Faça backup e arquive dados no Amazon S3 com o Veeam Backup & Replication - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasPráticas recomendadasÉpicosRecursos relacionadosMais informações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Faça backup e arquive dados no Amazon S3 com o Veeam Backup & Replication

Criado por Jeanna James, Anthony Fiore (AWS) e William Quigley

Ambiente: produção

Tecnologias: Armazenamento e backup

Serviços da AWS: Amazon EC2; Amazon S3; Amazon S3 Glacier

Resumo

Esse padrão detalha o processo de envio de backups criados pelo Veeam Backup & Replication para classes de armazenamento de objetos compatíveis do Amazon Simple Storage Service (Amazon S3) usando o recurso de repositório de backup escalável da Veeam. 

A Veeam suporta várias classes de armazenamento Amazon S3 para melhor atender às suas necessidades específicas. Você pode escolher o tipo de armazenamento com base nos requisitos de acesso aos dados, resiliência e custo de seus dados de backup ou arquivamento. Por exemplo, você pode armazenar dados que não planeja usar por 30 dias ou mais no acesso infrequente (IA) do Amazon S3 por um custo menor. Se você planeja arquivar dados por 90 dias ou mais, você pode usar o Amazon Simple Storage Service Glacier (Amazon S3 Glacier) Flexible Retrieval ou o S3 Glacier Deep Archive com o nível de arquivamento da Veeam. Você também pode usar o Bloqueio de Objetos S3 para tornar os backups imutáveis no Amazon S3.

Esse padrão não abrange como configurar o Veeam Backup & Replication com um gateway de fitas no AWS Storage Gateway. Para obter informações sobre esse tópico, consulte Veeam Backup & Replication usando o AWS VTL Gateway – Guia de implantação no site da Veeam.

Aviso: esse cenário exige que os usuários do IAM tenham acesso programático e credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários. As chaves de acesso podem ser atualizadas, se necessário. Para obter mais informações, consulte Atualização de chaves de acesso no Guia de usuário do IAM.

Pré-requisitos e limitações

Pré-requisitos

  • Veeam Backup & Replication, incluindo o Veeam Availability Suite ou o Veeam Backup Essentials, instalado (você pode se inscrever para um teste gratuito)

  • Licença do Veeam Backup & Replication com funcionalidade Enterprise ou Enterprise Plus, que inclui a Licença Universal da Veeam (VUL - Veeam Universal License)

  • Um usuário ativo do AWS Identity and Access Management (IAM) com acesso a um bucket do Amazon S3

  • Um usuário do IAM ativo com acesso à Amazon Elastic Compute Cloud (Amazon EC2) e Amazon Virtual Private Cloud (Amazon VPC) (se estiver usando o nível de arquivamento)

  • Conectividade de rede on-premises aos serviços da AWS com largura de banda disponível para backup e restauração de tráfego por meio de uma conexão pública à Internet ou de uma interface virtual pública (VIF) do AWS Direct Connect

  • As seguintes portas de rede e endpoints foram abertos para garantir a comunicação adequada com os repositórios de armazenamento de objetos:

    • Armazenamento do Amazon S3 – TCP – porta 443: usada para se comunicar com o armazenamento do Amazon S3.

    • Armazenamento Amazon S3 — endpoints na nuvem — *.amazonaws.com para regiões da AWS e regiões da GovCloud AWS (EUA), ou *.amazonaws.com.rproxy.goskope.com.cn para regiões da China: usado para se comunicar com o armazenamento do Amazon S3. Para obter uma lista completa dos endpoints de conexão, consulte Endpoints do Amazon S3 na documentação da AWS.

    • Armazenamento Amazon S3 – TCP HTTP – porta 80: usada para verificar o status do certificado. Considere que endpoints de verificação de certificados – URLs de lista de revogação de certificados (CRL - certificate revocation list) e servidores de protocolo de status de certificado on-line (OCSP - Online Certificate Status Protocol) – estão sujeitos a alterações. A lista real de endereços pode ser encontrada no próprio certificado.

    • Armazenamento Amazon S3 – endpoints de verificação de certificados – *.amazontrust.com: usado para verificar o status do certificado. Considere que os endpoints de verificação de certificados (URLs de CRL e servidores OCSP) estão sujeitos a alterações. A lista real de endereços pode ser encontrada no próprio certificado.

Limitações

  • A Veeam não suporta políticas de ciclo de vida do S3 em nenhum bucket do S3 usado como repositório de armazenamento de objetos da Veeam. Isso inclui políticas com transições de classe de armazenamento do Amazon S3 e regras de expiração do ciclo de vida do S3. A Veeam deve ser a única entidade que gerencia esses objetos. A ativação das políticas de ciclo de vida do S3 pode ter resultados inesperados, incluindo perda de dados.

Versões do produto

  • Veeam Backup & Replication v9.5, atualização 4 ou superior (somente backup ou nível de capacidade)

  • Veeam Backup & Replication v10 ou superior (nível de backup ou capacidade e Bloqueio de Objetos S3)

  • Veeam Backup & Replication v11 ou superior (nível de backup ou capacidade, nível de arquivamento ou arquivamento e Bloqueio de Objetos S3)

  • Veeam Backup & Replication v12 ou superior (nível de desempenho, nível de backup ou capacidade, nível de arquivamento ou arquivamento e Bloqueio de Objetos S3)

  • S3 Standard

  • S3 Standard – IA

  • S3 One Zone-IA

  • S3 Glacier Flexible Retrieval (somente v11 e versões posteriores)

  • S3 Glacier Deep Archive (somente v11 e versões posteriores)

  • S3 Glacier Instant Retrieval (somente v12 e versões posteriores)

Arquitetura

Pilha de tecnologia de origem

  • Instalação on-premises do Veeam Backup & Replication com conectividade de um servidor de backup da Veeam ou de um servidor gateway da Veeam com o Amazon S3

Pilha de tecnologias de destino

  • Amazon S3

  • Amazon VPC e Amazon EC2 (se estiver usando o nível de arquivamento)

Arquitetura de destino: SOBR 

O diagrama a seguir mostra a arquitetura do repositório de backup escalável (SOBR - scale-out backup repository).

Arquitetura SOBR para backup de dados da Veeam para o Amazon S3

O software Veeam Backup and Replication protege os dados contra erros lógicos, como falhas do sistema, erros de aplicativos ou exclusões acidentais. Neste diagrama, os backups são executados primeiro on-premises e uma cópia secundária é enviada diretamente para o Amazon S3. Um backup representa uma point-in-time cópia dos dados.

O fluxo de trabalho consiste em três componentes principais que são necessários para hierarquizar ou copiar backups para o Amazon S3 e um componente opcional:

  • Veeam Backup & Replication (1) – O servidor de backup responsável por coordenar, controlar e gerenciar a infraestrutura de backup, configurações, tarefas, tarefas de recuperação e outros processos.

  • Servidor gateway Veeam (não mostrado no diagrama) – Um servidor gateway on-premises opcional que é necessário se o servidor de backup da Veeam não tiver conectividade de saída com o Amazon S3.

  • Repositório de backup de aumento de escala horizontalmente (2) – Sistema de repositório com suporte de escalabilidade horizontal para armazenamento de dados em várias camadas. O repositório de backup de aumento de escala horizontalmente consiste em um ou mais repositórios de backup que fornecem acesso rápido aos dados e podem ser expandidos com os repositórios de armazenamento de objetos do Amazon S3 para armazenamento de longo prazo (nível de capacidade) e arquivamento (nível de arquivamento). A Veeam usa o repositório de backup de aumento de escala horizontalmente para hierarquizar dados automaticamente entre armazenamento local (nível de desempenho) e armazenamento de objetos Amazon S3 (níveis de capacidade e arquivamento).

  • O Amazon S3 (3) é um serviço de armazenamento de objetos que oferece escalabilidade, disponibilidade de dados, segurança e desempenho.

Arquitetura de destino: DTO

O diagrama a seguir mostra a arquitetura direct-to-object (DTO).

Arquitetura DTO para backup de dados da Veeam para o Amazon S3

Neste diagrama, os dados de backup vão diretamente para o Amazon S3 sem serem armazenados primeiro on-premises. Cópias secundárias podem ser armazenadas no S3 Glacier.

Automação e escala

Você pode automatizar a criação de recursos do IAM e buckets do S3 usando os CloudFormation modelos da AWS fornecidos no repositório. VeeamHub GitHub Os modelos incluem opções padrão e imutáveis.

Ferramentas

Ferramentas e serviços da AWS

  • O Veeam Backup & Replication é uma solução da Veeam para proteger, fazer backup, replicar e restaurar seus workloads físicas e virtuais.

  • CloudFormationA AWS ajuda você a modelar e configurar seus recursos da AWS, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida. Você pode usar um modelo para descrever seus recursos e as dependências deles, além de inicializá-los e configurá-los juntos como uma pilha, em vez de gerenciar recursos individualmente. Você pode gerenciar e provisionar pilhas em várias contas e regiões da AWS.

  • O Amazon Elastic Compute Cloud (Amazon EC2) oferece capacidade computacional escalável na Nuvem AWS. Você pode usar o Amazon EC2 para iniciar quantos servidores virtuais forem necessários, podendo também aumentar ou diminuir o número de servidores.

  • AWS Identity and Access Management (IAM) é um serviço web que ajuda você a controlar, com segurança, o acesso a serviços da AWS. Com o IAM, você pode gerenciar de maneira centralizada usuários, credenciais de segurança, como chaves de acesso e permissões que controlam quais recursos e aplicativos da AWS os usuários e aplicativos podem acessar.

  • O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objeto. Você pode utilizar o Amazon S3 para armazenar e recuperar qualquer volume de dados, a qualquer momento, de qualquer lugar na web.

  • O Amazon S3 Glacier (S3 Glacier) é um serviço seguro e durável para arquivamento de dados de baixo custo e backup de longo prazo.

  • A Amazon Virtual Private Cloud (Amazon VPC) permite provisionar uma seção logicamente isolada da Nuvem AWS, em que é possível executar recursos da AWS em uma rede virtual que você mesmo define. Essa rede virtual se assemelha a uma rede tradicional que você operaria no seu datacenter, com os benefícios de usar a infraestrutura dimensionável da AWS.

Código

Use os CloudFormation modelos fornecidos no VeeamHub GitHub repositório para criar automaticamente os recursos do IAM e os buckets do S3 para esse padrão. Se você preferir criar esses recursos manualmente, siga as etapas na seção Épicos.

Práticas recomendadas

  • De acordo com as melhores práticas do IAM, é altamente recomendável que você alterne regularmente as credenciais de usuário do IAM de longo prazo, como o usuário do IAM que você usa para gravar backups do Veeam Backup & Replication no Amazon S3. Para obter mais informações, consulte Práticas recomendadas de segurança na documentação do IAM.

Épicos

TarefaDescriçãoHabilidades necessárias

Criar um usuário do IAM.

Siga as instruções na documentação do IAM para criar um usuário do IAM. Esse usuário não deve ter acesso ao console da AWS e você precisará criar uma chave de acesso para esse usuário. A Veeam usa essa entidade para se autenticar na AWS para ler e gravar em seus buckets S3. Você deve conceder o privilégio mínimo (ou seja, conceder somente as permissões necessárias para realizar uma tarefa) para que o usuário não tenha mais autoridade do que precisa. Por exemplo, políticas do IAM para anexar ao seu usuário do IAM Veeam, consulte a seção Informações adicionais.

Observação Como alternativa, você pode usar os CloudFormation modelos fornecidos no VeeamHub GitHub repositório para criar um usuário do IAM e um bucket do S3 para esse padrão.

Administrador da AWS

Criar um bucket do S3.

  1. Faça login no Console de Gerenciamento da AWS e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/

  2. Se você ainda não tiver um bucket S3 existente para usar como armazenamento de destino, escolha Create bucket e especifique o nome do bucket, a região da AWS e as configurações do bucket.

    • Recomendamos que você habilite a opção Bloquear acesso público para o bucket do S3 e configure as políticas de acesso e permissão de usuário para atender aos requisitos da sua organização. Para ver um exemplo, consulte a documentação do Amazon S3.

    • Recomendamos que você ative o Bloqueio de Objetos S3, mesmo que não pretenda usá-lo imediatamente. Essa configuração só pode ser ativada no momento da criação do bucket do S3.

Para obter mais informações, consulte Criar um bucket na documentação do Amazon S3.

Administrador da AWS
TarefaDescriçãoHabilidades necessárias

Inicie o assistente para Novo repositório de objetos.

Antes de configurar o armazenamento de objetos e os repositórios de backup de aumento da escala horizontalmente na Veeam, você deve adicionar os repositórios de armazenamento Amazon S3 e Amazon S3 Glacier que você deseja usar para os níveis de capacidade e arquivamento. No próximo épico, você conectará esses repositórios de armazenamento ao seu repositório de backup de aumento da escala horizontalmente.

  1. No console da Veeam, abra a visualização da Infraestrutura de backup

  2. No painel de inventário, escolha o nó Repositórios de backup e, em seguida, escolha Adicionar repositório

  3. Na caixa de diálogo Adicionar repositório de backup, escolha Armazenamento de Objeto, Amazon S3.

Administrador da AWS, proprietário do aplicativo

Adicionar armazenamento do Amazon S3 para o nível de capacidade.

  1. Na caixa de diálogo Amazon Cloud Storage Services, escolha Amazon S3.

  2. Na etapa Nome do assistente, especifique o nome do armazenamento do objeto e uma breve descrição, como o criador e a data de criação. 

  3. Na etapa Conta  do assistente, especifique a conta de armazenamento de objetos. 

    • Em Credenciais, escolha o usuário do IAM que você criou no primeiro épico para acessar seu armazenamento de objetos do Amazon S3. 

    • Para a região da AWS, escolha a região da AWS em que o bucket do Amazon S3 está localizado.

  4. Na etapa Bucket  do assistente, especifique as configurações de armazenamento de objetos.

    • Em Região do datacenter, selecione a região da AWS onde o bucket do Amazon S3 está localizado.

    • Para o Bucket, escolha o bucket S3 criado o primeiro épico.

    • Em Pasta, crie ou selecione uma pasta na nuvem para mapear seu repositório de armazenamento de objetos. 

    • Se você quiser ativar a imutabilidade, escolha Tornar os backups recentes imutáveis por X dias  e defina o período durante o qual seus backups devem ser bloqueados. Observe que habilitar a imutabilidade resulta em aumento de custos devido ao aumento do número de chamadas de API da Veeam para o Amazon S3.

  5. Na etapa Resumo do assistente, revise as informações de configuração e escolha Concluir.

Administrador da AWS, proprietário do aplicativo

Adicione armazenamento S3 Glacier para o nível de arquivamento.

Se você quiser criar uma camada de arquivamento, use as permissões do IAM detalhadas na seção Informações adicionais

  1. Inicie o assistente para Novo repositório de objetos conforme descrito anteriormente.

  2. Na caixa de diálogo Amazon Cloud Storage Services, escolha Amazon S3 Glacier.

  3. Na etapa Nome do assistente, especifique o nome do armazenamento do objeto e uma breve descrição, como o criador e a data de criação.

  4. Na etapa Conta  do assistente, especifique a conta de armazenamento de objetos.

    • Em Credenciais, escolha o usuário do IAM que você criou no primeiro épico para acessar seu armazenamento de objetos do Amazon S3 Glacier. 

    • Para a região da AWS, escolha a região da AWS em que o bucket do Amazon S3 está localizado.

  5. Na etapa Bucket  do assistente, especifique as configurações de armazenamento de objetos.

    • Para a região do datacenter, escolha a região da AWS.

    • Em Bucket, selecione um bucket S3 para armazenar seus dados de backup. Esse pode ser o mesmo bucket que você usou para o nível de capacidade.

    • Em Pasta, crie ou selecione uma pasta na nuvem para mapear seu repositório de armazenamento de objetos. 

    • Se você quiser ativar a imutabilidade, escolha Tornar os backups recentes imutáveis durante toda a duração da política de retenção. Observe que habilitar a imutabilidade resulta em aumento de custos devido ao aumento do número de chamadas de API da Veeam para o Amazon S3.

    • Se você quiser usar o S3 Glacier Deep Archive como sua classe de armazenamento de arquivamento, escolha Usar a classe de armazenamento Deep Archive.

  6. Na etapa Proxy Appliance  do assistente, configure a instância auxiliar usada para transferir os dados do Amazon S3 para o Amazon S3 Glacier. Você pode usar as configurações padrão ou definir cada configuração manualmente. Para definir as configurações manualmente:

    • Escolha Customize (Personalizar).

    • Para o  Tipo de instância do EC2, escolha o tipo de instância para o dispositivo proxy, com base em seus requisitos de velocidade e custo para transferir os arquivos de backup para a camada de arquivamento do seu repositório de backup de aumento da escala horizontalmente.

    • Para a Amazon VPC, escolha a VPC para a instância de destino.

    • Em Sub-rede, selecione a sub-rede do dispositivo de proxy.

    • Em Security group, selecione o grupo de segurança a ser associado ao dispositivo proxy.

    • Para a porta Redirector, especifique a porta TCP para as solicitações de roteamento entre o dispositivo proxy e os componentes da infraestrutura de backup.

    • Escolha Ok para confirmar suas configurações.

  7. Na etapa Resumo do assistente, revise as informações de configuração e escolha Concluir.

Administrador da AWS, proprietário do aplicativo
TarefaDescriçãoHabilidades necessárias

Inicie o assistente do Novo repositório de backup de aumento da escala horizontalmente.

  1. No console da Veeam, abra a visualização da Infraestrutura de backup

  2. No painel de inventário, escolha Repositórios de aumento da escala horizontalmente e, em seguida, escolha Adicionar repositório de aumento da escala horizontalmente.

Proprietário do aplicativo, administrador de sistemas da AWS

Adicione um repositório de backup de aumento da escala horizontalmente e configure a capacidade e os níveis de arquivamento.

  1. Na etapa Nome do assistente, especifique o nome e uma breve descrição do repositório de backup de aumento da escala horizontalmente. 

  2. Se necessário, adicione extensões de desempenho. Você também pode usar seu repositório de backup local Veeam existente como seu nível de desempenho. A partir da versão 12 da Veeam, você pode adicionar um bucket S3 como uma extensão de desempenho para backups direct-to-object (DTO), ignorando um nível de desempenho local.

  3. Escolha Avançado e especifique opções adicionais para o repositório de backup escalável.

    • Escolha Usar arquivos de backup por máquina para criar um arquivo de backup separado para cada máquina e gravar esses arquivos no repositório de backup em vários fluxos simultaneamente. Essa opção é recomendada para uma melhor utilização dos recursos de armazenamento e computação.

    • Escolha Executar backup completo quando a extensão necessária estiver off-line para criar um arquivo de backup completo caso uma extensão que contenha pontos de restauração para um backup incremental fique off-line. Essa opção requer espaço livre no repositório de backup de aumento da escala horizontalmente para hospedar um arquivo de backup completo.

  4. Na etapa Política  do assistente, especifique a política de posicionamento de backup para o repositório. 

    • Escolha Localidade de dados para armazenar arquivos de backup completos e incrementais que pertencem à mesma cadeia juntos, com a mesma extensão de desempenho. Você pode armazenar arquivos que pertencem a uma nova cadeia de backup na mesma extensão de desempenho ou em outra (a menos que você use um dispositivo de armazenamento com desduplicação como extensão de desempenho).

    • Escolha Desempenho para armazenar arquivos de backup completos e incrementais em diferentes níveis de desempenho. Essa opção requer uma conexão de rede rápida e confiável. Se você escolher Desempenho, poderá restringir os tipos de arquivos de backup a serem armazenados em cada extensão de desempenho. Por exemplo, você pode armazenar arquivos de backup completos em uma extensão e arquivos de backup incremental em outras extensões. Para escolher os tipos de arquivo:

      • Escolha Customize (Personalizar).

      • Na caixa de diálogo Configurações de Colocação de Backup, escolha uma extensão de desempenho e, em seguida, escolha Editar.

      • Escolha o tipo de arquivo de backup que você deseja armazenar na extensão.

  5. Na etapa de Nível de capacidade  do assistente, configure o nível de armazenamento de longo prazo que você deseja anexar ao repositório de backup escalável.  

    • Escolha Estender a capacidade escalável do repositório de backup com armazenamento de objetos. Para o repositório de armazenamento de objetos, escolha o armazenamento Amazon S3 para o nível de capacidade que você adicionou no épico anterior.

    • Escolha Janela para selecionar uma janela de tempo para mover ou copiar dados.

    • Escolha Copiar backups para o armazenamento de objetos assim que forem criados para copiar todos os arquivos de backup criados recentemente ou somente os arquivos de backup criados recentemente até o limite da capacidade. 

    • Escolha Mover backups para o armazenamento de objetos à medida que envelhecem, fora da janela de restaurações operacionais para transferir cadeias de backup inativas até o limite da capacidade. No campo Mover arquivos de backup com mais de X dias, especifique um período após o qual os arquivos de backup devem ser descarregados. (Para descarregar cadeias de backup inativas no dia em que foram criadas, especifique 0 dias.) Você também pode escolher Substituir para mover os arquivos de backup mais cedo se o repositório de backup escalável tiver atingido um limite especificado por você.

    • Escolha Criptografar dados enviados para o armazenamento de objetos e especifique uma senha para criptografar todos os dados e seus metadados para descarga. Escolha Adicionar ou Gerenciar senhas para especificar uma nova senha.

  6. Na etapa Nível de arquivo  do assistente, configure a camada de armazenamento de arquivamento que você deseja anexar ao repositório de backup escalável. (Essa etapa não aparece se você pulou a adição do armazenamento do Amazon S3 Glacier.) 

    • Escolha Arquivar backups completos do GFS no armazenamento de objetos. Para o repositório de armazenamento de objetos, escolha o armazenamento Amazon S3 Glacier que você adicionou no épico anterior.

    • Para arquivar backups do GFS com mais de N dias, escolha uma janela de tempo para mover arquivos para a extensão de arquivamento. (Para arquivar cadeias de backup inativas no dia em que foram criadas, especifique 0 dias.)

  7. Na etapa Resumo do assistente, revise a configuração do repositório de backup expansível e escolha Concluir.

Proprietário do aplicativo, administrador de sistemas da AWS

Recursos relacionados

Mais informações

As seções a seguir fornecem exemplos de políticas do IAM que você pode usar ao criar um usuário do IAM na seção Épicos desse padrão.

Política do IAM para nível de capacidade

Observação   Altere o nome dos buckets S3 no exemplo de política de <yourbucketname> para o nome do bucket S3 que você deseja usar para backups de nível de capacidade da Veeam.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectVersion",
                "s3:ListBucketVersions",
                "s3:ListBucket",
                "s3:PutObjectLegalHold",
                "s3:GetBucketVersioning",
                "s3:GetObjectLegalHold",
                "s3:GetBucketObjectLockConfiguration",
                "s3:PutObject*",
                "s3:GetObject*",
                "s3:GetEncryptionConfiguration",
                "s3:PutObjectRetention",
                "s3:PutBucketObjectLockConfiguration",
                "s3:DeleteObject*",
                "s3:DeleteObjectVersion",
                "s3:GetBucketLocation"

            ],
            "Resource": [
                "arn:aws:s3:::/*",
                "arn:aws:s3:::"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket"
            ],
            "Resource": "*"
        }
    ]
}

Política do IAM para o nível de arquivamento

Observação   Altere o nome dos buckets S3 no exemplo de política de <yourbucketname> para o nome do bucket S3 que você deseja usar para backups da camada de arquivamento da Veeam.

Para usar sua VPC, sub-rede e grupos de segurança existentes:

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
          "s3:DeleteObject",
          "s3:PutObject",
          "s3:GetObject",
          "s3:RestoreObject",
          "s3:ListBucket",
          "s3:AbortMultipartUpload",
          "s3:GetBucketVersioning",
          "s3:ListAllMyBuckets",
          "s3:GetBucketLocation",
          "s3:GetBucketObjectLockConfiguration",
          "s3:PutObjectRetention",
          "s3:GetObjectVersion",
          "s3:PutObjectLegalHold",
          "s3:GetObjectRetention",
          "s3:DeleteObjectVersion",
          "s3:ListBucketVersions",
          "ec2:DescribeInstances",
          "ec2:CreateKeyPair",
          "ec2:DescribeKeyPairs",
          "ec2:RunInstances",
          "ec2:DeleteKeyPair",
          "ec2:DescribeVpcAttribute",
          "ec2:CreateTags",
          "ec2:DescribeSubnets",
          "ec2:TerminateInstances",
          "ec2:DescribeSecurityGroups",
          "ec2:DescribeImages",
          "ec2:DescribeVpcs"
        ],
        "Resource": "*"
      }
    ]
  }

Para criar novos VPC, sub-rede e grupos de segurança:

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
          "s3:DeleteObject",
          "s3:PutObject",
          "s3:GetObject",
          "s3:RestoreObject",
          "s3:ListBucket",
          "s3:AbortMultipartUpload",
          "s3:GetBucketVersioning",
          "s3:ListAllMyBuckets",
          "s3:GetBucketLocation",
          "s3:GetBucketObjectLockConfiguration",
          "s3:PutObjectRetention",
          "s3:GetObjectVersion",
          "s3:PutObjectLegalHold",
          "s3:GetObjectRetention",
          "s3:DeleteObjectVersion",
          "s3:ListBucketVersions",
          "ec2:DescribeInstances",
          "ec2:CreateKeyPair",
          "ec2:DescribeKeyPairs",
          "ec2:RunInstances",
          "ec2:DeleteKeyPair",
          "ec2:DescribeVpcAttribute",
          "ec2:CreateTags",
          "ec2:DescribeSubnets",
          "ec2:TerminateInstances",
          "ec2:DescribeSecurityGroups",
          "ec2:DescribeImages",
          "ec2:DescribeVpcs",
          "ec2:CreateVpc",
          "ec2:CreateSubnet",
          "ec2:DescribeAvailabilityZones",
          "ec2:CreateRoute",
          "ec2:CreateInternetGateway",
          "ec2:AttachInternetGateway",
          "ec2:ModifyVpcAttribute",
          "ec2:CreateSecurityGroup",
          "ec2:DeleteSecurityGroup",
          "ec2:AuthorizeSecurityGroupIngress",
          "ec2:AuthorizeSecurityGroupEgress",
          "ec2:DescribeRouteTables",
          "ec2:DescribeInstanceTypes"
        ],
        "Resource": "*"
      }
    ]
  }