As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em AWS Backup
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade aplicáveis AWS Backup, consulte [AWS Serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem**: sua responsabilidade para o AWS Backup inclui, mas não está limitada ao seguinte. Você também é responsável por outros fatores, inclusive a confidencialidade dos dados, os requisitos da organização, as leis e as regulamentações vigentes.
+ Respondendo às comunicações que você recebe AWS.
+ Gerenciar as credenciais que você e sua equipe usam. Para obter mais informações, consulte [Gerenciamento de identidade e acesso em AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-iam.html).
+ Configurar os planos de backup e as atribuições de recursos para refletir as políticas de proteção de dados da organização. Para obter mais informações, consulte [Gerenciar planos de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html).
+ Testar regularmente sua capacidade de encontrar determinados pontos de recuperação e restaurá-los. Para obter mais informações, consulte [Trabalhar com backups](https://docs.aws.amazon.com/aws-backup/latest/devguide/recovery-points.html).
+ Incorporar AWS Backup procedimentos nos procedimentos escritos de recuperação de desastres e continuidade de negócios de sua organização. Para obter um ponto de partida, consulte [Introdução ao AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html).
+ Garantir que seus funcionários estejam familiarizados e tenham praticado o uso AWS Backup junto com seus procedimentos organizacionais em caso de emergência. Para obter mais informações, consulte o [AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html).
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS Backup. Os tópicos a seguir mostram como configurar para atender AWS Backup aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus AWS Backup recursos.
**Topics**
+ [Validação de conformidade](backup-compliance.md)
+ [Proteção de dados](data-protection.md)
+ [Gerenciamento de identidade e acesso](backup-iam.md)
+ [Segurança da infraestrutura](infrastructure-security.md)
+ [Integridade](backup-integrity.md)
+ [Retenções legais](legalhold.md)
+ [Proteção contra malware](malware-protection.md)
+ [Resiliência](disaster-recovery-resiliency.md)
# Validação de conformidade para AWS Backup
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [Documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Proteção de dados em AWS Backup
AWS Backup está em conformidade com o [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/), que inclui regulamentos e diretrizes para proteção de dados. AWS é responsável por proteger a infraestrutura global que executa todos os AWS serviços. AWS mantém o controle sobre os dados hospedados nessa infraestrutura, incluindo os controles de configuração de segurança para lidar com o conteúdo do cliente e os dados pessoais. AWS clientes e AWS parceiros da Partner Network (APN), atuando como controladores ou processadores de dados, são responsáveis por quaisquer dados pessoais que coloquem no. Nuvem AWS
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure contas de usuário individuais com AWS Identity and Access Management (IAM). Isto ajuda a garantir que cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use o Secure Sockets Layer (SSL)/Transport Layer Security (TLS) para se comunicar com os recursos da AWS .
+ Use soluções AWS de criptografia, juntamente com todos os controles de segurança padrão nos AWS serviços.
É altamente recomendável que você nunca coloque informações de identificação confidenciais, como números de conta dos seus clientes, em campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com AWS Backup ou outros AWS serviços usando o console, a API ou AWS SDKs. AWS CLI Todos os dados inseridos por você no AWS Backup ou em outros serviços podem ser separados para inclusão em logs de diagnóstico. Ao fornecer um URL para um servidor externo, não inclua informações de credenciais no URL para validar a solicitação a esse servidor.
Para mais informações sobre proteção de dados, consulte a publicação [Modelo de responsabilidade compartilhada da AWS e do GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
# Criptografia para backups em AWS Backup
## Criptografia independente do
AWS Backup oferece criptografia independente para [tipos de recursos que oferecem suporte ao AWS Backup gerenciamento completo](backup-feature-availability.md#features-by-resource). Criptografia independente significa que os pontos de recuperação (backups) criados por você AWS Backup podem ter um método de criptografia diferente daquele determinado pela criptografia do recurso de origem. Por exemplo, o backup de um bucket do Amazon S3 pode ter um método de criptografia diferente daquele do bucket de origem que você criptografou com a criptografia do Amazon S3. Essa criptografia é controlada por meio da configuração da AWS KMS chave no cofre de backup onde seu backup está armazenado.
Os backups de tipos de recursos que não são totalmente gerenciados por AWS Backup normalmente herdam as configurações de criptografia do recurso de origem. É possível definir essas configurações de criptografia de acordo com as instruções desse serviço, como a [criptografia do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) no *Guia do usuário do Amazon EBS*.
Sua perfil do IAM deve ter acesso à chave do KMS que está sendo usada para fazer backup e restaurar o objeto. Caso contrário, o trabalho será bem-sucedido, mas os objetos não serão copiados nem restaurados. As permissões na política do IAM e na política de chave do KMS devem ser consistentes. Para obter mais informações, consulte [Especificação de chaves do KMS nas declarações de política do IAM](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html) no *Guia do desenvolvedor do *AWS Key Management Service .
A tabela a seguir lista cada tipo de recurso com suporte, como a criptografia é configurada para backups e se a criptografia independente para backups é compatível. Quando o AWS Backup criptografa um backup de forma independente, ele usa o algoritmo de criptografia AES-256 padrão do setor. Para obter mais informações sobre criptografia em AWS Backup, consulte Backup [entre regiões](cross-region-backup.md) e [entre contas](create-cross-account-backup.md).
| Tipo de atributo | Como configurar a criptografia | AWS Backup Criptografia independente |
| --- | --- | --- |
| Amazon Simple Storage Service (Amazon S3) | Os backups do Amazon S3 são criptografados usando uma chave AWS KMS (AWS Key Management Service) associada ao cofre de backup. A chave AWS KMS pode ser uma chave gerenciada pelo cliente ou uma chave AWS gerenciada associada ao serviço. AWS Backup AWS Backup criptografa todos os backups, mesmo que os buckets de origem do Amazon S3 não estejam criptografados. | Compatível |
| VMware máquinas virtuais | Os backups de VM sempre são criptografados. A chave de AWS KMS criptografia para backups de máquinas virtuais é configurada no AWS Backup cofre no qual os backups da máquina virtual são armazenados. | Compatível |
| Amazon DynamoDB após a habilitar [Backup avançado do DynamoDB](advanced-ddb-backup.md) | Os backups do DynamoDB sempre são criptografados. A chave AWS KMS de criptografia para backups do DynamoDB é configurada no cofre em que os backups AWS Backup do DynamoDB são armazenados. | Compatível |
| Amazon DynamoDB sem habilitar [Backup avançado do DynamoDB](advanced-ddb-backup.md) | Os backups do DynamoDB são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar a tabela de origem do DynamoDB. Os snapshots das tabelas não criptografadas do DynamoDB também não são criptografados. AWS Backup Para criar um backup de uma tabela criptografada do DynamoDB, você deve adicionar `kms:Decrypt` as permissões `kms:GenerateDataKey` e a função do IAM usada para backup. Como alternativa, você pode usar a função de serviço AWS Backup padrão. | Não compatível |
| Amazon Elastic File System (Amazon EFS) | Os backups do Amazon EFS sempre são criptografados. A chave de AWS KMS criptografia para backups do Amazon EFS é configurada no AWS Backup cofre em que os backups do Amazon EFS são armazenados. | Compatível |
| Amazon Elastic Block Store (Amazon EBS) | Por padrão, os backups do Amazon EBS são criptografados usando a chave usada para criptografar o volume de origem ou não são criptografados. Durante a restauração, é possível optar por substituir o método de criptografia padrão especificando uma chave do KMS. | Não compatível |
| Amazon Elastic Compute Cloud (Amazon EC2) AMIs | AMIs não são criptografados. Os snapshots do EBS são criptografados pelas regras de criptografia padrão para backups do EBS (consulte a entrada do EBS). Os snapshots de volumes raiz e de dados podem ser criptografados e anexados a uma AMI. | Não compatível |
| Amazon Relational Database Service (Amazon RDS) | Os snapshots do Amazon RDS são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar banco de dados de origem do Amazon RDS. Os snapshots de bancos de dados do Amazon RDS não criptografados também não são criptografados. | Não compatível |
| Amazon Aurora | Os snapshots do cluster do Aurora são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Amazon Aurora. Os snapshots de clusters não criptografados do Aurora também não são criptografados. | Não compatível |
| AWS Storage Gateway | Os snapshots do Storage Gateway são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o volume de origem do Storage Gateway. Os snapshots de volumes não criptografados do Storage Gateway também não são criptografados. Não é necessário usar uma chave gerenciada pelo do cliente em todos os serviços para habilitar o Storage Gateway. Só é necessário copiar o backup do Storage Gateway em um cofre que configurou uma chave do KMS. Isso ocorre porque o Storage Gateway não tem uma chave AWS KMS gerenciada específica do serviço. | Não compatível |
| Amazon FSx | Os recursos de criptografia dos sistemas de FSx arquivos da Amazon diferem com base no sistema de arquivos subjacente. Para saber mais sobre seu sistema de FSx arquivos específico da Amazon, consulte o [Guia FSx do usuário](https://docs.aws.amazon.com/fsx/) apropriado. | Não compatível |
| Amazon DocumentDB | Os snapshots do cluster do Amazon DocumentDB são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Amazon DocumentDB. Os snapshots de clusters não criptografados do Amazon DocumentDB também não são criptografados. | Não compatível |
| Amazon Neptune | Os snapshots do cluster do Neptune são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Neptune. Os snapshots de clusters não criptografados do Neptune também não são criptografados. | Não compatível |
| Amazon Timestream | Os backups de snapshots de tabelas do Timestream são sempre criptografados. A chave de AWS KMS criptografia para backups do Timestream é configurada no cofre de backup no qual os backups do Timestream são armazenados. | Compatível |
| banco de dados de origem | Os snapshots do cluster do Amazon Redshift são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar o cluster de origem do Amazon Redshift. Os snapshots de clusters não criptografados do Amazon Redshift também não são criptografados. | Não compatível |
| Amazon Redshift Sem Servidor | Os snapshots do Redshift sem servidor são criptografados automaticamente com a mesma chave de criptografia que foi usada para criptografar a origem. | Não compatível |
| CloudFormation | CloudFormation os backups são sempre criptografados. A chave de CloudFormation criptografia para CloudFormation backups é configurada no CloudFormation cofre no qual os CloudFormation backups são armazenados. | Compatível |
| Backup de bancos de dados SAP HANA em instâncias do Amazon EC2 | Os backups do banco de dados SAP HANA são sempre criptografados. A chave de AWS KMS criptografia para backups do banco de dados SAP HANA é configurada no AWS Backup cofre no qual os backups do banco de dados são armazenados. | Compatível |
**dica**
AWS Backup O [Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html) ajuda você a detectar automaticamente backups não criptografados.
## Criptografia para cópias de um backup em uma conta diferente ou Região da AWS
Quando você copia seus backups entre contas ou regiões, criptografa AWS Backup automaticamente essas cópias para a maioria dos tipos de recursos, mesmo que o backup original não esteja criptografado. AWS Backup criptografa a cópia usando a chave KMS do cofre de destino.
Antes de copiar um backup de uma conta para outra (trabalho de cópia entre contas) ou copiar um backup de uma região para outra (trabalho de cópia entre regiões), observe as seguintes condições, muitas das quais dependem do tipo de recurso no backup (ponto de recuperação) ser [totalmente gerenciado AWS Backup ou não](backup-feature-availability.md#features-by-resource).
+ Uma cópia de um backup para outro Região da AWS é criptografada usando a chave do cofre de destino.
+ Para obter uma cópia de um ponto de recuperação (backup) de um recurso **totalmente gerenciado pelo AWS Backup**, você pode optar por criptografá-lo com uma [chave gerenciada pelo cliente (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) ou uma chave AWS Backup gerenciada (`aws/backup`).
Para uma cópia de um ponto de recuperação de um recurso que **não é totalmente gerenciado** pelo AWS Backup, a chave associada ao cofre de destino deve ser uma CMK ou a chave gerenciada do serviço que possui o recurso subjacente. Por exemplo, se você estiver copiando uma instância do EC2, uma chave gerenciada pelo Backup não poderá ser usada. Em vez disso, uma CMK ou uma chave do KMS para o Amazon EBS KMS (`aws/ebs`) deve ser usada para evitar falhas no trabalho de cópia.
+ A cópia entre contas com chaves AWS gerenciadas não é compatível com recursos que não são totalmente gerenciados pelo AWS Backup. A [política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) de uma chave gerenciada pela AWS é imutável, o que impede a cópia da chave entre contas. Se seus recursos estiverem criptografados com chaves AWS gerenciadas e você quiser realizar uma cópia entre contas, você poderá [alterar as chaves de criptografia](https://repost.aws/knowledge-center/update-encryption-key-rds) para uma chave gerenciada pelo cliente, que pode ser usada para cópia entre contas. Ou você pode seguir as instruções em [Proteção de instâncias criptografadas do Amazon RDS com backups entre contas e regiões para continuar usando AWS chaves gerenciadas](https://aws.amazon.com/blogs/storage/protecting-encrypted-amazon-rds-instances-with-cross-account-and-cross-region-backups/).
+ As cópias de clusters não criptografados do Amazon Aurora, do Amazon DocumentDB e do Amazon Neptune também não são criptografadas.
## AWS Backup declarações de permissões, concessões e negação
Para ajudar a evitar trabalhos malsucedidos, você pode examinar a política AWS KMS principal para garantir que ela tenha as permissões necessárias e não tenha nenhuma declaração de negação que impeça operações bem-sucedidas.
Podem ocorrer falhas nos trabalhos devido a uma ou mais declarações de negação aplicadas à chave do KMS ou devido a uma [concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) revogada para a chave.
Em uma política de acesso AWS gerenciado [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html), como a de Permitir, ações que permitem AWS Backup a interface com AWS KMS a criação de uma concessão de uma chave KMS em nome do cliente, como parte das operações de backup, cópia e armazenamento.
A política de chave exige, no mínimo, as seguintes permissões:
+ `kms:createGrant`
+ `kms:generateDataKey`
+ `kms:decrypt`
Se as políticas de negação forem necessárias, você precisará permitir os perfis exigidos para operações de backup e restauração.
Esses elementos podem ser semelhantes a:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "KmsPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "KmsCreateGrantPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": "aws:backup:backup-vault"
},
"Bool": {
"kms:GrantIsForAWSResource": true
},
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
------
Essas permissões devem fazer parte da chave, seja ela AWS gerenciada ou gerenciada pelo cliente.
1. Certifique-se de que as permissões exigidas façam parte da política de chave do KMS
1. Execute a CLI `get-key-policy` do KMS ([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) para visualizar a política de chave anexada à chave do KMS especificada.
1. Revise as permissões retornadas.
1. Certifique-se de que não haja declarações de negação que afetem as operações
1. Execute (ou execute novamente) a CLI `get-key-policy` do KMS ([https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)) para visualizar a política de chave anexada à chave do KMS especificada.
1. Revise a política.
1. Remova as declarações de negação relevantes da política de chave do KMS.
1. Se necessário, execute [https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) para substituir ou atualizar a política de chave com permissões revisadas e declarações de negação removidas.
Além disso, a chave associada ao perfil que inicia um trabalho de cópia entre regiões deve ter `"kms:ResourcesAliases": "alias/aws/backup"` na permissão `DescribeKey`.
# Criptografia de credenciais de hipervisor de máquina virtual
As máquinas virtuais [gerenciadas por um hipervisor](https://docs.aws.amazon.com//aws-backup/latest/devguide/working-with-hypervisors.html) usam o [AWS Backup Gateway](https://docs.aws.amazon.com/aws-backup/latest/devguide/working-with-gateways.html) para conectar sistemas on-premises ao AWS Backup. É importante que os hipervisores tenham a mesma segurança robusta e confiável. Essa segurança pode ser obtida criptografando o hipervisor, seja por chaves AWS próprias ou por chaves gerenciadas pelo cliente.
## AWS chaves próprias e gerenciadas pelo cliente
AWS Backup fornece criptografia para as credenciais do hipervisor para proteger as informações confidenciais de login do cliente usando chaves de **criptografia AWS próprias**. Em vez disso, você tem a opção de usar **chaves gerenciadas pelo cliente**.
**Por padrão, as chaves usadas para criptografar as credenciais em seu hipervisor são AWS chaves próprias.** AWS Backup usa essas chaves para criptografar automaticamente as credenciais do hipervisor. Você não pode visualizar, gerenciar ou usar chaves AWS próprias, nem auditar seu uso. No entanto, não é necessário realizar nenhuma ação nem alterar qualquer programa para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte chaves AWS próprias no [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt).
Como alternativa, as credenciais podem ser criptografadas usando *chaves gerenciadas pelo cliente*. O AWS Backup é compatível com o uso de chaves simétricas gerenciadas pelo cliente que você cria, tem a propriedade e gerencia para executar a criptografia. Como você tem controle total dessa criptografia, é possível realizar tarefas como:
+ Estabelecer e manter as políticas de chave
+ Estabelecer e manter subsídios e IAM policies
+ Habilitar e desabilitar políticas de chaves
+ Alternar os materiais de criptografia de chave
+ Adicionar etiquetas
+ Criar réplicas de chaves
+ Chaves de agendamento para exclusão
Ao usar uma chave gerenciada pelo cliente, AWS Backup valida se sua função tem permissão para descriptografar usando essa chave (antes da execução de um trabalho de backup ou restauração). Você deve adicionar a ação `kms:Decrypt` à função usada para iniciar um trabalho de backup ou de restauração.
Como não é possível adicionar a ação `kms:Decrypt` à função de backup padrão, você deve usar uma função diferente da função de backup padrão para usar as chaves gerenciadas pelo cliente.
Para obter mais informações, consulte [chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) no *Guia do desenvolvedor do AWS Key Management Service *.
## Concessão necessária ao usar chaves gerenciadas pelo cliente
AWS KMS exige uma [concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para usar sua chave gerenciada pelo cliente. Quando você importa uma [configuração de hipervisor](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_BGW_ImportHypervisorConfiguration.html) criptografada com uma chave gerenciada pelo cliente, AWS Backup cria uma concessão em seu nome enviando uma [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitação para AWS KMS. AWS Backup usa concessões para acessar uma chave KMS em uma conta de cliente.
Você pode revogar o acesso à concessão ou remover AWS Backup o acesso à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, todos os seus gateways associados ao seu hipervisor não poderão mais acessar o nome de usuário e a senha do hipervisor criptografados pela chave gerenciada pelo cliente, o que afetará os trabalhos de backup e de restauração. Especificamente, haverá falha nos trabalhos de backup e de restauração que você executa nas máquinas virtuais desse hipervisor.
O gateway de backup usa a operação `RetireGrant` para remover uma concessão quando você exclui um hipervisor.
## Monitorar as chaves de criptografia
Ao usar uma chave gerenciada pelo AWS KMS cliente com seus AWS Backup recursos, você pode usar [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)o [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para rastrear solicitações AWS Backup enviadas para AWS KMS.
Procure AWS CloudTrail eventos com os seguintes `"eventName"` campos para monitorar AWS KMS as operações chamadas por AWS Backup para acessar dados criptografados pela chave gerenciada pelo cliente:
+ `"eventName": "CreateGrant"`
+ `"eventName": "Decrypt"`
+ `"eventName": "Encrypt"`
+ `"eventName": "DescribeKey"`
# Gerenciamento de identidade e acesso em AWS Backup
O acesso a AWS Backup requer credenciais. Essas credenciais devem ter permissões para acessar os recursos da AWS , como um banco de dados do Amazon DynamoDB ou um sistema de arquivos do Amazon EFS. Além disso, os pontos de recuperação criados AWS Backup por alguns serviços AWS Backup suportados não podem ser excluídos usando o serviço de origem (como o Amazon EFS). Você pode excluir esses pontos de recuperação usando AWS Backup.
As seções a seguir fornecem detalhes sobre como você pode usar o [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) e como ajudar AWS Backup a proteger o acesso aos seus recursos.
**Atenção**
AWS Backup usa a mesma função do IAM que você escolheu ao atribuir recursos para gerenciar o ciclo de vida do seu ponto de recuperação. Se você excluir ou modificar essa função, AWS Backup não poderá gerenciar o ciclo de vida do ponto de recuperação. Quando isso ocorrer, ele tentará usar uma função vinculada ao serviço para gerenciar o ciclo de vida. Em uma pequena porcentagem dos casos, isso também pode não funcionar, deixando pontos de recuperação `EXPIRED` em seu armazenamento, o que pode gerar custos indesejados. Para excluir pontos de recuperação `EXPIRED`, exclua-os manualmente usando o procedimento em [Excluir backups](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).
**Topics**
+ [Autenticação](authentication.md)
+ [Controle de acesso](access-control.md)
+ [Perfis de serviço do IAM](iam-service-roles.md)
+ [Políticas gerenciadas para AWS Backup](security-iam-awsmanpol.md)
+ [Usando funções vinculadas a serviços para AWS Backup](using-service-linked-roles.md)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md)
# Autenticação
O acesso AWS Backup ou os AWS serviços dos quais você está fazendo backup exigem credenciais que AWS possam ser usadas para autenticar suas solicitações. Você pode acessar AWS como qualquer um dos seguintes tipos de identidades:
+ **Conta da AWS usuário root** — Ao se inscrever AWS, você fornece um endereço de e-mail e uma senha associados à sua AWS conta. Esse será seu *usuário raiz da Conta da AWS *. Suas credenciais fornecem acesso completo a todos os seus AWS recursos.
**Importante**
Por motivos de segurança, recomendamos usar o usuário raiz apenas para criar um *administrador*. O administrador é um *usuário do IAM* com permissões totais para sua Conta da AWS. Você então poderá usar esse usuário administrador para criar outros usuários e perfis do IAM com permissões limitadas. Para obter mais informações, consulte [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) e [Criação do seu primeiro usuário administrador e grupo do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) no *Manual do usuário do IAM*.
+ **Usuário do IAM**: um [usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) é uma identidade em sua Conta da AWS com permissões personalizadas específicas (por exemplo, permissões para criar um cofre de backup no qual seus backups serão armazenados). Você pode usar um nome de usuário e uma senha do IAM para entrar em AWS páginas da Web seguras [Console de gerenciamento da AWS](https://console.aws.amazon.com/), como os [Fóruns de AWS discussão](https://forums.aws.amazon.com/) ou o [AWS Support Centro](https://console.aws.amazon.com/support/home#/).
Além do nome de usuário e senha, você também pode gerar [chaves de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html) para cada usuário. Você pode usar essas chaves ao acessar AWS serviços programaticamente, por meio [de uma das várias SDKs ou usando a](https://aws.amazon.com/developer/tools/) ([AWS Command Line Interface CLI AWS](https://aws.amazon.com/cli/)). As ferramentas de SDK e de AWS CLI usam as chaves de acesso para o cadastramento criptográfico da sua solicitação. Se você não utilizar ferramentas da AWS , cadastre a solicitação você mesmo. Para obter mais informações sobre a autenticação de solicitações, consulte [Processo de cadastramento do Signature versão 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) na *Referência geral da AWS*.
+ **Perfil do IAM**: um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma identidade do IAM que você pode criar em sua conta com permissões específicas. É semelhante a um usuário do IAM, mas não está associada a uma pessoa específica. Uma função do IAM permite que você obtenha chaves de acesso temporárias que podem ser usadas para acessar AWS serviços e recursos. Perfis do IAM com credenciais temporárias são úteis nas situações a seguir:
+ Acesso de usuário federado — em vez de criar um usuário do IAM, você pode usar identidades de usuário preexistentes do diretório de Directory Service usuários corporativo ou de um provedor de identidade da web. Eles são conhecidos como *usuários federados*. A AWS atribui uma função a um usuário federado quando o acesso é solicitado por meio de um [provedor de identidades](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Para obter mais informações sobre usuários federados, consulte [Usuários federados e funções](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles) no *Manual do usuário do IAM*.
+ Administração de várias contas — você pode usar uma função do IAM em sua conta para conceder outras Conta da AWS permissões para administrar os recursos da sua conta. Para ver um exemplo, consulte [Tutorial: Delegar acesso ao Contas da AWS uso de funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) no *Guia do usuário do IAM*.
+ AWS acesso ao serviço — Você pode usar uma função do IAM em sua conta para conceder permissões a um AWS serviço para acessar os recursos da sua conta. Para obter mais informações, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.
+ Aplicativos em execução no Amazon Elastic Compute Cloud (Amazon EC2) — Você pode usar uma função do IAM para gerenciar credenciais temporárias para aplicativos executados em uma instância do Amazon EC2 e fazer solicitações de API. AWS É preferível fazer isso a armazenar chaves de acesso na instância do EC2. Para atribuir uma AWS função a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, você cria um perfil de instância anexado à instância. Um perfil de instância contém a função e permite que programas em execução na instância EC2 obtenham credenciais temporárias. Para obter mais informações, consulte [Usar um perfil do IAM para conceder permissões a aplicativos em execução nas instâncias do Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) no *Guia do usuário do IAM*.
# Controle de acesso
Você pode ter credenciais válidas para autenticar suas solicitações, mas, a menos que tenha as permissões apropriadas, não poderá acessar AWS Backup recursos como cofres de backup. Você também não pode fazer backup de AWS recursos como volumes do Amazon Elastic Block Store (Amazon EBS).
Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões às identidades AWS Identity and Access Management (IAM) (ou seja, usuários, grupos e funções). E alguns serviços também são compatíveis com anexar políticas de permissões aos recursos.
O *administrador de uma conta* (ou o usuário administrador) é um usuário com permissões de administrador. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados às permissões concedidas e as ações específicas que deseja permitir nesses recursos.
As seções a seguir abordam como políticas de acesso funcionam e como você pode usá-las para proteger seus backups.
**Topics**
+ [Recursos e operações](#access-control-resources)
+ [Propriedade de recursos](#access-control-owner)
+ [Especificando elementos de política: ações, efeitos e entidades principais](#access-control-specify-backup-actions)
+ [Especificar condições em uma política](#specifying-conditions)
+ [Permissões da API: referência de ações, recursos e condições](#backup-api-permissions-ref)
+ [Copiar permissões de tags](#copy-tags)
+ [Políticas de acesso](#access-policies)
## Recursos e operações
Um recurso é um objeto que existe dentro de um serviço. AWS Backup os recursos incluem planos de backup, cofres de backup e backups. *Backup* é um termo geral que se refere aos vários tipos de recursos de backup existentes em AWS. Por exemplo, snapshots do Amazon EBS, snapshots do Amazon Relational Database Service (Amazon RDS) e backups do Amazon DynamoDB são todos os tipos de recursos de backup.
Em AWS Backup, os backups também são chamados de *pontos de recuperação*. Ao usar AWS Backup, você também trabalha com os recursos de outros AWS serviços que está tentando proteger, como volumes do Amazon EBS ou tabelas do DynamoDB. Esses recursos têm nomes de recursos exclusivos da Amazon (ARNs) associados a eles. ARNs identifique AWS recursos de forma exclusiva. É necessário ter um ARN quando você precisar especificar um recurso sem ambiguidade em toda a AWS como, políticas do IAM ou chamadas de API.
A tabela a seguir lista recursos, sub-recursos e formatos de ARN.
**AWS Backup recurso ARNs**
| Tipo de atributo | Formato ARN | Exemplo de ID exclusivo |
| --- | --- | --- |
| Plano de backup | arn:aws:backup:region:account-id:backup-plan:\$1 | |
| Cofre de backup | arn:aws:backup:region:account-id:backup-vault:\$1 | |
| Ponto de recuperação para o Amazon EBS | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-05f426fd8kdjb4224 |
| Ponto de recuperação para imagens do Amazon EC2 | arn:aws:ec2:region::image/ami-\$1 | image/ami-1a2b3e4f5e6f7g890 |
| Ponto de recuperação para o Amazon RDS | arn:aws:rds:region:account-id:snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Ponto de recuperação para o Aurora | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-be59cf2a-2343-4402-bd8b-226993d23453 |
| Ponto de recuperação para o Aurora DSQL | arn:aws-partition:backup:region:account-id:recovery-point:recovery-point-id | arn:aws:backup:us-east-1:012345678901:recovery-point:8a92c3f1-b475-4d9e-95e6-7c138f2d4b0a |
| Ponto de recuperação para o Storage Gateway | arn:aws:ec2:region::snapshot/\$1 | snapshot/snap-0d40e49137e31d9e0 |
| Ponto de recuperação para o DynamoDB sem [Backup avançado do DynamoDB](advanced-ddb-backup.md) | arn:aws:dynamodb:region:account-id:table/\$1/backup/\$1 | table/MyDynamoDBTable/backup/01547087347000-c8b6kdk3 |
| Ponto de recuperação para o DynamoDB com [Backup avançado do DynamoDB](advanced-ddb-backup.md) habilitado | arn:aws:backup:region:account-id:recovery-point:\$1 | 12a34a56-7bb8-901c-cd23-4567d8e9ef01 |
| Ponto de recuperação para o Amazon EFS | arn:aws:backup:region:account-id:recovery-point:\$1 | d99699e7-e183-477e-bfcd-ccb1c6e5455e |
| Ponto de recuperação para Amazon FSx | arn:aws:fsx:region:account-id:backup/backup-\$1 | backup/backup-1a20e49137e31d9e0 |
| Ponto de recuperação para máquina virtual | arn:aws:backup:region:account-id:recovery-point:\$1 | 1801234a-5b6b-7dc8-8032-836f7ffc623b |
| Ponto de recuperação para backup contínuo do Amazon S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-5ec207d0 |
| Ponto de recuperação para backup periódico do S3 | arn:aws:backup:region:account-id:recovery-point:\$1 | amzn-s3-demo-bucket-20211231900000-5ec207d0 |
| Ponto de recuperação para o Amazon DocumentDB | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Ponto de recuperação para o Neptune | arn:aws:rds:region:account-id:cluster-snapshot:awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Ponto de recuperação para o Amazon Redshift | arn:aws:redshift:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Ponto de recuperação para o Amazon Redshift sem servidor | arn:aws:redshift-serverless:region:account-id:snapshot:resource/awsbackup:\$1 | awsbackup:job-ab12cd3e-4567-8901-fg1h-234567i89012 |
| Ponto de recuperação para Amazon Timestream | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012\$1beta |
| Ponto de recuperação para AWS CloudFormation modelo | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
| Ponto de recuperação para o banco de dados SAP HANA na instância do Amazon EC2 | arn:aws:backup:region:account-id:recovery-point:\$1 | recovery-point:1a2b3cde-f405-6789-012g-3456hi789012 |
Todos os recursos que oferecem suporte ao AWS Backup gerenciamento completo têm pontos de recuperação no formato`arn:aws:backup:region:account-id::recovery-point:*`, facilitando a aplicação de políticas de permissões para proteger esses pontos de recuperação. Para ver quais recursos oferecem suporte ao AWS Backup gerenciamento completo, consulte essa seção da [Disponibilidade de recursos por recurso](backup-feature-availability.md#features-by-resource) tabela.
AWS Backup fornece um conjunto de operações para trabalhar com AWS Backup recursos. Para ver uma lista das operações disponíveis, consulte AWS Backup [Ações](API_Operations.md).
## Propriedade de recursos
Ele Conta da AWS possui os recursos que são criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário Conta da AWS do recurso é a [entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (ou seja, o usuário Conta da AWS raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:
+ Se você usar suas credenciais de usuário Conta da AWS raiz Conta da AWS para criar um cofre de backup, você Conta da AWS é o proprietário do cofre.
+ Se você criar um usuário do IAM em seu Conta da AWS e conceder permissões para criar um cofre de backup para esse usuário, o usuário poderá criar um cofre de backup. No entanto, sua conta da AWS , à qual o usuário pertence, é a proprietária do recurso do cofre de backup.
+ Se você criar uma função do IAM na sua Conta da AWS com permissões para criar um cofre de backup, qualquer pessoa que possa assumir a função poderá criar um cofre. Seu Conta da AWS, ao qual a função pertence, é proprietário do recurso de backup vault.
## Especificando elementos de política: ações, efeitos e entidades principais
Para cada AWS Backup recurso (consulte[Recursos e operações](#access-control-resources)), o serviço define um conjunto de operações de API (consulte[Ações](API_Operations.md)). Para conceder permissões para essas operações de API, AWS Backup defina um conjunto de ações que você pode especificar em uma política. A execução de uma operação de API pode exigir permissões para mais de uma ação.
Estes são os elementos de política mais básicos:
+ Recurso: em uma política, você usa um Amazon Resource Name (ARN – Nome do recurso da Amazon) para identificar o recurso a que a política se aplica. Para obter mais informações, consulte [Recursos e operações](#access-control-resources).
+ Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar.
+ Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
+ Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).
Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a [Referência da política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
Para ver uma tabela mostrando todas as ações AWS Backup da API, consulte[Permissões da API: referência de ações, recursos e condições](#backup-api-permissions-ref).
## Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
AWS suporta chaves de condição globais e chaves de condição específicas do serviço. Para ver todas as chaves de condição globais, consulte [chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
AWS Backup define seu próprio conjunto de chaves de condição. Para ver uma lista de chaves de AWS Backup condição, consulte [Chaves de condição AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html#awsbackup-policy-keys) na *Referência de autorização de serviço*.
## Permissões da API: referência de ações, recursos e condições
Ao configurar [Controle de acesso](#access-control) e escrever uma política de permissões que você pode anexar a uma identidade do IAM (políticas baseadas em identidade), é possível usar a de tabelas a seguir como referência. A cada operação de AWS Backup API, as ações correspondentes para as quais você pode conceder permissões para realizar a ação e o AWS recurso para o qual você pode conceder as permissões. Você especifica as ações no campo `Action` da política e o valor do recurso no campo `Resource` da política. Se o campo `Resource` estiver em branco, use o caractere curinga (`*`) para incluir todos os recursos.
Você pode usar chaves AWS de condição abrangentes em suas AWS Backup políticas para expressar condições. Para obter uma lista completa AWS de chaves gerais, consulte [Chaves disponíveis](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*.
Use as barras de rolagem para ver o restante da tabela.
**AWS Backup API e permissões necessárias para ações**
| AWS Backup Operações de API | Permissões obrigatórias (ações de API) | Recursos |
| --- | --- | --- |
| [CreateBackupPlan](API_CreateBackupPlan.md) | backup:CreateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupSelection](API_CreateBackupSelection.md) | backup:CreateBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [CreateBackupVault](API_CreateBackupVault.md) | `backup:CreateBackupVault` `backup-storage:MountCapsule` `kms:CreateGrant` `kms:GenerateDataKey` `kms:Decrypt` `kms:RetireGrant` `kms:DescribeKey` | arn:aws:backup:region:account-id:backup-vault:\$1 Para `backup-storage`:\$1 Para o `kms`: `arn:aws:kms:region:account-id:key/keystring` |
| [DeleteBackupPlan](API_DeleteBackupPlan.md) | backup:DeleteBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupSelection](API_DeleteBackupSelection.md) | backup:DeleteBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [DeleteBackupVault](API_DeleteBackupVault.md) | backup:DeleteBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultAccessPolicy](API_DeleteBackupVaultAccessPolicy.md) | backup:DeleteBackupVaultAccessPolicy | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteBackupVaultNotifications](API_DeleteBackupVaultNotifications.md) | backup:DeleteBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DeleteRecoveryPoint](API_DeleteRecoveryPoint.md) | backup:DeleteRecoveryPoint1 | 2 |
| [DescribeBackupJob](API_DescribeBackupJob.md) | backup:DescribeBackupJob | |
| [DescribeBackupVault](API_DescribeBackupVault.md) | backup:DescribeBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [DescribeProtectedResource](API_DescribeProtectedResource.md) | backup:DescribeProtectedResource | |
| [DescribeRecoveryPoint](API_DescribeRecoveryPoint.md) | backup:DescribeRecoveryPoint1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [DescribeRestoreJob](API_DescribeRestoreJob.md) | backup:DescribeRestoreJob | |
| [DescribeRegionSettings](API_DescribeRegionSettings.md) | backup:DescribeRegionSettings | |
| [ExportBackupPlanTemplate](API_ExportBackupPlanTemplate.md) | backup:ExportBackupPlanTemplate | |
| [GetBackupPlan](API_GetBackupPlan.md) | backup:GetBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupPlanFromJSON](API_GetBackupPlanFromJSON.md) | backup:GetBackupPlanFromJSON | |
| [GetBackupPlanFromTemplate](API_GetBackupPlanFromTemplate.md) | backup:GetBackupPlanFromTemplate | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupSelection](API_GetBackupSelection.md) | backup:GetBackupSelection | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [GetBackupVaultAccessPolicy](API_GetBackupVaultAccessPolicy.md) | backup:GetBackupVaultAccessPolicy1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetBackupVaultNotifications](API_GetBackupVaultNotifications.md) | backup:GetBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetRecoveryPointRestoreMetadata](API_GetRecoveryPointRestoreMetadata.md) | backup:GetRecoveryPointRestoreMetadata1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [GetSupportedResourceTypes](API_GetSupportedResourceTypes.md) | backup:GetSupportedResourceTypes | |
| [ListBackupJobs](API_ListBackupJobs.md) | backup:ListBackupJobs | |
| [ListBackupPlans](API_ListBackupPlans.md) | backup:ListBackupPlans | |
| [ListBackupPlanTemplates](API_ListBackupPlanTemplates.md) | backup:ListBackupPlanTemplates | |
| [ListBackupPlanVersions](API_ListBackupPlanVersions.md) | backup:ListBackupPlanVersions | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupSelections](API_ListBackupSelections.md) | backup:ListBackupSelections | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [ListBackupVaults](API_ListBackupVaults.md) | backup:ListBackupVaults | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListProtectedResources](API_ListProtectedResources.md) | backup:ListProtectedResources | |
| [ListRecoveryPointsByBackupVault](API_ListRecoveryPointsByBackupVault.md) | backup:ListRecoveryPointsByBackupVault1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [ListRecoveryPointsByResource](API_ListRecoveryPointsByResource.md) | backup:ListRecoveryPointsByResource | |
| [ListRestoreJobs](API_ListRestoreJobs.md) | backup:ListRestoreJobs | |
| [ListTags](API_ListTags.md) | backup:ListTags | |
| [PutBackupVaultAccessPolicy](API_PutBackupVaultAccessPolicy.md) | backup:PutBackupVaultAccessPolicy1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultLockConfiguration](API_PutBackupVaultLockConfiguration.md) | backup:PutBackupVaultLockConfiguration1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [PutBackupVaultNotifications](API_PutBackupVaultNotifications.md) | backup:PutBackupVaultNotifications1 | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartBackupJob](API_StartBackupJob.md) | backup:StartBackupJob | arn:aws:backup:region:account-id:backup-vault:\$1 |
| [StartRestoreJob](API_StartRestoreJob.md) | backup:StartRestoreJob | `arn:aws:backup:region:account-id:backup-vault:*` `arn:aws:backup:region:account-id:recovery-point:*` 3 |
| [StopBackupJob](API_StopBackupJob.md) | backup:StopBackupJob | |
| [TagResource](API_TagResource.md) | backup:TagResource | arn:aws:backup:region:account-id:recovery-point:\$1 |
| [UntagResource](API_UntagResource.md) | backup:UntagResource | |
| [UpdateBackupPlan](API_UpdateBackupPlan.md) | backup:UpdateBackupPlan | arn:aws:backup:region:account-id:backup-plan:\$1 |
| [UpdateRecoveryPointLifecycle](API_UpdateRecoveryPointLifecycle.md) | backup:UpdateRecoveryPointLifecycle1 | arn:aws:backup:region:account-id:backup-vault:\$1 2 |
| [UpdateRegionSettings](API_UpdateRegionSettings.md) | `backup:UpdateRegionSettings` `backup:DescribeRegionSettings` | |
1 Usa a política de acesso ao cofre existente.
2 Consulte o [AWS Backup recurso ARNs](#resource-arns-table) ponto de recuperação específico do recurso. ARNs
3 `StartRestoreJob` também precisa ter o par de chave-valor nos metadados do recurso. Para obter os metadados do recurso, chame a API `GetRecoveryPointRestoreMetadata`.
Para obter mais informações, consulte [Ações, recursos e chaves de condição do AWS Backup](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html), na *Referência de autorização do serviço*.
## Copiar permissões de tags
Quando AWS Backup executa um trabalho de backup ou cópia, ele tenta copiar as tags do seu recurso de origem (ou ponto de recuperação, no caso de cópia) para o seu ponto de recuperação.
**nota**
AWS Backup **não** copia as tags de forma nativa durante os trabalhos de restauração. Para uma arquitetura orientada por eventos que copiará tags durante trabalhos de restauração, consulte [Como reter tags de recursos em trabalhos de AWS Backup restauração](https://aws.amazon.com/blogs/storage/how-to-retain-resource-tags-in-aws-backup-restore-jobs/).
Durante um trabalho de backup ou cópia, AWS Backup agrega as tags que você especifica em seu plano de backup (ou plano de cópia, ou backup sob demanda) com as tags do seu recurso de origem. No entanto, AWS impõe um limite de 50 tags por recurso, que AWS Backup não pode exceder. Quando um trabalho de backup ou de cópia agrega tags do plano e do recurso de origem, ele pode descobrir mais de 50 tags no total. Ele não conseguirá concluir o trabalho e haverá falhar no trabalho. Isso é consistente com as melhores práticas AWS de marcação em todo o mundo.
+ Seu recurso tem mais de 50 tags depois de agregar suas tags de trabalho de backup às tags de recursos de origem. AWS suporta até 50 tags por recurso.
+ A função do IAM que você fornece AWS Backup não tem permissões para ler as tags de origem ou definir as tags de destino. Para obter mais informações e exemplos de políticas de perfil do IAM, consulte [Políticas gerenciadas](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html#managed-policies).
É possível usar seu plano de backup (tags adicionadas a pontos de recuperação) para criar tags que contradigam suas tags do recurso de origem. Quando entram em conflito, as tags do plano de backup têm precedência. Use essa técnica se você preferir não copiar um valor de tag do seu recurso de origem. Especifique a mesma chave de tag, mas com um valor diferente ou vazio, usando o plano de backup.
**Permissões necessárias para atribuir tags a backups**
| Tipo de atributo | Permissão obrigatória |
| --- | --- |
| Sistema de arquivos do Amazon EFS | `elasticfilesystem:DescribeTags` |
| Sistema FSx de arquivos Amazon | `fsx:ListTagsForResource` |
| Banco de dados do Amazon RDS e cluster do Amazon Aurora | `rds:AddTagsToResource` `rds:ListTagsForResource` |
| Volume do Storage Gateway | `storagegateway:ListTagsForResource` |
| Instância do Amazon EC2 e volume do Amazon EBS | `EC2:CreateTags` `EC2:DescribeTags` |
O DynamoDB não é compatível com a atribuição de tags aos backups, a menos que você habilite [Backup avançado do DynamoDB](advanced-ddb-backup.md) primeiro.
Quando um backup do Amazon EC2 cria um ponto de recuperação de imagem e um conjunto de snapshots, AWS Backup copia as tags para a AMI resultante. AWS Backup também copia as tags dos volumes associados à instância do Amazon EC2 para os snapshots resultantes.
## Políticas de acesso
Uma *política de permissões* descreve quem tem acesso a quê. As políticas anexadas a uma identidade do IAM são conhecidas como políticas *baseadas em identidade* (políticas do IAM). As políticas anexadas a um recurso são chamadas de políticas *baseadas em recursos*. AWS Backup suporta políticas baseadas em identidade e políticas baseadas em recursos.
**nota**
Esta seção discute o uso do IAM no contexto de AWS Backup. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Manual do usuário do IAM*. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência da política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Manual do usuário do IAM*.
### Políticas baseadas em identidade (políticas do IAM)
As políticas baseadas em identidade são políticas que podem ser anexadas a identidades do IAM, como usuários ou funções. Por exemplo, você pode definir uma política que permita que um usuário visualize e faça backup de AWS recursos, mas impeça que ele restaure os backups.
Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*.
Para obter mais informações sobre como usas as políticas do IAM para controlar o acesso a backups, consulte [Políticas gerenciadas para AWS Backup](security-iam-awsmanpol.md).
### Políticas baseadas em recursos
AWS Backup oferece suporte a políticas de acesso baseadas em recursos para cofres de backup. Isso permite que você defina uma política de acesso que controle quais usuários têm que tipo de acesso a qualquer um dos backups organizados em um cofre de backup. As políticas de acesso baseadas em recursos para cofres de backup fornecem uma maneira fácil de controlar o acesso aos seus backups.
As políticas de acesso do Backup Vault controlam o acesso do usuário quando você usa AWS Backup APIs. Alguns tipos de backup, como os snapshots do Amazon Elastic Block Store (Amazon EBS) e do Amazon Relational Database Service (Amazon RDS), também podem ser acessados usando esses serviços. APIs Você pode criar políticas de acesso separadas no IAM que controlam o acesso a elas APIs para controlar totalmente o acesso aos backups.
Para saber como criar uma política de acesso para cofres de backup, consulte [Políticas de acesso a cofres](create-a-vault-access-policy.md).
# Perfis de serviço do IAM
Uma função AWS Identity and Access Management (IAM) é semelhante à de um usuário, pois é uma AWS identidade com políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Uma função de serviço é uma função que um AWS serviço assume para realizar ações em seu nome. Como um serviço que executa as operações de backup em seu nome, o AWS Backup exige que você atribua uma função a ele ao executar operações de backup em seu nome. Para obter mais informações sobre perfis do IAM, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) no *Guia do usuário do IAM*.
A função para a qual você passa AWS Backup deve ter uma política do IAM com as permissões que permitem AWS Backup realizar ações associadas às operações de backup, como criar, restaurar ou expirar backups. Permissões diferentes são necessárias para cada um dos AWS serviços que oferecem AWS Backup suporte. A função também deve estar AWS Backup listada como uma entidade confiável, o que AWS Backup permite assumir a função.
Ao atribuir recursos a um plano de backup ou realizar um backup, cópia ou restauração sob demanda, você deve transmitir uma função de serviço que tenha acesso para realizar as operações subjacentes nos recursos especificados. AWS Backup usa essa função para criar, marcar e excluir recursos em sua conta.
## Usando AWS funções para controlar o acesso aos backups
Você pode usar funções para controlar o acesso aos seus backups definindo funções com escopo limitado e especificando quem pode transmitir essa função ao AWS Backup. Por exemplo, você pode criar uma função que conceda somente permissões para fazer backup dos bancos de dados do Amazon Relational Database Service (Amazon RDS) e conceda somente aos proprietários do banco de dados do Amazon RDS permissão para transmitir essa função para. AWS Backup AWS Backup fornece várias políticas gerenciadas predefinidas para cada um dos serviços suportados. Essas políticas gerenciadas podem ser anexadas a funções criadas por você. Isso facilita a criação de funções específicas do serviço que tenham as permissões corretas necessárias. AWS Backup
Para obter mais informações sobre políticas AWS gerenciadas para AWS Backup, consulte[Políticas gerenciadas para AWS Backup](security-iam-awsmanpol.md).
## Função de serviço padrão para AWS Backup
Ao usar o AWS Backup console pela primeira vez, você pode optar por AWS Backup criar uma função de serviço padrão para você. Essa função tem as permissões AWS Backup necessárias para criar e restaurar backups em seu nome.
**nota**
O perfil padrão é criado automaticamente quando você usa o Console de gerenciamento da AWS. Você pode criar a função padrão usando o AWS Command Line Interface (AWS CLI), mas isso deve ser feito manualmente.
Se preferir usar perfis personalizados, como perfis separados para diferentes tipos de recursos, você também poderá fazer isso e passar os perfis personalizados para o AWS Backup. Para ver exemplos de funções que permitem o backup e a restauração para tipos de recursos individuais, consulte a tabela [Políticas gerenciadas pelo cliente](security-iam-awsmanpol.md#customer-managed-policies).
O nome do perfil de serviço padrão é `AWSBackupDefaultServiceRole`. Essa função de serviço contém duas políticas gerenciadas [AWSBackupServiceRolePolicyForBackup[AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)e.
`AWSBackupServiceRolePolicyForBackup`inclui uma política do IAM que concede AWS Backup permissões para descrever o recurso que está sendo copiado, a capacidade de criar, excluir, descrever ou adicionar tags a um backup, independentemente da AWS KMS chave com a qual ele está criptografado.
`AWSBackupServiceRolePolicyForRestores`inclui uma política do IAM que concede AWS Backup permissões para criar, excluir ou descrever o novo recurso que está sendo criado a partir de um backup, independentemente da AWS KMS chave com a qual ele está criptografado. Ele também inclui permissões para marcar o recurso recém-criado.
Para restaurar uma instância do Amazon EC2, você deve executar uma nova instância.
## Criar o perfil de serviço padrão no console
As ações específicas que você executa no AWS Backup console criam a função de serviço AWS Backup padrão.
**Para criar a função de serviço AWS Backup padrão em sua AWS conta**
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Para criar o perfil para sua conta, atribua recursos a um plano de backup ou crie um backup sob demanda.
1. Crie um plano de backup e atribua recursos ao backup. Consulte [Criar um plano de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html).
1. Como alternativa, crie um backup sob demanda. Consulte [Criar um backup sob demanda](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-on-demand-backup.html).
1. Verifique se você criou o `AWSBackupDefaultServiceRole` em sua conta seguindo estas etapas:
1. Aguarde alguns instantes. Para obter mais informações, consulte [As alterações que eu faço nem sempre ficam imediatamente visíveis](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency) no *Guia do usuário do AWS Identity and Access Management*.
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No menu de navegação esquerdo, escolha **Perfis**.
1. Na caixa de pesquisa, digite `AWSBackupDefaultServiceRole`. Se essa seleção existir, você criou a função AWS Backup padrão e concluiu esse procedimento.
1. Se `AWSBackupDefaultServiceRole` ainda não for exibido, adicione as seguintes permissões ao usuário do IAM ou ao perfil do IAM que você usa para acessar o console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iam:CreateRole",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource":"arn:aws:iam::*:role/service-role/AWSBackupDefaultServiceRole"
},
{
"Effect":"Allow",
"Action":[
"iam:ListRoles"
],
"Resource":"*"
}
]
}
```
------
Para regiões da China, *aws* substitua por*aws-cn*. Para AWS GovCloud (US) regiões, substitua *aws* por*aws-us-gov*.
1. Se não puder adicionar permissões ao seu usuário do IAM ou perfil do IAM, peça ao administrador que crie manualmente um perfil com um nome *diferente* de `AWSBackupDefaultServiceRole` e anexe esse perfil a estas políticas gerenciadas:
+ `AWSBackupServiceRolePolicyForBackup`
+ `AWSBackupServiceRolePolicyForRestores`
# Políticas gerenciadas para AWS Backup
As políticas gerenciadas são políticas autônomas baseadas em identidade que você pode anexar a vários usuários, grupos e funções em seu. Conta da AWS Ao anexar uma política a uma entidade principal, você atribui à entidade as permissões que estão definidas na política.
*AWS as políticas gerenciadas* são criadas e administradas por AWS. Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada.
*As políticas gerenciadas pelo cliente* oferecem controles refinados para configurar o acesso aos backups. AWS Backup Por exemplo, você pode usá-los para fornecer ao administrador de backup do banco de dados acesso aos backups do Amazon RDS, mas não aos do Amazon EFS.
Para obter mais informações, consulte [Políticas gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) no *Guia do usuário do IAM*.
## AWS políticas gerenciadas
AWS Backup fornece as seguintes políticas AWS gerenciadas para casos de uso comuns. Essas políticas facilitam a definição das permissões corretas e o controle de acesso aos seus backups. Existem dois tipos de políticas gerenciadas. Um tipo é projetado para ser atribuído aos usuários a fim de controlar o acesso ao AWS Backup. O outro tipo de política gerenciada foi projetado para ser anexada às funções que você transmitir para o AWS Backup. A tabela a seguir lista todas as políticas gerenciadas que o AWS Backup fornece e descreve como elas são definidas. Você pode encontrar essas políticas gerenciadas na seção **Políticas** do console do IAM.
**Topics**
+ [AWSBackupAuditAccess](#AWSBackupAuditAccess)
+ [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess)
+ [AWSBackupFullAccess](#AWSBackupFullAccess)
+ [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync)
+ [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans)
+ [AWSBackupOperatorAccess](#AWSBackupOperatorAccess)
+ [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess)
+ [AWSBackupRestoreAccessForSAFANA](#AWSBackupRestoreAccessForSAPHANA)
+ [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)
+ [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup)
+ [AWSBackupServiceLinkedRolePolicyForBackupTest](#AWSBackupServiceLinkedRolePolicyForBackupTest)
+ [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup)
+ [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)
+ [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)
+ [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)
+ [AWSBackupServiceRolePolicyForBackup do S3](#AWSBackupServiceRolePolicyForS3Backup)
+ [AWSBackupServiceRolePolicyForRestauração do S3](#AWSBackupServiceRolePolicyForS3Restore)
+ [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans)
+ [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports)
+ [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting)
### AWSBackupAuditAccess
Essa política concede permissões para que os usuários criem controles e estruturas que definam suas expectativas em relação a AWS Backup recursos e atividades e auditem AWS Backup recursos e atividades em relação aos controles e estruturas definidos. Essa política concede permissões AWS Config e serviços similares para descrever as expectativas do usuário e realizar as auditorias.
Essa política também concede permissões para entregar relatórios de auditoria ao Amazon S3 e a serviços similares e permite que os usuários encontrem e abram os relatórios de auditoria.
Para visualizar as permissões para esta política, consulte [AWSBackupAuditAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupAuditAccess.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSBackupDataTransferAccess
Essa política fornece permissões para a transferência de dados do plano de AWS Backup armazenamento APIs, permitindo que o agente AWS Backint conclua a transferência de dados de backup com o plano AWS Backup de armazenamento. Os usuários podem anexar essa política às funções assumidas pelas instâncias do EC2 que executam o SAP HANA com o agente do Backint.
Para visualizar as permissões para esta política, consulte [AWSBackupDataTransferAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupDataTransferAccess.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSBackupFullAccess
O administrador de backup tem acesso total às AWS Backup operações, incluindo a criação ou edição de planos de backup, a atribuição de AWS recursos aos planos de backup e a restauração de backups. Os administradores de backup são responsáveis por determinar e aplicar a conformidade de backup definindo planos de backup que atendem aos requisitos regulamentares e empresariais da organização. Os administradores de backup também garantem que os AWS recursos de sua organização sejam atribuídos ao plano apropriado.
Para visualizar as permissões para esta política, consulte [AWSBackupFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupFullAccess.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync
Esta política fornece permissão ao Backup Gateway para sincronizar os metadados das Máquinas Virtuais em seu nome.
Para visualizar as permissões para esta política, consulte [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSBackupGuardDutyRolePolicyForScans
Essa política deve ser adicionada a uma nova função de escaneamento que conceda à Amazon GuardDuty permissão para ler e escanear seus backups. Você precisará anexar essa função de escaneamento ao seu plano de backup nas configurações de escaneamento ou proteção contra malware. Quando o AWS Backup inicia um escaneamento, ele passa essa função de escaneamento para a Amazon GuardDuty.
Para visualizar as permissões para esta política, consulte [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSBackupOperatorAccess
Os operadores de backup são usuários que devem assegurar que os recursos aos quais eles são responsáveis são submetidos corretamente ao backup. Os operadores de backup têm permissões para atribuir AWS recursos aos planos de backup criados pelo administrador de backup. Eles também têm permissões para criar backups sob demanda de seus AWS recursos e configurar o período de retenção dos backups sob demanda. Operadores de backup não têm permissões para criar ou editar planos de backup ou excluir os backups programados depois de serem criados. Os operadores de backup podem restaurar backups. Você pode limitar os tipos de recursos que um operador de backup pode atribuir a um plano de backup ou de restauração a partir de um backup. Você faz isso permitindo que somente determinadas funções de serviço sejam passadas para AWS Backup quem tenha permissões para um determinado tipo de recurso.
Para visualizar as permissões para esta política, consulte [AWSBackupOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOperatorAccess.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSBackupOrganizationAdminAccess
O administrador da organização tem acesso total às AWS Organizations operações, incluindo criação, edição ou exclusão de políticas de backup, atribuição de políticas de backup a contas e unidades organizacionais e monitoramento de atividades de backup dentro da organização. Os administradores da organização são responsáveis por proteger as contas na organização, definindo e atribuindo políticas de backup que atendam aos requisitos normativos e comerciais de sua organização.
Para visualizar as permissões para esta política, consulte [AWSBackupOrganizationAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupOrganizationAdminAccess.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSBackupRestoreAccessForSAFANA
Essa política fornece AWS Backup permissão para restaurar um backup do SAP HANA no Amazon EC2.
Para ver as permissões dessa política, consulte [AWSBackupRestoreAccessForSAPHANA na Referência](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupRestoreAccessForSAPHANA.html) de *política AWS gerenciada*.
### AWSBackupSearchOperatorAccess
O perfil do operador de pesquisa tem acesso para criar índices de backup e criar pesquisas de metadados de backup indexados.
Essa política contém as permissões necessárias para essas funções.
Para visualizar as permissões para esta política, consulte [AWSBackupSearchOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupSearchOperatorAccess.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSBackupServiceLinkedRolePolicyForBackup
Essa política está anexada à função vinculada ao serviço chamada AWSServiceRoleforBackup para permitir AWS Backup a chamada de AWS serviços em seu nome para gerenciar seus backups. Para obter mais informações, consulte [Uso de funções para fazer backup e copiar](using-service-linked-roles-AWSServiceRoleForBackup.md).
Para ver as permissões dessa política, consulte [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)na *Referência de política AWS gerenciada*.
### AWSBackupServiceLinkedRolePolicyForBackupTest
Para visualizar as permissões para esta política, consulte [AWSBackupServiceLinkedRolePolicyForBackupTest](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackupTest.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSBackupServiceRolePolicyForBackup
Fornece AWS Backup permissões para criar backups de todos os tipos de recursos compatíveis em seu nome.
Para visualizar as permissões para esta política, consulte [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSBackupServiceRolePolicyForItemRestores
**Descrição**
Essa política concede aos usuários permissões para restaurar arquivos e itens individuais em um snapshot (ponto de recuperação de backup periódico) para um bucket do Amazon S3 novo ou existente ou para um novo volume do Amazon EBS. Essas permissões incluem: permissões de leitura no Amazon EBS para snapshots gerenciadas pelo AWS Backup , permissões de leitura/gravação para buckets do Amazon S3 e permissões de geração e descrição de chaves do AWS KMS .
**Usando esta política**
Você pode vincular a `AWSBackupServiceRolePolicyForItemRestores` aos seus usuários, grupos e perfis.
**Detalhes desta política**
+ **Tipo:** política AWS gerenciada
+ **Hora da criação**: 21 de novembro de 2024 22:45 UTC
+ **Hora de edição:** primeira instância
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForItemRestores`
**Versão da política:** v1 (padrão)
A versão define as permissões da política. Quando o usuário ou a função com a política faz uma solicitação para acessar um AWS recurso, AWS verifica a versão padrão da política para determinar se a solicitação deve ser permitida ou não.
**Documento de política JSON:**
#### AWSBackupServiceRolePolicyForItemRestores JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "S3ReadonlyPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::*"
},
{
"Sid": "S3PermissionsForFileLevelRestore",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": "arn:aws:s3:::*/*"
},
{
"Sid": "KMSDataKeyForS3AndEC2Permissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com",
"s3.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForIndexing
**Descrição**
Essa política concede aos usuários permissões para indexar snapshots, também conhecidos como pontos de recuperação periódicos. Essas permissões incluem: permissões de leitura no Amazon EBS para snapshots gerenciados por permissões de AWS Backup leitura/gravação em buckets do Amazon S3 e geração e descrição de permissões para chaves. AWS KMS
**Usando esta política**
Você pode vincular a `AWSBackupServiceRolePolicyForIndexing` aos seus usuários, grupos e perfis.
**Detalhes desta política**
+ **Tipo:** política AWS gerenciada
+ **Hora de edição:** primeira instância
+ **ARN:** `arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForIndexing`
**Versão da política:** v1 (padrão)
A versão define as permissões da política. Quando o usuário ou a função da política faz uma solicitação para acessar um AWS recurso, AWS verifica a versão padrão da política para determinar se a solicitação deve ser permitida ou não.
**Documento de política JSON:**
#### AWSBackupServiceRolePolicyForIndexing JSON
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EBSReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSReadOnlyPermissions",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "EBSDirectReadAPIPermissions",
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "KMSDataKeyForEC2Permissions",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"ec2.*.amazonaws.com"
]
}
}
}
]
}
```
------
### AWSBackupServiceRolePolicyForRestores
Fornece AWS Backup permissões para restaurar backups de todos os tipos de recursos compatíveis em seu nome.
Para visualizar as permissões para esta política, consulte [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html) na *Referência de políticas gerenciadas pela AWS *.
Para restaurações de instâncias do EC2, inclua também as seguintes permissões para executar a instância do EC2:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowPassRole",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/role-name",
"Effect": "Allow"
}
]
}
```
------
### AWSBackupServiceRolePolicyForBackup do S3
Essa política contém as permissões necessárias para AWS Backup fazer backup de qualquer bucket do S3. Isso inclui acesso a todos os objetos em um bucket e a qualquer AWS KMS chave associada.
Para ver as permissões para essa política, consulte [AWSBackupServiceRolePolicyForS3Backup na Referência](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html) de *Política AWS Gerenciada*.
### AWSBackupServiceRolePolicyForRestauração do S3
Essa política contém as permissões necessárias AWS Backup para restaurar um backup do S3 em um bucket. Isso inclui permissões de leitura e gravação nos buckets e o uso de qualquer AWS KMS chave em relação às operações do S3.
Para ver as permissões dessa política, consulte [AWSBackupServiceRolePolicyForS3Restore na Referência](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html) de *Política AWS Gerenciada*.
### AWSBackupServiceRolePolicyForScans
A política deve ser anexada à função do IAM que você usa na seleção de recursos do seu plano de backup. Essa função concede ao AWS Backup permissão para iniciar escaneamentos na Amazon. GuardDuty
Para visualizar as permissões para esta política, consulte [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSServiceRolePolicyForBackupReports
AWS Backup usa essa política para a função [AWSServiceRoleForBackupReports](https://docs.aws.amazon.com/aws-backup/latest/devguide/using-service-linked-roles-AWSServiceRoleForBackupReports.html)vinculada ao serviço. Essa função vinculada ao serviço fornece AWS Backup permissões para monitorar e relatar a conformidade de suas configurações, tarefas e recursos de backup com suas estruturas.
Para visualizar as permissões para esta política, consulte [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) na *Referência de políticas gerenciadas pela AWS *.
### AWSServiceRolePolicyForBackupRestoreTesting
Para visualizar as permissões para esta política, consulte [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) na *Referência de políticas gerenciadas pela AWS *.
## Políticas gerenciadas pelo cliente
As seções a seguir descrevem as permissões recomendadas de backup e restauração para os AWS serviços e aplicativos de terceiros suportados pelo AWS Backup. Você pode usar as políticas AWS gerenciadas existentes como modelo ao criar seus próprios documentos de política e depois personalizá-los para restringir ainda mais o acesso aos seus AWS recursos.
**Importante**
Ao usar funções personalizadas do IAM para AWS Backup, você deve incluir permissões específicas do recurso, além das permissões. AWS Backup Por exemplo, ao chamar `backup:ListTags` em um recurso do Amazon RDS, o perfil do IAM personalizado também deve incluir a permissão `rds:ListTagsForResource`. Embora essas permissões estejam incluídas na função de AWS Backup serviço padrão, elas devem ser adicionadas explicitamente às políticas gerenciadas pelo cliente. As permissões de recursos subjacentes necessárias dependem do AWS serviço e da operação específicos que estão sendo executados.
### Amazon Aurora
**Backup**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restaurar**
Comece com a `RDSPermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon Aurora DSQL
**Backup**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DSQLBackupPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restaurar**
Comece com a `DSQLRestorePermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon DynamoDB
**Backup**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamodbBackupPermissions`
+ `KMSDynamoDBPermissions`
**Restaurar**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `DynamoDBPermissions`
+ `DynamoDBBackupResourcePermissions`
+ `DynamoDBRestorePermissions`
+ `KMSPermissions`
### Amazon EBS
**Backup**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSResourcePermissions`
+ `EBSTagAndDeletePermissions`
+ `EBSCopyPermissions`
+ `EBSSnapshotTierPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restaurar**
Comece com a `EBSPermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
Adicione a instrução a seguir.
```
{
"Effect":"Allow",
"Action": [
"ec2:DescribeSnapshots",
"ec2:DescribeVolumes"
],
"Resource":"*"
},
```
### Amazon EC2
**Backup**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EBSCopyPermissions`
+ `EC2CopyPermissions`
+ `EC2Permissions`
+ `EC2TagPermissions`
+ `EC2ModifyPermissions`
+ `EBSResourcePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restaurar**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `EBSPermissions`
+ `EC2DescribePermissions`
+ `EC2RunInstancesPermissions`
+ `EC2TerminateInstancesPermissions`
+ `EC2CreateTagsPermissions`
Adicione a instrução a seguir.
```
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/role-name"
},
```
*role-name*Substitua pelo nome da função do perfil da instância do EC2 que será anexada à instância do EC2 restaurada. Essa não é a função AWS Backup de serviço, mas sim a função do IAM que fornece permissões para aplicativos em execução na instância do EC2.
### Amazon EFS
**Backup**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `EFSPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
**Restaurar**
Comece com a `EFSPermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon FSx
**Backup**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `FsxBackupPermissions`
+ `FsxCreateBackupPermissions`
+ `FsxPermissions`
+ `FsxVolumePermissions`
+ `FsxListTagsPermissions`
+ `FsxDeletePermissions`
+ `FsxResourcePermissions`
+ `KMSPermissions`
**Restaurar**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `FsxPermissions`
+ `FsxTagPermissions`
+ `FsxBackupPermissions`
+ `FsxDeletePermissions`
+ `FsxDescribePermissions`
+ `FsxVolumeTagPermissions`
+ `FsxBackupTagPermissions`
+ `FsxVolumePermissions`
+ `DSPermissions`
+ `KMSDescribePermissions`
### Amazon Neptune
**Backup**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restaurar**
Comece com a `RDSPermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon RDS
**Backup**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `DynamoDBBackupPermissions`
+ `RDSBackupPermissions`
+ `RDSClusterModifyPermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
+ `KMSPermissions`
**Restaurar**
Comece com a `RDSPermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Amazon S3
**Backup**
Comece com o [AWSBackupServiceRolePolicyForS3Backup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Backup.html).
Adicione as `BackupVaultPermissions` e `BackupVaultCopyPermissions` se precisar copiar os backups para uma conta diferente.
**Restaurar**
Comece com o [AWSBackupServiceRolePolicyForS3Restore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForS3Restore.html).
### AWS Storage Gateway
**Backup**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html):
+ `StorageGatewayPermissions`
+ `EBSTagAndDeletePermissions`
+ `GetResourcesPermissions`
+ `BackupVaultPermissions`
Adicione a instrução a seguir.
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSnapshots"
],
"Resource":"*"
},
```
**Restaurar**
Comece com as seguintes declarações de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html):
+ `StorageGatewayVolumePermissions`
+ `StorageGatewayGatewayPermissions`
+ `StorageGatewayListPermissions`
### Máquina virtual
**Backup**
Comece com a `BackupGatewayBackupPermissions` declaração de [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html).
**Restaurar**
Comece com a `GatewayRestorePermissions` declaração de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html).
### Backup criptografado
**Para restaurar um backup criptografado, execute uma das seguintes ações:**
+ Adicione sua função à lista de permissões da política AWS KMS principal
+ Adicione as seguintes declarações de [AWSBackupServiceRolePolicyForRestores](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForRestores.html)à sua função do IAM para restaurações:
+ `KMSDescribePermissions`
+ `KMSPermissions`
+ `KMSCreateGrantPermissions`
## Atualizações de políticas para AWS Backup
Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS Backup desde que esse serviço começou a rastrear essas alterações.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting): atualizar para uma política existente | AWS Backup adicionou a seguinte permissão a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem que o teste de AWS Backup restauração exclua os bancos de dados de locatários do RDS após a conclusão do teste de restauração. | 18 de março de 2026 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup iniciar escaneamentos de malware em seus pontos de recuperação. | 23 de fevereiro de 2026 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – Nova política | AWS Backup adicionou uma nova política AWS gerenciada que fornece GuardDuty permissão à Amazon para ler e escanear backups de clientes. AWS Backup passa uma função com essa política para GuardDuty quando as operações `StartMalwareScan` são iniciadas. Isso é necessário para fornecer todas as permissões necessárias para escaneamentos de malware nos pontos de recuperação dos recursos do Amazon EC2, Amazon EBS e Amazon S3. Para obter mais informações, consulte a política gerenciada [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans). | 19 de novembro de 2025 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – Nova política | AWS Backup adicionou uma nova política AWS gerenciada que fornece AWS Backup permissão para iniciar escaneamentos de malware em seus pontos de recuperação. Isso é necessário para fornecer todas as permissões necessárias para escaneamentos de malware nos pontos de recuperação dos recursos do Amazon EC2, Amazon EBS e Amazon S3. Para obter mais informações, consulte a política gerenciada [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans). | 19 de novembro de 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Adicionado `malware-protection.guardduty.amazonaws.com` a`IamPassRolePermissions`, o que é necessário para iniciar trabalhos de verificação de malware. | 19 de novembro de 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para iniciar trabalhos de verificação de malware. | 19 de novembro de 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup fazer backup e restaurar clusters do Amazon EKS. | 10 de novembro de 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup fazer backup e restaurar clusters do Amazon EKS. | 10 de novembro de 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup criar backups dos clusters do Amazon EKS e seus recursos associados em nome dos clientes. | 10 de novembro de 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup criar backups dos clusters do Amazon EKS e seus recursos associados em nome dos clientes. | 10 de novembro de 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup realizar operações de restauração para clusters do Amazon EKS e seus recursos associados em nome dos clientes. | 10 de novembro de 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | AWS Backup adicionou a seguinte permissão a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essa permissão permite AWS Backup sincronizar as informações do administrador delegado com o Organizations para recursos de gerenciamento de várias contas. | 9 de setembro de 2025 |
| [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans) – Nova política | AWS Backup adicionou uma nova política AWS gerenciada que fornece GuardDuty permissão à Amazon para ler e escanear backups de clientes. AWS Backup passa uma função com essa política para GuardDuty quando as operações `StartMalwareScan` são iniciadas. Isso é necessário para fornecer todas as permissões necessárias para escaneamentos de malware nos pontos de recuperação dos recursos do Amazon EC2, Amazon EBS e Amazon S3. Para obter mais informações, consulte a política gerenciada [AWSBackupGuardDutyRolePolicyForScans](#AWSBackupGuardDutyRolePolicyForScans). | 24 de novembro de 2025 |
| [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans) – Nova política | AWS Backup adicionou uma nova política AWS gerenciada que fornece AWS Backup permissão para iniciar escaneamentos de malware em seus pontos de recuperação. Isso é necessário para fornecer todas as permissões necessárias para escaneamentos de malware nos pontos de recuperação dos recursos do Amazon EC2, Amazon EBS e Amazon S3. Para obter mais informações, consulte a política gerenciada [AWSBackupServiceRolePolicyForScans](#AWSBackupServiceRolePolicyForScans). | 24 de novembro de 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias AWS Backup para realizar operações orquestradas de restauração multirregional para recursos do DSQL em nome dos clientes. | 17 de julho de 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para a AWS Backup integração AWS Gerenciamento de contas e AWS Organizations , portanto, os clientes têm a opção de aprovação multipartidária (MPA) como parte de seus cofres logicamente fechados. | 17 de junho de 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores)— Atualização de uma política existente: | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para permitir que os clientes restaurem instantâneos da zona de multidisponibilidade (Multi-AZ) do Amazon FSx for OpenZFS por meio de. AWS Backup | 27 de maio de 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup fazer backup e restaurar recursos do Amazon Aurora DSQL. | 21 de maio de 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup fazer backup e restaurar recursos do Amazon Aurora DSQL. | 21 de maio de 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup criar, excluir, recuperar e gerenciar snapshots do Amazon Aurora DSQL em nome dos clientes. | 21 de maio de 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup criar, excluir, recuperar, criptografar, descriptografar e gerenciar snapshots do Amazon Aurora DSQL em nome dos clientes. | 21 de maio de 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões permitem AWS Backup gerenciar backups do Aurora DSQL em intervalos especificados pelo cliente. | 21 de maio de 2025 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para que os clientes designados tenham acesso total aos backups do Amazon Redshift sem servidor, incluindo as permissões de leitura necessárias, bem como a capacidade de excluir pontos de recuperação do Amazon Redshift sem servidor (backups de snapshots). | 31 de março de 2025 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para que os clientes designados tenham todas as permissões de backup necessárias para o Amazon Redshift sem servidor, incluindo as permissões de leitura necessárias. | 31 de março de 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias AWS Backup para gerenciar snapshots sem servidor do Amazon Redshift em intervalos especificados pelo cliente. | 31 de março de 2025 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias AWS Backup para permitir criar, excluir, recuperar e gerenciar snapshots do Amazon Redshift Serverless em nome dos clientes. | 31 de março de 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | AWS Backup adicionou as seguintes permissões a essa política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/aws-backup/latest/devguide/security-iam-awsmanpol.html) Essas permissões são necessárias para permitir AWS Backup a restauração de snapshots do Amazon Redshift e do Amazon Redshift Serverless em nome do cliente. | 31 de março de 2025 |
| [AWSBackupSearchOperatorAccess](#AWSBackupSearchOperatorAccess)— Foi adicionada uma nova política AWS gerenciada | AWS Backup adicionou a política AWSBackupSearchOperatorAccess AWS gerenciada. | 27 de fevereiro de 2025 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | AWS Backup adicionou a permissão `rds:AddTagsToResource` para oferecer suporte à cópia instantânea multilocatária de backups entre contas do Amazon RDS. Essa permissão é necessária para concluir as operações quando um cliente opta por criar uma cópia entre contas de um snapshot do RDS multilocatário. | 8 de janeiro de 2025 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | AWS Backup adicionou as permissões `rds:CreateTenantDatabase` e `rds:DeleteTenantDatabase` a esta política para apoiar o processo de restauração dos recursos do Amazon RDS. Essas permissões são necessárias para concluir as operações do cliente para restaurar snapshots multilocatários. | 8 de janeiro de 2025 |
| [AWSBackupServiceRolePolicyForItemRestores](#AWSBackupServiceRolePolicyForItemRestores)— Foi adicionada uma nova política AWS gerenciada | AWS Backup adicionou a política AWSBackupServiceRolePolicyForItemRestores AWS gerenciada. | 26 de novembro de 2024 |
| [AWSBackupServiceRolePolicyForIndexing](#AWSBackupServiceRolePolicyForIndexing)— Foi adicionada uma nova política AWS gerenciada | AWS Backup adicionou a política AWSBackupServiceRolePolicyForIndexing AWS gerenciada. | 26 de novembro de 2024 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | AWS Backup adicionou permissão `backup:TagResource` a esta política. A permissão é necessária para obter permissões de marcação durante a criação de um ponto de recuperação. | 17 de maio de 2024 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Atualização de uma política existente | AWS Backup adicionou permissão `backup:TagResource` a esta política. A permissão é necessária para obter permissões de marcação durante a criação de um ponto de recuperação. | 17 de maio de 2024 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | AWS Backup adicionou permissão `backup:TagResource` a esta política. A permissão é necessária para obter permissões de marcação durante a criação de um ponto de recuperação. | 17 de maio de 2024 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Permissão `rds:DeleteDBInstanceAutomatedBackups` adicionada. Essa permissão é necessária para oferecer suporte AWS Backup ao backup contínuo e às instâncias point-in-time-restore do Amazon RDS. | 1º de maio de 2024 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | AWS Backup atualizou o Amazon Resource Name (ARN) com permissão `storagegateway:ListVolumes` de `arn:aws:storagegateway:*:*:gateway/*` para para acomodar uma alteração `*` no modelo da API do Storage Gateway. | 1º de maio de 2024 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | AWS Backup atualizou o Amazon Resource Name (ARN) com permissão `storagegateway:ListVolumes` de `arn:aws:storagegateway:*:*:gateway/*` para para acomodar uma alteração `*` no modelo da API do Storage Gateway. | 1º de maio de 2024 |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – atualização para uma política existente | Foram adicionadas as seguintes permissões para descrever e listar pontos de recuperação e recursos protegidos para realizar planos de teste de restauração: `backup:DescribeRecoveryPoint`, `backup:DescribeProtectedResource`, `backup:ListProtectedResources` e `backup:ListRecoveryPointsByResource`. Foi adicionada a permissão `ec2:DescribeSnapshotTierStatus` para oferecer suporte ao armazenamento em nível de arquivamento do Amazon EBS. Foi adicionada a permissão `rds:DescribeDBClusterAutomatedBackups` para oferecer suporte aos backups contínuos do Amazon Aurora. Foram adicionadas as seguintes permissões para apoiar o teste de restauração dos backups do Amazon Redshift: `redshift:DescribeClusters` e `redshift:DeleteCluster`. Foi adicionada a permissão `timestream:DeleteTable` para oferecer suporte ao teste de restauração dos backups do Amazon Timestream. | 14 de fevereiro de 2024 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as permissões `ec2:DescribeSnapshotTierStatus` e `ec2:RestoreSnapshotTier`. Essas permissões são necessárias para que os usuários tenham a opção de restaurar os recursos do Amazon EBS armazenados a AWS Backup partir do armazenamento de arquivos. Para restaurações de instâncias do EC2, inclua também as permissões mostradas na seguinte declaração de política para inicializar a instância do EC2: | 27 de novembro de 2023 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as permissões `ec2:DescribeSnapshotTierStatus` e `ec2:ModifySnapshotTier` para oferecer suporte a uma opção de armazenamento adicional para que os recursos em backup do Amazon EBS sejam transferidos para o nível de armazenamento de arquivos. Essas permissões são necessárias para que os usuários tenham a opção de fazer a transição dos recursos do Amazon EBS armazenados AWS Backup para o armazenamento de arquivos. | 27 de novembro de 2023 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as permissões `ec2:DescribeSnapshotTierStatus` e `ec2:ModifySnapshotTier` para oferecer suporte a uma opção de armazenamento adicional para que os recursos em backup do Amazon EBS sejam transferidos para o nível de armazenamento de arquivos. Essas permissões são necessárias para que os usuários tenham a opção de fazer a transição dos recursos do Amazon EBS armazenados AWS Backup para o armazenamento de arquivos. Foram adicionadas as permissões `rds:DescribeDBClusterSnapshots` e`rds:RestoreDBClusterToPointInTime`, o que é necessário para PITR (point-in-time restaurações) dos clusters do Aurora. |
| [AWSServiceRolePolicyForBackupRestoreTesting](#AWSServiceRolePolicyForBackupRestoreTesting) – Nova política | Fornece as permissões necessárias para realizar teste de restauração. As permissões incluem as ações `list, read, and write` dos seguintes serviços a serem incluídos nos testes de restauração: Aurora, DocumentDB, DynamoDB, Amazon EBS, Amazon EC2, Amazon FSx EFS, for Lustre, para Windows File Server, para ONTAP, FSx FSx para OpenZFS, Amazon Neptune FSx , Amazon RDS e Amazon S3. | 27 de novembro de 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | `restore-testing.backup.amazonaws.com` adicionado a `IamPassRolePermissions` e `IamCreateServiceLinkedRolePermissions`. Essa adição é necessária AWS Backup para realizar testes de restauração em nome dos clientes. | 27 de novembro de 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as permissões `rds:DescribeDBClusterSnapshots` e`rds:RestoreDBClusterToPointInTime`, o que é necessário para PITR (point-in-time restaurações) dos clusters do Aurora. | 6 de setembro de 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foi adicionada a permissão`rds:DescribeDBClusterAutomatedBackups`, que é necessária para backup e point-in-time restauração contínuos dos clusters Aurora. | 6 de setembro de 2023 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foi adicionada a permissão`rds:DescribeDBClusterAutomatedBackups`, que é necessária para backup e point-in-time restauração contínuos dos clusters Aurora. | 6 de setembro de 2023 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Permissão `rds:DescribeDBClusterAutomatedBackups` adicionada. Essa permissão é necessária para AWS Backup oferecer suporte ao backup e point-in-time restauração contínuos dos clusters Aurora. Foi adicionada a permissão `rds:DeleteDBClusterAutomatedBackups` para permitir que o AWS Backup ciclo de vida exclua e desassocie os pontos de recuperação contínua do Amazon Aurora quando o período de retenção termina. Essa permissão é necessária para que o ponto de recuperação do Aurora evite a transição para um estado `EXIPIRED`. Foi adicionada a permissão `rds:ModifyDBCluster` que permite que o AWS Backup interaja com clusters do Aurora. Essa adição permite que os usuários habilitem ou desabilitem backups contínuos com base nas configurações desejadas. | 6 de setembro de 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foi adicionada a ação `ram:GetResourceShareAssociations` para conceder permissão ao usuário para obter associações de compartilhamento de recursos para o novo tipo de cofre. | 8 de agosto de 2023 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foi adicionada a ação `ram:GetResourceShareAssociations` para conceder permissão ao usuário para obter associações de compartilhamento de recursos para o novo tipo de cofre. | 8 de agosto de 2023 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Atualização de uma política existente | Foi adicionada a permissão `s3:PutInventoryConfiguration` para melhorar as velocidades de desempenho de backup usando um inventário de buckets. | 1º de agosto de 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as seguintes ações para conceder ao usuário permissões para adicionar tags para restaurar recursos: `storagegateway:AddTagsToResource`, `elasticfilesystem:TagResource`, `ec2:CreateTags` para somente `ec2:CreateAction` que inclui `RunInstances` ou `CreateVolume`, `fsx:TagResource` e `cloudformation:TagResource`. | 22 de maio de 2023 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – atualização para uma política existente | A seleção de recursos na API `config:DescribeComplianceByConfigRule` foi substituída por um recurso curinga para facilitar a seleção de recursos por um usuário. | 11 de abril de 2023 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foi adicionada a seguinte permissão para restaurar o Amazon EFS usando uma chave gerenciada pelo cliente: `kms:GenerateDataKeyWithoutPlaintext`. Isso ajuda a garantir que os usuários tenham as permissões necessárias para restaurar os recursos do Amazon EFS. | 27 de março de 2023 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – atualização para uma política existente | As `config:DescribeConfigRuleEvaluationStatus` ações `config:DescribeConfigRules` e foram atualizadas para permitir que o AWS Backup Audit Manager acesse as regras gerenciadas pelo AWS Backup Audit Manager AWS Config . | 9 de março de 2023 |
| [AWSBackupServiceRolePolicyForS3Restore](#AWSBackupServiceRolePolicyForS3Restore) — Atualização de uma política existente | Foram adicionadas as seguintes permissões: `kms:Decrypt`, `s3:PutBucketOwnershipControls` e `s3:GetBucketOwnershipControls` à política `AWSBackupServiceRolePolicyForS3Restore`. Essas permissões são necessárias para compatibilidade com restaurações de objetos quando a criptografia do KMS é usada no backup original e para restaurar objetos quando a propriedade do objeto é configurada no bucket original em vez da ACL. | 13 de fevereiro de 2023 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para agendar backups usando VMware tags de máquinas virtuais e para oferecer suporte à limitação de largura de banda baseada em agendamento:`backup-gateway:GetHypervisorPropertyMappings`,,,`backup-gateway:GetVirtualMachine`,`backup-gateway:PutHypervisorPropertyMappings`, e. `backup-gateway:GetHypervisor` `backup-gateway:StartVirtualMachinesMetadataSync` `backup-gateway:GetBandwidthRateLimitSchedule` `backup-gateway:PutBandwidthRateLimitSchedule` | 15 de dezembro de 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para agendar backups usando VMware tags de máquinas virtuais e para oferecer suporte à limitação de largura de banda baseada em agendamento:`backup-gateway:GetHypervisorPropertyMappings`,, e. `backup-gateway:GetVirtualMachine` `backup-gateway:GetHypervisor` `backup-gateway:GetBandwidthRateLimitSchedule` | 15 de dezembro de 2022 |
| [AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync](#AWSBackupGatewayServiceRolePolicyForVirtualMachineMetadataSync) – Nova política | Fornece permissões para o AWS Backup Gateway sincronizar os metadados de máquinas virtuais em redes locais com o Backup Gateway. | 15 de dezembro de 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos trabalhos de backup do Timestream: `timestream:StartAwsBackupJob`, `timestream:GetAwsBackupStatus`, `timestream:ListTables`, `timestream:ListDatabases`, `timestream:ListTagsForResource`, `timestream:DescribeTable`, `timestream:DescribeDatabase` e `timestream:DescribeEndpoints`. | 13 de dezembro de 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos trabalhos de restauração do Timestream: `timestream:StartAwsRestoreJob`, `timestream:GetAwsRestoreStatus`, `timestream:ListTables`, `timestream:ListTagsForResource`, `timestream:ListDatabases`, `timestream:DescribeTable`, `timestream:DescribeDatabase`, `s3:GetBucketAcl` e `timestream:DescribeEndpoints`. | 13 de dezembro de 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos recursos do Timestream: `timestream:ListTables`, `timestream:ListDatabases`, `s3:ListAllMyBuckets` e `timestream:DescribeEndpoints`. | 13 de dezembro de 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos recursos do Timestream:`timestream:ListDatabases`, `timestream:ListTables`, `s3:ListAllMyBuckets` e `timestream:DescribeEndpoints`. | 13 de dezembro de 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos recursos do Timestream: `timestream:ListDatabases`, `timestream:ListTables`, `timestream:ListTagsForResource`, `timestream:DescribeDatabase`, `timestream:DescribeTable`, `timestream:GetAwsBackupStatus`, `timestream:GetAwsRestoreStatus` e `timestream:DescribeEndpoints`. | 13 de dezembro de 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos recursos do Amazon Redshift: `redshift:DescribeClusters`, `redshift:DescribeClusterSubnetGroups`, `redshift:DescribeNodeConfigurationOptions`, `redshift:DescribeOrderableClusterOptions`, `redshift:DescribeClusterParameterGroups`, `redshift:DescribeClusterTracks`, `redshift:DescribeSnapshotSchedules` e `ec2:DescribeAddresses`. | 27 de novembro de 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos recursos do Amazon Redshift: `redshift:DescribeClusters`, `redshift:DescribeClusterSubnetGroups`, `redshift:DescribeNodeConfigurationOptions`, `redshift:DescribeOrderableClusterOptions`, `redshift:DescribeClusterParameterGroups,`, `redshift:DescribeClusterTracks`. `redshift:DescribeSnapshotSchedules` e `ec2:DescribeAddresses`. | 27 de novembro de 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as seguintes permissões para dar suporte aos trabalhos de restauração do Amazon Redshift: `redshift:RestoreFromCluster Snapshot`, `redshift:RestoreTableFromClusterSnapshot`, `redshift:DescribeClusters` e `redshift:DescribeTableRestoreStatus`. | 27 de novembro de 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte aos trabalhos de backup do Amazon Redshift: `redshift:CreateClusterSnapshot`, `redshift:DescribeClusterSnapshots`, `redshift:DescribeTags`, `redshift:DeleteClusterSnapshot`, `redshift:DescribeClusters` e `redshift:CreateTags`. | 27 de novembro de 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foi adicionada a seguinte permissão para oferecer suporte aos CloudFormation recursos:`cloudformation:ListStacks`. | 27 de novembro de 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foi adicionada a seguinte permissão para oferecer suporte aos CloudFormation recursos:`cloudformation:ListStacks`. | 27 de novembro de 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as seguintes permissões aos CloudFormation recursos de suporte: `redshift:DescribeClusterSnapshots` `redshift:DescribeTags``redshift:DeleteClusterSnapshot`,, `redshift:DescribeClusters` e. | 27 de novembro de 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte às tarefas de backup da pilha de CloudFormation aplicativos: `cloudformation:GetTemplate``cloudformation:DescribeStacks`, e. `cloudformation:ListStackResources` | 16 de novembro de 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as seguintes permissões para dar suporte às tarefas de backup da pilha de CloudFormation aplicativos: `cloudformation:CreateChangeSet` e `cloudformation:DescribeChangeSet` | 16 de novembro de 2022 |
| [AWSBackupOrganizationAdminAccess](#AWSBackupOrganizationAdminAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões a essa política para permitir que os administradores da organização usem o recurso Administrador Delegado: `organizations:ListDelegatedAdministrator`, `organizations:RegisterDelegatedAdministrator` e `organizations:DeregisterDelegatedAdministrator` | 27 de novembro de 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte ao SAP HANA nas instâncias do Amazon EC2 `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:BackupDatabase`, `ssm-sap:UpdateHanaBackupSettings`, `ssm-sap:GetDatabase` e `ssm-sap:ListTagsForResource`. | 20 de novembro de 2022 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte ao SAP HANA nas instâncias do Amazon EC2: `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:GetDatabase` e `ssm-sap:ListTagsForResource`. | 20 de novembro de 2022 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte ao SAP HANA nas instâncias do Amazon EC2: `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:GetDatabase` e `ssm-sap:ListTagsForResource`. | 20 de novembro de 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Foi adicionada a seguinte permissão para oferecer suporte ao SAP HANA em instâncias do Amazon EC2: `ssm-sap:GetOperation`. | 20 de novembro de 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foi adicionada a seguinte permissão para oferecer suporte aos trabalhos de restauração do gateway de backup em uma instância do EC2: `ec2:CreateTags`. | 20 de novembro de 2022 |
| [AWSBackupDataTransferAccess](#AWSBackupDataTransferAccess) – atualização para uma política existente | Foram adicionadas as seguintes permissões para oferecer suporte à transferência segura de dados de armazenamento para recursos do SAP HANA no Amazon EC2: `backup-storage:StartObject`, `backup-storage:PutChunk`, `backup-storage:GetChunk`, `backup-storage:ListChunks`, `backup-storage:ListObjects`, `backup-storage:GetObjectMetadata` e `backup-storage:NotifyObjectComplete`. | 20 de novembro de 2022 |
| [AWSBackupRestoreAccessForSAPHANA](#AWSBackupRestoreAccessForSAPHANA) — Atualização de uma política existente | Foram adicionadas as seguintes permissões para que os proprietários de recursos executem a restauração dos recursos do SAP HANA no Amazon EC2 `backup:Get*`, `backup:List*`, `backup:Describe*`, `backup:StartBackupJob`, `backup:StartRestoreJob`, `ssm-sap:GetOperation`, `ssm-sap:ListDatabases`, `ssm-sap:BackupDatabase`, `ssm-sap:RestoreDatabase`, `ssm-sap:UpdateHanaBackupSettings`, `ssm-sap:GetDatabase` e `ssm-sap:ListTagsForResource`. | 20 de novembro de 2022 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Atualização de uma política existente | Foi adicionada a permissão `s3:GetBucketAcl` para oferecer suporte às operações de AWS Backup backup do Amazon S3. | 24 de agosto de 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as seguintes ações para conceder acesso à criação de uma instância de banco de dados para oferecer suporte à funcionalidade de várias zonas de disponibilidade (Multi-AZ): `rds:CreateDBInstance`. | 20 de julho de 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Foi adicionada a permissão `s3:GetBucketTagging` para conceder ao usuário permissão para selecionar buckets para backup com um curinga de recurso. Sem essa permissão, os usuários que selecionarem quais buckets fazer backup com um curinga de recurso não terão êxito. | 6 de maio de 2022 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Foram adicionados recursos de volume no escopo das ações existentes `fsx:CreateBackup` e novas `fsx:ListTagsForResource` ações e adicionaram novas ações `fsx:DescribeVolumes` FSx para dar suporte aos backups em nível de volume do ONTAP. | 27 de abril de 2022 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as seguintes ações para conceder aos usuários permissões de restauração FSx para volumes ONTAP `fsx:DescribeVolumes``fsx:CreateVolumeFromBackup`,`fsx:DeleteVolume`, e. `fsx:UntagResource` | 27 de abril de 2022 |
| [AWSBackupServiceRolePolicyForS3Backup](#AWSBackupServiceRolePolicyForS3Backup) — Atualização de uma política existente | Foram adicionadas as seguintes ações para conceder ao usuário permissões para receber notificações de alterações em seus buckets do Amazon S3 durante as operações de backup: `s3:GetBucketNotification` e `s3:PutBucketNotification`. | 25 de fevereiro de 2022 |
| [AWSBackupServiceRolePolicyForS3Backup — Nova](#AWSBackupServiceRolePolicyForS3Backup) política | Foram adicionadas as seguintes ações para conceder ao usuário permissões para fazer backup dos buckets do Amazon S3: `s3:GetInventoryConfiguration`, `s3:PutInventoryConfiguration`, `s3:ListBucketVersions`, `s3:ListBucket`, `s3:GetBucketTagging`, `s3:GetBucketVersioning`, `s3:GetBucketNotification`,`s3:GetBucketLocation` e `s3:ListAllMyBuckets` Foram adicionadas as seguintes ações para conceder ao usuário permissões para fazer backup de seus objetos do Amazon S3: `s3:GetObject`,`s3GetObjectAcl`, `s3:GetObjectVersionTagging`, `s3:GetObjectVersionAcl`, `s3:GetObjectTagging` e `s3:GetObjectVersion`. Foram adicionadas as seguintes ações para conceder ao usuário permissões para fazer backup de seus dados criptografados do Amazon S3: `kms:Decrypt` e `kms:DescribeKey`. Foram adicionadas as seguintes ações para conceder ao usuário permissões para fazer backups incrementais de seus dados do Amazon S3 usando as regras EventBridge da Amazon`events:DescribeRule`: `events:EnableRule``events:PutRule`,`events:DeleteRule`,`events:PutTargets`,,`events:RemoveTargets`,`events:ListTargetsByRule`, `events:DisableRule``cloudwatch:GetMetricData`, e. `events:ListRules` | 17 de fevereiro de 2022 |
| [AWSBackupServiceRolePolicyForS3Restore — Nova](#AWSBackupServiceRolePolicyForS3Restore) política | Foram adicionadas as seguintes ações para conceder ao usuário permissões para restaurar seus buckets do Amazon S3: `s3:CreateBucket`, `s3:ListBucketVersions`, `s3:ListBucket`, `s3:GetBucketVersioning`, `s3:GetBucketLocation` e `s3:PutBucketVersioning`. Foram adicionadas as seguintes ações para conceder ao usuário permissões para restaurar seus buckets do Amazon S3: `s3:GetObject`, `s3:GetObjectVersion`, `s3:DeleteObject`, `s3:PutObjectVersionAcl`, `s3:GetObjectVersionAcl`, `s3:GetObjectTagging`, `s3:PutObjectTagging`, `s3:GetObjectAcl`, `s3:PutObjectAcl`, `s3:PutObject` e `s3:ListMultipartUploadParts`. Foram adicionadas as seguintes ações para conceder ao usuário permissões para criptografar seus dados restaurados do Amazon S3: `kms:Decrypt`, `kms:DescribeKey` e `kms:GenerateDataKey`. | 17 de fevereiro de 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | `s3:ListAllMyBuckets` adicionado para conceder ao usuário permissões para visualizar uma lista de seus buckets e escolher quais atribuir a um plano de backup. | 14 de fevereiro de 2022 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | `backup-gateway:ListVirtualMachines` adicionado para conceder ao usuário permissões para visualizar uma lista de suas máquinas virtuais e escolher quais atribuir a um plano de backup. `backup-gateway:ListTagsForResource` adicionado para conceder ao usuário permissões para listar as tags de suas máquinas virtuais. | 30 de novembro de 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Adicionado `backup-gateway:Backup` para conceder permissões ao usuário para restaurar seus backups de máquinas virtuais. AWS Backup também foi adicionado `backup-gateway:ListTagsForResource` para conceder ao usuário permissões para listar as tags atribuídas aos backups de suas máquinas virtuais. | 30 de novembro de 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foi adicionado `backup-gateway:Restore` para conceder ao usuário permissões para restaurar seus backups de máquinas virtuais. | 30 de novembro de 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foram adicionadas as seguintes ações para conceder aos usuários permissões para usar o AWS Backup gateway para fazer backup, restaurar e gerenciar suas máquinas virtuais: `backup-gateway:AssociateGatewayToServer`, `backup-gateway:CreateGateway`, `backup-gateway:DeleteGateway`, `backup-gateway:DeleteHypervisor`, `backup-gateway:DisassociateGatewayFromServer`, `backup-gateway:ImportHypervisorConfiguration`, `backup-gateway:ListGateways`, `backup-gateway:ListHypervisors`, `backup-gateway:ListTagsForResource`, `backup-gateway:ListVirtualMachines`, `backup-gateway:PutMaintenanceStartTime`, `backup-gateway:TagResource`, `backup-gateway:TestHypervisorConfiguration`, `backup-gateway:UntagResource`, `backup-gateway:UpdateGatewayInformation` e `backup-gateway:UpdateHypervisor`. | 30 de novembro de 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram adicionadas as seguintes ações para conceder ao usuário permissões para fazer backup de suas máquinas virtuais: `backup-gateway:ListGateways`, `backup-gateway:ListHypervisors`, `backup-gateway:ListTagsForResource` e `backup-gateway:ListVirtualMachines`. | 30 de novembro de 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Adicionado `dynamodb:ListTagsOfResource` para conceder ao usuário permissões para listar tags de suas tabelas do DynamoDB para backup usando os recursos avançados de backup AWS Backup do DynamoDB. | 23 de novembro de 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | `dynamodb:StartAwsBackupJob` adicionado para conceder ao usuário permissões para fazer backup de suas tabelas do DynamoDB usando os recursos avançados de backup. `dynamodb:ListTagsOfResource` adicionado para conceder ao usuário permissões para copiar tags de suas tabelas de origem do DynamoDB para seus backups. | 23 de novembro de 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Adicionado `dynamodb:RestoreTableFromAwsBackup` para conceder permissões ao usuário para restaurar o backup de suas tabelas do DynamoDB usando os recursos avançados AWS Backup de backup do DynamoDB. | 23 de novembro de 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Adicionado `dynamodb:RestoreTableFromAwsBackup` para conceder permissões ao usuário para restaurar o backup de suas tabelas do DynamoDB usando os recursos avançados AWS Backup de backup do DynamoDB. | 23 de novembro de 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram removidas as ações `backup:GetRecoveryPointRestoreMetadata` e `rds:DescribeDBSnapshots` porque elas eram redundantes. AWS Backup não precisava de ambos `backup:GetRecoveryPointRestoreMetadata` e `backup:Get*` como parte de`AWSBackupOperatorAccess`. Além disso, AWS Backup não precisava de ambos `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` como parte de`AWSBackupOperatorAccess`. | 23 de novembro de 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Foram adicionadas as novas ações `elasticfilesystem:DescribeFileSystems``dynamodb:ListTables`,`storagegateway:ListVolumes`,`ec2:DescribeVolumes`,`ec2:DescribeInstances`,`rds:DescribeDBInstances`,`rds:DescribeDBClusters`, e `fsx:DescribeFileSystems` para permitir que os clientes visualizem e escolham em uma lista AWS Backup de seus recursos suportados ao selecionar quais recursos atribuir a um plano de backup. | 10 de novembro de 2021 |
| [AWSBackupAuditAccess](#AWSBackupAuditAccess) – Nova política | Adicionado `AWSBackupAuditAccess` para conceder ao usuário permissões para usar o AWS Backup Audit Manager. As permissões incluem a possibilidade de configurar frameworks de conformidade e gerar relatórios. | 24 de agosto de 2021 |
| [AWSServiceRolePolicyForBackupReports](#AWSServiceRolePolicyForBackupReports) – Nova política | `AWSServiceRolePolicyForBackupReports` adicionados para conceder permissões para um perfil vinculado ao serviço automatizar o monitoramento de configurações, trabalhos e recursos de backup para manter a conformidade com frameworks configuradas pelo usuário. | 24 de agosto de 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Foi adicionado `iam:CreateServiceLinkedRole` para criar um perfil vinculado ao serviço (com base no melhor esforço) para automatizar a exclusão de pontos de recuperação expirados para você. Sem essa função vinculada ao serviço, AWS Backup não é possível excluir pontos de recuperação expirados depois que os clientes excluem a função original do IAM que usaram para criar seus pontos de recuperação. | 5 de julho de 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Foi adicionada uma nova ação `dynamodb:DeleteBackup` para conceder a permissão `DeleteRecoveryPoint` para automatizar a exclusão de pontos de recuperação expirados do DynamoDB com base nas configurações do ciclo de vida do seu plano de backup. | 5 de julho de 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram removidas as ações `backup:GetRecoveryPointRestoreMetadata` e `rds:DescribeDBSnapshots` porque elas eram redundantes. AWS Backup não precisava de ambos `backup:GetRecoveryPointRestoreMetadata` e, `backup:Get*` como parte de `AWSBackupOperatorAccess` Além disso, AWS Backup não precisava de ambos `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` como parte de `AWSBackupOperatorAccess` | 25 de maio de 2021 |
| [AWSBackupOperatorAccess](#AWSBackupOperatorAccess) – atualização para uma política existente | Foram removidas as ações `backup:GetRecoveryPointRestoreMetadata` e `rds:DescribeDBSnapshots` porque elas eram redundantes. AWS Backup não precisava de ambos `backup:GetRecoveryPointRestoreMetadata` e `backup:Get*` como parte de`AWSBackupOperatorAccess`. Além disso, AWS Backup não precisava de ambos `rds:DescribeDBSnapshots` e `rds:describeDBSnapshots` como parte de`AWSBackupOperatorAccess`. | 25 de maio de 2021 |
| [AWSBackupServiceRolePolicyForRestores]() – atualização para uma política existente | Foi adicionada a nova ação `fsx:TagResource` para conceder `StartRestoreJob` permissão para permitir que você aplique tags aos sistemas de FSx arquivos da Amazon durante o processo de restauração. | 24 de maio de 2021 |
| [AWSBackupServiceRolePolicyForRestores](#AWSBackupServiceRolePolicyForRestores) – atualização para uma política existente | Foram adicionadas as novas ações `ec2:DescribeImages` e `ec2:DescribeInstances` para conceder a permissão `StartRestoreJob` para permitir que você restaure instâncias do Amazon EC2 a partir de pontos de recuperação. | 24 de maio de 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Foi adicionada a nova ação `fsx:CopyBackup` para conceder `StartCopyJob` permissão para permitir que você copie os pontos de FSx recuperação da Amazon em todas as regiões e contas. | 12 de abril de 2021 |
| [AWSBackupServiceLinkedRolePolicyForBackup](#AWSBackupServiceLinkedRolePolicyForBackup) – atualização para uma política existente | Foi adicionada a nova ação `fsx:CopyBackup` para conceder `StartCopyJob` permissão para permitir que você copie os pontos de FSx recuperação da Amazon em todas as regiões e contas. | 12 de abril de 2021 |
| [AWSBackupServiceRolePolicyForBackup](#AWSBackupServiceRolePolicyForBackup) – atualização para uma política existente | Atualizadas para atender aos seguintes requisitos: AWS Backup Para criar um backup de uma tabela criptografada do DynamoDB, você deve adicionar `kms:Decrypt` as permissões `kms:GenerateDataKey` e a função do IAM usada para backup. | 10 de março de 2021 |
| [AWSBackupFullAccess](#AWSBackupFullAccess) – atualização para uma política existente | Atualizadas para atender aos seguintes requisitos: Para usar AWS Backup para configurar backups contínuos para seu banco de dados do Amazon RDS, verifique se a permissão da API `rds:ModifyDBInstance` existe na função do IAM definida pela configuração do seu plano de backup. Para restaurar os backups contínuos do Amazon RDS, é necessário adicionar a permissão `rds:RestoreDBInstanceToPointInTime` ao perfil do IAM enviado para o trabalho de restauração. No AWS Backup console, para descrever o intervalo de vezes disponível para point-in-time recuperação, você deve incluir a permissão da `rds:DescribeDBInstanceAutomatedBackups` API em sua política gerenciada pelo IAM. | 10 de março de 2021 |
| AWS Backup começou a rastrear alterações | AWS Backup começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 10 de março de 2021 |
# Usando funções vinculadas a serviços para AWS Backup
AWS Backup usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Backup As funções vinculadas ao serviço são predefinidas AWS Backup e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
**Topics**
+ [Uso de funções para fazer backup e copiar](using-service-linked-roles-AWSServiceRoleForBackup.md)
+ [Usando funções para o AWS Backup Audit Manager](using-service-linked-roles-AWSServiceRoleForBackupReports.md)
+ [Usar perfis para testes de restauração](using-service-linked-roles-AWSServiceRoleForBackupRestoreTesting.md)
# Uso de funções para fazer backup e copiar
AWS Backup usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Backup As funções vinculadas ao serviço são predefinidas AWS Backup e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Backup porque você não precisa adicionar manualmente as permissões necessárias. AWS Backup define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Backup pode assumir suas funções. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus AWS Backup recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões de função vinculadas ao serviço para AWS Backup
AWS Backup usa a função vinculada ao serviço chamada **AWSServiceRoleForBackup**para criar e excluir backups de seus AWS recursos em seu nome.
A função AWSService RoleForBackup vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `backup.amazonaws.com`
Para ver as permissões dessa política, consulte [ AWSBackupServiceLinkedRolePolicyforBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceLinkedRolePolicyForBackup.html)na *Referência de política AWS gerenciada*.
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para AWS Backup
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você lista recursos para backup, configura o backup entre contas ou realiza backups na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, AWS Backup cria a função vinculada ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma Nova Função Apareceu na minha Conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você lista recursos para backup, configura o backup entre contas ou executa backups, AWS Backup cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço para AWS Backup
AWS Backup não permite que você edite a função AWSService RoleForBackup vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar uma descrição de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para AWS Backup
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
### Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil. Primeiro, você deve excluir todos os pontos de recuperação. Depois você deve excluir todos os cofres de backup.
**nota**
Se o AWS Backup serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackup (console)**
1. Para excluir todos os pontos de recuperação e cofres de backup (exceto o cofre padrão), siga o procedimento em [Excluir um cofre](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html#delete-a-vault).
1. Para excluir seu cofre padrão, use o seguinte comando na AWS CLI:
```
aws backup delete-backup-vault --backup-vault-name Default --region us-east-1
```
**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackup (AWS CLI)**
1. Para excluir todos os pontos de recuperação, use [delete-recovery-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-recovery-point.html).
1. Para excluir todos os cofres de backup, use [delete-backup-vault](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-backup-vault.html).
**Para excluir AWS Backup recursos usados pela AWSService RoleForBackup (API)**
1. Para excluir todos os pontos de recuperação, use `[DeleteRecoveryPoint](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteRecoveryPoint.html)`.
1. Para excluir todos os cofres de backup, use `[DeleteBackupVault](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupVault.html)`.
### Excluir manualmente o perfil vinculado ao serviço
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForBackup vinculada ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a AWS Backup serviços
AWS Backup suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Recursos e regiões compatíveis com o AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Usando funções para o AWS Backup Audit Manager
AWS Backup usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Backup As funções vinculadas ao serviço são predefinidas AWS Backup e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Backup porque você não precisa adicionar manualmente as permissões necessárias. AWS Backup define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Backup pode assumir suas funções. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus AWS Backup recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões de função vinculadas ao serviço para AWS Backup
AWS Backup usa a função vinculada ao serviço chamada **AWSServiceRoleForBackupReports**— AWS Backup Fornece permissão para criar controles, estruturas e relatórios.
A função AWSService RoleForBackupReports vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `reports.backup.amazonaws.com`
Para visualizar as permissões para esta política, consulte [AWSServiceRolePolicyForBackupReports](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupReports.html) na *Referência de políticas gerenciadas pela AWS *.
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para AWS Backup
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma estrutura ou um plano de relatório na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, AWS Backup cria a função vinculada ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma Nova Função Apareceu na minha Conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você cria uma estrutura ou um plano de relatório, AWS Backup cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço para AWS Backup
AWS Backup não permite que você edite a função AWSService RoleForBackupReports vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Consulte mais informações em [Editar uma descrição de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para AWS Backup
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
### Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil. É necessário excluir todas as frameworks e todos os planos de relatório.
**nota**
Se o AWS Backup serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackupReports (console)**
1. Como excluir todas as frameworks, consulte [Excluir frameworks](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-frameworks.html).
1. Como excluir todos os planos de relatório, consulte [Excluir planos de relatório](https://docs.aws.amazon.com/aws-backup/latest/devguide/delete-report-plan.html).
**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackupReports (AWS CLI)**
1. Para excluir todos os frameworks, use [delete-framework](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-framework.html).
1. Para excluir todos os planos de relatório, use [delete-report-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/delete-report-plan.html).
**Para excluir AWS Backup recursos usados pela AWSService RoleForBackupReports (API)**
1. Para excluir todas as frameworks, use [DeleteFramework](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteFramework.html).
1. Para excluir todos os planos de relatório, use [DeleteReportPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteReportPlan.html).
### Excluir manualmente o perfil vinculado ao serviço
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForBackupReports vinculada ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a AWS Backup serviços
AWS Backup suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Recursos e regiões compatíveis com o AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Usar perfis para testes de restauração
AWS Backup usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Backup As funções vinculadas ao serviço são predefinidas AWS Backup e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Backup porque você não precisa adicionar manualmente as permissões necessárias. AWS Backup define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Backup pode assumir suas funções. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus AWS Backup recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões de função vinculadas ao serviço para AWS Backup
AWS Backup usa a função vinculada ao serviço chamada **AWSServiceRoleForBackupRestoreTesting**— Fornece permissões de backup para realizar testes de restauração.
O perfil vinculado ao serviço **AWSServiceRoleForBackupRestoreTesting** confia nos seguintes serviços para aceitar o perfil:
+ `restore-testing.backup.amazonaws.com`
Para visualizar as permissões para esta política, consulte [AWSServiceRolePolicyForBackupRestoreTesting](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRolePolicyForBackupRestoreTesting.html) na *Referência de políticas gerenciadas pela AWS *.
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para AWS Backup
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você realiza testes de restauração na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, AWS Backup cria a função vinculada ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma Nova Função Apareceu na minha Conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você realiza testes de restauração, AWS Backup cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço para AWS Backup
AWS Backup não permite que você edite a função AWSService RoleForBackupRestoreTesting vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar uma descrição de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para AWS Backup
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
### Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil. É necessário excluir todos os planos de testes de restauração.
**nota**
Se o AWS Backup serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackupRestoreTesting (console)**
+ Para excluir todos os planos de testes de restauração, consulte [Testes de restauração](https://docs.aws.amazon.com/aws-backup/latest/devguide/restore-testing.html).
**Para excluir AWS Backup recursos usados pelo AWSService RoleForBackupRestoreTesting (AWS CLI)**
+ Para excluir planos de testes de restauração, use `delete-restore-testing-plan`.
**Para excluir AWS Backup recursos usados pela AWSService RoleForBackupRestoreTesting (API)**
+ Para excluir planos de testes de restauração, use `DeleteRestoreTestingPlan`.
### Excluir manualmente o perfil vinculado ao serviço
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função **AWSServiceRoleForBackupRestoreTesting**vinculada ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a AWS Backup serviços
AWS Backup suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Recursos e regiões compatíveis com o AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#features-by-region).
# Prevenção contra o ataque do “substituto confuso” em todos os serviços
“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que AWS Backup concedem outro serviço ao recurso. Se você utilizar ambas as chaves de contexto de condição global, o valor `aws:SourceAccount` e a conta `aws:SourceArn` no valor deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.
O valor de `aws:SourceArn` deve ser um AWS Backup cofre ao ser usado AWS Backup para publicar tópicos do Amazon SNS em seu nome.
A maneira mais eficaz de se proteger do problema ‘confused deputy’ é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws::servicename::123456789012:*`
O exemplo de política a seguir mostra como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e as chaves de contexto AWS Backup para evitar o confuso problema substituto. Essa política concede ao responsável pelo serviço backup-storage.amazonaws.com a capacidade de realizar ações do KMS somente quando o responsável pelo serviço estiver agindo em nome da conta 123456789012 nos cofres de backup: AWS
# Segurança da infraestrutura em AWS Backup
Como serviço gerenciado, AWS Backup é protegido pela segurança de rede AWS global. Para obter mais informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar AWS Backup pela rede. Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.2 ou posterior. Os clientes também devem ter suporte a pacotes de criptografia com sigilo de encaminhamento perfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Diffie-Hellman Encaminhamento (ECDHE). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
# Integridade dos dados em AWS Backup
## AWS Backup meta de integridade de dados
AWS Backup busca manter a integridade durante a transmissão, armazenamento e processamento de seus dados. AWS Backup trata os dados de recursos armazenados como informações críticas independentes do conteúdo, pois oferecemos o mesmo alto nível de segurança aos clientes, independentemente do tipo de dados que você armazena. Estamos atentos à segurança de nossos clientes e implementamos medidas técnicas e físicas sofisticadas contra o acesso não autorizado. Você mantém controle total sobre como seus dados são classificados, as regiões nas quais você armazena os dados e como você controla, arquiva e protege os dados contra divulgação.
## AWS Backup implementação de integridade de dados
AWS Backup trabalha em conjunto com outros serviços AWS e com a Amazon para manter a integridade dos dados que armazena e com os quais interage. As ferramentas usadas podem variar e podem incluir (mas não estão limitadas a):
+ Validação contínua de objetos em relação à soma de verificação para evitar a corrupção de objetos
+ Somas de verificação internas para confirmar a integridade dos dados em trânsito e em repouso
+ Somas de verificação calculadas com base nos dados em backups criados a partir do armazenamento primário
+ As somas de verificação são sempre verificadas para serem corretas antes de usar os dados correspondentes. Se encontrarmos dados que não correspondam à soma de verificação, os substituiremos por uma cópia correta. Se não conseguirmos substituir a cópia correta, falharemos nos trabalhos correspondentes
+ Tentativa automática de restaurar os níveis normais de redundância do armazenamento de objetos em caso de corrupção do disco ou detecção de falha do dispositivo
+ Armazenamento redundante de dados em vários locais físicos
+ Aprimoramento da durabilidade do objeto em várias zonas de disponibilidade durante a gravação inicial, combinado com a replicação adicional no caso de indisponibilidade do dispositivo ou detecção de bit-rot
+ Somas de verificação em todo o tráfego da rede, para detectar corrupção de pacotes de dados durante o armazenamento ou a recuperação dos dados.
AWS Backup armazena dados de forma nativa para o Amazon DynamoDB com recursos avançados, Amazon EFS, Amazon S3, Amazon Timestream e máquinas virtuais em execução conectadas por meio do gateway de Backup. VMware AWS Backup facilita backups de dados armazenados com outros serviços, incluindo Amazon Aurora, Amazon DocumentDB, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon for Windows File Server, Amazon for Lustre FSx , Amazon for OpenZFS, FSx Amazon for ONTAP, FSx Amazon Neptune, Amazon RDS e FSx NetApp Amazon Redshift.
## Confirmação objetiva e auditoria da integridade AWS Backup dos dados
Os dados armazenados diretamente pelo Amazon Simple Storage Service (Amazon S3) AWS Backup e os dados armazenados em parceria com outros AWS serviços com os quais AWS Backup interage estão sujeitos ao rigoroso processo do Amazon Simple Storage Service (Amazon S3) que sustenta essa integridade de dados. Essa integridade é confirmada por um auditor terceirizado independente por meio de um relatório anual de auditoria do SOC, disponível por meio do [AWS Artifact](https://aws.amazon.com/artifact/).
# Retenções legais e AWS Backup
## Visão geral da retenção legal
A retenção legal é uma ferramenta administrativa que ajuda a evitar que os backups sejam excluídos enquanto estiverem em retenção. Enquanto a retenção estiver em vigor, não será possível excluir os backups em retenção, e as políticas de ciclo de vida que alterariam o status do backup (como a transição para o estado `Deleted`) serão adiadas até que a retenção legal seja removida.
As retenções legais podem ser aplicadas a um ou mais backups (também conhecidos como pontos de recuperação) criados por, AWS Backup se seus ciclos de vida permitirem. As retenções legais não se aplicam a [backups contínuos](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html).
Quando uma retenção legal é criada, ela pode levar em consideração critérios de filtragem específicos, como tipos e recursos de recursos IDs. Além disso, é possível definir o intervalo de datas de criação dos backups que deseja incluir em uma retenção legal.
As retenções legais se aplicam somente ao backup original no qual foram colocadas. Quando um backup é copiado entre regiões ou contas (se o recurso for compatível com isso), ele não retém nem carrega consigo a retenção legal. Uma retenção legal, como outros recursos, tem um nome de recurso da Amazon (ARN) exclusivo associado a ela. Somente pontos de recuperação criados por AWS Backup podem fazer parte de uma retenção legal.
Observe que, embora o [Bloqueio de cofre do AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html) forneça proteções adicionais e imutabilidade a um cofre, uma retenção legal fornece proteção adicional contra a exclusão de backups individuais (pontos de recuperação). A retenção legal não expira e retém os dados no backup indefinidamente. A retenção permanece ativa até que seja liberada por um usuário com permissões suficientes do IAM.
## Várias retenções legais
Um backup pode ter mais de uma retenção legal. As retenções legais e os backups têm uma relação de muitos para muitos, o que significa que um backup pode ter mais de uma retenção legal e uma retenção legal pode incluir mais de um backup.
Um backup não pode ser excluído desde que tenha pelo menos uma retenção legal. Depois que todas as retenções legais de um backup são removidas, ele fica sujeito às propriedades do ciclo de vida de retenção. Mantenha pelo menos uma retenção legal para evitar a exclusão do backup. As retenções legais podem ser aplicadas a um ponto de recuperação retido após a data de retenção do ciclo de vida do backup (devido a uma retenção legal existente).
Cada conta pode ter um máximo de 50 retenções legais ativas ao mesmo tempo.
## Criar uma retenção legal
Uma retenção legal pode ser adicionada a um backup existente (ponto de recuperação).
Backups (pontos de recuperação) com status de `EXPIRED` ou de `DELETING` não serão incluídos na retenção legal. Os pontos de recuperação (backups) com o status de `CREATING` podem não ser incluídos na retenção legal, dependendo do tempo de conclusão.
As retenções legais podem ser adicionadas por usuários que tenham as permissões necessárias do IAM.
### Criar uma retenção legal usando o console do
**Criar uma retenção legal**
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel à esquerda do console, encontre Minha conta. Escolha **Retenções legais**.
1. Escolha **Adicionar retenção legal**.
1. São exibidos três painéis: **Detalhes da retenção legal**, **Escopo da retenção legal** e **Tags da retenção legal**.
1. Em **Detalhes da retenção legal**, insira um título da retenção legal e uma descrição para a retenção nas caixas de texto fornecidas.
1. No painel **Escopo da retenção legal**, escolha como você deseja selecionar o recurso a ser incluído na retenção. Ao criar uma retenção, você escolhe qual método deseja para selecionar os recursos que estarão dentro da retenção legal. Você pode optar por incluir um dos seguintes:
+ Tipos de recursos específicos e IDs
+ Selecionar cofres de backup
+ Incluir todos os tipos de recursos ou todos os cofres de backup em sua conta
1. Especificar o intervalo de datas da retenção legal. Insira as datas no formato AAAAA:MM:DD (as datas são inclusivas).
1. Opcionalmente, é possível adicionar tags para a retenção em **Tags de retenção legais**. As tags podem ajudar a categorizar a retenção para referência e organização futuras. É possível adicionar até 50 tags no total.
1. Quando estiver satisfeito com a configuração da nova retenção legal, clique no botão **Adicionar nova retenção**.
### Crie uma retenção legal usando o AWS CLI
Você pode criar uma retenção legal usando o [create-legal-hold](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-legal-hold.html)comando.
```
aws backup create-legal-hold --title "my title" \
--description "my description" \
--recovery-point-selection "VaultNames=string,DateRange={FromDate=timestamp,ToDate=timestamp}"
```
## Visualizar retenções legais
Você pode ver os detalhes da retenção legal no AWS Backup console ou programaticamente.
### Visualizar retenções legais usando o console
Como visualizar todas as retenções legais em uma conta usando o console do Backup
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Usando a parte esquerda do painel, em **Minha conta**, clique em **Retenções legais**.
1. A tabela **retenção legal** exibe o título, o status, s descrição, o ID e a data de criação das retenções existentes. Clique no circunflexo (seta para baixo) ao lado do cabeçalho da tabela para filtrar a tabela pela coluna selecionada.
### Visualizar retenções legais de forma programática
Para visualizar todas as retenções legais programaticamente, você pode usar as seguintes chamadas de API: e. [ListLegalHolds[GetLegalHold](API_GetLegalHold.md)](API_ListLegalHolds.md)
O modelo JSON a seguir pode ser usado para `GetLegalHold`.
```
GET /legal-holds/{legalHoldId} HTTP/1.1
Request
empty body
Response
{
Title: string,
Status: LegalHoldStatus,
Description: string, // 280 chars max
CancelDescription: string, // this is provided during cancel // 280 chars max
LegalHoldId: string,
LegalHoldArn: string,
CreatedTime: number,
CanceledTime: number,
ResourceSelection: {
VaultArns: [ string ]
Resources: [ string ]
},
ResourceFilters: {
DateRange: {
FromDate: number,
ToDate: number
}
}
}
```
O modelo JSON a seguir pode ser usado para `ListLegalHolds`.
```
GET /legal-holds/
&maxResults=MaxResults
&nextToken=NextToken
Request
empty body
url params:
MaxResults: number // optional,
NextToken: string // optional
status: Valid values: CREATING | ACTIVE | CANCELED | CANCELING
maxResults: 1-1000
Response
{
NextToken: token,
LegalHolds: [
Title: string,
Status: string,
Description: string, // 280 chars max
CancelDescription: string, // this is provided during cancel // 280 chars max
LegalHoldId: string,
LegalHoldArn: string,
CreatedTime: number,
CanceledTime: number,
]
}
```
Os valores possíveis são os seguintes.
| Status | Description |
| --- | --- |
| CRIANDO | Os pontos de recuperação solicitados estão em processo de retenção, e as solicitações de exclusão desses pontos de recuperação podem ter êxito, pois a retenção ainda não terminou de ser criada. |
| ATIVO | A retenção legal foi criada. Todos os pontos de recuperação listados nessa retenção legal estão retidos. |
| CANCELANDO | As retenções legais estão em processo de remoção e as solicitações de exclusão dos pontos de recuperação sob a retenção podem ter êxito. |
| CANCELED | A retenção legal está totalmente liberada e não tem mais efeito. Os pontos de recuperação podem ser excluídos. |
## Liberar uma retenção legal
As retenções legais permanecem em vigor até serem removidas por um usuário com permissões suficientes. A remoção de uma retenção legal também é conhecida como cancelamento, exclusão ou liberação de uma retenção legal. A remoção de uma retenção legal a elimina de todos os backups aos quais ela foi anexada. Todos os backups que expiraram durante a retenção legal são excluídos dentro de 24 horas após a remoção da retenção legal.
### Liberar uma retenção legal usando o console do
**Para liberar uma retenção usando o console**
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Insira a descrição que você deseja associar à liberação.
1. Revise os detalhes e clique em **Liberar retenção**.
1. Quando a caixa de diálogo Liberar retenção for exibida, confirme sua intenção de liberar a retenção digitando `confirm` na caixa de texto.
1. Marque a caixa que confirma que você está cancelando a retenção.
Na página **Retenções legais**, é possível vier todas as suas retenções. Se a liberação tiver êxito, o status dessa retenção será mostrado como `Released`.
### Liberar uma retenção legal de forma programática
Para remover uma retenção de forma programática, use a chamada de API [CancelLegalHold](API_CancelLegalHold.md).
Use o modelo JSON a seguir.
```
DELETE /legal-holds/{legalHoldId}
Request
{
CancelDescription: String
DeleteAfterDays: number // optional
}
DeleteAfterDays: optional.
Defaults to 180 days. how long to keep legal hold record after canceled.
This applies to the actual legal hold record only.
Recovery points are unlocked as soon as cancelation processes and are not subject to this date.
Response
Empty body
200 if successful
other standard codes
```
# Proteção contra malware em AWS Backup
A verificação de malware de seus backups é fornecida pela Amazon GuardDuty Malware Protection. O uso do Amazon GuardDuty Malware Protection for AWS Backup permite automatizar a verificação de pontos de recuperação por meio de fluxos de trabalho de backup existentes ou iniciar verificações sob demanda de backups criados anteriormente. Essa solução AWS nativa ajuda a garantir que seus backups estejam livres de possíveis malwares, permitindo que você atenda aos requisitos de conformidade e responda a incidentes maliciosos com mais rapidez, garantindo a recuperação de dados limpos.
Para ver uma lista dos tipos de recursos e regiões compatíveis, visite a [página de disponibilidade de recursos](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html).
**Topics**
+ [Integração com a Amazon GuardDuty](#malware-guardduty-integration)
+ [Acesso instantâneo](backup-instant-access.md)
+ [Como usar a verificação de malware](#malware-how-to-use)
+ [Acesso](#malware-access)
+ [Escaneamentos incrementais versus escaneamentos completos](#malware-scan-types)
+ [Monitorando seus escaneamentos de malware](#malware-monitoring)
+ [Entendendo os resultados da verificação](#malware-scan-results)
+ [Solução de problemas de falhas de verificação](#malware-troubleshooting)
+ [Medição](#malware-metering)
+ [Cotas](#malware-quotas)
+ [Etapas de uso do console e da CLI para tipos de verificação de malware](#malware-console-cli-usage)
## Integração com a Amazon GuardDuty
AWS Backup se integra ao Amazon GuardDuty Malware Protection para fornecer detecção de ameaças para seus pontos de recuperação. Quando você inicia uma verificação de malware, chama AWS Backup automaticamente a `StartMalwareScan` API GuardDuty da Amazon após a conclusão de cada backup, transmitindo os detalhes do ponto de recuperação e suas credenciais de função de scanner. A Amazon GuardDuty então começa a ler, descriptografar e escanear todos os arquivos e objetos dentro do backup.
Quando a Amazon GuardDuty acessa seus dados de backup, esse acesso é conectado AWS CloudTrail para maior visibilidade.
Para obter mais informações sobre essa integração, consulte a [documentação do Amazon GuardDuty Malware Protection](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-backup.html).
# Backup de permissões de acesso instantâneo
Ao usar o Amazon GuardDuty Malware Protection for AWS Backup com backups do S3, a Amazon GuardDuty acessa seus backups do S3 por meio de três APIs: CreateBackupAccessPoint, e. DescribeBackupAccessPoint DeleteBackupAccessPoint
A Amazon GuardDuty usa CreateBackupAccessPoint para acessar seus dados de backup criptografados. Durante o trabalho de digitalização, GuardDuty usa DescribeBackupAccessPoint para verificar a criação bem-sucedida do ponto de acesso. Quando a verificação for concluída, GuardDuty ligue DeleteBackupAccessPoint para remover o acesso ao seu backup.
Esse fluxo de trabalho se aplica tanto aos backups do S3 quanto aos backups do EC2/EBS armazenados em um cofre logicamente isolado.
## Como usar a verificação de malware
Ao usar o Amazon GuardDuty Malware Protection com AWS Backup, você pode verificar automaticamente se há malware em seus backups. Essa integração ajuda você a detectar códigos maliciosos em seus backups e identificar pontos de recuperação limpos para operações de restauração.
O Amazon GuardDuty Malware Protection oferece suporte a dois fluxos de trabalho principais para escanear seus backups:
+ Verificação **automática de malware por meio de planos de backup** — Ative a verificação de malware em planos de backup para automatizar a detecção de malware com AWS Backup. Quando ativado, inicia AWS Backup automaticamente um GuardDuty escaneamento da Amazon após cada conclusão bem-sucedida do backup. Você pode configurar a verificação completa ou incremental para regras específicas do plano de backup, o que determina a frequência com que seus backups são verificados. Para obter mais informações sobre os tipos de escaneamento, veja [Escaneamentos incrementais versus escaneamentos completos](#malware-scan-types) abaixo. AWS Backup recomenda ativar a verificação automática de malware nos planos de backup para detecção proativa de ameaças após a criação do backup.
+ **Escaneamentos sob demanda** — Execute escaneamentos sob demanda para verificar manualmente os backups existentes, escolhendo entre os tipos de varredura completa ou incremental. AWS Backup recomenda o uso de varreduras sob demanda para identificar seu último backup limpo. Ao fazer a varredura antes de uma operação de restauração, use uma verificação completa para examinar todo o backup com o modelo de detecção de ameaças mais recente.
## Acesso
Antes de começar com a proteção contra malware, sua conta deve ter as permissões necessárias para as operações.
AWS Backup a verificação de malware requer duas funções do IAM para verificar seus pontos de recuperação em busca de possíveis malwares:
+ Primeiro, a política [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html)gerenciada [AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html)ou deve ser anexada à sua função de backup existente ou nova. Essa é a mesma função encontrada na atribuição de recursos para seu plano de backup no console ou por meio da [BackupSelection API](API_CreateBackupSelection.md). Essa política gerenciada permite AWS Backup iniciar escaneamentos de malware com a Amazon. GuardDuty
+ Em segundo lugar, é necessária uma nova função de scanner com uma política [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html)gerenciada confiável. `malware-protection.guardduty.amazonaws.com` Essa é a mesma função encontrada na parte de proteção contra malware do seu plano de backup no console ou nas configurações de verificação em sua [BackupPlan API](API_CreateBackupPlan.md). Essa função é passada AWS Backup para a Amazon GuardDuty quando uma verificação é iniciada, fornecendo acesso aos backups.
## Escaneamentos incrementais versus escaneamentos completos
Com a verificação de malware, você tem a opção de escolher entre varreduras incrementais e completas com base em seus requisitos de segurança e considerações de custo.
**As varreduras incrementais** analisam somente os dados que foram alterados entre o ponto de recuperação de destino e o ponto de recuperação básico. Essas varreduras são mais rápidas e econômicas para varreduras regulares, tornando-as ideais para backups periódicos frequentes nos quais você deseja verificar dados recém-copiados.
Mesmo quando a varredura incremental é selecionada, AWS Backup executa uma varredura completa nas seguintes situações:
+ **Escaneamentos pela primeira vez:** o escaneamento inicial de um recurso é sempre um escaneamento completo, permitindo que GuardDuty a Amazon estabeleça uma linha de base de possíveis ameaças. As varreduras subsequentes serão então incrementais.
+ **Linha de base expirada:** se seu ponto de recuperação de linha de base foi escaneado há mais de 365 dias, ocorre uma verificação completa. Como a Amazon GuardDuty retém as informações de busca por apenas 365 dias, uma nova linha de base deve ser estabelecida para garantir resultados precisos de escaneamento.
+ **Linha de base excluída:** se seu ponto de recuperação básico for excluído antes do início da próxima verificação incremental, uma verificação completa ocorrerá automaticamente.
**As varreduras completas** examinam todo o ponto de recuperação, independentemente das varreduras anteriores. Embora esses exames forneçam uma cobertura abrangente, eles demoram mais para serem concluídos e geram custos mais altos. Você pode executar varreduras completas sob demanda ou programá-las por meio de seus planos de backup. AWS Backup recomenda configurar verificações completas periódicas em seus planos de backup em intervalos prolongados para garantir que todos os dados de backup sejam examinados regularmente com o modelo de assinatura de malware mais recente.
Para otimizar a segurança versus o gerenciamento de custos, considere sua frequência de backup ao escolher os tipos de escaneamento.
**nota**
Atualmente, a verificação de malware não é suportada pelos pontos de recuperação contínua do Amazon S3. Para verificar os backups contínuos do Amazon S3, configure backups periódicos para seus recursos do Amazon S3 e habilite a verificação de malware nesses backups periódicos. Você pode usar uma [combinação de backups contínuos e periódicos](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html) para seus buckets do Amazon S3.
**nota**
A verificação incremental de malware não é suportada para pontos de recuperação do Amazon EC2 em [um cofre logicamente isolado ou em pontos de recuperação copiados](https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html) do Amazon EC2.
## Monitorando seus escaneamentos de malware
Depois que a digitalização estiver ativada, AWS Backup tanto a Amazon quanto a Amazon GuardDuty fornecem mecanismos de monitoramento e notificação que você pode usar para rastrear seus resultados:
+ **AWS Backup Console:** O AWS Backup console é alimentado por `ListScanJobs` `DescribeScanJob` APIs e. Você pode visitar a seção Proteção contra malware para ver a lista de trabalhos de escaneamento, representando o status do trabalho e os resultados do escaneamento. AWS Backup também oferece suporte a uma `ListScanJobSummaries` API, embora não esteja disponível no console.
+ **AWS Backup Audit Manager:** você pode configurar um relatório de escaneamento para ver todos os trabalhos de escaneamento de malware AWS Backup iniciados nas últimas 24 horas.
+ **Amazon GuardDuty Console:** Se a Amazon básica GuardDuty estiver ativada, você poderá ver detalhes nos resultados do Malware Scan e investigar o malware na página de GuardDuty descobertas da Amazon. Você pode visualizar informações como ameaça e nome do arquivo, caminho do arquivo, objects/files escaneado, bytes verificados etc. Observe que essas informações detalhadas sobre ameaças não estão disponíveis por meio do AWS Backup site, e você deve ter as GuardDuty permissões apropriadas da Amazon para visualizar essas informações.
+ **Amazon EventBridge:** Tanto a Amazon AWS Backup quanto a Amazon GuardDuty emitem EventBridge eventos, permitindo que administradores de backup e segurança sejam alertados de forma síncrona. Você pode configurar regras personalizadas para receber notificações quando os escaneamentos forem concluídos ou quando um malware for detectado.
+ **AWS CloudTrail:** Tanto a Amazon AWS Backup quanto a Amazon GuardDuty emitem CloudTrail eventos, permitindo que você monitore o acesso à API.
## Entendendo os resultados da verificação
Seus trabalhos de escaneamento de AWS Backup terão um estado e um resultado de escaneamento.
### Estados de digitalização
O estado de escaneamento indica o estado do trabalho e pode ter valores de: `CREATED` `COMPLETED``COMPLETED_WITH_ISSUES`,`RUNNING`,,`FAILED`, ou`CANCELED`.
Há várias situações nas quais seu trabalho de digitalização terminará com o estado`COMPLETED_WITH_ISSUES`:
Para backups do Amazon S3, há size/type limitações de objetos que impedirão que objetos sejam escaneados. Quando pelo menos um objeto for ignorado em um escaneamento, o trabalho de escaneamento correspondente será marcado como. `COMPLETED_WITH_ISSUES` Para backups do Amazon EC2/Amazon EBS, há size/quantity limitações de volume que fazem com que os volumes sejam ignorados durante a digitalização. Essas situações resultarão em uma tarefa de backup do Amazon EC2/Amazon EBS que resultará em. `COMPLETED_WITH_ISSUES`
Se seu trabalho terminar com o estado `COMPLETED_WITH_ISSUES` e você precisar de mais informações sobre os motivos, precisará obter esses detalhes do trabalho de digitalização correspondente na Amazon GuardDuty.
**nota**
As tarefas de verificação incremental verificam apenas a diferença de dados entre dois backups. Portanto, se um trabalho de verificação incremental não encontrar nenhuma das situações descritas acima, ele terminará no estado `COMPLETE` e não o herdará do ponto `COMPLETED_WITH_ISSUES` de recuperação básico.
Em casos raros, a Amazon GuardDuty pode enfrentar problemas internos ao digitalizar arquivos e objetos, e as tentativas de repetição podem ser esgotadas. Quando isso acontece, o trabalho de digitalização aparece como `FAILED` na Amazon AWS Backup e `COMPLETED_WITH_ISSUES` na Amazon GuardDuty. Essa diferença de status permite que você visualize os resultados de escaneamento disponíveis na Amazon e, GuardDuty ao mesmo tempo, indique que nem todos os arquivos e objetos compatíveis foram digitalizados com sucesso.
### Resultados do escaneamento
Os resultados da verificação indicam um resultado agregado da Amazon GuardDuty e podem ter valores de:`THREATS_FOUND`, ou`NO_THREATS_FOUND`.
Os resultados da verificação indicam se um possível malware foi detectado em seus pontos de recuperação. Um `NO_THREATS_FOUND` status significa que nenhum malware em potencial foi detectado, enquanto `THREATS_FOUND` indica que um possível malware foi descoberto. Para obter informações detalhadas sobre ameaças, acesse as GuardDuty descobertas completas da Amazon por meio do GuardDuty console da Amazon ou APIs. Os resultados da verificação também estão disponíveis por meio de EventBridge eventos, permitindo que você crie fluxos de trabalho automatizados que respondam aos backups infectados.
A Amazon GuardDuty retém as descobertas por 365 dias, rastreando arquivos ou objetos em varreduras incrementais para monitorar se as ameaças são removidas ou se as assinaturas de malware são alteradas. Por exemplo, se um malware for detectado no backup 2, o resultado da verificação será exibido`THREATS_FOUND`. Quando você executa uma verificação incremental no backup 3 usando o backup 2 como base, o resultado da verificação permanece, a `THREATS_FOUND` menos que a ameaça tenha sido removida dos dados.
## Solução de problemas de falhas de verificação
As falhas comuns de escaneamento incluem permissões insuficientes do IAM, limites de serviço e problemas de acesso a recursos.
**Os erros de permissão** ocorrem quando a função de backup não tem `AWSBackupServiceRolePolicyForScans` permissões ou a função de scanner não tem `AWSBackupGuardDutyRolePolicyForScans` relações de confiança adequadas.
**Os erros de limite de serviço** ocorrem quando você excede as 150 verificações simultâneas por conta ou 5 varreduras simultâneas por tipo de recurso - as tarefas de verificação permanecerão no `CREATED` estado até que a capacidade esteja disponível.
**Erros de acesso negado** podem indicar pontos de recuperação criptografados sem AWS KMS as devidas permissões ou pontos de recuperação principais excluídos para verificações incrementais.
**Falhas de tempo limite** podem ocorrer com pontos de recuperação muito grandes ou durante períodos de alto GuardDuty carregamento da Amazon.
Para solucionar o problema, verifique o status do trabalho de verificação usando a `DescribeScanJob` API, verifique as configurações da função do IAM, garanta que os pontos de recuperação existam e estejam acessíveis e considere mudar para verificações completas se faltarem referências principais da verificação incremental.
Monitore seu uso simultâneo de escaneamento e implemente instabilidade em fluxos de trabalho automatizados para evitar atingir os limites do serviço.
## Medição
A proteção contra malware é fornecida e cobrada pela Amazon GuardDuty. Você não verá nenhuma AWS Backup cobrança relacionada ao uso desse recurso. Todo o uso pode ser visualizado no faturamento GuardDuty da Amazon. Para saber mais, acesse os [ GuardDuty preços da Amazon](https://aws.amazon.com/guardduty/pricing/).
## Cotas
Tanto a Amazon AWS Backup quanto a Amazon GuardDuty têm limites de cota para o Amazon GuardDuty Malware Protection for AWS Backup.
Para obter mais informações, acesse [AWS Backup cotas e cotas](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html) [da Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_limits.html).
## Etapas de uso do console e da CLI para tipos de verificação de malware
As seções a seguir mostram as etapas para configurar diferentes tipos de escaneamento de malware usando o console e. AWS CLI
### Como configurar escaneamentos de malware
**Console**
1. Navegue até o AWS Backup console → Planos de backup
1. Crie um novo plano de backup ou selecione o plano existente
1. Ativar o **botão de proteção contra malware**
1. Selecione **Função do scanner** para escolher uma nova função do scanner. Certifique-se de que a função de backup e a função de scanner tenham as permissões apropriadas, conforme discutido em[Acesso](#malware-access).
1. Selecione os tipos de **recursos digitalizáveis**. Isso filtrará a verificação de malware de acordo com os critérios de seleção de recursos que você escolheu. Por exemplo, se sua seleção de tipo de recurso escaneável for Amazon EBS, mas a seleção de recursos do seu plano incluir Amazon EBS e Amazon S3, somente as verificações de malware do Amazon EBS ocorrerão.
1. Defina **o tipo de escaneamento** para cada regra de backup. Você pode escolher entre total, incremental e sem escaneamento. A seleção do tipo de escaneamento significa que o escaneamento ocorrerá na frequência programada da regra de backup associada.
1. Salvar plano de backup
**AWS CLI**
**CreateBackupPlan**
Você pode criar um plano de backup com a verificação de malware ativada usando o [create-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html)comando.
```
aws backup create-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules": [
{
"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle": {
"DeleteAfterDays": 3,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"
}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 100,
"CompletionWindowMinutes": 5000,
"Lifecycle": {
"DeleteAfterDays": 2,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings": [
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes": ["EBS", "EC2", "S3"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**UpdateBackupPlan**
Você pode atualizar um plano de backup com a verificação de malware ativada usando o [update-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html)comando.
```
aws backup update-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules":
[
{"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 60,
"CompletionWindowMinutes": 3000,
"Lifecycle":
{
"DeleteAfterDays": 6,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle":
{
"DeleteAfterDays": 9,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings":
[
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes":
["ALL", "EBS"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**Notas principais**
+ A entrada do ARN de destino é necessária antes que as opções de digitalização sejam ativadas (console)
+ Tanto a função IAM de backup quanto a função IAM de scanner são necessárias para todas as configurações
+ Use `aws backup list-scan-jobs` para visualizar todos os trabalhos de digitalização (AWS CLI)
+ As implicações de custo variam de acordo com o tipo de escaneamento (incremental versus total) e a frequência
**AWS CLI Notas principais**
+ Use `aws backup list-scan-jobs` para visualizar todos os trabalhos de digitalização (AWS CLI)
+ Resultados de digitalização disponíveis via `describe-recovery-point` API com ScanResults campo
+ Tanto a função IAM de backup quanto a função IAM de scanner são necessárias para todas as configurações
+ A estrutura do plano de backup JSON inclui ScanSettings no nível do plano e ScanActions nas regras
# Resiliência em AWS Backup
AWS Backup leva sua resiliência — e sua segurança de dados — extremamente a sério.
AWS Backup armazena seus backups com *pelo menos* tanta resiliência e durabilidade quanto o AWS serviço original do seu recurso ofereceria, se você fizesse o backup lá.
AWS Backup foi projetado para usar a infraestrutura AWS global para replicar seus backups em várias zonas de disponibilidade para obter durabilidade de 99,999999999% (11 noves) em um determinado ano, desde que você siga a documentação atual. AWS Backup
AWS Backup criptografa seus planos de backup em repouso e os faz backup contínuo. Você também pode restringir o acesso aos seus planos de backup usando credenciais e políticas AWS Identity and Access Management (IAM). Para obter mais informações, consulte [Autenticação](https://docs.aws.amazon.com/aws-backup/latest/devguide/authentication.html), [Controle de acesso](https://docs.aws.amazon.com/aws-backup/latest/devguide/access-control.html) e [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. AWS Backup armazena seus backups nas zonas de disponibilidade. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de datacenter tradicionais. Para obter mais informações, consulte o [Acordo de Serviço (SLA) do AWS Backup](https://aws.amazon.com/backup/sla/).
Além disso, AWS Backup permite que você copie seus backups entre regiões para obter uma resiliência ainda maior. Para obter mais informações sobre o recurso de cópia AWS Backup entre regiões, consulte [Criando uma Cópia de Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/recov-point-create-a-copy.html).
Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).