As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciamento de identidade e acesso em AWS Backup
<a name="backup-iam"></a>

O acesso a AWS Backup requer credenciais. Essas credenciais devem ter permissões para acessar os recursos da AWS , como um banco de dados do Amazon DynamoDB ou um sistema de arquivos do Amazon EFS. Além disso, os pontos de recuperação criados AWS Backup por alguns serviços AWS Backup suportados não podem ser excluídos usando o serviço de origem (como o Amazon EFS). Você pode excluir esses pontos de recuperação usando AWS Backup.

As seções a seguir fornecem detalhes sobre como você pode usar o [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) e como ajudar AWS Backup a proteger o acesso aos seus recursos.

**Atenção**  
AWS Backup usa a mesma função do IAM que você escolheu ao atribuir recursos para gerenciar o ciclo de vida do seu ponto de recuperação. Se você excluir ou modificar essa função, AWS Backup não poderá gerenciar o ciclo de vida do ponto de recuperação. Quando isso ocorrer, ele tentará usar uma função vinculada ao serviço para gerenciar o ciclo de vida. Em uma pequena porcentagem dos casos, isso também pode não funcionar, deixando pontos de recuperação `EXPIRED` em seu armazenamento, o que pode gerar custos indesejados. Para excluir pontos de recuperação `EXPIRED`, exclua-os manualmente usando o procedimento em [Excluir backups](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).

**Topics**
+ [Autenticação](authentication.md)
+ [Controle de acesso](access-control.md)
+ [Perfis de serviço do IAM](iam-service-roles.md)
+ [Políticas gerenciadas para AWS Backup](security-iam-awsmanpol.md)
+ [Usando funções vinculadas a serviços para AWS Backup](using-service-linked-roles.md)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md)

# Autenticação
<a name="authentication"></a>

O acesso AWS Backup ou os AWS serviços dos quais você está fazendo backup exigem credenciais que AWS possam ser usadas para autenticar suas solicitações. Você pode acessar AWS como qualquer um dos seguintes tipos de identidades:
+ **Conta da AWS usuário root** — Ao se inscrever AWS, você fornece um endereço de e-mail e uma senha associados à sua AWS conta. Esse será seu *usuário raiz da Conta da AWS *. Suas credenciais fornecem acesso completo a todos os seus AWS recursos.
**Importante**  
Por motivos de segurança, recomendamos usar o usuário raiz apenas para criar um *administrador*. O administrador é um *usuário do IAM* com permissões totais para sua Conta da AWS. Você então poderá usar esse usuário administrador para criar outros usuários e perfis do IAM com permissões limitadas. Para obter mais informações, consulte [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) e [Criação do seu primeiro usuário administrador e grupo do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) no *Manual do usuário do IAM*.
+ **Usuário do IAM**: um [usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) é uma identidade em sua Conta da AWS com permissões personalizadas específicas (por exemplo, permissões para criar um cofre de backup no qual seus backups serão armazenados). Você pode usar um nome de usuário e uma senha do IAM para entrar em AWS páginas da Web seguras [Console de gerenciamento da AWS](https://console.aws.amazon.com/), como os [Fóruns de AWS discussão](https://forums.aws.amazon.com/) ou o [AWS Support Centro](https://console.aws.amazon.com/support/home#/).

  Além do nome de usuário e senha, você também pode gerar [chaves de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) para cada usuário. Você pode usar essas chaves ao acessar AWS serviços programaticamente, por meio [de uma das várias SDKs ou usando a](https://aws.amazon.com/developer/tools/) ([AWS Command Line Interface CLI AWS](https://aws.amazon.com/cli/)). As ferramentas de SDK e de AWS CLI usam as chaves de acesso para o cadastramento criptográfico da sua solicitação. Se você não utilizar ferramentas da AWS , cadastre a solicitação você mesmo. Para obter mais informações sobre a autenticação de solicitações, consulte [Processo de cadastramento do Signature versão 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) na *Referência geral da AWS*.
+ **Perfil do IAM**: um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma identidade do IAM que você pode criar em sua conta com permissões específicas. É semelhante a um usuário do IAM, mas não está associada a uma pessoa específica. Uma função do IAM permite que você obtenha chaves de acesso temporárias que podem ser usadas para acessar AWS serviços e recursos. Perfis do IAM com credenciais temporárias são úteis nas situações a seguir:
  + Acesso de usuário federado — em vez de criar um usuário do IAM, você pode usar identidades de usuário preexistentes do diretório de Directory Service usuários corporativo ou de um provedor de identidade da web. Eles são conhecidos como *usuários federados*. A AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um [provedor de identidades](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Para obter mais informações sobre usuários federados, consulte [Usuários federados e funções](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) no *Manual do usuário do IAM*.
  + Administração de várias contas — você pode usar uma função do IAM em sua conta para conceder outras Conta da AWS permissões para administrar os recursos da sua conta. Para ver um exemplo, consulte [Tutorial: Delegar acesso ao Contas da AWS uso de funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) no *Guia do usuário do IAM*.
  + AWS acesso ao serviço — Você pode usar uma função do IAM em sua conta para conceder permissões a um AWS serviço para acessar os recursos da sua conta. Para obter mais informações, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.
  + Aplicativos em execução no Amazon Elastic Compute Cloud (Amazon EC2) — Você pode usar uma função do IAM para gerenciar credenciais temporárias para aplicativos executados em uma instância do Amazon EC2 e fazer solicitações de API. AWS É preferível fazer isso a armazenar chaves de acesso na instância do EC2. Para atribuir uma AWS função a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, você cria um perfil de instância anexado à instância. Um perfil de instância contém a função e permite que programas em execução na instância EC2 obtenham credenciais temporárias. Para obter mais informações, consulte [Usar um perfil do IAM para conceder permissões a aplicativos em execução nas instâncias do Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) no *Guia do usuário do IAM*.

    

# Controle de acesso
<a name="access-control"></a>

Você pode ter credenciais válidas para autenticar suas solicitações, mas, a menos que tenha as permissões apropriadas, não poderá acessar AWS Backup recursos como cofres de backup. Você também não pode fazer backup de AWS recursos como volumes do Amazon Elastic Block Store (Amazon EBS).

Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões às identidades AWS Identity and Access Management (IAM) (ou seja, usuários, grupos e funções). E alguns serviços também são compatíveis com anexar políticas de permissões aos recursos. 

O *administrador de uma conta* (ou o usuário administrador) é um usuário com permissões de administrador. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados às permissões concedidas e as ações específicas que deseja permitir nesses recursos.

As seções a seguir abordam como políticas de acesso funcionam e como você pode usá-las para proteger seus backups. 

**Topics**
+ [Recursos e operações](#access-control-resources)
+ [Propriedade de recursos](#access-control-owner)
+ [Especificando elementos de política: ações, efeitos e entidades principais](#access-control-specify-backup-actions)
+ [Especificar condições em uma política](#specifying-conditions)
+ [Permissões da API: referência de ações, recursos e condições](#backup-api-permissions-ref)
+ [Copiar permissões de tags](#copy-tags)
+ [Políticas de acesso](#access-policies)

## Recursos e operações
<a name="access-control-resources"></a>

Um recurso é um objeto que existe dentro de um serviço. AWS Backup os recursos incluem planos de backup, cofres de backup e backups. *Backup* é um termo geral que se refere aos vários tipos de recursos de backup existentes em AWS. Por exemplo, snapshots do Amazon EBS, snapshots do Amazon Relational Database Service (Amazon RDS) e backups do Amazon DynamoDB são todos os tipos de recursos de backup. 

Em AWS Backup, os backups também são chamados de *pontos de recuperação*. Ao usar AWS Backup, você também trabalha com os recursos de outros AWS serviços que está tentando proteger, como volumes do Amazon EBS ou tabelas do DynamoDB. Esses recursos têm nomes de recursos exclusivos da Amazon (ARNs) associados a eles. ARNs identifique AWS recursos de forma exclusiva. É necessário ter um ARN quando você precisar especificar um recurso sem ambiguidade em toda a AWS como, políticas do IAM ou chamadas de API. 

A tabela a seguir lista recursos, sub-recursos e formatos de ARN.


**AWS Backup recurso ARNs**  

| Tipo de atributo | Formato ARN | Exemplo de ID exclusivo | 
| --- | --- | --- | 
| Plano de backup | arn:aws:backup:region:account-id:backup-plan:\$1 |  | 
| Cofre de backup | arn:aws:backup:region:account-id:backup-vault:\$1 |  | 
| Ponto de recuperação para o Amazon EBS | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 | 
| Ponto de recuperação para imagens do Amazon EC2 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 | 
| Ponto de recuperação para o Amazon RDS | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Ponto de recuperação para o Aurora | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 | 
| Ponto de recuperação para o Aurora DSQL | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a | 
| Ponto de recuperação para o Storage Gateway | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 | 
| Ponto de recuperação para o DynamoDB sem [Backup avançado do DynamoDB](advanced-ddb-backup.md) | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 | 
| Ponto de recuperação para o DynamoDB com [Backup avançado do DynamoDB](advanced-ddb-backup.md) habilitado | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 | 
| Ponto de recuperação para o Amazon EFS | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e | 
| Ponto de recuperação para Amazon FSx | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 | 
| Ponto de recuperação para máquina virtual | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b | 
| Ponto de recuperação para backup contínuo do Amazon S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 | 
| Ponto de recuperação para backup periódico do S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 | 
| Ponto de recuperação para o Amazon DocumentDB | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Ponto de recuperação para o Neptune | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Ponto de recuperação para o Amazon Redshift | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Ponto de recuperação para o Amazon Redshift sem servidor | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 | 
| Ponto de recuperação para Amazon Timestream | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta | 
| Ponto de recuperação para AWS CloudFormation modelo | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 
| Ponto de recuperação para o banco de dados SAP HANA na instância do Amazon EC2 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 | 

Todos os recursos que oferecem suporte ao AWS Backup gerenciamento completo têm pontos de recuperação no formato`arn:aws:backup:region:account-id::recovery-point:*`, facilitando a aplicação de políticas de permissões para proteger esses pontos de recuperação. Para ver quais recursos oferecem suporte ao AWS Backup gerenciamento completo, consulte essa seção da [Disponibilidade de recursos por recurso](backup-feature-availability.md#features-by-resource) tabela.

AWS Backup fornece um conjunto de operações para trabalhar com AWS Backup recursos. Para ver uma lista das operações disponíveis, consulte AWS Backup [Ações](API_Operations.md).

## Propriedade de recursos
<a name="access-control-owner"></a>

Ele Conta da AWS possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a [entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (ou seja, o usuário Conta da AWS raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:
+ Se você usar suas credenciais de usuário Conta da AWS raiz Conta da AWS para criar um cofre de backup, você Conta da AWS é o proprietário do cofre.
+ Se você criar um usuário do IAM em seu Conta da AWS e conceder permissões para criar um cofre de backup para esse usuário, o usuário poderá criar um cofre de backup. No entanto, sua conta da AWS , à qual o usuário pertence, é a proprietária do recurso do cofre de backup.
+ Se você criar uma função do IAM na sua Conta da AWS com permissões para criar um cofre de backup, qualquer pessoa que possa assumir a função poderá criar um cofre. Seu Conta da AWS, ao qual a função pertence, é proprietário do recurso de backup vault. 

## Especificando elementos de política: ações, efeitos e entidades principais
<a name="access-control-specify-backup-actions"></a>

Para cada AWS Backup recurso (consulte[Recursos e operações](#access-control-resources)), o serviço define um conjunto de operações de API (consulte[Ações](API_Operations.md)). Para conceder permissões para essas operações de API, AWS Backup defina um conjunto de ações que você pode especificar em uma política. A execução de uma operação de API pode exigir permissões para mais de uma ação.

Estes são os elementos de política mais básicos:
+ Recurso: em uma política, você usa um Amazon Resource Name (ARN – Nome do recurso da Amazon) para identificar o recurso a que a política se aplica. Para obter mais informações, consulte [Recursos e operações](#access-control-resources).
+ Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar.
+ Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
+ Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).

Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a [Referência da política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.

Para ver uma tabela mostrando todas as ações AWS Backup da API, consulte[Permissões da API: referência de ações, recursos e condições](#backup-api-permissions-ref).

## Especificar condições em uma política
<a name="specifying-conditions"></a>

Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*. 

AWS suporta chaves de condição globais e chaves de condição específicas do serviço. Para ver todas as chaves de condição globais, consulte [chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.

AWS Backup define seu próprio conjunto de chaves de condição. Para ver uma lista de chaves de AWS Backup condição, consulte [Chaves de condição AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys) na *Referência de autorização de serviço*.

## Permissões da API: referência de ações, recursos e condições
<a name="backup-api-permissions-ref"></a>

Ao configurar [Controle de acesso](#access-control) e escrever uma política de permissões que você pode anexar a uma identidade do IAM (políticas baseadas em identidade), é possível usar a de tabelas a seguir como referência. A cada operação de AWS Backup API, as ações correspondentes para as quais você pode conceder permissões para realizar a ação e o AWS recurso para o qual você pode conceder as permissões. Você especifica as ações no campo `Action` da política e o valor do recurso no campo `Resource` da política. Se o campo `Resource` estiver em branco, use o caractere curinga (`*`) para incluir todos os recursos.

Você pode usar chaves AWS de condição abrangentes em suas AWS Backup políticas para expressar condições. Para obter uma lista completa AWS de chaves gerais, consulte [Chaves disponíveis](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*. 

Use as barras de rolagem para ver o restante da tabela.


**AWS Backup API e permissões necessárias para ações**  

| AWS Backup Operações de API | Permissões obrigatórias (ações de API) | Recursos | 
| --- | --- | --- | 
|  [CreateBackupPlan](API_CreateBackupPlan.md)  | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupSelection](API_CreateBackupSelection.md)  | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [CreateBackupVault](API_CreateBackupVault.md)  |  `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey`  |  arn:aws:backup:region:account-id:backup-vault:\$1 Para `backup-storage`:\$1 Para o `kms`: `arn:aws:kms:region:account-id:key/keystring` | 
|  [DeleteBackupPlan](API_DeleteBackupPlan.md)  | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupSelection](API_DeleteBackupSelection.md)  | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 | 
|  [DeleteBackupVault](API_DeleteBackupVault.md)  | backup:DeleteBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md)  | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 | 
|  [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md)  |  backup:DeleteBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md)  |  backup:DeleteRecoveryPoint1  | 2 | 
|  [DescribeBackupJob](API_DescribeBackupJob.md)  | backup:DescribeBackupJob |  | 
|  [DescribeBackupVault](API_DescribeBackupVault.md)  |  backup:DescribeBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [DescribeProtectedResource](API_DescribeProtectedResource.md)  | backup:DescribeProtectedResource |  | 
|  [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md)  |  backup:DescribeRecoveryPoint1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [DescribeRestoreJob](API_DescribeRestoreJob.md)  | backup:DescribeRestoreJob |  | 
|  [DescribeRegionSettings](API_DescribeRegionSettings.md)  |  backup:DescribeRegionSettings  |  | 
|  [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md)  | backup:ExportBackupPlanTemplate |  | 
|  [GetBackupPlan](API_GetBackupPlan.md)  | backup:GetBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md)  | backup:GetBackupPlanFromJSON |  | 
|  [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md)  | backup:GetBackupPlanFromTemplate |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupSelection](API_GetBackupSelection.md)  | backup:GetBackupSelection |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md)  |  backup:GetBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md)  |  backup:GetBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md)  |  backup:GetRecoveryPointRestoreMetadata1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md)  | backup:GetSupportedResourceTypes |  | 
|  [ListBackupJobs](API_ListBackupJobs.md)  | backup:ListBackupJobs |  | 
|  [ListBackupPlans](API_ListBackupPlans.md)  | backup:ListBackupPlans |  | 
|  [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md)  | backup:ListBackupPlanTemplates |  | 
|  [ListBackupPlanVersions](API_ListBackupPlanVersions.md)  | backup:ListBackupPlanVersions |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupSelections](API_ListBackupSelections.md)  | backup:ListBackupSelections |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [ListBackupVaults](API_ListBackupVaults.md)  | backup:ListBackupVaults |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListProtectedResources](API_ListProtectedResources.md)  | backup:ListProtectedResources |  | 
|  [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md)  |  backup:ListRecoveryPointsByBackupVault1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md)  | backup:ListRecoveryPointsByResource |  | 
|  [ListRestoreJobs](API_ListRestoreJobs.md)  | backup:ListRestoreJobs |  | 
|  [ListTags](API_ListTags.md)  | backup:ListTags |  | 
|  [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md)  |  backup:PutBackupVaultAccessPolicy1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md)  |  backup:PutBackupVaultLockConfiguration1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md)  |  backup:PutBackupVaultNotifications1  |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartBackupJob](API_StartBackupJob.md)  | backup:StartBackupJob |  arn:aws:backup:region:account-id:backup-vault:\$1  | 
|  [StartRestoreJob](API_StartRestoreJob.md)  | backup:StartRestoreJob |  `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3  | 
|  [StopBackupJob](API_StopBackupJob.md)  | backup:StopBackupJob |  | 
|  [TagResource](API_TagResource.md)  | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 | 
|  [UntagResource](API_UntagResource.md)  | backup:UntagResource |  | 
|  [UpdateBackupPlan](API_UpdateBackupPlan.md)  | backup:UpdateBackupPlan |  arn:aws:backup:region:account-id:backup-plan:\$1  | 
|  [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md)  |  backup:UpdateRecoveryPointLifecycle1  |  arn:aws:backup:region:account-id:backup-vault:\$1 2  | 
|  [UpdateRegionSettings](API_UpdateRegionSettings.md)  |  `backup:UpdateRegionSettings` `backup:DescribeRegionSettings`  |  | 

1 Usa a política de acesso ao cofre existente.

2 Consulte o [AWS Backup recurso ARNs](#resource-arns-table) ponto de recuperação específico do recurso. ARNs

3 `StartRestoreJob` também precisa ter o par de chave-valor nos metadados do recurso. Para obter os metadados do recurso, chame a API `GetRecoveryPointRestoreMetadata`.

Para obter mais informações, consulte [Ações, recursos e chaves de condição do AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html), na *Referência de autorização do serviço*.

## Copiar permissões de tags
<a name="copy-tags"></a>

Quando AWS Backup executa um trabalho de backup ou cópia, ele tenta copiar as tags do seu recurso de origem (ou ponto de recuperação, no caso de cópia) para o seu ponto de recuperação.

**nota**  
AWS Backup **não** copia as tags de forma nativa durante os trabalhos de restauração. Para uma arquitetura orientada por eventos que copiará tags durante trabalhos de restauração, consulte [Como reter tags de recursos em trabalhos de AWS Backup restauração](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/).

Durante um trabalho de backup ou cópia, AWS Backup agrega as tags que você especifica em seu plano de backup (ou plano de cópia, ou backup sob demanda) com as tags do seu recurso de origem. No entanto, AWS impõe um limite de 50 tags por recurso, que AWS Backup não pode exceder. Quando um trabalho de backup ou de cópia agrega tags do plano e do recurso de origem, ele pode descobrir mais de 50 tags no total. Ele não conseguirá concluir o trabalho e haverá falhar no trabalho. Isso é consistente com as melhores práticas AWS de marcação em todo o mundo.
+ Seu recurso tem mais de 50 tags depois de agregar suas tags de trabalho de backup às tags de recursos de origem. AWS suporta até 50 tags por recurso.
+ A função do IAM que você fornece AWS Backup não tem permissões para ler as tags de origem ou definir as tags de destino. Para obter mais informações e exemplos de políticas de perfil do IAM, consulte [Políticas gerenciadas](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies).

É possível usar seu plano de backup (tags adicionadas a pontos de recuperação) para criar tags que contradigam suas tags do recurso de origem. Quando entram em conflito, as tags do plano de backup têm precedência. Use essa técnica se você preferir não copiar um valor de tag do seu recurso de origem. Especifique a mesma chave de tag, mas com um valor diferente ou vazio, usando o plano de backup.


**Permissões necessárias para atribuir tags a backups**  

| Tipo de atributo | Permissão obrigatória | 
| --- | --- | 
| Sistema de arquivos do Amazon EFS | `elasticfilesystem:DescribeTags` | 
| Sistema FSx de arquivos Amazon | `fsx:ListTagsForResource` | 
| Banco de dados do Amazon RDS e cluster do Amazon Aurora |  `rds:AddTagsToResource` `rds:ListTagsForResource`  | 
| Volume do Storage Gateway | `storagegateway:ListTagsForResource` | 
| Instância do Amazon EC2 e volume do Amazon EBS |  `EC2:CreateTags` `EC2:DescribeTags`  | 

O DynamoDB não é compatível com a atribuição de tags aos backups, a menos que você habilite [Backup avançado do DynamoDB](advanced-ddb-backup.md) primeiro.

Quando um backup do Amazon EC2 cria um ponto de recuperação de imagem e um conjunto de snapshots, AWS Backup copia as tags para a AMI resultante. AWS Backup também copia as tags dos volumes associados à instância do Amazon EC2 para os snapshots resultantes.

## Políticas de acesso
<a name="access-policies"></a>

Uma *política de permissões* descreve quem tem acesso a quê. As políticas anexadas a uma identidade do IAM são conhecidas como políticas *baseadas em identidade* (políticas do IAM). As políticas anexadas a um recurso são chamadas de políticas *baseadas em recursos*. AWS Backup suporta políticas baseadas em identidade e políticas baseadas em recursos.

**nota**  
Esta seção discute o uso do IAM no contexto de AWS Backup. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Manual do usuário do IAM*. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência da política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Manual do usuário do IAM*.

### Políticas baseadas em identidade (políticas do IAM)
<a name="identity-based-policies"></a>

As políticas baseadas em identidade são políticas que podem ser anexadas a identidades do IAM, como usuários ou funções. Por exemplo, você pode definir uma política que permita que um usuário visualize e faça backup de AWS recursos, mas impeça que ele restaure os backups.

Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*.

Para obter mais informações sobre como usas as políticas do IAM para controlar o acesso a backups, consulte [Políticas gerenciadas para AWS Backup](security-iam-awsmanpol.md).

### Políticas baseadas em recursos
<a name="resource-based-policies"></a>

AWS Backup oferece suporte a políticas de acesso baseadas em recursos para cofres de backup. Isso permite que você defina uma política de acesso que controle quais usuários têm que tipo de acesso a qualquer um dos backups organizados em um cofre de backup. As políticas de acesso baseadas em recursos para cofres de backup fornecem uma maneira fácil de controlar o acesso aos seus backups. 

As políticas de acesso do Backup Vault controlam o acesso do usuário quando você usa AWS Backup APIs. Alguns tipos de backup, como os snapshots do Amazon Elastic Block Store (Amazon EBS) e do Amazon Relational Database Service (Amazon RDS), também podem ser acessados usando esses serviços. APIs Você pode criar políticas de acesso separadas no IAM que controlam o acesso a elas APIs para controlar totalmente o acesso aos backups.

Para saber como criar uma política de acesso para cofres de backup, consulte [Políticas de acesso a cofres](create-a-vault-access-policy.md).

# Perfis de serviço do IAM
<a name="iam-service-roles"></a>

Uma função AWS Identity and Access Management (IAM) é semelhante à de um usuário, pois é uma AWS identidade com políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Uma função de serviço é uma função que um AWS serviço assume para realizar ações em seu nome. Como um serviço que executa as operações de backup em seu nome, o AWS Backup exige que você atribua uma função a ele ao executar operações de backup em seu nome. Para obter mais informações sobre perfis do IAM, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) no *Guia do usuário do IAM*. 

A função para a qual você passa AWS Backup deve ter uma política do IAM com as permissões que permitem AWS Backup realizar ações associadas às operações de backup, como criar, restaurar ou expirar backups. Permissões diferentes são necessárias para cada um dos AWS serviços que oferecem AWS Backup suporte. A função também deve estar AWS Backup listada como uma entidade confiável, o que AWS Backup permite assumir a função. 

Ao atribuir recursos a um plano de backup ou realizar um backup, cópia ou restauração sob demanda, você deve transmitir uma função de serviço que tenha acesso para realizar as operações subjacentes nos recursos especificados. AWS Backup usa essa função para criar, marcar e excluir recursos em sua conta.

## Usando AWS funções para controlar o acesso aos backups
<a name="using-roles-to-control-access"></a>

Você pode usar funções para controlar o acesso aos seus backups definindo funções com escopo limitado e especificando quem pode transmitir essa função ao AWS Backup. Por exemplo, você pode criar uma função que conceda somente permissões para fazer backup dos bancos de dados do Amazon Relational Database Service (Amazon RDS) e conceda somente aos proprietários do banco de dados do Amazon RDS permissão para transmitir essa função para. AWS Backup AWS Backup fornece várias políticas gerenciadas predefinidas para cada um dos serviços suportados. Essas políticas gerenciadas podem ser anexadas a funções criadas por você. Isso facilita a criação de funções específicas do serviço que tenham as permissões corretas necessárias. AWS Backup 

Para obter mais informações sobre políticas AWS gerenciadas para AWS Backup, consulte[Políticas gerenciadas para AWS Backup](security-iam-awsmanpol.md).

## Função de serviço padrão para AWS Backup
<a name="default-service-roles"></a>

Ao usar o AWS Backup console pela primeira vez, você pode optar por AWS Backup criar uma função de serviço padrão para você. Essa função tem as permissões AWS Backup necessárias para criar e restaurar backups em seu nome.

**nota**  
O perfil padrão é criado automaticamente quando você usa o Console de gerenciamento da AWS. Você pode criar a função padrão usando o AWS Command Line Interface (AWS CLI), mas isso deve ser feito manualmente.

Se preferir usar perfis personalizados, como perfis separados para diferentes tipos de recursos, você também poderá fazer isso e passar os perfis personalizados para o AWS Backup. Para ver exemplos de funções que permitem o backup e a restauração para tipos de recursos individuais, consulte a tabela [Políticas gerenciadas pelo cliente](security-iam-awsmanpol.md#customer-managed-policies).

O nome do perfil de serviço padrão é `AWSBackupDefaultServiceRole`. Essa função de serviço contém duas políticas gerenciadas [AWSBackupServiceRolePolicyForBackup[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)e.

`AWSBackupServiceRolePolicyForBackup`inclui uma política do IAM que concede AWS Backup permissões para descrever o recurso que está sendo copiado, a capacidade de criar, excluir, descrever ou adicionar tags a um backup, independentemente da AWS KMS chave com a qual ele está criptografado. 

`AWSBackupServiceRolePolicyForRestores`inclui uma política do IAM que concede AWS Backup permissões para criar, excluir ou descrever o novo recurso que está sendo criado a partir de um backup, independentemente da AWS KMS chave com a qual ele está criptografado. Ele também inclui permissões para marcar o recurso recém-criado.

Para restaurar uma instância do Amazon EC2, você deve executar uma nova instância. 

## Criar o perfil de serviço padrão no console
<a name="creating-default-service-role-console"></a>

 As ações específicas que você executa no AWS Backup console criam a função de serviço AWS Backup padrão. 

**Para criar a função de serviço AWS Backup padrão em sua AWS conta**

1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Para criar o perfil para sua conta, atribua recursos a um plano de backup ou crie um backup sob demanda.

   1. Crie um plano de backup e atribua recursos ao backup. Consulte [Criar um plano de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html).

   1. Como alternativa, crie um backup sob demanda. Consulte [Criar um backup sob demanda](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html).

1.  Verifique se você criou o `AWSBackupDefaultServiceRole` em sua conta seguindo estas etapas: 

   1. Aguarde alguns instantes. Para obter mais informações, consulte [As alterações que eu faço nem sempre ficam imediatamente visíveis](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency) no *Guia do usuário do AWS Identity and Access Management*.

   1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. No menu de navegação esquerdo, escolha **Perfis**.

   1. Na caixa de pesquisa, digite `AWSBackupDefaultServiceRole`. Se essa seleção existir, você criou a função AWS Backup padrão e concluiu esse procedimento.

   1. Se `AWSBackupDefaultServiceRole` ainda não for exibido, adicione as seguintes permissões ao usuário do IAM ou ao perfil do IAM que você usa para acessar o console.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement":[
          {
            "Effect":"Allow",
            "Action":[
              "iam:CreateRole",
              "iam:AttachRolePolicy",
              "iam:PassRole"
            ],
            "Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
          },
          {
            "Effect":"Allow",
            "Action":[
              "iam:ListRoles"
            ],
            "Resource":"*"
          }
        ]
      }
      ```

------

      Para regiões da China, *aws* substitua por*aws-cn*. Para AWS GovCloud (US) regiões, substitua *aws* por*aws-us-gov*.

   1. Se não puder adicionar permissões ao seu usuário do IAM ou perfil do IAM, peça ao administrador que crie manualmente um perfil com um nome *diferente* de `AWSBackupDefaultServiceRole` e anexe esse perfil a estas políticas gerenciadas:
      + `AWSBackupServiceRolePolicyForBackup`
      + `AWSBackupServiceRolePolicyForRestores`

# Políticas gerenciadas para AWS Backup
<a name="security-iam-awsmanpol"></a>

As políticas gerenciadas são políticas autônomas baseadas em identidade que você pode anexar a vários usuários, grupos e funções em seu. Conta da AWS Ao anexar uma política a uma entidade principal, você atribui à entidade as permissões que estão definidas na política.

*AWS as políticas gerenciadas* são criadas e administradas por AWS. Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada.

*As políticas gerenciadas pelo cliente* oferecem controles refinados para configurar o acesso aos backups. AWS Backup Por exemplo, você pode usá-los para fornecer ao administrador de backup do banco de dados acesso aos backups do Amazon RDS, mas não aos do Amazon EFS.

Para obter mais informações, consulte [Políticas gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) no *Guia do usuário do IAM*.

## AWS políticas gerenciadas
<a name="aws-managed-policies"></a>

AWS Backup fornece as seguintes políticas AWS gerenciadas para casos de uso comuns. Essas políticas facilitam a definição das permissões corretas e o controle de acesso aos seus backups. Existem dois tipos de políticas gerenciadas. Um tipo é projetado para ser atribuído aos usuários a fim de controlar o acesso ao AWS Backup. O outro tipo de política gerenciada foi projetado para ser anexada às funções que você transmitir para o AWS Backup. A tabela a seguir lista todas as políticas gerenciadas que o AWS Backup fornece e descreve como elas são definidas. Você pode encontrar essas políticas gerenciadas na seção **Políticas** do console do IAM.

**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAFANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForBackup do S3](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForRestauração do S3](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)

### AWSBackupAuditAccess
<a name="AWSBackupAuditAccess"></a>

Essa política concede permissões para que os usuários criem controles e estruturas que definam suas expectativas em relação a AWS Backup recursos e atividades e auditem AWS Backup recursos e atividades em relação aos controles e estruturas definidos. Essa política concede permissões AWS Config e serviços similares para descrever as expectativas do usuário e realizar as auditorias.

Essa política também concede permissões para entregar relatórios de auditoria ao Amazon S3 e a serviços similares e permite que os usuários encontrem e abram os relatórios de auditoria.

Para visualizar as permissões para esta política, consulte [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSBackupDataTransferAccess
<a name="AWSBackupDataTransferAccess"></a>

Essa política fornece permissões para a transferência de dados do plano de AWS Backup armazenamento APIs, permitindo que o agente AWS Backint conclua a transferência de dados de backup com o plano AWS Backup de armazenamento. Os usuários podem anexar essa política às funções assumidas pelas instâncias do EC2 que executam o SAP HANA com o agente do Backint.

Para visualizar as permissões para esta política, consulte [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSBackupFullAccess
<a name="AWSBackupFullAccess"></a>

O administrador de backup tem acesso total às AWS Backup operações, incluindo a criação ou edição de planos de backup, a atribuição de AWS recursos aos planos de backup e a restauração de backups. Os administradores de backup são responsáveis por determinar e aplicar a conformidade de backup definindo planos de backup que atendem aos requisitos regulamentares e empresariais da organização. Os administradores de backup também garantem que os AWS recursos de sua organização sejam atribuídos ao plano apropriado.

Para visualizar as permissões para esta política, consulte [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
<a name="AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync"></a>

Esta política fornece permissão ao Backup Gateway para sincronizar os metadados das Máquinas Virtuais em seu nome.

Para visualizar as permissões para esta política, consulte [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSBackupGuardDutyRolePolicyForScans
<a name="AWSBackupGuardDutyRolePolicyForScans"></a>

Essa política deve ser adicionada a uma nova função de escaneamento que conceda à Amazon GuardDuty permissão para ler e escanear seus backups. Você precisará anexar essa função de escaneamento ao seu plano de backup nas configurações de escaneamento ou proteção contra malware. Quando o AWS Backup inicia um escaneamento, ele passa essa função de escaneamento para a Amazon GuardDuty.

Para visualizar as permissões para esta política, consulte [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSBackupOperatorAccess
<a name="AWSBackupOperatorAccess"></a>

Os operadores de backup são usuários que devem assegurar que os recursos aos quais eles são responsáveis são submetidos corretamente ao backup. Os operadores de backup têm permissões para atribuir AWS recursos aos planos de backup criados pelo administrador de backup. Eles também têm permissões para criar backups sob demanda de seus AWS recursos e configurar o período de retenção dos backups sob demanda. Operadores de backup não têm permissões para criar ou editar planos de backup ou excluir os backups programados depois de serem criados. Os operadores de backup podem restaurar backups. Você pode limitar os tipos de recursos que um operador de backup pode atribuir a um plano de backup ou de restauração a partir de um backup. Você faz isso permitindo que somente determinadas funções de serviço sejam passadas para AWS Backup quem tenha permissões para um determinado tipo de recurso.

Para visualizar as permissões para esta política, consulte [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSBackupOrganizationAdminAccess
<a name="AWSBackupOrganizationAdminAccess"></a>

O administrador da organização tem acesso total às AWS Organizations operações, incluindo criação, edição ou exclusão de políticas de backup, atribuição de políticas de backup a contas e unidades organizacionais e monitoramento de atividades de backup dentro da organização. Os administradores da organização são responsáveis por proteger as contas na organização, definindo e atribuindo políticas de backup que atendam aos requisitos normativos e comerciais de sua organização.

Para visualizar as permissões para esta política, consulte [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSBackupRestoreAccessForSAFANA
<a name="AWSBackupRestoreAccessForSAPHANA"></a>

Essa política fornece AWS Backup permissão para restaurar um backup do SAP HANA no Amazon EC2.

Para ver as permissões dessa política, consulte [AWSBackupRestoreAccessForSAPHANA na Referência](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html) de *política AWS gerenciada*.

### AWSBackupSearchOperatorAccess
<a name="AWSBackupSearchOperatorAccess"></a>

O perfil do operador de pesquisa tem acesso para criar índices de backup e criar pesquisas de metadados de backup indexados.

Essa política contém as permissões necessárias para essas funções.

Para visualizar as permissões para esta política, consulte [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSBackupServiceLinkedRolePolicyForBackup
<a name="AWSBackupServiceLinkedRolePolicyForBackup"></a>

Essa política está anexada à função vinculada ao serviço chamada AWSServiceRoleforBackup para permitir AWS Backup a chamada de AWS serviços em seu nome para gerenciar seus backups. Para obter mais informações, consulte [Uso de funções para fazer backup e copiar](using-service-linked-roles-AWSServiceRoleForBackup.md).

Para ver as permissões dessa política, consulte [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)na *Referência de política AWS gerenciada*.

### AWSBackupServiceLinkedRolePolicyForBackupTest
<a name="AWSBackupServiceLinkedRolePolicyForBackupTest"></a>

Para visualizar as permissões para esta política, consulte [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSBackupServiceRolePolicyForBackup
<a name="AWSBackupServiceRolePolicyForBackup"></a>

Fornece AWS Backup permissões para criar backups de todos os tipos de recursos compatíveis em seu nome.

Para visualizar as permissões para esta política, consulte [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSBackupServiceRolePolicyForItemRestores
<a name="AWSBackupServiceRolePolicyForItemRestores"></a>

**Descrição**

Essa política concede aos usuários permissões para restaurar arquivos e itens individuais em um snapshot (ponto de recuperação de backup periódico) para um bucket do Amazon S3 novo ou existente ou para um novo volume do Amazon EBS. Essas permissões incluem: permissões de leitura no Amazon EBS para snapshots gerenciadas pelo AWS Backup , permissões de leitura/gravação para buckets do Amazon S3 e permissões de geração e descrição de chaves do AWS KMS .

**Usando esta política**

Você pode vincular a `AWSBackupServiceRolePolicyForItemRestores` aos seus usuários, grupos e perfis.

**Detalhes desta política**
+ **Tipo:** política AWS gerenciada
+ **Hora da criação**: 21 de novembro de 2024 22:45 UTC
+ **Hora de edição:** primeira instância
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`

**Versão da política:** v1 (padrão)

A versão define as permissões da política. Quando o usuário ou a função com a política faz uma solicitação para acessar um AWS recurso, AWS verifica a versão padrão da política para determinar se a solicitação deve ser permitida ou não.

**Documento de política JSON:**

#### AWSBackupServiceRolePolicyForItemRestores JSON
<a name="AWSBackupServiceRolePolicyForItemRestoresJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "S3ReadonlyPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Sid": "S3PermissionsForFileLevelRestore",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": "arn:aws:s3:::*/*"
        },
        {
            "Sid": "KMSDataKeyForS3AndEC2Permissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com",
                        "s3.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForIndexing
<a name="AWSBackupServiceRolePolicyForIndexing"></a>

**Descrição**

Essa política concede aos usuários permissões para indexar snapshots, também conhecidos como pontos de recuperação periódicos. Essas permissões incluem: permissões de leitura no Amazon EBS para snapshots gerenciados por permissões de AWS Backup leitura/gravação em buckets do Amazon S3 e geração e descrição de permissões para chaves. AWS KMS 

**Usando esta política**

Você pode vincular a `AWSBackupServiceRolePolicyForIndexing` aos seus usuários, grupos e perfis.

**Detalhes desta política**
+ **Tipo:** política AWS gerenciada
+ **Hora de edição:** primeira instância
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`

**Versão da política:** v1 (padrão)

A versão define as permissões da política. Quando o usuário ou a função da política faz uma solicitação para acessar um AWS recurso, AWS verifica a versão padrão da política para determinar se a solicitação deve ser permitida ou não.

**Documento de política JSON:**

#### AWSBackupServiceRolePolicyForIndexing JSON
<a name="AWSBackupServiceRolePolicyForIndexingJSON"></a>

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EBSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSnapshots"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSReadOnlyPermissions",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "EBSDirectReadAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:ListSnapshotBlocks",
                "ebs:GetSnapshotBlock"
            ],
            "Resource": "arn:aws:ec2:*::snapshot/*"
        },
        {
            "Sid": "KMSDataKeyForEC2Permissions",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "ec2.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### AWSBackupServiceRolePolicyForRestores
<a name="AWSBackupServiceRolePolicyForRestores"></a>

Fornece AWS Backup permissões para restaurar backups de todos os tipos de recursos compatíveis em seu nome.

Para visualizar as permissões para esta política, consulte [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) na *Referência de políticas gerenciadas pela AWS *.

Para restaurações de instâncias do EC2, inclua também as seguintes permissões para executar a instância do EC2:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowPassRole",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/role-name",
      "Effect": "Allow"
    }
  ]
}
```

------

### AWSBackupServiceRolePolicyForBackup do S3
<a name="AWSBackupServiceRolePolicyForS3Backup"></a>

Essa política contém as permissões necessárias para AWS Backup fazer backup de qualquer bucket do S3. Isso inclui acesso a todos os objetos em um bucket e a qualquer AWS KMS chave associada.

Para ver as permissões para essa política, consulte [AWSBackupServiceRolePolicyForS3Backup na Referência](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) de *Política AWS Gerenciada*.

### AWSBackupServiceRolePolicyForRestauração do S3
<a name="AWSBackupServiceRolePolicyForS3Restore"></a>

Essa política contém as permissões necessárias AWS Backup para restaurar um backup do S3 em um bucket. Isso inclui permissões de leitura e gravação nos buckets e o uso de qualquer AWS KMS chave em relação às operações do S3.

Para ver as permissões dessa política, consulte [AWSBackupServiceRolePolicyForS3Restore na Referência](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) de *Política AWS Gerenciada*.

### AWSBackupServiceRolePolicyForScans
<a name="AWSBackupServiceRolePolicyForScans"></a>

A política deve ser anexada à função do IAM que você usa na seleção de recursos do seu plano de backup. Essa função concede ao AWS Backup permissão para iniciar escaneamentos na Amazon. GuardDuty 

Para visualizar as permissões para esta política, consulte [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSServiceRolePolicyForBackupReports
<a name="AWSServiceRolePolicyForBackupReports"></a>

AWS Backup usa essa política para a função [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html)vinculada ao serviço. Essa função vinculada ao serviço fornece AWS Backup permissões para monitorar e relatar a conformidade de suas configurações, tarefas e recursos de backup com suas estruturas.

Para visualizar as permissões para esta política, consulte [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) na *Referência de políticas gerenciadas pela AWS *.

### AWSServiceRolePolicyForBackupRestoreTesting
<a name="AWSServiceRolePolicyForBackupRestoreTesting"></a>

Para visualizar as permissões para esta política, consulte [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) na *Referência de políticas gerenciadas pela AWS *.

## Políticas gerenciadas pelo cliente
<a name="customer-managed-policies"></a>

As seções a seguir descrevem as permissões recomendadas de backup e restauração para os AWS serviços e aplicativos de terceiros suportados pelo AWS Backup. Você pode usar as políticas AWS gerenciadas existentes como modelo ao criar seus próprios documentos de política e depois personalizá-los para restringir ainda mais o acesso aos seus AWS recursos.

**Importante**  
Ao usar funções personalizadas do IAM para AWS Backup, você deve incluir permissões específicas do recurso, além das permissões. AWS Backup Por exemplo, ao chamar `backup:ListTags` em um recurso do Amazon RDS, o perfil do IAM personalizado também deve incluir a permissão `rds:ListTagsForResource`. Embora essas permissões estejam incluídas na função de AWS Backup serviço padrão, elas devem ser adicionadas explicitamente às políticas gerenciadas pelo cliente. As permissões de recursos subjacentes necessárias dependem do AWS serviço e da operação específicos que estão sendo executados.

### Amazon Aurora
<a name="aurora-customer-managed-policies"></a>

**Backup**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restaurar**  
Comece com a `RDSPermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon Aurora DSQL
<a name="aurora-dsql-customer-managed-policies"></a>

**Backup**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restaurar**  
Comece com a `DSQLRestorePermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon DynamoDB
<a name="ddb-customer-managed-policies"></a>

**Backup**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`

**Restaurar**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`

### Amazon EBS
<a name="ebs-customer-managed-policies"></a>

**Backup**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restaurar**  
Comece com a `EBSPermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

Adicione a instrução a seguir.

```
{
      "Effect":"Allow",
      "Action": [
        "ec2:DescribeSnapshots",
        "ec2:DescribeVolumes"
      ],
      "Resource":"*"
},
```

### Amazon EC2
<a name="ec2-customer-managed-policies"></a>

**Backup**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restaurar**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`

Adicione a instrução a seguir.

```
{
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::account-id:role/role-name"
},
```

*role-name*Substitua pelo nome da função do perfil da instância do EC2 que será anexada à instância do EC2 restaurada. Essa não é a função AWS Backup de serviço, mas sim a função do IAM que fornece permissões para aplicativos em execução na instância do EC2.

### Amazon EFS
<a name="efs-customer-managed-policies"></a>

**Backup**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

**Restaurar**  
Comece com a `EFSPermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon FSx
<a name="fsx-customer-managed-policies"></a>

**Backup**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`

**Restaurar**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`

### Amazon Neptune
<a name="neptune-customer-managed-policies"></a>

**Backup**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restaurar**  
Comece com a `RDSPermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon RDS
<a name="rds-customer-managed-policies"></a>

**Backup**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`

**Restaurar**  
Comece com a `RDSPermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Amazon S3
<a name="s3-customer-managed-policies"></a>

**Backup**  
Comece com o [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html).

Adicione as `BackupVaultPermissions` e `BackupVaultCopyPermissions` se precisar copiar os backups para uma conta diferente.

**Restaurar**  
Comece com o [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html).

### AWS Storage Gateway
<a name="storage-gateway-customer-managed-policies"></a>

**Backup**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`

Adicione a instrução a seguir.

```
{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSnapshots"
      ],
      "Resource":"*"
},
```

**Restaurar**

Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`

### Máquina virtual
<a name="vm-customer-managed-policies"></a>

**Backup**  
Comece com a `BackupGatewayBackupPermissions` declaração de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html).

**Restaurar**  
Comece com a `GatewayRestorePermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).

### Backup criptografado
<a name="customer-managed-policies-encrypted-backup"></a>

**Para restaurar um backup criptografado, execute uma das seguintes ações:**
+ Adicione sua função à lista de permissões da política AWS KMS principal
+ Adicione as seguintes declarações de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)à sua função do IAM para restaurações:
  + `KMSDescribePermissions`
  + `KMSPermissions`
  + `KMSCreateGrantPermissions`

## Atualizações de políticas para AWS Backup
<a name="policy-updates"></a>

Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS Backup desde que esse serviço começou a rastrear essas alterações.


| Alteração | Descrição | Data | 
| --- | --- | --- | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting): atualizar para uma política existente |  AWS Backup adicionou a seguinte permissão a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem que o teste de AWS Backup restauração exclua os bancos de dados de locatários do RDS após a conclusão do teste de restauração.  | 18 de março de 2026 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup iniciar escaneamentos de malware em seus pontos de recuperação.  | 23 de fevereiro de 2026 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – Nova política |  AWS Backup adicionou uma nova política AWS gerenciada que fornece GuardDuty permissão à Amazon para ler e escanear backups de clientes. AWS Backup passa uma função com essa política para GuardDuty quando as operações `StartMalwareScan` são iniciadas. Isso é necessário para fornecer todas as permissões necessárias para escaneamentos de malware nos pontos de recuperação dos recursos do Amazon EC2, Amazon EBS e Amazon S3. Para obter mais informações, consulte a política gerenciada [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans).  | 19 de novembro de 2025 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – Nova política |  AWS Backup adicionou uma nova política AWS gerenciada que fornece AWS Backup permissão para iniciar escaneamentos de malware em seus pontos de recuperação. Isso é necessário para fornecer todas as permissões necessárias para escaneamentos de malware nos pontos de recuperação dos recursos do Amazon EC2, Amazon EBS e Amazon S3. Para obter mais informações, consulte a política gerenciada [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans).  | 19 de novembro de 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente |  Adicionado `malware-protection.guardduty.amazonaws.com` a`IamPassRolePermissions`, o que é necessário para iniciar trabalhos de verificação de malware.   | 19 de novembro de 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para iniciar trabalhos de verificação de malware.  | 19 de novembro de 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup fazer backup e restaurar clusters do Amazon EKS.  | 10 de novembro de 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup fazer backup e restaurar clusters do Amazon EKS.  | 10 de novembro de 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup criar backups dos clusters do Amazon EKS e seus recursos associados em nome dos clientes.  | 10 de novembro de 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup criar backups dos clusters do Amazon EKS e seus recursos associados em nome dos clientes.  | 10 de novembro de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup realizar operações de restauração para clusters do Amazon EKS e seus recursos associados em nome dos clientes.  | 10 de novembro de 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente |  AWS Backup adicionou a seguinte permissão a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essa permissão permite AWS Backup sincronizar as informações do administrador delegado com o Organizations para recursos de gerenciamento de várias contas.  | 9 de setembro de 2025 | 
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – Nova política |  AWS Backup adicionou uma nova política AWS gerenciada que fornece GuardDuty permissão à Amazon para ler e escanear backups de clientes. AWS Backup passa uma função com essa política para GuardDuty quando as operações `StartMalwareScan` são iniciadas. Isso é necessário para fornecer todas as permissões necessárias para escaneamentos de malware nos pontos de recuperação dos recursos do Amazon EC2, Amazon EBS e Amazon S3. Para obter mais informações, consulte a política gerenciada [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans).  | 24 de novembro de 2025 | 
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – Nova política |  AWS Backup adicionou uma nova política AWS gerenciada que fornece AWS Backup permissão para iniciar escaneamentos de malware em seus pontos de recuperação. Isso é necessário para fornecer todas as permissões necessárias para escaneamentos de malware nos pontos de recuperação dos recursos do Amazon EC2, Amazon EBS e Amazon S3. Para obter mais informações, consulte a política gerenciada [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans).  | 24 de novembro de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias AWS Backup para realizar operações orquestradas de restauração multirregional para recursos do DSQL em nome dos clientes.  | 17 de julho de 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para a AWS Backup integração AWS Gerenciamento de contas e AWS Organizations , portanto, os clientes têm a opção de aprovação multipartidária (MPA) como parte de seus cofres logicamente fechados.  | 17 de junho de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— Atualização de uma política existente: |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para permitir que os clientes restaurem instantâneos da zona de multidisponibilidade (Multi-AZ) do Amazon FSx for OpenZFS por meio de. AWS Backup  | 27 de maio de 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup fazer backup e restaurar recursos do Amazon Aurora DSQL.  | 21 de maio de 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup fazer backup e restaurar recursos do Amazon Aurora DSQL.  | 21 de maio de 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup criar, excluir, recuperar e gerenciar snapshots do Amazon Aurora DSQL em nome dos clientes.  | 21 de maio de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup criar, excluir, recuperar, criptografar, descriptografar e gerenciar snapshots do Amazon Aurora DSQL em nome dos clientes.  | 21 de maio de 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup gerenciar backups do Aurora DSQL em intervalos especificados pelo cliente.  | 21 de maio de 2025 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para que os clientes designados tenham acesso total aos backups do Amazon Redshift sem servidor, incluindo as permissões de leitura necessárias, bem como a capacidade de excluir pontos de recuperação do Amazon Redshift sem servidor (backups de snapshots).   | 31 de março de 2025 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para que os clientes designados tenham todas as permissões de backup necessárias para o Amazon Redshift sem servidor, incluindo as permissões de leitura necessárias.  | 31 de março de 2025 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias AWS Backup para gerenciar snapshots sem servidor do Amazon Redshift em intervalos especificados pelo cliente.  | 31 de março de 2025 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias AWS Backup para permitir criar, excluir, recuperar e gerenciar snapshots do Amazon Redshift Serverless em nome dos clientes.  | 31 de março de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente |  AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para permitir AWS Backup a restauração de snapshots do Amazon Redshift e do Amazon Redshift Serverless em nome do cliente.  | 31 de março de 2025 | 
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— Foi adicionada uma nova política AWS gerenciada | AWS Backup adicionou a política AWSBackupSearchOperatorAccess AWS gerenciada. | 27 de fevereiro de 2025 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente  |  AWS Backup adicionou a permissão `rds:AddTagsToResource` para oferecer suporte à cópia instantânea multilocatária de backups entre contas do Amazon RDS. Essa permissão é necessária para concluir as operações quando um cliente opta por criar uma cópia entre contas de um snapshot do RDS multilocatário.  | 8 de janeiro de 2025 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente |  AWS Backup adicionou as permissões `rds:CreateTenantDatabase` e `rds:DeleteTenantDatabase` a esta política para apoiar o processo de restauração dos recursos do Amazon RDS. Essas permissões são necessárias para concluir as operações do cliente para restaurar snapshots multilocatários.  | 8 de janeiro de 2025 | 
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— Foi adicionada uma nova política AWS gerenciada | AWS Backup adicionou a política AWSBackupServiceRolePolicyForItemRestores AWS gerenciada. | 26 de novembro de 2024 | 
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— Foi adicionada uma nova política AWS gerenciada | AWS Backup adicionou a política AWSBackupServiceRolePolicyForIndexing AWS gerenciada. | 26 de novembro de 2024 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente |  AWS Backup adicionou permissão `backup:TagResource` a esta política. A permissão é necessária para obter permissões de marcação durante a criação de um ponto de recuperação.  | 17 de maio de 2024 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Atualização de uma política existente  |  AWS Backup adicionou permissão `backup:TagResource` a esta política. A permissão é necessária para obter permissões de marcação durante a criação de um ponto de recuperação.  | 17 de maio de 2024 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente  |  AWS Backup adicionou permissão `backup:TagResource` a esta política. A permissão é necessária para obter permissões de marcação durante a criação de um ponto de recuperação.  | 17 de maio de 2024 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Permissão `rds:DeleteDBInstanceAutomatedBackups` adicionada.  Essa permissão é necessária para oferecer suporte AWS Backup ao backup contínuo e às instâncias point-in-time-restore do Amazon RDS.  | 1º de maio de 2024 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | AWS Backup atualizou o Amazon Resource Name (ARN) com permissão `storagegateway:ListVolumes` de `arn:aws:storagegateway:*:*:gateway/*` para para acomodar uma alteração `*` no modelo da API do Storage Gateway. | 1º de maio de 2024 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | AWS Backup atualizou o Amazon Resource Name (ARN) com permissão `storagegateway:ListVolumes` de `arn:aws:storagegateway:*:*:gateway/*` para para acomodar uma alteração `*` no modelo da API do Storage Gateway. | 1º de maio de 2024 | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – atualização para uma política existente |  Foram adicionadas as seguintes permissões para descrever e listar pontos de recuperação e recursos protegidos para realizar planos de teste de restauração: `backup:DescribeRecoveryPoint`, `backup:DescribeProtectedResource`, `backup:ListProtectedResources` e `backup:ListRecoveryPointsByResource`. Foi adicionada a permissão `ec2:DescribeSnapshotTierStatus` para oferecer suporte ao armazenamento em nível de arquivamento do Amazon EBS. Foi adicionada a permissão `rds:DescribeDBClusterAutomatedBackups` para oferecer suporte aos backups contínuos do Amazon Aurora. Foram adicionadas as seguintes permissões para apoiar o teste de restauração dos backups do Amazon Redshift: `redshift:DescribeClusters` e `redshift:DeleteCluster`. Foi adicionada a permissão `timestream:DeleteTable` para oferecer suporte ao teste de restauração dos backups do Amazon Timestream.  | 14 de fevereiro de 2024 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente  |  Foram adicionadas as permissões `ec2:DescribeSnapshotTierStatus` e `ec2:RestoreSnapshotTier`. Essas permissões são necessárias para que os usuários tenham a opção de restaurar os recursos do Amazon EBS armazenados a AWS Backup partir do armazenamento de arquivos. Para restaurações de instâncias do EC2, inclua também as permissões mostradas na seguinte declaração de política para inicializar a instância do EC2:  | 27 de novembro de 2023 | 
|  [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente  |  Foram adicionadas as permissões `ec2:DescribeSnapshotTierStatus` e `ec2:ModifySnapshotTier` para oferecer suporte a uma opção de armazenamento adicional para que os recursos em backup do Amazon EBS sejam transferidos para o nível de armazenamento de arquivos. Essas permissões são necessárias para que os usuários tenham a opção de fazer a transição dos recursos do Amazon EBS armazenados AWS Backup para o armazenamento de arquivos.  | 27 de novembro de 2023 | 
|  [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente  |  Foram adicionadas as permissões `ec2:DescribeSnapshotTierStatus` e `ec2:ModifySnapshotTier` para oferecer suporte a uma opção de armazenamento adicional para que os recursos em backup do Amazon EBS sejam transferidos para o nível de armazenamento de arquivos. Essas permissões são necessárias para que os usuários tenham a opção de fazer a transição dos recursos do Amazon EBS armazenados AWS Backup para o armazenamento de arquivos. Foram adicionadas as permissões `rds:DescribeDBClusterSnapshots` e`rds:RestoreDBClusterToPointInTime`, o que é necessário para PITR (point-in-time restaurações) dos clusters do Aurora.  | 
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – Nova política |  Fornece as permissões necessárias para realizar teste de restauração. As permissões incluem as ações `list, read, and write` dos seguintes serviços a serem incluídos nos testes de restauração: Aurora, DocumentDB, DynamoDB, Amazon EBS, Amazon EC2, Amazon FSx EFS, for Lustre, para Windows File Server, para ONTAP, FSx FSx para OpenZFS, Amazon Neptune FSx , Amazon RDS e Amazon S3.  | 27 de novembro de 2023 | 
|  [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente  |  `restore-testing.backup.amazonaws.com` adicionado a `IamPassRolePermissions` e `IamCreateServiceLinkedRolePermissions`. Essa adição é necessária AWS Backup para realizar testes de restauração em nome dos clientes.   | 27 de novembro de 2023 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as permissões `rds:DescribeDBClusterSnapshots` e`rds:RestoreDBClusterToPointInTime`, o que é necessário para PITR (point-in-time restaurações) dos clusters do Aurora. | 6 de setembro de 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foi adicionada a permissão`rds:DescribeDBClusterAutomatedBackups`, que é necessária para backup e point-in-time restauração contínuos dos clusters Aurora. | 6 de setembro de 2023 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foi adicionada a permissão`rds:DescribeDBClusterAutomatedBackups`, que é necessária para backup e point-in-time restauração contínuos dos clusters Aurora. | 6 de setembro de 2023 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente |  Permissão `rds:DescribeDBClusterAutomatedBackups` adicionada. Essa permissão é necessária para AWS Backup oferecer suporte ao backup e point-in-time restauração contínuos dos clusters Aurora. Foi adicionada a permissão `rds:DeleteDBClusterAutomatedBackups` para permitir que o AWS Backup ciclo de vida exclua e desassocie os pontos de recuperação contínua do Amazon Aurora quando o período de retenção termina. Essa permissão é necessária para que o ponto de recuperação do Aurora evite a transição para um estado `EXIPIRED`. Foi adicionada a permissão `rds:ModifyDBCluster` que permite que o AWS Backup interaja com clusters do Aurora. Essa adição permite que os usuários habilitem ou desabilitem backups contínuos com base nas configurações desejadas.  | 6 de setembro de 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente |  Foi adicionada a ação `ram:GetResourceShareAssociations` para conceder permissão ao usuário para obter associações de compartilhamento de recursos para o novo tipo de cofre.  | 8 de agosto de 2023 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente |  Foi adicionada a ação `ram:GetResourceShareAssociations` para conceder permissão ao usuário para obter associações de compartilhamento de recursos para o novo tipo de cofre.  | 8 de agosto de 2023 | 
|  [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Atualização de uma política existente  |  Foi adicionada a permissão `s3:PutInventoryConfiguration` para melhorar as velocidades de desempenho de backup usando um inventário de buckets.  | 1º de agosto de 2023 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente  |  Foram adicionadas as seguintes ações para conceder ao usuário permissões para adicionar tags para restaurar recursos: `storagegateway:AddTagsToResource`, `elasticfilesystem:TagResource`, `ec2:CreateTags` para somente `ec2:CreateAction` que inclui `RunInstances` ou `CreateVolume`, `fsx:TagResource` e `cloudformation:TagResource`.  | 22 de maio de 2023 | 
|  [AWSBackupAuditAccess](#AWSBackupAuditAccess) – atualização para uma política existente  |  A seleção de recursos na API `config:DescribeComplianceByConfigRule` foi substituída por um recurso curinga para facilitar a seleção de recursos por um usuário.  | 11 de abril de 2023 | 
|  [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente  |  Foi adicionada a seguinte permissão para restaurar o Amazon EFS usando uma chave gerenciada pelo cliente: `kms:GenerateDataKeyWithoutPlaintext`. Isso ajuda a garantir que os usuários tenham as permissões necessárias para restaurar os recursos do Amazon EFS.  | 27 de março de 2023 | 
|  [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – atualização para uma política existente  |  As `config:DescribeConfigRuleEvaluationStatus` ações `config:DescribeConfigRules` e foram atualizadas para permitir que o AWS Backup Audit Manager acesse as regras gerenciadas pelo AWS Backup Audit Manager AWS Config .  | 9 de março de 2023 | 
|  [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) — Atualização de uma política existente  |  Foram adicionadas as seguintes permissões: `kms:Decrypt`, `s3:PutBucketOwnershipControls` e `s3:GetBucketOwnershipControls` à política `AWSBackupServiceRolePolicyForS3Restore`. Essas permissões são necessárias para compatibilidade com restaurações de objetos quando a criptografia do KMS é usada no backup original e para restaurar objetos quando a propriedade do objeto é configurada no bucket original em vez da ACL.  | 13 de fevereiro de 2023 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para agendar backups usando VMware tags de máquinas virtuais e para oferecer suporte à limitação de largura de banda baseada em agendamento:`backup-gateway:GetHypervisorPropertyMappings`,,,`backup-gateway:GetVirtualMachine`,`backup-gateway:PutHypervisorPropertyMappings`, e. `backup-gateway:GetHypervisor` `backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule`  | 15 de dezembro de 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para agendar backups usando VMware tags de máquinas virtuais e para oferecer suporte à limitação de largura de banda baseada em agendamento:`backup-gateway:GetHypervisorPropertyMappings`,, e. `backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule`  | 15 de dezembro de 2022 | 
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync) – Nova política |  Fornece permissões para o AWS Backup Gateway sincronizar os metadados de máquinas virtuais em redes locais com o Backup Gateway.  | 15 de dezembro de 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos trabalhos de backup do Timestream: `timestream:StartAwsBackupJob`, `timestream:GetAwsBackupStatus`, `timestream:ListTables`, `timestream:ListDatabases`, `timestream:ListTagsForResource`, `timestream:DescribeTable`, `timestream:DescribeDatabase` e `timestream:DescribeEndpoints`.  | 13 de dezembro de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos trabalhos de restauração do Timestream: `timestream:StartAwsRestoreJob`, `timestream:GetAwsRestoreStatus`, `timestream:ListTables`, `timestream:ListTagsForResource`, `timestream:ListDatabases`, `timestream:DescribeTable`, `timestream:DescribeDatabase`, `s3:GetBucketAcl` e `timestream:DescribeEndpoints`.  | 13 de dezembro de 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos recursos do Timestream: `timestream:ListTables`, `timestream:ListDatabases`, `s3:ListAllMyBuckets` e `timestream:DescribeEndpoints`.  | 13 de dezembro de 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos recursos do Timestream:`timestream:ListDatabases`, `timestream:ListTables`, `s3:ListAllMyBuckets` e `timestream:DescribeEndpoints`.  | 13 de dezembro de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos recursos do Timestream: `timestream:ListDatabases`, `timestream:ListTables`, `timestream:ListTagsForResource`, `timestream:DescribeDatabase`, `timestream:DescribeTable`, `timestream:GetAwsBackupStatus`, `timestream:GetAwsRestoreStatus` e `timestream:DescribeEndpoints`.  | 13 de dezembro de 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos recursos do Amazon Redshift: `redshift:DescribeClusters`, `redshift:DescribeClusterSubnetGroups`, `redshift:DescribeNodeConfigurationOptions`, `redshift:DescribeOrderableClusterOptions`, `redshift:DescribeClusterParameterGroups`, `redshift:DescribeClusterTracks`, `redshift:DescribeSnapshotSchedules` e `ec2:DescribeAddresses`.  | 27 de novembro de 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos recursos do Amazon Redshift: `redshift:DescribeClusters`, `redshift:DescribeClusterSubnetGroups`, `redshift:DescribeNodeConfigurationOptions`, `redshift:DescribeOrderableClusterOptions`, `redshift:DescribeClusterParameterGroups,`, `redshift:DescribeClusterTracks`. `redshift:DescribeSnapshotSchedules` e `ec2:DescribeAddresses`.  | 27 de novembro de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente |  Foram adicionadas as seguintes permissões para dar suporte aos trabalhos de restauração do Amazon Redshift: `redshift:RestoreFromCluster Snapshot`, `redshift:RestoreTableFromClusterSnapshot`, `redshift:DescribeClusters` e `redshift:DescribeTableRestoreStatus`.  | 27 de novembro de 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente |  Foram adicionadas as seguintes permissões para oferecer suporte aos trabalhos de backup do Amazon Redshift: `redshift:CreateClusterSnapshot`, `redshift:DescribeClusterSnapshots`, `redshift:DescribeTags`, `redshift:DeleteClusterSnapshot`, `redshift:DescribeClusters` e `redshift:CreateTags`.  | 27 de novembro de 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foi adicionada a seguinte permissão para oferecer suporte aos CloudFormation recursos:`cloudformation:ListStacks`.  | 27 de novembro de 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foi adicionada a seguinte permissão para oferecer suporte aos CloudFormation recursos:`cloudformation:ListStacks`. | 27 de novembro de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as seguintes permissões aos CloudFormation recursos de suporte: `redshift:DescribeClusterSnapshots` `redshift:DescribeTags``redshift:DeleteClusterSnapshot`,, `redshift:DescribeClusters` e.  | 27 de novembro de 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte às tarefas de backup da pilha de CloudFormation aplicativos: `cloudformation:GetTemplate``cloudformation:DescribeStacks`, e. `cloudformation:ListStackResources`  | 16 de novembro de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as seguintes permissões para dar suporte às tarefas de backup da pilha de CloudFormation aplicativos: `cloudformation:CreateChangeSet` e `cloudformation:DescribeChangeSet`  | 16 de novembro de 2022 | 
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões a essa política para permitir que os administradores da organização usem o recurso Administrador Delegado: `organizations:ListDelegatedAdministrator`, `organizations:RegisterDelegatedAdministrator` e `organizations:DeregisterDelegatedAdministrator`  | 27 de novembro de 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte ao SAP HANA nas instâncias do Amazon EC2 `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:BackupDatabase`, `ssm-sap:UpdateHanaBackupSettings`, `ssm-sap:GetDatabase` e `ssm-sap:ListTagsForResource`.  | 20 de novembro de 2022 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte ao SAP HANA nas instâncias do Amazon EC2: `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:GetDatabase` e `ssm-sap:ListTagsForResource`.  | 20 de novembro de 2022 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte ao SAP HANA nas instâncias do Amazon EC2: `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:GetDatabase` e `ssm-sap:ListTagsForResource`.  | 20 de novembro de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Foi adicionada a seguinte permissão para oferecer suporte ao SAP HANA em instâncias do Amazon EC2: `ssm-sap:GetOperation`.  | 20 de novembro de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foi adicionada a seguinte permissão para oferecer suporte aos trabalhos de restauração do gateway de backup em uma instância do EC2: `ec2:CreateTags`.  | 20 de novembro de 2022 | 
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte à transferência segura de dados de armazenamento para recursos do SAP HANA no Amazon EC2: `backup-storage:StartObject`, `backup-storage:PutChunk`, `backup-storage:GetChunk`, `backup-storage:ListChunks`, `backup-storage:ListObjects`, `backup-storage:GetObjectMetadata` e `backup-storage:NotifyObjectComplete`.  | 20 de novembro de 2022 | 
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) — Atualização de uma política existente | Foram adicionadas as seguintes permissões para que os proprietários de recursos executem a restauração dos recursos do SAP HANA no Amazon EC2 `backup:Get*`, `backup:List*`, `backup:Describe*`, `backup:StartBackupJob`, `backup:StartRestoreJob`, `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:BackupDatabase`, `ssm-sap:RestoreDatabase`, `ssm-sap:UpdateHanaBackupSettings`, `ssm-sap:GetDatabase` e `ssm-sap:ListTagsForResource`.  | 20 de novembro de 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Atualização de uma política existente  |  Foi adicionada a permissão `s3:GetBucketAcl` para oferecer suporte às operações de AWS Backup backup do Amazon S3.  | 24 de agosto de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente  |  Foram adicionadas as seguintes ações para conceder acesso à criação de uma instância de banco de dados para oferecer suporte à funcionalidade de várias zonas de disponibilidade (Multi-AZ): `rds:CreateDBInstance`.  | 20 de julho de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente  |  Foi adicionada a permissão `s3:GetBucketTagging` para conceder ao usuário permissão para selecionar buckets para backup com um curinga de recurso. Sem essa permissão, os usuários que selecionarem quais buckets fazer backup com um curinga de recurso não terão êxito.  | 6 de maio de 2022 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente  |  Foram adicionados recursos de volume no escopo das ações existentes `fsx:CreateBackup` e novas `fsx:ListTagsForResource` ações e adicionaram novas ações `fsx:DescribeVolumes` FSx para dar suporte aos backups em nível de volume do ONTAP.  | 27 de abril de 2022 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente  |  Foram adicionadas as seguintes ações para conceder aos usuários permissões de restauração FSx para volumes ONTAP `fsx:DescribeVolumes``fsx:CreateVolumeFromBackup`,`fsx:DeleteVolume`, e. `fsx:UntagResource`  | 27 de abril de 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Atualização de uma política existente  |  Foram adicionadas as seguintes ações para conceder ao usuário permissões para receber notificações de alterações em seus buckets do Amazon S3 durante as operações de backup: `s3:GetBucketNotification` e `s3:PutBucketNotification`.  | 25 de fevereiro de 2022 | 
| [AWSBackupServiceRolePolicyForS3Backup — Nova](#AWSBackupServiceRolePolicyForS3Backup) política  |  Foram adicionadas as seguintes ações para conceder ao usuário permissões para fazer backup dos buckets do Amazon S3: `s3:GetInventoryConfiguration`, `s3:PutInventoryConfiguration`, `s3:ListBucketVersions`, `s3:ListBucket`, `s3:GetBucketTagging`, `s3:GetBucketVersioning`, `s3:GetBucketNotification`,`s3:GetBucketLocation` e `s3:ListAllMyBuckets` Foram adicionadas as seguintes ações para conceder ao usuário permissões para fazer backup de seus objetos do Amazon S3: `s3:GetObject`,`s3GetObjectAcl`, `s3:GetObjectVersionTagging`, `s3:GetObjectVersionAcl`, `s3:GetObjectTagging` e `s3:GetObjectVersion`.  Foram adicionadas as seguintes ações para conceder ao usuário permissões para fazer backup de seus dados criptografados do Amazon S3: `kms:Decrypt` e `kms:DescribeKey`.  Foram adicionadas as seguintes ações para conceder ao usuário permissões para fazer backups incrementais de seus dados do Amazon S3 usando as regras EventBridge da Amazon`events:DescribeRule`: `events:EnableRule``events:PutRule`,`events:DeleteRule`,`events:PutTargets`,,`events:RemoveTargets`,`events:ListTargetsByRule`, `events:DisableRule``cloudwatch:GetMetricData`, e. `events:ListRules`  | 17 de fevereiro de 2022 | 
| [AWSBackupServiceRolePolicyForS3Restore — Nova](#AWSBackupServiceRolePolicyForS3Restore) política  |  Foram adicionadas as seguintes ações para conceder ao usuário permissões para restaurar seus buckets do Amazon S3: `s3:CreateBucket`, `s3:ListBucketVersions`, `s3:ListBucket`, `s3:GetBucketVersioning`, `s3:GetBucketLocation` e `s3:PutBucketVersioning`. Foram adicionadas as seguintes ações para conceder ao usuário permissões para restaurar seus buckets do Amazon S3: `s3:GetObject`, `s3:GetObjectVersion`, `s3:DeleteObject`, `s3:PutObjectVersionAcl`, `s3:GetObjectVersionAcl`, `s3:GetObjectTagging`, `s3:PutObjectTagging`, `s3:GetObjectAcl`, `s3:PutObjectAcl`, `s3:PutObject` e `s3:ListMultipartUploadParts`. Foram adicionadas as seguintes ações para conceder ao usuário permissões para criptografar seus dados restaurados do Amazon S3: `kms:Decrypt`, `kms:DescribeKey` e `kms:GenerateDataKey`.  | 17 de fevereiro de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente  |  `s3:ListAllMyBuckets` adicionado para conceder ao usuário permissões para visualizar uma lista de seus buckets e escolher quais atribuir a um plano de backup.  | 14 de fevereiro de 2022 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente  |  `backup-gateway:ListVirtualMachines` adicionado para conceder ao usuário permissões para visualizar uma lista de suas máquinas virtuais e escolher quais atribuir a um plano de backup. `backup-gateway:ListTagsForResource` adicionado para conceder ao usuário permissões para listar as tags de suas máquinas virtuais.  | 30 de novembro de 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente  |  Adicionado `backup-gateway:Backup` para conceder permissões ao usuário para restaurar seus backups de máquinas virtuais. AWS Backup também foi adicionado `backup-gateway:ListTagsForResource` para conceder ao usuário permissões para listar as tags atribuídas aos backups de suas máquinas virtuais.  | 30 de novembro de 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente  |  Foi adicionado `backup-gateway:Restore` para conceder ao usuário permissões para restaurar seus backups de máquinas virtuais.  | 30 de novembro de 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente  |  Foram adicionadas as seguintes ações para conceder aos usuários permissões para usar o AWS Backup gateway para fazer backup, restaurar e gerenciar suas máquinas virtuais: `backup-gateway:AssociateGatewayToServer`, `backup-gateway:CreateGateway`, `backup-gateway:DeleteGateway`, `backup-gateway:DeleteHypervisor`, `backup-gateway:DisassociateGatewayFromServer`, `backup-gateway:ImportHypervisorConfiguration`, `backup-gateway:ListGateways`, `backup-gateway:ListHypervisors`, `backup-gateway:ListTagsForResource`, `backup-gateway:ListVirtualMachines`, `backup-gateway:PutMaintenanceStartTime`, `backup-gateway:TagResource`, `backup-gateway:TestHypervisorConfiguration`, `backup-gateway:UntagResource`, `backup-gateway:UpdateGatewayInformation` e `backup-gateway:UpdateHypervisor`.  | 30 de novembro de 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente  |  Foram adicionadas as seguintes ações para conceder ao usuário permissões para fazer backup de suas máquinas virtuais: `backup-gateway:ListGateways`, `backup-gateway:ListHypervisors`, `backup-gateway:ListTagsForResource` e `backup-gateway:ListVirtualMachines`.  | 30 de novembro de 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente  |  Adicionado `dynamodb:ListTagsOfResource` para conceder ao usuário permissões para listar tags de suas tabelas do DynamoDB para backup usando os recursos avançados de backup AWS Backup do DynamoDB.  | 23 de novembro de 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente  |  `dynamodb:StartAwsBackupJob` adicionado para conceder ao usuário permissões para fazer backup de suas tabelas do DynamoDB usando os recursos avançados de backup. `dynamodb:ListTagsOfResource` adicionado para conceder ao usuário permissões para copiar tags de suas tabelas de origem do DynamoDB para seus backups.  | 23 de novembro de 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente  |  Adicionado `dynamodb:RestoreTableFromAwsBackup` para conceder permissões ao usuário para restaurar o backup de suas tabelas do DynamoDB usando os recursos avançados AWS Backup de backup do DynamoDB.  | 23 de novembro de 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente  |  Adicionado `dynamodb:RestoreTableFromAwsBackup` para conceder permissões ao usuário para restaurar o backup de suas tabelas do DynamoDB usando os recursos avançados AWS Backup de backup do DynamoDB.  | 23 de novembro de 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente  |  Foram removidas as ações `backup:GetRecoveryPointRestoreMetadata` e `rds:DescribeDBSnapshots` porque elas eram redundantes.  AWS Backup não precisava de ambos `backup:GetRecoveryPointRestoreMetadata` e `backup:Get*` como parte de`AWSBackupOperatorAccess`. Além disso, AWS Backup não precisava de ambos `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` como parte de`AWSBackupOperatorAccess`.  | 23 de novembro de 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente  |  Foram adicionadas as novas ações `elasticfilesystem:DescribeFileSystems``dynamodb:ListTables`,`storagegateway:ListVolumes`,`ec2:DescribeVolumes`,`ec2:DescribeInstances`,`rds:DescribeDBInstances`,`rds:DescribeDBClusters`, e `fsx:DescribeFileSystems` para permitir que os clientes visualizem e escolham em uma lista AWS Backup de seus recursos suportados ao selecionar quais recursos atribuir a um plano de backup.  | 10 de novembro de 2021 | 
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – Nova política  |  Adicionado `AWSBackupAuditAccess` para conceder ao usuário permissões para usar o AWS Backup Audit Manager. As permissões incluem a possibilidade de configurar frameworks de conformidade e gerar relatórios.  | 24 de agosto de 2021 | 
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – Nova política  |  `AWSServiceRolePolicyForBackupReports` adicionados para conceder permissões para um perfil vinculado ao serviço automatizar o monitoramento de configurações, trabalhos e recursos de backup para manter a conformidade com frameworks configuradas pelo usuário.  | 24 de agosto de 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente  |  Foi adicionado `iam:CreateServiceLinkedRole` para criar um perfil vinculado ao serviço (com base no melhor esforço) para automatizar a exclusão de pontos de recuperação expirados para você. Sem essa função vinculada ao serviço, AWS Backup não é possível excluir pontos de recuperação expirados depois que os clientes excluem a função original do IAM que usaram para criar seus pontos de recuperação.  | 5 de julho de 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente  |  Foi adicionada uma nova ação `dynamodb:DeleteBackup` para conceder a permissão `DeleteRecoveryPoint` para automatizar a exclusão de pontos de recuperação expirados do DynamoDB com base nas configurações do ciclo de vida do seu plano de backup.  | 5 de julho de 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente  |  Foram removidas as ações `backup:GetRecoveryPointRestoreMetadata` e `rds:DescribeDBSnapshots` porque elas eram redundantes. AWS Backup não precisava de ambos `backup:GetRecoveryPointRestoreMetadata` e, `backup:Get*` como parte de `AWSBackupOperatorAccess` Além disso, AWS Backup não precisava de ambos `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` como parte de `AWSBackupOperatorAccess`  | 25 de maio de 2021 | 
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente  |  Foram removidas as ações `backup:GetRecoveryPointRestoreMetadata` e `rds:DescribeDBSnapshots` porque elas eram redundantes. AWS Backup não precisava de ambos `backup:GetRecoveryPointRestoreMetadata` e `backup:Get*` como parte de`AWSBackupOperatorAccess`. Além disso, AWS Backup não precisava de ambos `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` como parte de`AWSBackupOperatorAccess`.  | 25 de maio de 2021 | 
| [AWSBackupServiceRolePolicyForRestores]() – atualização para uma política existente  |  Foi adicionada a nova ação `fsx:TagResource` para conceder `StartRestoreJob` permissão para permitir que você aplique tags aos sistemas de FSx arquivos da Amazon durante o processo de restauração.  | 24 de maio de 2021 | 
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente  |  Foram adicionadas as novas ações `ec2:DescribeImages` e `ec2:DescribeInstances` para conceder a permissão `StartRestoreJob` para permitir que você restaure instâncias do Amazon EC2 a partir de pontos de recuperação.  | 24 de maio de 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente  |  Foi adicionada a nova ação `fsx:CopyBackup` para conceder `StartCopyJob` permissão para permitir que você copie os pontos de FSx recuperação da Amazon em todas as regiões e contas.  | 12 de abril de 2021 | 
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente  |  Foi adicionada a nova ação `fsx:CopyBackup` para conceder `StartCopyJob` permissão para permitir que você copie os pontos de FSx recuperação da Amazon em todas as regiões e contas.  | 12 de abril de 2021 | 
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente  |  Atualizadas para atender aos seguintes requisitos:  AWS Backup Para criar um backup de uma tabela criptografada do DynamoDB, você deve adicionar `kms:Decrypt` as permissões `kms:GenerateDataKey` e a função do IAM usada para backup.  | 10 de março de 2021 | 
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente  |  Atualizadas para atender aos seguintes requisitos: Para usar AWS Backup para configurar backups contínuos para seu banco de dados do Amazon RDS, verifique se a permissão da API `rds:ModifyDBInstance` existe na função do IAM definida pela configuração do seu plano de backup. Para restaurar os backups contínuos do Amazon RDS, é necessário adicionar a permissão `rds:RestoreDBInstanceToPointInTime` ao perfil do IAM enviado para o trabalho de restauração. No AWS Backup console, para descrever o intervalo de vezes disponível para point-in-time recuperação, você deve incluir a permissão da `rds:DescribeDBInstanceAutomatedBackups` API em sua política gerenciada pelo IAM.  | 10 de março de 2021 | 
|  AWS Backup começou a rastrear alterações  |  AWS Backup começou a rastrear as mudanças em suas políticas AWS gerenciadas.  | 10 de março de 2021 | 

# Usando funções vinculadas a serviços para AWS Backup
<a name="using-service-linked-roles"></a>

AWS Backup usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Backup As funções vinculadas ao serviço são predefinidas AWS Backup e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. 

**Topics**
+ [Uso de funções para fazer backup e copiar](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [Usando funções para o AWS Backup Audit Manager](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [Usar perfis para testes de restauração](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)

# Uso de funções para fazer backup e copiar
<a name="using-service-linked-roles-AWSServiceRoleForBackup"></a>

AWS Backup usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Backup As funções vinculadas ao serviço são predefinidas AWS Backup e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. 

Uma função vinculada ao serviço facilita a configuração AWS Backup porque você não precisa adicionar manualmente as permissões necessárias. AWS Backup define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Backup pode assumir suas funções. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus AWS Backup recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões de função vinculadas ao serviço para AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackup"></a>

AWS Backup usa a função vinculada ao serviço chamada **AWSServiceRoleForBackup**para criar e excluir backups de seus AWS recursos em seu nome.

A função AWSService RoleForBackup vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `backup.amazonaws.com`

Para ver as permissões dessa política, consulte [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)na *Referência de política AWS gerenciada*.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criação de uma função vinculada ao serviço para AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackup"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você lista recursos para backup, configura o backup entre contas ou realiza backups na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, AWS Backup cria a função vinculada ao serviço para você. 

**Importante**  
 Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma Nova Função Apareceu na minha Conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você lista recursos para backup, configura o backup entre contas ou executa backups, AWS Backup cria a função vinculada ao serviço para você novamente. 

## Editando uma função vinculada ao serviço para AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackup"></a>

AWS Backup não permite que você edite a função AWSService RoleForBackup vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar uma descrição de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) no *Guia do usuário do IAM*.

## Excluindo uma função vinculada ao serviço para AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackup"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.

### Limpar um perfil vinculado ao serviço
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackup"></a>

Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil. Primeiro, você deve excluir todos os pontos de recuperação. Depois você deve excluir todos os cofres de backup.

**nota**  
Se o AWS Backup serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackup (console)**

1. Para excluir todos os pontos de recuperação e cofres de backup (exceto o cofre padrão), siga o procedimento em [Excluir um cofre](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault).

1. Para excluir seu cofre padrão, use o seguinte comando na AWS CLI:

   ```
   aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
   ```

**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackup (AWS CLI)**

1. Para excluir todos os pontos de recuperação, use [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html).

1. Para excluir todos os cofres de backup, use [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html).

**Para excluir AWS Backup recursos usados pela AWSService RoleForBackup (API)**

1. Para excluir todos os pontos de recuperação, use `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`.

1. Para excluir todos os cofres de backup, use `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`.

### Excluir manualmente o perfil vinculado ao serviço
<a name="slr-manual-delete-AWSServiceRoleForBackup"></a>

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForBackup vinculada ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) no *Guia do usuário do IAM*.

## Regiões suportadas para funções vinculadas a AWS Backup serviços
<a name="slr-regions-AWSServiceRoleForBackup"></a>

AWS Backup suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Recursos e regiões compatíveis com o AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Usando funções para o AWS Backup Audit Manager
<a name="using-service-linked-roles-AWSServiceRoleForBackupReports"></a>

AWS Backup usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Backup As funções vinculadas ao serviço são predefinidas AWS Backup e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. 

Uma função vinculada ao serviço facilita a configuração AWS Backup porque você não precisa adicionar manualmente as permissões necessárias. AWS Backup define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Backup pode assumir suas funções. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus AWS Backup recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões de função vinculadas ao serviço para AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupReports"></a>

AWS Backup usa a função vinculada ao serviço chamada **AWSServiceRoleForBackupReports**— AWS Backup Fornece permissão para criar controles, estruturas e relatórios.

A função AWSService RoleForBackupReports vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `reports.backup.amazonaws.com`

Para visualizar as permissões para esta política, consulte [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) na *Referência de políticas gerenciadas pela AWS *.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criação de uma função vinculada ao serviço para AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupReports"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma estrutura ou um plano de relatório na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, AWS Backup cria a função vinculada ao serviço para você. 

**Importante**  
 Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma Nova Função Apareceu na minha Conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você cria uma estrutura ou um plano de relatório, AWS Backup cria a função vinculada ao serviço para você novamente. 

## Editando uma função vinculada ao serviço para AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupReports"></a>

AWS Backup não permite que você edite a função AWSService RoleForBackupReports vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Consulte mais informações em [Editar uma descrição de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) no *Guia do usuário do IAM*.

## Excluindo uma função vinculada ao serviço para AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupReports"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.

### Limpar um perfil vinculado ao serviço
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupReports"></a>

Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil. É necessário excluir todas as frameworks e todos os planos de relatório.

**nota**  
Se o AWS Backup serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackupReports (console)**

1. Como excluir todas as frameworks, consulte [Excluir frameworks](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html).

1. Como excluir todos os planos de relatório, consulte [Excluir planos de relatório](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html).

**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackupReports (AWS CLI)**

1. Para excluir todos os frameworks, use [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html).

1. Para excluir todos os planos de relatório, use [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html).

**Para excluir AWS Backup recursos usados pela AWSService RoleForBackupReports (API)**

1. Para excluir todas as frameworks, use [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html).

1. Para excluir todos os planos de relatório, use [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html).

### Excluir manualmente o perfil vinculado ao serviço
<a name="slr-manual-delete-AWSServiceRoleForBackupReports"></a>

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForBackupReports vinculada ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) no *Guia do usuário do IAM*.

## Regiões suportadas para funções vinculadas a AWS Backup serviços
<a name="slr-regions-AWSServiceRoleForBackupReports"></a>

AWS Backup suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Recursos e regiões compatíveis com o AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Usar perfis para testes de restauração
<a name="using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Backup As funções vinculadas ao serviço são predefinidas AWS Backup e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. 

Uma função vinculada ao serviço facilita a configuração AWS Backup porque você não precisa adicionar manualmente as permissões necessárias. AWS Backup define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Backup pode assumir suas funções. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus AWS Backup recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões de função vinculadas ao serviço para AWS Backup
<a name="service-linked-role-permissions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup usa a função vinculada ao serviço chamada **AWSServiceRoleForBackupRestoreTesting**— Fornece permissões de backup para realizar testes de restauração.

O perfil vinculado ao serviço **AWSServiceRoleForBackupRestoreTesting** confia nos seguintes serviços para aceitar o perfil:
+ `restore-testing.backup.amazonaws.com`

Para visualizar as permissões para esta política, consulte [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) na *Referência de políticas gerenciadas pela AWS *.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criação de uma função vinculada ao serviço para AWS Backup
<a name="create-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você realiza testes de restauração na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, AWS Backup cria a função vinculada ao serviço para você. 

**Importante**  
 Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma Nova Função Apareceu na minha Conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você realiza testes de restauração, AWS Backup cria a função vinculada ao serviço para você novamente.

## Editando uma função vinculada ao serviço para AWS Backup
<a name="edit-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup não permite que você edite a função AWSService RoleForBackupRestoreTesting vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar uma descrição de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) no *Guia do usuário do IAM*.

## Excluindo uma função vinculada ao serviço para AWS Backup
<a name="delete-service-linked-role-AWSServiceRoleForBackupRestoreTesting"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.

### Limpar um perfil vinculado ao serviço
<a name="service-linked-role-review-before-delete-AWSServiceRoleForBackupRestoreTesting"></a>

Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil. É necessário excluir todos os planos de testes de restauração.

**nota**  
Se o AWS Backup serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackupRestoreTesting (console)**
+ Para excluir todos os planos de testes de restauração, consulte [Testes de restauração](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html).

**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackupRestoreTesting (AWS CLI)**
+ Para excluir planos de testes de restauração, use `delete-restore-testing-plan`.

**Para excluir AWS Backup recursos usados pela AWSService RoleForBackupRestoreTesting (API)**
+ Para excluir planos de testes de restauração, use `DeleteRestoreTestingPlan`.

### Excluir manualmente o perfil vinculado ao serviço
<a name="slr-manual-delete-AWSServiceRoleForBackupRestoreTesting"></a>

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função **AWSServiceRoleForBackupRestoreTesting**vinculada ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) no *Guia do usuário do IAM*.

## Regiões suportadas para funções vinculadas a AWS Backup serviços
<a name="slr-regions-AWSServiceRoleForBackupRestoreTesting"></a>

AWS Backup suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Recursos e regiões compatíveis com o AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).

# Prevenção contra o ataque do “substituto confuso” em todos os serviços
<a name="cross-service-confused-deputy-prevention"></a>

“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.

Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que AWS Backup concedem outro serviço ao recurso. Se você utilizar ambas as chaves de contexto de condição global, o valor `aws:SourceAccount` e a conta `aws:SourceArn` no valor deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.

O valor de `aws:SourceArn` deve ser um AWS Backup cofre ao ser usado AWS Backup para publicar tópicos do Amazon SNS em seu nome.

A maneira mais eficaz de se proteger do problema ‘confused deputy’ é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws::servicename::123456789012:*` 

O exemplo de política a seguir mostra como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e as chaves de contexto AWS Backup para evitar o confuso problema substituto. Essa política concede ao responsável pelo serviço backup-storage.amazonaws.com a capacidade de realizar ações do KMS somente quando o responsável pelo serviço estiver agindo em nome da conta 123456789012 nos cofres de backup: AWS