Esegui il backup e l'archiviazione dei dati su Amazon S3 con Veeam Backup & Replication - Prontuario AWS
RiepilogoPrerequisiti e limitazioniArchitetturaStrumentiBest practiceEpicheRisorse correlateInformazioni aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esegui il backup e l'archiviazione dei dati su Amazon S3 con Veeam Backup & Replication

Creato da Jeanna James, Anthony Fiore (AWS) (AWS) e William Quigley

Ambiente: produzione

Tecnologie: archiviazione e backup

Servizi AWS: Amazon EC2; Amazon S3; Amazon S3 Glacier

Riepilogo

Questo modello descrive in dettaglio il processo di invio dei backup creati da Veeam Backup & Replication alle classi di storage di oggetti Amazon Simple Storage Service (Amazon S3) supportate utilizzando la funzionalità di repository di backup scale-out di Veeam. 

Veeam supporta più classi di storage Amazon S3 per soddisfare al meglio le tue esigenze specifiche. Puoi scegliere il tipo di storage in base all'accesso ai dati, alla resilienza e ai requisiti di costo dei tuoi dati di backup o archiviazione. Ad esempio, puoi archiviare dati che non prevedi di utilizzare per 30 giorni o più in Amazon S3 Infrequent Access (IA) a un costo inferiore. Se hai intenzione di archiviare i dati per 90 giorni o più, puoi utilizzare Amazon Simple Storage Service Glacier (Amazon S3 Glacier) Flexible Retrieval o S3 Glacier Deep Archive con il livello di archiviazione di Veeam. Puoi anche usare S3 Object Lock per rendere i backup immutabili all'interno di Amazon S3.

Questo modello non illustra come configurare Veeam Backup & Replication con un gateway a nastro in AWS Storage Gateway. Per informazioni su questo argomento, consulta Veeam Backup & Replication using AWS VTL Gateway - Deployment Guide sul sito Web Veeam.

Avvertenza: questo scenario richiede agli utenti IAM un accesso programmatico e credenziali a lungo termine, che presentano un rischio per la sicurezza. Per contribuire a mitigare questo rischio, ti consigliamo di fornire a questi utenti solo le autorizzazioni necessarie per eseguire l'attività e di rimuoverli quando non sono più necessari. Le chiavi di accesso possono essere aggiornate se necessario. Per ulteriori informazioni, consulta Aggiornamento delle chiavi di accesso nella Guida per l'utente IAM.

Prerequisiti e limitazioni

Prerequisiti

  • Veeam Backup & Replication, incluso Veeam Availability Suite o Veeam Backup Essentials, installato (puoi registrarti per una prova gratuita)

  • Licenza Veeam Backup & Replication con funzionalità Enterprise o Enterprise Plus, che include la Veeam Universal License (VUL)

  • Un utente AWS Identity and Access Management (IAM) attivo con accesso a un bucket Amazon S3

  • Un utente IAM attivo con accesso ad Amazon Elastic Compute Cloud (Amazon EC2) e Amazon Virtual Private Cloud (Amazon VPC) (se si utilizza il livello di archiviazione)

  • Connettività di rete dall'ambiente locale ai servizi AWS con larghezza di banda disponibile per il backup e il ripristino del traffico tramite una connessione Internet pubblica o un'interfaccia virtuale pubblica (VIF) AWS Direct Connect

  • Sono state aperte le seguenti porte ed endpoint di rete per garantire una comunicazione corretta con i repository di storage di oggetti:

    • Storage Amazon S3 — TCP — porta 443: utilizzata per comunicare con lo storage Amazon S3.

    • Storage Amazon S3 — endpoint cloud — *.amazonaws.com per le regioni AWS e le regioni AWS (Stati Uniti), o*.amazonaws.com.rproxy.goskope.com.cn per le regioni cinesi: utilizzato per comunicare con lo storage Amazon S3. GovCloud Per un elenco completo degli endpoint di connessione, consulta gli endpoint Amazon S3 nella documentazione AWS.

    • Storage Amazon S3 — TCP HTTP — porta 80: utilizzata per verificare lo stato del certificato. Tieni presente che gli endpoint di verifica dei certificati, gli URL della lista di revoca dei certificati (CRL) e i server OCSP (Online Certificate Status Protocol), sono soggetti a modifiche. L'elenco effettivo degli indirizzi si trova nel certificato stesso.

    • Storage Amazon S3 — endpoint di verifica del certificato — *.amazontrust.com: utilizzato per verificare lo stato del certificato. Tieni presente che gli endpoint di verifica dei certificati (URL CRL e server OCSP) sono soggetti a modifiche. L'elenco effettivo degli indirizzi si trova nel certificato stesso.

Limitazioni

  • Veeam non supporta le policy S3 Lifecycle su nessun bucket S3 utilizzato come repository di storage di oggetti Veeam. Queste includono policy con transizioni di classi di storage Amazon S3 e regole di scadenza del ciclo di vita di Amazon S3. Veeam deve essere l'unica entità che gestisce questi oggetti. L'attivazione delle policy del ciclo di vita di S3 potrebbe avere risultati imprevisti, inclusa la perdita di dati.

Versioni del prodotto

  • Veeam Backup & Replication v9.5 Update 4 o successivo (solo backup o livello di capacità)

  • Veeam Backup & Replication v10 o successivo (backup o livello di capacità e S3 Object Lock)

  • Veeam Backup & Replication v11 o successivo (livello di backup o capacità, livello di archiviazione o archiviazione e S3 Object Lock)

  • Veeam Backup & Replication v12 o successivo (livello di prestazioni, livello di backup o capacità, livello di archiviazione o livello di archiviazione e S3 Object Lock)

  • S3 Standard

  • S3 Standard-IA

  • S3 One Zone-IA

  • S3 Glacier Flexible Retrieval (solo v11 e versioni successive)

  • S3 Glacier Deep Archive (solo v11 e successive)

  • S3 Glacier Instant Retrieval (solo v12 e successive)

Architettura

Stack tecnologico di origine

  • Installazione locale di Veeam Backup & Replication con connettività da un server di backup Veeam o da un server gateway Veeam ad Amazon S3

Stack tecnologico Target

  • Amazon S3

  • Amazon VPC e Amazon EC2 (se si utilizza il livello di archiviazione)

Architettura di destinazione: SOBR

Il diagramma seguente mostra l'architettura Scale-out Backup Repository (SOBR).

Architettura SOBR per il backup dei dati da Veeam ad Amazon S3

Il software Veeam Backup and Replication protegge i dati da errori logici come guasti del sistema, errori delle applicazioni o cancellazioni accidentali. In questo diagramma, i backup vengono eseguiti prima in locale e una copia secondaria viene inviata direttamente ad Amazon S3. Un backup rappresenta una point-in-time copia dei dati.

Il flusso di lavoro è composto da tre componenti principali necessari per la suddivisione in più livelli o la copia dei backup su Amazon S3 e un componente opzionale:

  • Veeam Backup & Replication (1) — Il server di backup responsabile del coordinamento, del controllo e della gestione dell'infrastruttura di backup, delle impostazioni, dei job, delle attività di ripristino e di altri processi.

  • Server gateway Veeam (non mostrato nel diagramma): un server gateway locale opzionale necessario se il server di backup Veeam non dispone di connettività in uscita ad Amazon S3.

  • Repository di backup scalabile (2): sistema di repository con supporto per la scalabilità orizzontale per lo storage dei dati a più livelli. L'archivio di backup con scalabilità orizzontale è costituito da uno o più repository di backup che forniscono un accesso rapido ai dati e può essere ampliato con i repository di storage di oggetti Amazon S3 per lo storage a lungo termine (livello di capacità) e l'archiviazione (livello di archiviazione). Veeam utilizza il repository di backup scalabile per suddividere automaticamente i dati tra lo storage di oggetti locale (livello di prestazioni) e lo storage di oggetti Amazon S3 (livelli di capacità e archiviazione).

  • Amazon S3 (3): servizio di storage di oggetti AWS che offre scalabilità, disponibilità dei dati, sicurezza e prestazioni.

Architettura di destinazione: DTO

Il diagramma seguente mostra l'architettura direct-to-object (DTO).

Architettura DTO per il backup dei dati da Veeam ad Amazon S3

In questo diagramma, i dati di backup vengono trasferiti direttamente ad Amazon S3 senza essere prima archiviati in locale. Le copie secondarie possono essere archiviate in S3 Glacier.

Automazione e scalabilità

Puoi automatizzare la creazione di risorse IAM e bucket S3 utilizzando i CloudFormation modelli AWS forniti nel repository. VeeamHub GitHub I modelli includono opzioni standard e immutabili.

Strumenti

Strumenti e servizi AWS

  • Veeam Backup & Replication è una soluzione di Veeam per la protezione, il backup, la replica e il ripristino dei carichi di lavoro virtuali e fisici.

  • AWS ti CloudFormation aiuta a modellare e configurare le tue risorse AWS, effettuarne il provisioning in modo rapido e coerente e gestirle per tutto il loro ciclo di vita. Puoi utilizzare un modello per descrivere le tue risorse e le loro dipendenze e lanciarle e configurarle insieme come uno stack, invece di gestire le risorse singolarmente. Puoi gestire e fornire stack su più account AWS e regioni AWS.

  • Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2) fornisce capacità di calcolo scalabile nel cloud AWS. Puoi usare Amazon EC2 per lanciare tutti o pochi server virtuali di cui hai bisogno e puoi scalare orizzontalmente o orizzontalmente.

  • AWS Identity and Access Management (IAM) è un servizio Web per controllare in modo sicuro l'accesso ai servizi AWS. Con IAM, puoi gestire centralmente gli utenti, le credenziali di sicurezza come le chiavi di accesso e le autorizzazioni che controllano a quali risorse AWS possono accedere utenti e applicazioni.

  • Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) è un servizio di storage di oggetti. È possibile utilizzare Amazon S3 per memorizzare e recuperare qualsiasi volume di dati, in qualunque momento e da qualunque luogo tramite il Web.

  • Amazon S3 Glacier (S3 Glacier) è un servizio sicuro e durevole per l'archiviazione dei dati a basso costo e il backup a lungo termine.

  • Amazon Virtual Private Cloud (Amazon VPC) fornisce una sezione logicamente isolata del cloud AWS in cui puoi avviare le risorse AWS in una rete virtuale che hai definito. Questa rete virtuale è simile a una comune rete da gestire all'interno del proprio data center, ma con i vantaggi dell'infrastruttura scalabile di AWS.

Codice

Utilizza i CloudFormation modelli forniti nel VeeamHub GitHub repository per creare automaticamente le risorse IAM e i bucket S3 per questo modello. Se preferisci creare queste risorse manualmente, segui i passaggi nella sezione Epics.

Best practice

  • In conformità con le best practice IAM, ti consigliamo vivamente di ruotare regolarmente le credenziali utente IAM a lungo termine, come l'utente IAM che utilizzi per scrivere i backup di Veeam Backup & Replication su Amazon S3. Per ulteriori informazioni, consulta Best practice di sicurezza nella documentazione di IAM.

Epiche

AttivitàDescrizioneCompetenze richieste

Crea un utente IAM.

Segui le istruzioni nella documentazione IAM per creare un utente IAM. Questo utente non dovrebbe avere accesso alla console AWS e dovrai creare una chiave di accesso per questo utente. Veeam utilizza questa entità per autenticarsi con AWS per leggere e scrivere nei bucket S3. È necessario concedere il privilegio minimo (ovvero concedere solo le autorizzazioni necessarie per eseguire un'attività) in modo che l'utente non abbia più autorità di quella necessaria. Ad esempio, le policy IAM da collegare al tuo utente Veeam IAM, consulta la sezione Informazioni aggiuntive.

Nota In alternativa, puoi utilizzare i CloudFormation modelli forniti nel VeeamHub GitHub repository per creare un utente IAM e un bucket S3 per questo modello.

Amministratore AWS

Crea un bucket S3.

  1. Accedere alla Console di gestione AWS e aprire la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/

  2. Se non disponi già di un bucket S3 esistente da utilizzare come storage di destinazione, scegli Crea bucket e specifica il nome del bucket, la regione AWS e le impostazioni del bucket.

    • Ti consigliamo di abilitare l'opzione Block Public Access per il bucket S3 e di configurare le politiche di accesso e autorizzazione degli utenti per soddisfare i requisiti della tua organizzazione. Per un esempio, consulta la documentazione di Amazon S3.

    • Ti consigliamo di abilitare S3 Object Lock, anche se non intendi utilizzarlo subito. Questa impostazione può essere abilitata solo al momento della creazione del bucket S3.

Per ulteriori informazioni, consulta Creazione di un bucket nella documentazione di Amazon S3.

Amministratore AWS
AttivitàDescrizioneCompetenze richieste

Avvia la procedura guidata New Object Repository.

Prima di configurare lo storage di oggetti e gli archivi di backup con scalabilità orizzontale in Veeam, è necessario aggiungere i repository di storage Amazon S3 e Amazon S3 Glacier che si desidera utilizzare per i livelli di capacità e archiviazione. Nella prossima epopea, collegherai questi repository di storage al tuo repository di backup scalabile.

  1. Sulla console Veeam, apri la vista dell'infrastruttura di Backup

  2. Nel riquadro dell'inventario, scegli il nodo Backup Repository, quindi scegli Aggiungi repository

  3. Nella finestra di dialogo Aggiungi archivio di backup, scegli Object Storage, Amazon S3.

Amministratore AWS, proprietario dell'app

Aggiungi lo storage Amazon S3 per il livello di capacità.

  1. Nella finestra di dialogo Amazon Cloud Storage Services, scegli Amazon S3.

  2. Nella fase Nome della procedura guidata, specifica il nome di archiviazione dell'oggetto e una breve descrizione, ad esempio il creatore e la data di creazione. 

  3. Nella fase Account della procedura guidata, specificare l'account di archiviazione degli oggetti. 

    • Per le credenziali, scegli l'utente IAM che hai creato nella prima epic per accedere allo storage di oggetti Amazon S3. 

    • Per la regione AWS, scegli la regione AWS in cui si trova il bucket Amazon S3.

  4. Nella fase Bucket della procedura guidata, specifica le impostazioni di storage degli oggetti.

    • Per la regione del data center, scegli la regione AWS in cui si trova il bucket Amazon S3.

    • Per Bucket, scegli il bucket S3 che hai creato nella prima epic.

    • Per Cartella, crea o seleziona una cartella cloud su cui mappare il tuo repository di archiviazione degli oggetti. 

    • Se desideri abilitare l'immutabilità, scegli Rendi i backup recenti immutabili per X giorni e imposta il periodo di tempo durante il quale i backup devono essere bloccati. Tieni presente che l'abilitazione dell'immutabilità comporta un aumento dei costi a causa dell'aumento del numero di chiamate API ad Amazon S3 da Veeam.

  5. Nella fase di riepilogo della procedura guidata, rivedi le informazioni di configurazione, quindi scegli Fine.

Amministratore AWS, proprietario dell'app

Aggiungi lo storage S3 Glacier per il livello di archiviazione.

Se desideri creare un livello di archiviazione, utilizza le autorizzazioni IAM dettagliate nella sezione Informazioni aggiuntive. 

  1. Avvia la procedura guidata New Object Repository come descritto in precedenza.

  2. Nella finestra di dialogo Amazon Cloud Storage Services, scegli Amazon S3 Glacier.

  3. Nella fase Nome della procedura guidata, specifica il nome di archiviazione dell'oggetto e una breve descrizione, ad esempio il creatore e la data di creazione.

  4. Nella fase Account della procedura guidata, specificare l'account di archiviazione degli oggetti.

    • Per le credenziali, scegli l'utente IAM che hai creato nella prima epic per accedere allo storage di oggetti Amazon S3 Glacier. 

    • Per la regione AWS, scegli la regione AWS in cui si trova il bucket Amazon S3.

  5. Nella fase Bucket della procedura guidata, specifica le impostazioni di storage degli oggetti.

    • Per la regione del data center, scegli la regione AWS.

    • Per Bucket, scegli un bucket S3 per archiviare i dati di backup. Può trattarsi dello stesso bucket utilizzato per il livello di capacità.

    • Per Cartella, crea o seleziona una cartella cloud su cui mappare il tuo repository di archiviazione degli oggetti. 

    • Se desideri abilitare l'immutabilità, scegli Rendi immutabili i backup recenti per l'intera durata della loro politica di conservazione. Tieni presente che l'abilitazione dell'immutabilità comporta un aumento dei costi a causa dell'aumento del numero di chiamate API ad Amazon S3 da Veeam.

    • Se desideri utilizzare S3 Glacier Deep Archive come classe di archiviazione, scegli Usa la classe Deep Archive Storage.

  6. Nella fase Proxy Appliance della procedura guidata, configura l'istanza ausiliaria utilizzata per trasferire i dati da Amazon S3 ad Amazon S3 Glacier. È possibile utilizzare le impostazioni predefinite o configurare ogni impostazione manualmente. Per configurare le impostazioni manualmente:

    • Scegliere Customize (Personalizza).

    • Per il tipo di istanza EC2, scegli il tipo di istanza per l'appliance proxy, in base ai requisiti di velocità e costo richiesti per il trasferimento dei file di backup al livello di archiviazione del tuo repository di backup scalabile.

    • Per Amazon VPC, scegli il VPC per l'istanza di destinazione.

    • Per Subnet, scegli la sottorete per l'appliance proxy.

    • Per Gruppo di sicurezza, scegliere il gruppo di sicurezza da associare all'appliance proxy.

    • Per la porta Redirector, specificare la porta TCP per il routing delle richieste tra l'appliance proxy e i componenti dell'infrastruttura di backup.

    • Scegli OK per confermare le impostazioni.

  7. Nella fase di riepilogo della procedura guidata, rivedi le informazioni di configurazione, quindi scegli Fine.

Amministratore AWS, proprietario dell'app
AttivitàDescrizioneCompetenze richieste

Avvia la procedura guidata New Scale-Out Backup Repository.

  1. Sulla console Veeam, apri la vista dell'infrastruttura di Backup

  2. Nel riquadro dell'inventario, scegli Scale-out Repositories, quindi scegli Aggiungi Scale-out Repository.

Proprietario dell'app, amministratore di sistema AWS

Aggiungi un repository di backup con scalabilità orizzontale e configura i livelli di capacità e archiviazione.

  1. Nella fase Nome della procedura guidata, specificare il nome e una breve descrizione del repository di backup con scalabilità orizzontale. 

  2. Se necessario, aggiungi estensioni di prestazioni. Puoi anche utilizzare il tuo repository di backup locale Veeam esistente come livello di prestazioni. A partire dalla versione 12 di Veeam, puoi aggiungere un bucket S3 come estensione delle prestazioni per i backup direct-to-object (DTO), bypassando un livello di prestazioni locale.

  3. Scegli Advanced e specifica opzioni aggiuntive per il repository di backup scalabile.

    • Scegli Usa file di backup per computer per creare un file di backup separato per ogni macchina e scrivi questi file nell'archivio di backup in più flussi contemporaneamente. Questa opzione è consigliata per un migliore utilizzo delle risorse di archiviazione e di calcolo.

    • Scegli Esegui backup completo quando l'estensione richiesta è offline per creare un file di backup completo nel caso in cui un'estensione che contiene punti di ripristino per un backup incrementale vada offline. Questa opzione richiede spazio libero nell'archivio di backup scalabile per ospitare un file di backup completo.

  4. Nella fase relativa alle regole della procedura guidata, specificare la politica di posizionamento dei backup per il repository. 

    • Scegli Data locality per archiviare insieme i file di backup completi e incrementali che appartengono alla stessa catena, con le stesse prestazioni. È possibile archiviare i file che appartengono a una nuova catena di backup con lo stesso livello di prestazioni o con un altro livello di prestazioni (a meno che non si utilizzi un'appliance di archiviazione con deduplicazione come livello di prestazioni).

    • Scegliete Performance per archiviare i file di backup completi e incrementali con livelli di prestazioni diversi. Questa opzione richiede una connessione di rete veloce e affidabile. Se scegli Prestazioni, puoi limitare i tipi di file di backup da archiviare in base a ciascun livello di prestazioni. Ad esempio, è possibile archiviare file di backup completi su un'estensione e file di backup incrementali su altre estensioni. Per scegliere i tipi di file:

      • Scegliere Customize (Personalizza).

      • Nella finestra di dialogo Backup Placement Settings, scegliete un livello di prestazioni, quindi scegliete Modifica.

      • Scegliete il tipo di file di backup che desiderate archiviare nell'estensione.

  5. Nella fase relativa al livello di capacità della procedura guidata, configura il livello di storage a lungo termine da collegare al repository di backup con scalabilità orizzontale.  

    • Scegli Estendi la capacità del repository di backup con scalabilità orizzontale con lo storage a oggetti. Per l'object storage repository, scegli lo storage Amazon S3 per il livello di capacità che hai aggiunto nell'epic precedente.

    • Scegli Finestra per selezionare una finestra temporale per lo spostamento o la copia dei dati.

    • Scegli Copia i backup nell'archiviazione degli oggetti non appena vengono creati per copiare tutti i file di backup creati di recente o solo quelli creati di recente nella misura della capacità. 

    • Scegli Sposta i backup nello storage a oggetti man mano che invecchiano dalla finestra dei ripristini operativi per trasferire le catene di backup inattive al massimo della capacità. Nel campo Sposta i file di backup più vecchi di X giorni, specifica una durata dopo la quale i file di backup devono essere scaricati. (Per scaricare le catene di backup inattive il giorno in cui sono state create, specifica 0 giorni.) Puoi anche scegliere Override per spostare i file di backup prima se l'archivio di backup con scalabilità orizzontale ha raggiunto una soglia specificata.

    • Scegliete Crittografa i dati caricati nell'object storage e specificate una password per crittografare tutti i dati e i relativi metadati per l'offload. Scegli Aggiungi o gestisci password per specificare una nuova password.

  6. Nella fase Archive Tier della procedura guidata, configura il livello di archiviazione che desideri collegare al repository di backup con scalabilità orizzontale. (Questo passaggio non viene visualizzato se hai saltato l'aggiunta dello storage Amazon S3 Glacier.) 

    • Scegli Archivia i backup completi GFS sullo storage di oggetti. Per il repository di storage di oggetti, scegli lo storage Amazon S3 Glacier che hai aggiunto nell'epopea precedente.

    • Per i backup di Archive GFS più vecchi di N giorni, scegli una finestra temporale per spostare i file nell'estensione di archiviazione. (Per archiviare le catene di backup inattive il giorno in cui sono state create, specifica 0 giorni).

  7. Nella fase di riepilogo della procedura guidata, esaminate la configurazione del repository di backup con scalabilità orizzontale, quindi scegliete Fine.

Proprietario dell'app, amministratore di sistema AWS

Risorse correlate

Informazioni aggiuntive

Le seguenti sezioni forniscono esempi di policy IAM che è possibile utilizzare quando si crea un utente IAM nella sezione Epics di questo modello.

Policy IAM per il livello di capacità

Nota Cambia il nome dei bucket S3 nella policy di esempio dal <yourbucketname> nome del bucket S3 che desideri utilizzare per i backup a livello di capacità di Veeam.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectVersion",
                "s3:ListBucketVersions",
                "s3:ListBucket",
                "s3:PutObjectLegalHold",
                "s3:GetBucketVersioning",
                "s3:GetObjectLegalHold",
                "s3:GetBucketObjectLockConfiguration",
                "s3:PutObject*",
                "s3:GetObject*",
                "s3:GetEncryptionConfiguration",
                "s3:PutObjectRetention",
                "s3:PutBucketObjectLockConfiguration",
                "s3:DeleteObject*",
                "s3:DeleteObjectVersion",
                "s3:GetBucketLocation"

            ],
            "Resource": [
                "arn:aws:s3:::/*",
                "arn:aws:s3:::"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket"
            ],
            "Resource": "*"
        }
    ]
}

Policy IAM per il livello di archiviazione

Nota Cambia il nome dei bucket S3 nella policy di esempio dal <yourbucketname> nome del bucket S3 che desideri utilizzare per i backup a livello di archiviazione Veeam.

Per utilizzare il VPC, la sottorete e i gruppi di sicurezza esistenti:

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
          "s3:DeleteObject",
          "s3:PutObject",
          "s3:GetObject",
          "s3:RestoreObject",
          "s3:ListBucket",
          "s3:AbortMultipartUpload",
          "s3:GetBucketVersioning",
          "s3:ListAllMyBuckets",
          "s3:GetBucketLocation",
          "s3:GetBucketObjectLockConfiguration",
          "s3:PutObjectRetention",
          "s3:GetObjectVersion",
          "s3:PutObjectLegalHold",
          "s3:GetObjectRetention",
          "s3:DeleteObjectVersion",
          "s3:ListBucketVersions",
          "ec2:DescribeInstances",
          "ec2:CreateKeyPair",
          "ec2:DescribeKeyPairs",
          "ec2:RunInstances",
          "ec2:DeleteKeyPair",
          "ec2:DescribeVpcAttribute",
          "ec2:CreateTags",
          "ec2:DescribeSubnets",
          "ec2:TerminateInstances",
          "ec2:DescribeSecurityGroups",
          "ec2:DescribeImages",
          "ec2:DescribeVpcs"
        ],
        "Resource": "*"
      }
    ]
  }

Per creare nuovi VPC, sottorete e gruppi di sicurezza:

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
          "s3:DeleteObject",
          "s3:PutObject",
          "s3:GetObject",
          "s3:RestoreObject",
          "s3:ListBucket",
          "s3:AbortMultipartUpload",
          "s3:GetBucketVersioning",
          "s3:ListAllMyBuckets",
          "s3:GetBucketLocation",
          "s3:GetBucketObjectLockConfiguration",
          "s3:PutObjectRetention",
          "s3:GetObjectVersion",
          "s3:PutObjectLegalHold",
          "s3:GetObjectRetention",
          "s3:DeleteObjectVersion",
          "s3:ListBucketVersions",
          "ec2:DescribeInstances",
          "ec2:CreateKeyPair",
          "ec2:DescribeKeyPairs",
          "ec2:RunInstances",
          "ec2:DeleteKeyPair",
          "ec2:DescribeVpcAttribute",
          "ec2:CreateTags",
          "ec2:DescribeSubnets",
          "ec2:TerminateInstances",
          "ec2:DescribeSecurityGroups",
          "ec2:DescribeImages",
          "ec2:DescribeVpcs",
          "ec2:CreateVpc",
          "ec2:CreateSubnet",
          "ec2:DescribeAvailabilityZones",
          "ec2:CreateRoute",
          "ec2:CreateInternetGateway",
          "ec2:AttachInternetGateway",
          "ec2:ModifyVpcAttribute",
          "ec2:CreateSecurityGroup",
          "ec2:DeleteSecurityGroup",
          "ec2:AuthorizeSecurityGroupIngress",
          "ec2:AuthorizeSecurityGroupEgress",
          "ec2:DescribeRouteTables",
          "ec2:DescribeInstanceTypes"
        ],
        "Resource": "*"
      }
    ]
  }