Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Stratégies d'accès aux coffres
Vous pouvez ainsi attribuer des politiques aux coffres-forts de sauvegarde et aux ressources qu'ils contiennent. AWS Backup L'attribution de politiques vous permet d'accorder l'accès aux utilisateurs afin qu'ils puissent créer des plans de sauvegarde et des sauvegardes à la demande, mais de limiter leur capacité à supprimer des points de récupération après leur création.
Pour plus d'informations sur l'utilisation de politiques pour accorder ou restreindre l'accès aux ressources, consultez les sections Politiques basées sur l'identité et Politiques basées sur les ressources dans le guide de l'utilisateur. IAM Vous pouvez également contrôler l'accès à l'aide de balises.
Vous pouvez utiliser les exemples de politiques suivants comme guide pour limiter l'accès aux ressources lorsque vous travaillez avec des AWS Backup coffres-forts. Contrairement à d'autres politiques IAM basées, les politiques AWS Backup d'accès ne prennent pas en charge l'ajout d'un caractère générique dans la Action clé.
Pour obtenir la liste des Amazon Resource Names (ARNs) que vous pouvez utiliser pour identifier les points de récupération pour différents types de ressources, consultez la section relative AWS Backup ressource ARNs aux points de récupération spécifiques aux ressources. ARNs
Les politiques d'accès au coffre-fort contrôlent uniquement l'accès des utilisateurs à AWS Backup APIs. Certains types de sauvegarde, tels que les instantanés Amazon Elastic Block Store (AmazonEBS) et Amazon Relational Database Service (RDSAmazon), sont également accessibles à APIs l'aide de ces services. Vous pouvez créer des politiques d'accès distinctes pour contrôler l'accès à ces types de sauvegarde APIs afin de contrôler totalement l'accès à ces types de sauvegarde. IAM
Quelle que soit la politique d'accès du AWS Backup coffre, l'accès entre comptes pour toute action autre que backup:CopyIntoBackupVault sera rejeté, c'est-à-dire qu'il AWS Backup rejettera toute autre demande provenant d'un compte différent du compte de la ressource référencée.
Rubriques
Rejet de l'accès à un type de ressource dans un coffre-fort de sauvegarde
Cette politique interdit l'accès aux API opérations spécifiées pour tous les EBS instantanés Amazon d'un coffre-fort de sauvegarde.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:UpdateRecoveryPointLifecycle", "backup:DescribeRecoveryPoint", "backup:DeleteRecoveryPoint", "backup:GetRecoveryPointRestoreMetadata", "backup:StartRestoreJob" ], "Resource": ["arn:aws:ec2:Region::snapshot/*"] } ] }
Rejet de l'accès à un coffre-fort de sauvegarde
Cette politique refuse l'accès aux API opérations spécifiées ciblant un coffre-fort de sauvegarde.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::Account ID:role/MyRole" }, "Action": [ "backup:DescribeBackupVault", "backup:DeleteBackupVault", "backup:PutBackupVaultAccessPolicy", "backup:DeleteBackupVaultAccessPolicy", "backup:GetBackupVaultAccessPolicy", "backup:StartBackupJob", "backup:GetBackupVaultNotifications", "backup:PutBackupVaultNotifications", "backup:DeleteBackupVaultNotifications", "backup:ListRecoveryPointsByBackupVault" ], "Resource": "arn:aws:backup:Region:Account ID:backup-vault:backup vault name" } ] }
Rejet de l'accès pour supprimer des points de récupération dans un coffre-fort de sauvegarde
L'accès aux coffres-forts et la possibilité de supprimer des points de récupération qui y sont stockés sont déterminés par l'accès que vous accordez aux utilisateurs.
Suivez les étapes ci-après pour créer une stratégie d'accès basée sur les ressources sur un coffre-fort de sauvegarde qui empêche la suppression de toutes les sauvegardes dans le coffre-fort de sauvegarde.
Pour créer une stratégie d'accès basée sur les ressources pour un coffre-fort de sauvegarde
Connectez-vous à et ouvrez AWS Management Console la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.
-
Dans le panneau de navigation de gauche, choisissez Backup vaults (Coffres-forts de sauvegarde).
-
Choisissez un coffre-fort de sauvegarde dans la liste.
-
Dans la section Politique d'accès, collez l'JSONexemple suivant. Cette stratégie empêche toute personne qui n'est pas le mandataire principal de supprimer un point de récupération dans le coffre-fort de sauvegarde cible.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "StringNotEquals": { "aws:userId": [ "AAAAAAAAAAAAAAAAAAAAA:", "BBBBBBBBBBBBBBBBBBBBBB", "112233445566" ] } } } ] }Pour autoriser les IAM identités de liste à utiliser leurARN, utilisez la clé de condition
aws:PrincipalArnglobale dans l'exemple suivant.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "backup:DeleteRecoveryPoint", "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::112233445566:role/mys3role", "arn:aws:iam::112233445566:user/shaheer", "112233445566" ] } } } ] }Pour plus d'informations sur l'obtention d'un identifiant unique pour une IAM entité, voir Obtenir l'identifiant unique dans le Guide de IAM l'utilisateur.
Si vous souhaitez limiter cette possibilité à des types de ressources spécifiques, au lieu de
"Resource": "*", vous pouvez inclure explicitement les types de points de récupération à rejeter. Par exemple, pour les EBS instantanés Amazon, modifiez le type de ressource comme suit."Resource": ["arn:aws:ec2::Region::snapshot/*"] -
Choisissez Attach policy (Attacher une politique).
