Controle de acesso - AWS Backup
Recursos e operaçõesPropriedade de recursosEspecificando elementos de política: ações, efeitos e entidades principaisEspecificar condições em uma políticaReferência de permissões da APICopiar permissões de tagsPolíticas de acesso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de acesso

Você pode ter credenciais válidas para autenticar suas solicitações, mas, a menos que tenha as permissões apropriadas, não poderá acessar AWS Backup recursos como cofres de backup. Você também não pode fazer backup de AWS recursos como volumes do Amazon Elastic Block Store (Amazon EBS).

Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões às identidades AWS Identity and Access Management (IAM) (ou seja, usuários, grupos e funções). E alguns serviços também são compatíveis com anexar políticas de permissões aos recursos.

O administrador de uma conta (ou o usuário administrador) é um usuário com permissões de administrador. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados às permissões concedidas e as ações específicas que deseja permitir nesses recursos.

As seções a seguir abordam como políticas de acesso funcionam e como você pode usá-las para proteger seus backups.

Recursos e operações

Um recurso é um objeto que existe dentro de um serviço. AWS Backup os recursos incluem planos de backup, cofres de backup e backups. Backup é um termo geral que se refere aos vários tipos de recursos de backup existentes em AWS. Por exemplo, snapshots do Amazon EBS, snapshots do Amazon Relational Database Service (Amazon RDS) e backups do Amazon DynamoDB são todos os tipos de recursos de backup.

Em AWS Backup, os backups também são chamados de pontos de recuperação. Ao usar AWS Backup, você também trabalha com os recursos de outros AWS serviços que está tentando proteger, como volumes do Amazon EBS ou tabelas do DynamoDB. Esses recursos têm nomes de recursos exclusivos da Amazon (ARNs) associados a eles. ARNs identifique AWS recursos de forma exclusiva. É necessário ter um ARN quando você precisar especificar um recurso sem ambiguidade em toda a AWS como, políticas do IAM ou chamadas de API.

A tabela a seguir lista recursos, sub-recursos e formatos de ARN.

AWS Backup recurso ARNs
Tipo de recurso Formato ARN Exemplo de ID exclusivo
Plano de backup arn:aws:backup:region:account-id:backup-plan:*
Cofre de backup arn:aws:backup:region:account-id:backup-vault:*
Ponto de recuperação para o Amazon EBS arn:aws:ec2:region::snapshot/* snapshot/snap-05f426fd8kdjb4224
Ponto de recuperação para EC2 imagens da Amazon arn:aws:ec2:region::image/ami-* image/ami-1a2b3e4f5e6f7g890
Ponto de recuperação para o Amazon RDS arn:aws:rds:region:account-id:snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Ponto de recuperação para o Aurora arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453
Ponto de recuperação para o Storage Gateway arn:aws:ec2:region::snapshot/* snapshot/snap-0d40e49137e31d9e0
Ponto de recuperação para o DynamoDB sem Backup avançado do DynamoDB arn:aws:dynamodb:region:account-id:table/*/backup/* table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3
Ponto de recuperação para o DynamoDB com Backup avançado do DynamoDB habilitado arn:aws:backup:region:account-id:recovery-point:* 12a34a56-7bb8-901c-cd23-4567d8e9ef01
Ponto de recuperação para o Amazon EFS arn:aws:backup:region:account-id:recovery-point:* d99699e7-e183-477e-bfcd-ccb1c6e5455e
Ponto de recuperação para Amazon FSx arn:aws:fsx:region:account-id:backup/backup-* backup/backup-1a20e49137e31d9e0
Ponto de recuperação para máquina virtual arn:aws:backup:region:account-id:recovery-point:* 1801234a-5b6b-7dc8-8032-836f7ffc623b
Ponto de recuperação para backup contínuo do Amazon S3 arn:aws:backup:region:account-id:recovery-point:* amzn-s3-demo-bucket-5ec207d0
Ponto de recuperação para backup periódico do S3 arn:aws:backup:region:account-id:recovery-point:* amzn-s3-demo-bucket-20211231900000-5ec207d0
Ponto de recuperação para o Amazon DocumentDB arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Ponto de recuperação para o Neptune arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Ponto de recuperação para o Amazon Redshift arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:* awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012
Ponto de recuperação para Amazon Timestream arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012_beta
Ponto de recuperação para AWS CloudFormation modelo arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012
Ponto de recuperação para banco de dados SAP HANA na instância da Amazon EC2 arn:aws:backup:region:account-id:recovery-point:* recovery-point:1a2b3cde-f405-6789-012g-3456hi789012

Todos os recursos que oferecem suporte ao AWS Backup gerenciamento completo têm pontos de recuperação no formatoarn:aws:backup:region:account-id::recovery-point:*, facilitando a aplicação de políticas de permissões para proteger esses pontos de recuperação. Para ver quais recursos oferecem suporte ao AWS Backup gerenciamento completo, consulte essa seção da Disponibilidade de recursos por recurso tabela.

AWS Backup fornece um conjunto de operações para trabalhar com AWS Backup recursos. Para ver uma lista das operações disponíveis, consulte AWS Backup Ações.

Propriedade de recursos

Ele Conta da AWS possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a entidade principal (ou seja, o usuário Conta da AWS raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:

  • Se você usar suas credenciais de usuário Conta da AWS raiz Conta da AWS para criar um cofre de backup, você Conta da AWS é o proprietário do cofre.

  • Se você criar um usuário do IAM em seu Conta da AWS e conceder permissões para criar um cofre de backup para esse usuário, o usuário poderá criar um cofre de backup. No entanto, sua conta da AWS , à qual o usuário pertence, é a proprietária do recurso do cofre de backup.

  • Se você criar uma função do IAM na sua Conta da AWS com permissões para criar um cofre de backup, qualquer pessoa que possa assumir a função poderá criar um cofre. Seu Conta da AWS, ao qual a função pertence, é proprietário do recurso de backup vault.

Especificando elementos de política: ações, efeitos e entidades principais

Para cada AWS Backup recurso (consulteRecursos e operações), o serviço define um conjunto de operações de API (consulteAções). Para conceder permissões para essas operações de API, AWS Backup defina um conjunto de ações que você pode especificar em uma política. A execução de uma operação de API pode exigir permissões para mais de uma ação.

Estes são os elementos de política mais básicos:

  • Recurso: em uma política, você usa um Amazon Resource Name (ARN – Nome do recurso da Amazon) para identificar o recurso a que a política se aplica. Para obter mais informações, consulte Recursos e operações.

  • Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar.

  • Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

  • Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).

Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a Referência da política JSON do IAM no Guia do usuário do IAM.

Para ver uma tabela mostrando todas as ações AWS Backup da API, consultePermissões da API: referência de ações, recursos e condições.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condition no Guia do usuário do IAM.

AWS suporta chaves de condição globais e chaves de condição específicas do serviço. Para ver todas as chaves de condição globais, consulte chaves de contexto de condição globais da AWS no Guia do usuário do IAM.

AWS Backup define seu próprio conjunto de chaves de condição. Para ver uma lista de chaves de AWS Backup condição, consulte Chaves de condição AWS Backup na Referência de autorização de serviço.

Permissões da API: referência de ações, recursos e condições

Ao configurar Controle de acesso e escrever uma política de permissões que você pode anexar a uma identidade do IAM (políticas baseadas em identidade), é possível usar a de tabelas a seguir como referência. A cada operação de AWS Backup API, as ações correspondentes para as quais você pode conceder permissões para realizar a ação e o AWS recurso para o qual você pode conceder as permissões. Você especifica as ações no campo Action da política e o valor do recurso no campo Resource da política. Se o campo Resource estiver em branco, use o caractere curinga (*) para incluir todos os recursos.

Você pode usar chaves AWS de condição abrangentes em suas AWS Backup políticas para expressar condições. Para obter uma lista completa AWS de chaves gerais, consulte Chaves disponíveis no Guia do usuário do IAM.

Use as barras de rolagem para ver o restante da tabela.

1 Usa a política de acesso ao cofre existente.

2 Consulte o AWS Backup recurso ARNs ponto de recuperação específico do recurso. ARNs

3 StartRestoreJob também precisa ter o par de chave-valor nos metadados do recurso. Para obter os metadados do recurso, chame a API GetRecoveryPointRestoreMetadata.

4 Certos tipos de recursos exigem que a função que executa o backup tenha uma permissão backup:TagResource de marcação específica, se você pretende incluir tags de recursos originais em seu backup ou adicionar tags adicionais a um backup. Qualquer backup com um ARN começando com arn:aws:backup:region:account-id:recovery-point: ou um backup contínuo requer essa permissão. A permissão backup:TagResource deve ser aplicada a "resourcetype": "arn:aws:backup:region:account-id:recovery-point:*"

Para obter mais informações, consulte Ações, recursos e chaves de condição do AWS Backup, na Referência de autorização do serviço.

Copiar permissões de tags

Quando AWS Backup executa um trabalho de backup ou cópia, ele tenta copiar as tags do seu recurso de origem (ou ponto de recuperação, no caso de cópia) para o seu ponto de recuperação.

nota

AWS Backup não copia as tags de forma nativa durante os trabalhos de restauração. Para uma arquitetura orientada por eventos que copiará tags durante trabalhos de restauração, consulte Como reter tags de recursos em trabalhos de AWS Backup restauração.

Durante um trabalho de backup ou cópia, AWS Backup agrega as tags que você especifica em seu plano de backup (ou plano de cópia, ou backup sob demanda) com as tags do seu recurso de origem. No entanto, AWS impõe um limite de 50 tags por recurso, que AWS Backup não pode exceder. Quando um trabalho de backup ou de cópia agrega tags do plano e do recurso de origem, ele pode descobrir mais de 50 tags no total. Ele não conseguirá concluir o trabalho e haverá falhar no trabalho. Isso é consistente com as melhores práticas AWS de marcação em todo o mundo.

  • Seu recurso tem mais de 50 tags depois de agregar suas tags de trabalho de backup às tags de recursos de origem. AWS suporta até 50 tags por recurso.

  • A função do IAM que você fornece AWS Backup não tem permissões para ler as tags de origem ou definir as tags de destino. Para obter mais informações e exemplos de políticas de perfil do IAM, consulte Políticas gerenciadas.

Você pode usar seu plano de backup para criar tags que contradizem suas tags do recursos de origem. Quando entram em conflito, as tags do plano de backup têm precedência. Use essa técnica se você preferir não copiar um valor de tag do seu recurso de origem. Especifique a mesma chave de tag, mas com um valor diferente ou vazio, usando o plano de backup.

Permissões necessárias para atribuir tags a backups
Tipo de recurso Permissão obrigatória
Sistema de arquivos do Amazon EFS

elasticfilesystem:DescribeTags
Sistema FSx de arquivos Amazon

fsx:ListTagsForResource
Banco de dados do Amazon RDS e cluster do Amazon Aurora

rds:AddTagsToResource

rds:ListTagsForResource
Volume do Storage Gateway

storagegateway:ListTagsForResource
EC2 Instância da Amazon e volume do Amazon EBS

EC2:CreateTags

EC2:DescribeTags

O DynamoDB não é compatível com a atribuição de tags aos backups, a menos que você habilite Backup avançado do DynamoDB primeiro.

Quando um EC2 backup da Amazon cria um ponto de recuperação de imagem e um conjunto de snapshots, AWS Backup copia as tags para a AMI resultante. AWS Backup também copia as tags dos volumes associados à EC2 instância da Amazon para os snapshots resultantes.

Políticas de acesso

Uma política de permissões descreve quem tem acesso a quê. As políticas anexadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade (políticas do IAM). As políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. AWS Backup suporta políticas baseadas em identidade e políticas baseadas em recursos.

nota

Esta seção discute o uso do IAM no contexto de AWS Backup. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte O que é o IAM? no Manual do usuário do IAM. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a Referência da política JSON do IAM no Manual do usuário do IAM.

Políticas baseadas em identidade (políticas do IAM)

As políticas baseadas em identidade são políticas que podem ser anexadas a identidades do IAM, como usuários ou funções. Por exemplo, você pode definir uma política que permita que um usuário visualize e faça backup de AWS recursos, mas impeça que ele restaure os backups.

Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do usuário do IAM.

Para obter mais informações sobre como usas as políticas do IAM para controlar o acesso a backups, consulte Políticas gerenciadas para AWS Backup.

Políticas baseadas em recursos

AWS Backup oferece suporte a políticas de acesso baseadas em recursos para cofres de backup. Isso permite que você defina uma política de acesso que controle quais usuários têm que tipo de acesso a qualquer um dos backups organizados em um cofre de backup. As políticas de acesso baseadas em recursos para cofres de backup fornecem uma maneira fácil de controlar o acesso aos seus backups.

As políticas de acesso ao Backup Vault controlam o acesso do usuário quando você usa AWS Backup APIs. Alguns tipos de backup, como os snapshots do Amazon Elastic Block Store (Amazon EBS) e do Amazon Relational Database Service (Amazon RDS), também podem ser acessados usando esses serviços. APIs Você pode criar políticas de acesso separadas no IAM que controlam o acesso a elas APIs para controlar totalmente o acesso aos backups.

Para saber como criar uma política de acesso para cofres de backup, consulte Políticas de acesso a cofres.