ereditarietà @@assign e un valore con un numero intero di giorni.
-
delete_after_days
- Questa chiave di policy viene mappata alla chiaveDeleteAfterDays
in un piano AWS Backup .Speciifica il numero di giorni dopo l'esecuzione del backup prima dell' AWS Backup eliminazione del punto di ripristino. Questa chiave contiene l'operatore del valore di ereditarietà @@assign e un valore con un numero intero di giorni. Se si esegue la transizione di un backup nello storage a freddo, deve rimanere almeno 90 giorni, pertanto questo valore deve essere un minimo di 90 giorni maggiore del valore
move_to_cold_storage_after_days
.
-
-
-
-
recovery_point_tags
— Questa chiave politica corrisponde allaRecoveryPointTags
chiave di un AWS Backup piano.(Facoltativo) Specifica i tag da AWS Backup allegare a ogni backup creato da questo piano. Il valore di questa chiave contiene uno o più dei seguenti elementi:
-
Un identificatore per la coppia nome chiave e valore di questa chiave. Questo nome per ogni elemento in
recovery_point_tags
è il nome della chiave del tag in lettere minuscole, anche setag_key
ha un trattamento diverso per caso. Questo identificatore non distingue tra maiuscole e minuscole. Nell'esempio precedente, questa coppia di chiavi è stata identificata dal nomeOwner
. Ogni coppia di chiavi contiene i seguenti elementi:-
tag_key
- Specifica il nome della chiave di tag da collegare al piano di backup. Questa chiave contiene l'operatore del valore di ereditarietà @@assign e un valore stringa. Il valore prevede la distinzione tra lettere maiuscole e minuscole. -
tag_value
: specifica il valore collegato al piano di backup e associato allatag_key
. Questa chiave contiene uno qualsiasi degli operatori del valore di ereditarietà e uno o più valori da sostituire, aggiungere o rimuovere dalla policy effettiva. Questi valori fanno distinzione tra maiuscole e minuscole.
-
-
-
-
regions
La chiave
regions
politica specifica quali risorse vengono Regioni AWS AWS Backup cercate per trovare le risorse che soddisfano le condizioni della chiave.selections
Questa chiave contiene uno qualsiasi degli operatori di valori di ereditarietà e uno o più valori di stringa per i Regione AWS codici, ad esempio:.["us-east-1", "eu-north-1"]
-
selections
La chiave di policy
selections
specifica le risorse di cui viene eseguito il backup dalle regole del piano in questa policy. Questa chiave corrisponde all'incirca all'BackupSelectionoggetto in. AWS Backup Le risorse sono specificate da una query per la corrispondenza dei nomi e dei valori delle chiavi di tag. La chiaveselections
contiene una chiave:tags
.-
tags
— Speciifica i tag che identificano le risorse e il IAM ruolo autorizzato sia a interrogare le risorse che a eseguirne il backup. Il valore di questa chiave contiene uno o più dei seguenti elementi:-
Un identificatore per questo elemento del tag. Questo identificatore in
tags
è il nome della chiave di tag tutto in lettere minuscole, anche se il tag di cui eseguire la query da interrogare viene trattato in modo diverso ai fini della distinzione tra maiuscole e minuscole. Questo identificatore non distingue tra maiuscole e minuscole. Nell'esempio precedente, un elemento è stato identificato dal nomeMy_Backup_Assignment
. Ogni identificatore intags
contiene i seguenti elementi:-
iam_role_arn
— Speciifica il IAM ruolo autorizzato ad accedere alle risorse identificate dalla query di tag nella chiave Regioni AWS specificata dallaregions
chiave. Questo valore contiene l'operatore del valore di @@assign ereditarietà e un valore ARN di stringa che contiene il ruolo. AWS Backup utilizza questo ruolo per interrogare e scoprire le risorse ed eseguire il backup.È possibile utilizzare la
$account
variabile al ARN posto del numero ID dell'account. Quando il piano di backup viene eseguito AWS Backup, sostituisce automaticamente la variabile con l'effettivo numero ID dell'account Account AWS in cui viene eseguita la politica.Importante
La prima volta che si avvia il piano di backup, il ruolo deve esistere già. Ti consigliamo di utilizzare gli AWS CloudFormation stack set e la relativa integrazione con Organizations per creare e configurare automaticamente gli archivi e IAM i ruoli di backup per ogni account membro dell'organizzazione. Per ulteriori informazioni, consulta Creazione di uno stack set con autorizzazioni gestite dal cliente nella Guida per l'utente di AWS CloudFormation .
-
tag_key
- Specifica il nome della chiave di tag da cercare. Questa chiave contiene l'operatore del valore di ereditarietà @@assign e un valore stringa. Il valore prevede la distinzione tra lettere maiuscole e minuscole. -
tag_value
— Speciifica il valore che deve essere associato a un nome di chiave corrispondente.tag_key
AWS Backup include la risorsa nel backup solo se entrambi glitag_key
etag_value
corrispondono. Questa chiave contiene uno qualsiasi degli operatori del valore di ereditarietà e uno o più valori da sostituire, aggiungere o rimuovere dalla policy effettiva. Questi valori fanno distinzione tra maiuscole e minuscole.
-
-
-
-
advanced_backup_settings
- Specifica le impostazioni per scenari di backup specifici. Questa chiave contiene una o più impostazioni. Ogni impostazione è una stringa di JSON oggetti con i seguenti elementi:-
Nome chiave oggetto - Una stringa che specifica il tipo di risorsa a cui si applicano le seguenti impostazioni avanzate.
-
Valore dell'JSONoggetto: una stringa di oggetto che contiene una o più impostazioni di backup specifiche per il tipo di risorsa associato.
Al momento, l'unica impostazione di backup avanzata supportata abilita i backup di Microsoft Volume Shadow Copy Service (VSS) per Windows o SQL Server in esecuzione su un'EC2istanza Amazon. Il nome della chiave deve essere il tipo di
"ec2"
risorsa e il valore specifica che il"windows_vss"
supporto èenabled
odisabled
per i backup eseguiti su tali istanze AmazonEC2. Per ulteriori informazioni su questa funzionalità, vedere Creating a Windows Backup VSS abilitato nella AWS Backup Developer Guide."advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } }
-
-
backup_plan_tags
- Specifica i tag collegati al piano di backup stesso. Ciò non influisce sui tag specificati nelle regole o nelle selezioni.(Facoltativo) Puoi collegare i tag ai piani di backup. Il valore di questa chiave è una raccolta di elementi.
Il nome della chiave per ogni elemento in
backup_plan_tags
è il nome della chiave di tag tutta in lettere minuscole, anche se il tag di cui effettuare la query viene trattato in modo diverso ai fini della distinzione tra maiuscole e minuscole. Questo identificatore non distingue tra maiuscole e minuscole. Il valore per ciascuna di queste voci è costituito dalle seguenti chiavi:-
tag_key
- Specifica il nome della chiave di tag da collegare al piano di backup. Questa chiave contiene l'operatore del valore di ereditarietà @@assign e un valore stringa. Questo valore prevede la distinzione tra lettere maiuscole e minuscole. -
tag_value
: specifica il valore collegato al piano di backup e associato allatag_key
. Questa chiave contiene l'operatore del valore di ereditarietà @@assign e un valore stringa. Questo valore prevede la distinzione tra lettere maiuscole e minuscole.
-
Esempi di policy di backup
Le policy di backup di esempio che seguono sono solo a scopo informativo. In alcuni degli esempi seguenti, la formattazione degli JSON spazi bianchi potrebbe essere compressa per risparmiare spazio.
Esempio 1: policy assegnata a un nodo padre
Nell'esempio seguente viene illustrata una policy di backup assegnata a uno dei nodi padre di un account.
Policy padre - Questa policy può essere collegata al root dell'organizzazione o a qualsiasi unità organizzativa che è un padre di tutti gli account previsti.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } } } }
Se nessun'altra politica viene ereditata o associata agli account, la politica effettiva visualizzata in ciascuna delle politiche applicabili Account AWS è simile all'esempio seguente. L'CRONespressione fa sì che il backup venga eseguito una volta all'ora. L'ID account 123456789012 sarà l'ID account effettivo per ogni account.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } }, "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:vault:tertiary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": { "windows_vss": "enabled" } } } } }
Esempio 2: una policy padre viene unita a una policy figlio
Nell'esempio seguente, una politica principale ereditata e una politica secondaria sono state ereditate o collegate direttamente a un' Account AWS unione per formare la politica effettiva.
Policy padre - Questa policy può essere collegata al root dell'organizzazione o a qualsiasi unità organizzativa padre.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Policy figlia - Questa policy può essere collegata direttamente all'account o a un'unità organizzativa che si trova a un livello inferiore qualsiasi a quello della policy padre cui è collegata.
{ "plans": { "Monthly_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "eu-central-1" ] }, "rules": { "Monthly": { "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "MonthlyDatatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" }, "tag_key": { "@@assign": "BackupType" }, "tag_value": { "@@assign": [ "MONTHLY", "RED" ] } } } } } } }
Policy effettiva risultante - La policy effettiva applicata agli account contiene due piani, ciascuno con un proprio set di regole e un set di risorse a cui applicare le regole.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } }, "Monthly_Backup_Plan": { "regions": [ "us-east-1", "eu-central-1" ], "rules": { "monthly": { "schedule_expression": "cron(0 5 1 * ? *)", "start_backup_window_minutes": "480", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:Default" : { "target_backup_vault_arn": { "@@assign" : "arn:aws:backup:us-east-1:$account:vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": "30", "delete_after_days": "365", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "monthlydatatype": { "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole", "tag_key": "BackupType", "tag_value": [ "MONTHLY", "RED" ] } } } } } }
Esempio 3: una policy padre impedisce qualsiasi modifica da parte di una policy figlio
Nell'esempio seguente, una policy padre ereditata utilizza gli operatori di controllo figlio per imporre tutte le impostazioni e impedisce che vengano modificate o sostituite da una policy figlio.
Policy padre - Questa policy può essere collegata al root dell'organizzazione o a qualsiasi unità organizzativa padre. La presenza di "@@operators_allowed_for_child_policies": ["@@none"]
in ogni nodo della policy significa che una policy figlio non può apportare modifiche di alcun tipo al piano. Né una policy figlio può aggiungere altri piani alla policy effettiva. Questa policy diventa la policy effettiva per ogni unità organizzativa e account nell'unità organizzativa cui è collegata.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@none"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { "@@operators_allowed_for_child_policies": ["@@none"], "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "@@operators_allowed_for_child_policies": ["@@none"], "Hourly": { "@@operators_allowed_for_child_policies": ["@@none"], "schedule_expression": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "60" }, "target_backup_vault_name": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "FortKnox" }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } }, "copy_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "@@operators_allowed_for_child_policies": ["@@none"], "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault", "@@operators_allowed_for_child_policies": ["@@none"] }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } } } } } }, "selections": { "@@operators_allowed_for_child_policies": ["@@none"], "tags": { "@@operators_allowed_for_child_policies": ["@@none"], "datatype": { "@@operators_allowed_for_child_policies": ["@@none"], "iam_role_arn": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "dataType" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "@@operators_allowed_for_child_policies": ["@@none"], "ec2": { "@@operators_allowed_for_child_policies": ["@@none"], "windows_vss": { "@@assign": "enabled", "@@operators_allowed_for_child_policies": ["@@none"] } } } } } }
Policy effettiva risultante - Se esistono policy di backup figlio, queste vengono ignorate e la policy padre diventa la policy effettiva.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:vault:secondary_vault", "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": {"windows_vss": "enabled"} } } } }
Esempio 4: una policy padre impedisce modifiche a un piano di backup da parte di una policy figlio
Nell'esempio seguente, una policy padre ereditata utilizza gli operatori di controllo figlio per imporre le impostazioni per un singolo piano e impedisce che vengano modificate o sostituite da una policy figlio. La policy figlio può comunque aggiungere altri piani.
Policy padre - Questa policy può essere collegata al root dell'organizzazione o a qualsiasi unità organizzativa padre. Questo esempio è simile all'esempio precedente con tutti gli operatori di ereditarietà figlio bloccati, ad eccezione del livello superiore plans
. L'impostazione @@append
a tale livello consente alle policy figlio di aggiungere altri piani alla raccolta nella policy effettiva. Le eventuali modifiche apportate al piano ereditato sono ancora bloccate.
Le sezioni del piano vengono troncate per chiarezza.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@append"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { ... }, "rules": { ... }, "selections": { ... } } } }
Policy figlia - Questa policy può essere collegata direttamente all'account o a un'unità organizzativa che si trova a un livello inferiore qualsiasi a quello della policy padre cui è collegata. Questa policy figlio definisce un nuovo piano.
Le sezioni del piano vengono troncate per chiarezza.
{ "plans": { "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Policy effettiva risultante - La policy effettiva include entrambi i piani.
{ "plans": { "PII_Backup_Plan": { "regions": { ... }, "rules": { ... }, "selections": { ... } }, "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Esempio 5: una policy figlio sostituisce le impostazioni in una policy padre
Nell'esempio seguente, una policy figlia utilizza operatori di impostazione del valore per sovrascrivere alcune delle impostazioni ereditate da una policy padre.
Policy padre - Questa policy può essere collegata al root dell'organizzazione o a qualsiasi unità organizzativa padre. Qualsiasi impostazione può essere sovrascritta da una policy figlio perché il comportamento predefinito, in assenza di un operatore di controllo figlio che lo impedisce, è quello di consentire alla policy figlio di @@assign
, @@append
o @@remove
. La policy padre contiene tutti gli elementi necessari per un piano di backup valido, quindi esegue correttamente il backup delle risorse se viene ereditata così com'è.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "target_backup_vault_name": {"@@assign": "FortKnox"}, "lifecycle": { "delete_after_days": {"@@assign": "2"}, "move_to_cold_storage_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:t2": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:t2"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "28"}, "delete_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Policy figlia - La policy figlia include solo le impostazioni che devono essere diverse dalla policy padre ereditata. È necessario disporre di una policy padre ereditata che fornisca le altre impostazioni necessarie quando viene unita in una policy effettiva. In caso contrario, la policy di backup effettiva contiene un piano di backup che non è valido e non esegue il backup delle risorse come previsto.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "us-west-2", "eu-central-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "80"}, "target_backup_vault_name": {"@@assign": "Default"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "30"}, "delete_after_days": {"@@assign": "365"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } } }
Policy effettiva risultante - La policy effettiva include le impostazioni di entrambe le policy, con le impostazioni fornite dalla policy figlio che sovrascrivono le impostazioni ereditate dal padre. In questo esempio, si verificano le seguenti modifiche:
-
L'elenco delle regioni viene sostituito con un elenco completamente diverso. Se desideri aggiungere una Regione all'elenco ereditato, utilizza
@@append
anziché@@assign
nella policy figlia. -
AWS Backup viene eseguito ogni due ore anziché ogni ora.
-
AWS Backup consente l'avvio del backup per 80 minuti anziché 60 minuti.
-
AWS Backup utilizza il
Default
vault anziché.FortKnox
-
Il ciclo di vita viene esteso sia per il trasferimento nello storage a freddo sia per l'eliminazione finale del backup.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-west-2", "eu-central-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/2 ? * * *)", "start_backup_window_minutes": "80", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:vault:secondary_vault": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:vault:secondary_vault"}, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } } } }