Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Syntax und Beispiele für Backup-Richtlinien
Auf dieser Seite wird die Syntax für Backup-Richtlinien beschrieben und durch Beispiele illustriert.
## Syntax für Backup-Richtlinien
Eine Backup-Richtlinie ist eine Textdatei, die den [JSON](http://json.org)-Regeln entsprechend strukturiert ist. Die Syntax für Backup-Richtlinien folgt der Syntax für alle Verwaltungsrichtlinientypen. Weitere Informationen finden Sie unter [Richtliniensyntax und Vererbung für Verwaltungsrichtlinientypen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Dieses Thema konzentriert sich auf die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungen des Backup-Richtlinientyps.
Weitere Informationen zu AWS Backup Plänen finden Sie [CreateBackupPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateBackupPlan.html)im *AWS Backup Entwicklerhandbuch*.
## Überlegungen
**Syntax der Richtlinien**
Doppelte Schlüsselnamen werden in JSON zurückgewiesen.
In den Richtlinien müssen die zu sichernden Ressourcen AWS-Regionen und Ressourcen angegeben werden.
In den Richtlinien muss die IAM-Rolle angegeben werden, die übernommen AWS Backup wird.
Wenn Sie den `@@assign` Operator auf derselben Ebene verwenden, können vorhandene Einstellungen überschrieben werden. Weitere Informationen finden Sie unter [Eine untergeordnete Richtlinie überschreibt Einstellungen in einer übergeordneten](#backup-policy-example-5) Richtlinie.
Vererbungsoperatoren steuern, wie geerbte Richtlinien und Richtlinien von Konten in die effektive Richtlinie des Kontos zusammengeführt werden. Zu diesen Operatoren gehören wertbestimmende Operatoren und untergeordnete Steuerungsoperatoren.
Weitere Informationen finden Sie unter [Vererbungsoperatoren](policy-operators.md) und [Beispiele für Backup-Richtlinien](#backup-policy-examples).
**IAM-Rollen**
Die IAM-Rolle muss vorhanden sein, wenn Sie zum ersten Mal einen Backup-Plan erstellen.
Die IAM-Rolle muss berechtigt sein, auf Ressourcen zuzugreifen, die durch eine Tag-Abfrage identifiziert wurden.
Die IAM-Rolle muss über die Berechtigung verfügen, die Sicherung durchzuführen.
**Backup-Tresore**
AWS-Regionen Bevor ein Backup-Plan ausgeführt werden kann, müssen in jedem der angegebenen Tresore vorhanden sein.
Für jedes AWS Konto, für das die gültige Richtlinie gilt, müssen Tresore vorhanden sein. Weitere Informationen finden Sie unter [Erstellen und Löschen von Backup-Tresoren](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html) im *AWS Backup Entwicklerhandbuch*.
Wir empfehlen, AWS CloudFormation Stack-Sets und deren Integration mit Organizations zu verwenden, um automatisch Backup-Tresore und IAM-Rollen für jedes Mitgliedskonto in der Organisation zu erstellen und zu konfigurieren. Weitere Informationen finden Sie unter [Erstellen eines Stack-Sets mit selbstverwalteten Berechtigungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#create-stack-set-service-managed-permissions) im *AWS CloudFormation -Benutzerhandbuch*.
**Kontingente**
Eine Liste der Kontingente finden Sie unter [AWS Backup Kontingente](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html#aws-backup-policies-quotas-table) im *AWS Backup Entwicklerhandbuch*.
## Backup-Syntax: Überblick
Zur Syntax der Backup-Richtlinie gehören die folgenden Komponenten:
```
{
"plans": {
"PlanName": {
"rules": { ... },
"regions": { ... },
"selections": { ... },
"advanced_backup_settings": { ... },
"backup_plan_tags": { ... },
"scan_settings": { ... }
}
}
}
```
**Elemente der Backup-Richtlinie**
| Element | Description | Erforderlich |
| --- | --- | --- |
| [Regeln](#backup-policy-rules) | Liste der Backup-Regeln. Jede Regel definiert, wann Backups beginnen und in welchem Ausführungsfenster die in den selections Elementen regions und angegebenen Ressourcen ausgeführt werden. | Ja |
| [Regionen](#backup-plan-regions) | Liste der Bereiche AWS-Regionen , in denen eine Backup-Richtlinie Ressourcen schützen kann. | Ja |
| [Auswahlen](#backup-plan-selections) | Ein oder mehrere Ressourcentypen innerhalb des angegebenen Bereichs, die durch regions das Backup rules geschützt werden. | Ja |
| [advanced\$1backup\$1settings](#advanced-backup-settings) | Konfigurationsoptionen für bestimmte Backup-Szenarien. Derzeit ist die einzige erweiterte Backup-Einstellung, die unterstützt wird, die Aktivierung von Microsoft Volume Shadow Copy Service (VSS) -Backups für Windows oder SQL Server, die auf einer Amazon EC2 EC2-Instance ausgeführt werden. | Nein |
| [backup\$1plan\$1tags](#backup-plan-tags) | Tags, die Sie einem Backup-Plan zuordnen möchten. Jedes Tag ist eine Bezeichnung, die aus einem benutzerdefinierten Schlüssel und Wert besteht. Mithilfe von Stichwörtern können Sie Ihre Backup-Pläne verwalten, identifizieren, organisieren, suchen und filtern. | Nein |
| [scan\$1settings](#scan-settings) | Konfigurationsoptionen für Scaneinstellungen. Derzeit werden nur die Scaneinstellungen „Amazon GuardDuty Malware Protection für aktivieren“ unterstützt AWS Backup. | Nein |
## Backup-Syntax: Regeln
Der `rules` Richtlinienschlüssel gibt die geplanten Backup-Aufgaben an, die AWS Backup auf den ausgewählten Ressourcen ausgeführt werden.
**Regelelemente Backup**
| Element | Description | Erforderlich |
| --- | --- | --- |
| schedule\$1expression | Cron-Ausdruck in UTC, der angibt, wann ein AWS Backup Backup-Job initiiert wird. Informationen zum Cron-Ausdruck finden Sie im [* EventBridge Amazon-Benutzerhandbuch* unter Verwenden von Cron- und Rate-Ausdrücken zur Planung von Regeln](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html). | Ja |
| target\$1backup\$1vault\$1name | Backup-Tresor, in dem Backups gespeichert werden. Backup-Tresore werden anhand von Namen identifiziert, die für das Konto, mit dem sie erstellt wurden, und für den Ort, an AWS-Region dem sie erstellt wurden, eindeutig sind. | Ja |
| target\$1logically\$1air\$1gapped\$1backup\$1vault\$1arn | Logisch Air-Gapped Vault-ARN, in dem Backups gespeichert werden. Falls verfügbar, werden unterstützte, vollständig verwaltete Ressourcen direkt im Logic Air-Gap-Depot gesichert, während andere unterstützte Ressourcen einen temporären (kostenpflichtigen) Snapshot im Backup-Tresor erstellen und diesen dann in den Logic Air-Gapped Tresor kopieren. Nicht unterstützte Ressourcen werden nur im angegebenen Backup-Tresor gesichert. Der ARN muss die speziellen Platzhalter `$region` und `$account` verwenden. Für einen Tresor mit dem Namen lautet `AirGappedVault` `arn:aws:backup:$region:$account:backup-vault:AirGappedVault` der richtige Wert beispielsweise. | Nein |
| start\$1backup\$1window\$1minutes | Wartezeit in Minuten, bis ein Backup-Job abgebrochen wird, wenn er nicht erfolgreich gestartet wird. Wenn dieser Wert enthalten ist, muss er mindestens 60 Minuten betragen, um Fehler zu vermeiden. | Nein |
| complete\$1backup\$1window\$1minutes | Anzahl der Minuten nach dem erfolgreichen Start eines Backup-Jobs, bevor er abgeschlossen sein muss, andernfalls wird er abgebrochen. AWS Backup | Nein |
| enable\$1continuous\$1backup | Gibt an, ob fortlaufende Backups AWS Backup erstellt werden. `True`veranlasst AWS Backup zur Erstellung kontinuierlicher Backups, die point-in-time wiederhergestellt werden können (PITR). `False`(oder nicht angegeben) verursacht AWS Backup die Erstellung von Snapshot-Backups. Weitere Informationen zu kontinuierlichen Backups finden Sie unter [P oint-in-time Recovery](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html) im *AWS Backup Entwicklerhandbuch*. **Hinweis: PITR-fähige** Backups haben eine maximale Aufbewahrungsdauer von 35 Tagen. | Nein |
| lifecycle | Gibt an, wann ein AWS Backup Backup in einen Cold Storage übertragen wird und wann es abläuft. Ressourcentypen, die auf Cold Storage umgestellt werden können, sind in der Tabelle [Verfügbarkeit von Funktionen nach Ressourcen](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) im *AWS Backup Entwicklerhandbuch* aufgeführt. Jeder Lebenszyklus enthält die folgenden Elemente: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) **Hinweis**: Backups, die auf Cold Storage umgestellt wurden, müssen mindestens 90 Tage im Cold Storage aufbewahrt werden. Das bedeutet, dass die 90 Tage länger sein `delete_after_days` müssen als`move_to_cold_storage_after_days`. | Nein |
| copy\$1actions | Gibt an, ob ein Backup an einen oder mehrere zusätzliche Speicherorte AWS Backup kopiert wird. Jede Kopieraktion enthält die folgenden Elemente: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) **Hinweis**: Backups, die in den Cold Storage übertragen wurden, müssen mindestens 90 Tage im Cold Storage aufbewahrt werden. Das bedeutet, dass die 90 Tage länger sein `delete_after_days` müssen als`move_to_cold_storage_after_days`. | Nein |
| recovery\$1point\$1tags | Tags, die Sie Ressourcen zuweisen möchten, die aus dem Backup wiederhergestellt wurden. Jedes Tag enthält die folgenden Elemente: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Nein |
| index\$1actions | Gibt an, ob ein Backup-Index Ihrer Amazon EBS-Snapshots und and/or Amazon S3 S3-Backups AWS Backup erstellt wird. Backup-Indizes werden erstellt, um die Metadaten Ihrer Backups zu durchsuchen. Weitere Informationen zur Erstellung eines Backup-Indexes und zur Backup-Suche finden Sie unter [Backup-Suche](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-overview). **Hinweis:** Für die Erstellung des Amazon EBS-Snapshot-Backup-Index sind zusätzliche [IAM-Rollenberechtigungen](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-access) erforderlich. Jede Indexaktion enthält das folgende Element: `resource_types` wobei Amazon EBS und Amazon S3 als Ressourcentypen für die Indizierung unterstützt werden. Dieser Parameter gibt an, welcher Ressourcentyp für die Indizierung ausgewählt wird. | Nein |
| scan\$1actions | Gibt an, ob eine Scanaktion für eine bestimmte Regel aktiviert ist. Sie müssen eine angeben`ScanMode`. Sie müssen `scan_settings` in der Sicherungsrichtlinie Elemente in Verbindung mit `scan_actions` verwenden, damit Scanaufträge erfolgreich gestartet werden können. Stellen Sie außerdem sicher, dass Sie über die richtigen [IAM-Rollenberechtigungen verfügen](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access). [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Nein |
## Backup-Syntax: Regionen
Der `regions` Richtlinienschlüssel gibt an AWS-Regionen , in AWS Backup welchem Bereich nach den Ressourcen gesucht wird, die den Bedingungen im `selections` Schlüssel entsprechen.
**Elemente von Backup-Regionen**
| Element | Description | Erforderlich |
| --- | --- | --- |
| regions | Gibt die AWS-Region Codes an. Beispiel: `["us-east-1", "eu-north-1"]`. | Ja |
## Backup-Syntax: Auswahlen
Der `selections` Richtlinienschlüssel gibt die Ressourcen an, die gemäß den Regeln in einer Backup-Richtlinie gesichert werden.
Es gibt zwei sich gegenseitig ausschließende Elemente: `tags` und`resources`. Eine wirksame Richtlinie **muss** `have` entweder mit Tags versehen oder `resources` in der Auswahl enthalten sein, um gültig zu sein.
Wenn Sie eine Auswahl mit sowohl Tag-Bedingungen als auch Ressourcenbedingungen wünschen, verwenden Sie die `resources` Schlüssel.
**Auswahlelemente Backup: Tags**
| Element | Description | Erforderlich |
| --- | --- | --- |
| iam\$1role\$1arn | IAM-Rolle, die AWS Backup davon ausgeht, Ressourcen in den angegebenen Regionen abzufragen, zu finden und zu sichern. Die Rolle muss über ausreichende Berechtigungen verfügen, um Ressourcen auf der Grundlage von Tag-Bedingungen abzufragen und Sicherungsvorgänge für die entsprechenden Ressourcen durchzuführen. | Ja |
| tag\$1key | Tag-Schlüsselname, nach dem gesucht werden soll. | Ja |
| tag\$1value | Wert, der dem passenden tag\$1key zugeordnet werden muss. AWS Backup schließt die Ressource nur ein, wenn sowohl tag\$1key als auch tag\$1value übereinstimmen (Groß- und Kleinschreibung wird beachtet). | Ja |
| conditions | Kennzeichnen Sie Schlüssel und Werte, die Sie ein- oder ausschließen möchten Verwenden Sie string\$1equals oder string\$1not\$1equals, um exakt übereinstimmende Tags ein- oder auszuschließen. Verwenden Sie string\$1like und string\$1not\$1like, um Tags, die bestimmte Zeichen enthalten oder nicht enthalten, ein- oder auszuschließen **Hinweis: Beschränkt auf 30** Bedingungen für jede Auswahl. | Nein |
**Elemente der Backup-Auswahl: Ressourcen**
| Element | Description | Erforderlich |
| --- | --- | --- |
| iam\$1role\$1arn | IAM-Rolle, die AWS Backup davon ausgeht, Ressourcen in den angegebenen Regionen abzufragen, zu ermitteln und zu sichern. Die Rolle muss über ausreichende Berechtigungen verfügen, um Ressourcen auf der Grundlage von Tag-Bedingungen abzufragen und Sicherungsvorgänge für die entsprechenden Ressourcen durchzuführen. **Hinweis:** AWS GovCloud (US) Regions In müssen Sie den Namen der Partition zum ARN hinzufügen. Zum Beispiel muss `arn:aws:ec2:*:*:volume/*` "" `arn:aws-us-gov:ec2:*:*:volume/*` "sein. | Ja |
| resource\$1types | Ressourcentypen, die in einen Backup-Plan aufgenommen werden sollen. | Ja |
| not\$1resource\$1types | Ressourcentypen, die aus einem Backup-Plan ausgeschlossen werden sollen. | Nein |
| conditions | Kennzeichnen Sie Schlüssel und Werte, die Sie ein- oder ausschließen möchten Verwenden Sie string\$1equals oder string\$1not\$1equals, um exakt übereinstimmende Tags ein- oder auszuschließen. Verwenden Sie string\$1like und string\$1not\$1like, um Tags, die bestimmte Zeichen enthalten oder nicht enthalten, ein- oder auszuschließen **Hinweis: Beschränkt auf 30** Bedingungen für jede Auswahl. | Nein |
**Unterstützte Ressourcentypen**
Organizations unterstützt die folgenden Ressourcentypen für die `not_resource_types` Elemente `resource_types` und:
+ AWS Backup gateway virtuelle Maschinen: `"arn:aws:backup-gateway:*:*:vm/*"`
+ AWS CloudFormation Stapel: `"arn:aws:cloudformation:*:*:stack/*"`
+ Amazon DynamoDB-Tabellen: `"arn:aws:dynamodb:*:*:table/*"`
+ Amazon-EC2-Instances: `"arn:aws:ec2:*:*:instance/*"`
+ Amazon EBS-Volumen: `"arn:aws:ec2:*:*:volume/*"`
+ Amazon EFS-Dateisysteme: `"arn:aws:elasticfilesystem:*:*:file-system/*"`
+ Amazon Aurora/Amazon DocumentDB/Amazon Neptune-Cluster: `"arn:aws:rds:*:*:cluster:*"`
+ Amazon RDS-Datenbanken: `"arn:aws:rds:*:*:db:*"`
+ Amazon Redshift Redshift-Cluster: `"arn:aws:redshift:*:*:cluster:*"`
+ Amazon S3: `"arn:aws:s3:::*"`
+ AWS Systems Manager für SAP HANA-Datenbanken: `"arn:aws:ssm-sap:*:*:HANA/*"`
+ AWS Storage Gateway Gateways: `"arn:aws:storagegateway:*:*:gateway/*"`
+ Amazon Timestream Timestream-Datenbanken: `"arn:aws:timestream:*:*:database/*"`
+ FSx Amazon-Dateisysteme: `"arn:aws:fsx:*:*:file-system/*"`
+ FSx Amazon-Volumen: `"arn:aws:fsx:*:*:volume/*"`
+ Volumen des Amazon Elastic Kubernetes Service: `"arn:aws:eks:*:*:cluster/*"`
**Codebeispiele**
Weitere Informationen finden Sie unter [Ressourcen mit dem Tags-Block [angeben und Ressourcen mit dem Ressourcenblock](#backup-policy-example-7)](#backup-policy-example-6) angeben.
## Backup-Syntax: erweiterte Backup-Einstellungen
Der `advanced_backup_settings` Schlüssel gibt die Konfigurationsoptionen für bestimmte Backup-Szenarien an. Jede Einstellung enthält die folgenden Elemente:
**Elemente für erweiterte Backup-Einstellungen**
| Element | Description | Erforderlich |
| --- | --- | --- |
| advanced\$1backup\$1settings | Gibt Einstellungen für bestimmte Backup-Szenarien an. Dieser Schlüssel enthält eine oder mehrere Einstellungen. Jede Einstellung ist eine JSON-Objektzeichenfolge mit den folgenden Elementen: Derzeit ist die einzige erweiterte Backup-Einstellung, die unterstützt wird, die Aktivierung von Microsoft Volume Shadow Copy Service (VSS) -Backups für Windows oder SQL Server, die auf einer Amazon EC2 EC2-Instance ausgeführt werden. Jede erweiterte Backup-Einstellung umfasst die folgenden Elemente: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Nein |
**Beispiel:**
```
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
},
```
## Backup-Syntax: Backup-Plan-Tags
Der `backup_plan_tags` Richtlinienschlüssel gibt die Tags an, die einem Backup-Plan selbst zugeordnet sind. Dies hat keine Auswirkungen auf die für `rules` oder angegebenen Tags`selections`.
**Tag-Elemente für Backup-Pläne**
| Element | Description | Erforderlich |
| --- | --- | --- |
| backup\$1plan\$1tags | Jedes Tag ist eine Bezeichnung, die aus einem benutzerdefinierten Schlüssel und Wert besteht: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Nein |
## Backup-Syntax: Scan-Einstellungen
Der `scan_settings` Richtlinienschlüssel gibt die Konfiguration für das Scannen von Schadsoftware mithilfe von Amazon GuardDuty Malware Protection for an AWS Backup. Sie müssen die Regeln `scan_settings` in Verbindung mit `scan_actions` in Ihren Backups verwenden, damit Scanaufträge erfolgreich gestartet werden können.
**Elemente der Scan-Einstellungen**
| Element | Description | Erforderlich |
| --- | --- | --- |
| scan\$1settings | Konfigurationsoptionen für die Scaneinstellungen. Derzeit wird nur die Aktivierung von Amazon GuardDuty Malware Protection für unterstützt AWS Backup. Sie müssen das `ResourceTypes` und angeben`ScannerRoleArn`. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Nein |
**Beispiel:**
Im Folgenden wird gezeigt, wie Sie `scan_actions` in einer Backup-Regel und `scan_settings` auf Planebene konfigurieren, um Amazon GuardDuty Malware Protection-Scans zu aktivieren.
`scan_actions`in einer Regel:
```
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
```
`scan_settings`auf Planebene:
```
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": ["EBS"]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
```
## Beispiele für Backup-Richtlinien
Die folgenden Backup-Richtlinienbeispiele dienen nur zu Informationszwecken. In einigen der folgenden Beispiele kann die JSON-Leerzeichenformatierung komprimiert sein, um Platz zu sparen.
+ [Beispiel 1: Einem übergeordneten Knoten zugewiesene Richtlinie](#backup-policy-example-1)
+ [Beispiel 2: Eine übergeordnete Richtlinie wird mit einer untergeordneten Richtlinie zusammengeführt](#backup-policy-example-2)
+ [Beispiel 3: Eine Richtlinie für Eltern verhindert jegliche Änderungen durch eine Richtlinie für Kinder](#backup-policy-example-3)
+ [Beispiel 4: Eine übergeordnete Richtlinie verhindert, dass eine untergeordnete Richtlinie Änderungen an einem Backup-Plan vornimmt](#backup-policy-example-4)
+ [Beispiel 5: Eine untergeordnete Richtlinie hat Vorrang vor Einstellungen in einer übergeordneten Richtlinie](#backup-policy-example-5)
+ [Beispiel 6: Angeben von Ressourcen mit dem Tags-Block](#backup-policy-example-6)
+ [Beispiel 7: Ressourcen mit dem Ressourcenblock angeben](#backup-policy-example-7)
+ [Beispiel 8: Backup-Plan mit Amazon GuardDuty Malware Protection-Scan](#backup-policy-example-8)
### Beispiel 1: Richtlinie, die einem übergeordneten Knoten zugewiesen ist
Das folgende Beispiel zeigt eine Backup-Richtlinie, die einem der übergeordneten Knoten eines Kontos zugewiesen ist.
**Übergeordnete Richtlinie** – Diese Richtlinie kann an den Organisationsstamm oder an eine Organisationseinheit angefügt werden, bei der es sich um eine übergeordnete Organisationseinheit aller betreffenden Konten handelt.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"ap-northeast-2",
"us-east-1",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {
"@@assign": "cron(0 5/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "480"
},
"complete_backup_window_minutes": {
"@@assign": "10080"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "180"
},
"delete_after_days": {
"@@assign": "270"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
},
"target_backup_vault_name": {
"@@assign": "FortKnox"
},
"target_logically_air_gapped_backup_vault_arn": {
"@@assign": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault"
},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@assign": "dataType"
},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
}
}
}
}
```
Wenn keine anderen Richtlinien vererbt oder an die Konten angehängt wurden, AWS-Konto sieht die jeweils gültige Richtlinie wie im folgenden Beispiel aus. Der CRON Ausdruck bewirkt, dass der Backup einmal pro Stunde zur vollen Stunde ausgeführt wird. Die Konto-ID 123456789012 ist die tatsächliche Konto-ID für jedes Konto.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"target_logically_air_gapped_backup_vault_arn": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": "enabled"
}
}
}
}
}
```
### Beispiel 2: Eine übergeordnete Richtlinie wird mit einer untergeordneten Richtlinie zusammengeführt
Im folgenden Beispiel werden eine geerbte übergeordnete Richtlinie und eine untergeordnete Richtlinie entweder vererbt oder direkt an eine AWS-Konto Zusammenführung angehängt, um die effektive Richtlinie zu bilden.
**Übergeordnete Richtlinie** – Diese Richtlinie kann an den Organisationsstamm oder an eine übergeordnete Organisationseinheit angefügt werden.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "60" },
"target_backup_vault_name": { "@@assign": "FortKnox" },
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII", "RED" ] }
}
}
}
}
}
}
```
**Untergeordnete Richtlinie** – Diese Richtlinie kann direkt an das Konto oder an eine Organisationseinheit auf einer Ebene unterhalb der Organisationseinheit, an die die übergeordnete Richtlinie angefügt ist, angefügt werden.
```
{
"plans": {
"Monthly_Backup_Plan": {
"regions": {
"@@append":[ "us-east-1", "eu-central-1" ] },
"rules": {
"Monthly": {
"schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"target_backup_vault_name": { "@@assign": "Default" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"MonthlyDatatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" },
"tag_key": { "@@assign": "BackupType" },
"tag_value": { "@@assign": [ "MONTHLY", "RED" ] }
}
}
}
}
}
}
```
**Resultierende effektive Richtlinie** – Die effektive Richtlinie, die auf die Konten angewendet wird, enthält zwei Pläne mit jeweils eigenen Regeln und Ressourcen, auf die die Regeln angewendet werden sollen.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [ "PII", "RED" ]
}
}
}
},
"Monthly_Backup_Plan": {
"regions": [ "us-east-1", "eu-central-1" ],
"rules": {
"monthly": {
"schedule_expression": "cron(0 5 1 * ? *)",
"start_backup_window_minutes": "480",
"target_backup_vault_name": "Default",
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn": {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": "30",
"delete_after_days": "365",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"monthlydatatype": {
"iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole",
"tag_key": "BackupType",
"tag_value": [ "MONTHLY", "RED" ]
}
}
}
}
}
}
```
### Beispiel 3: Eine übergeordnete Richtlinie verhindert Änderungen durch eine untergeordnete Richtlinie
Im folgenden Beispiel verwendet eine geerbte übergeordnete Richtlinie die [untergeordneten Steuerungsoperatoren](policy-operators.md#child-control-operators), um alle Einstellungen zu erzwingen, und verhindert, dass diese durch eine untergeordnete Richtlinie geändert oder überschrieben werden.
**Übergeordnete Richtlinie** – Diese Richtlinie kann an den Organisationsstamm oder an eine übergeordnete Organisationseinheit angefügt werden. Das Vorhandensein von `"@@operators_allowed_for_child_policies": ["@@none"]` an jedem Knoten der Richtlinie bedeutet, dass eine untergeordnete Richtlinie keine Änderungen an dem Plan vornehmen kann. Auch kann eine untergeordnete Richtlinie der effektiven Richtlinie keine zusätzlichen Pläne hinzufügen. Diese Richtlinie wird zur effektiven Richtlinie für jede Organisationseinheit und jedes Konto unter der Organisationseinheit, an die sie angefügt ist.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@none"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"@@operators_allowed_for_child_policies": ["@@none"],
"Hourly": {
"@@operators_allowed_for_child_policies": ["@@none"],
"schedule_expression": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "cron(0 0/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "60"
},
"target_backup_vault_name": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "FortKnox"
},
"index_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
},
"copy_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"@@operators_allowed_for_child_policies": ["@@none"],
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault",
"@@operators_allowed_for_child_policies": ["@@none"]
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"@@operators_allowed_for_child_policies": ["@@none"],
"tags": {
"@@operators_allowed_for_child_policies": ["@@none"],
"datatype": {
"@@operators_allowed_for_child_policies": ["@@none"],
"iam_role_arn": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "dataType"
},
"tag_value": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"@@operators_allowed_for_child_policies": ["@@none"],
"ec2": {
"@@operators_allowed_for_child_policies": ["@@none"],
"windows_vss": {
"@@assign": "enabled",
"@@operators_allowed_for_child_policies": ["@@none"]
}
}
}
}
}
}
```
**Resultierende effektive Richtlinie** – Wenn untergeordnete Backup-Richtlinien vorhanden sind, werden sie ignoriert und die übergeordnete Richtlinie wird zur effektiven Richtlinie.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault",
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {"windows_vss": "enabled"}
}
}
}
}
```
### Beispiel 4: Eine übergeordnete Richtlinie verhindert Änderungen an einem einzelnen Backup-Plan durch eine untergeordnete Richtlinie
Im folgenden Beispiel verwendet eine geerbte übergeordnete Richtlinie die [untergeordneten Steuerungsoperatoren](policy-operators.md#child-control-operators), um die Einstellungen für einen einzelnen Plan zu erzwingen, und verhindert, dass diese durch eine untergeordnete Richtlinie geändert oder überschrieben werden. Die untergeordnete Richtlinie kann weiterhin zusätzliche Pläne hinzufügen.
**Übergeordnete Richtlinie** – Diese Richtlinie kann an den Organisationsstamm oder an eine übergeordnete Organisationseinheit angefügt werden. Dieses Beispiel ähnelt dem vorherigen Beispiel, in dem alle untergeordneten Vererbungsoperatoren blockiert wurden, außer auf der obersten Ebene `plans`. Mit der Einstellung `@@append` auf dieser Ebene können untergeordnete Richtlinien der Sammlung in der effektiven Richtlinie weitere Pläne hinzufügen. Alle Änderungen an dem geerbten Plan werden weiterhin blockiert.
Die Abschnitte in dem Plan sind aus Gründen der Übersichtlichkeit abgeschnitten.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@append"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": { ... },
"rules": { ... },
"selections": { ... }
}
}
}
```
**Untergeordnete Richtlinie** – Diese Richtlinie kann direkt an das Konto oder an eine Organisationseinheit auf einer Ebene unterhalb der Organisationseinheit, an die die übergeordnete Richtlinie angefügt ist, angefügt werden. Diese untergeordnete Richtlinie definiert einen neuen Plan.
Die Abschnitte in dem Plan sind aus Gründen der Übersichtlichkeit abgeschnitten.
```
{
"plans": {
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
**Resultierende effektive Richtlinie** – Die effektive Richtlinie umfasst beide Pläne.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { ... },
"rules": { ... },
"selections": { ... }
},
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
### Beispiel 5: Eine untergeordnete Richtlinie überschreibt Einstellungen in einer übergeordneten Richtlinie
Im folgenden Beispiel verwendet eine untergeordnete Richtlinie [wertbestimmende Operatoren](policy-operators.md#value-setting-operators), um einige der Einstellungen, die von einer übergeordneten Richtlinie geerbt wurden, außer Kraft zu setzen.
**Übergeordnete Richtlinie** – Diese Richtlinie kann an den Organisationsstamm oder an eine übergeordnete Organisationseinheit angefügt werden. Jede der Einstellungen kann von einer untergeordneten Richtlinie außer Kraft gesetzt werden, da das Standardverhalten in Abwesenheit eines [untergeordneten Steuerungsoperators](policy-operators.md#child-control-operators), der dies verhindert, darin besteht, `@@assign`, `@@append` oder `@@remove` durch die untergeordnete Richtlinie zuzulassen. Die übergeordnete Richtlinie enthält alle erforderlichen Elemente für einen gültigen Backup-Plan, sodass Ihre Ressourcen erfolgreich gesichert werden, wenn die Richtlinie unverändert geerbt wird.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "60"},
"target_backup_vault_name": {"@@assign": "FortKnox"},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": {"@@assign": "2"},
"move_to_cold_storage_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:t2": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "28"},
"delete_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"},
"tag_key": {"@@assign": "dataType"},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
}
}
}
}
```
**Untergeordnete Richtlinie** – Die untergeordnete Richtlinie enthält nur die Einstellungen, die von der geerbten übergeordneten Richtlinie abweichen müssen. Es muss eine geerbte übergeordnete Richtlinie vorhanden sein, die die anderen erforderlichen Einstellungen bereitstellt, wenn eine Zusammenführung zu einer effektiven Richtlinie erfolgt. Andernfalls enthält die effektive Backup-Richtlinie einen ungültigen Backupplan, der Ihre Ressourcen nicht wie erwartet sichert.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"us-west-2",
"eu-central-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "80"},
"target_backup_vault_name": {"@@assign": "Default"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "30"},
"delete_after_days": {"@@assign": "365"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
}
}
```
**Resultierende effektive Richtlinie** – Die effektive Richtlinie enthält Einstellungen aus beiden Richtlinien, wobei die von der untergeordneten Richtlinie bereitgestellten Einstellungen die von der übergeordneten Richtlinie geerbten Einstellungen außer Kraft setzen. In diesem Beispiel kommt es zu folgenden Änderungen:
+ Die Liste der Regionen wird durch eine völlig andere Liste ersetzt. Wenn Sie der geerbten Liste eine Region hinzufügen möchten, verwenden Sie in der untergeordneten Richtlinie `@@append` anstelle von `@@assign`.
+ AWS Backup führt jede zweite Stunde statt stündlich aus.
+ AWS Backup ermöglicht den Start des Backups 80 Minuten statt 60 Minuten.
+ AWS Backup verwendet den `Default` Tresor anstelle von`FortKnox`.
+ Der Lebenszyklus wird sowohl für die Übertragung in den Cold Storage als auch für die letztendliche Löschung des Backups verlängert.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-west-2",
"eu-central-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/2 ? * * *)",
"start_backup_window_minutes": "80",
"target_backup_vault_name": "Default",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
}
}
}
}
```
### Beispiel 6: Ressourcen mit dem `tags` Block angeben
Das folgende Beispiel umfasst alle Ressourcen mit `tag_key` = `“env”` und `tag_value` = `"prod"` oder`"gamma"`. Dieses Beispiel schließt Ressourcen mit dem `tag_key` = `"backup"` und dem `tag_value` = `"false"` aus.
```
...
"selections":{
"tags":{
"selection_name":{
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"tag_key":{"@@assign": "env"},
"tag_value":{"@@assign": ["prod", "gamma"]},
"conditions":{
"string_not_equals":{
"condition_name1":{
"condition_key": { "@@assign": "aws:ResourceTag/backup" },
"condition_value": { "@@assign": "false" }
}
}
}
}
}
},
...
```
### Beispiel 7: Ressourcen mit dem `resources` Block angeben
Im Folgenden finden Sie Beispiele für die Verwendung des `resources` Blocks zur Angabe von Ressourcen.
------
#### [ Example: Select all resources in my account ]
Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Der `"resource_types"` Block verwendet einen booleschen Wert, um die Ressourcentypen `AND` zu kombinieren.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
}
}
},
...
```
------
#### [ Example: Select all resources in my account, but exclude Amazon EBS volumes ]
Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Die `"not_resource_types"` Blöcke `"resource_types"` und verwenden einen booleschen Wert, um die Ressourcentypen `AND` zu kombinieren.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true", but exclude Amazon EBS volumes ]
Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Die `"not_resource_types"` Blöcke `"resource_types"` und verwenden einen booleschen Wert, um die Ressourcentypen `AND` zu kombinieren. Der `"conditions"` Block verwendet einen booleschen Wert. `AND`
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key": { "@@assign":"aws:ResourceTag/backup"},
"condition_value": { "@@assign":"true" }
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS DB instances tagged with both "backup" : "true" and "stage" : "prod" ]
Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Der `"resource_types"` Block verwendet einen booleschen Wert, um die Ressourcentypen `AND` zu kombinieren. Der `"conditions"` Block verwendet einen booleschen Wert, um Ressourcentypen und Tag-Bedingungen `AND` zu kombinieren.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
},
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"prod"}
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS instances tagged with "backup" : "true" but not "stage" : "test" ]
Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Der `"resource_types"` Block verwendet einen booleschen Wert, um die Ressourcentypen `AND` zu kombinieren. Der `"conditions"` Block verwendet einen booleschen Wert, um Ressourcentypen und Tag-Bedingungen `AND` zu kombinieren.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
},
"string_not_equals":{
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"test"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "key1" and a value which begins with "include" but not with "key2" and value that contains the word "exclude" ]
Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Der `"resource_types"` Block verwendet einen booleschen Wert, um die Ressourcentypen `AND` zu kombinieren. Der `"conditions"` Block verwendet einen booleschen Wert, um Ressourcentypen und Tag-Bedingungen `AND` zu kombinieren.
Beachten Sie in diesem Beispiel die Verwendung des Platzhalterzeichens `(*)` in`include*`, und`*exclude*`. `arn:aws:rds:*:*:db:*` Sie können das Platzhalterzeichen `(*)` am Anfang, Ende und in der Mitte einer Zeichenfolge verwenden.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"conditions":{
"string_like":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/key1"},
"condition_value":{"@@assign":"include*"}
}
},
"string_not_like":{
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/key2"},
"condition_value":{"@@assign":"*exclude*"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true" except Amazon FSx file systems and Amazon RDS resources ]
Die boolesche Logik ähnelt der Logik, die Sie möglicherweise in IAM-Richtlinien verwenden. Die `"not_resource_types"` Blöcke `"resource_types"` und verwenden einen booleschen Wert, um die Ressourcentypen `AND` zu kombinieren. Der `"conditions"` Block verwendet einen booleschen Wert, um Ressourcentypen und Tag-Bedingungen `AND` zu kombinieren.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign":[
"arn:aws:fsx:*:*:file-system/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
}
}
}
},
...
```
------
### Beispiel 8: Backup-Plan mit Amazon GuardDuty Malware Protection-Scan
Das folgende Beispiel zeigt eine Backup-Richtlinie, die Amazon GuardDuty Malware Protection das Scannen von Backup-Wiederherstellungspunkten ermöglicht. Die Richtlinie wird `scan_actions` in der Regel verwendet, um das Scannen zu aktivieren und `scan_settings` auf Planebene, um den Scanner zu konfigurieren.
Um diese Funktion verwenden zu können, müssen Sie über die entsprechenden IAM-Rollenberechtigungen verfügen. Weitere Informationen finden Sie unter [Access](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access) im *AWS Backup Entwicklerhandbuch*.
```
{
"plans": {
"Malware_Scan_Backup_Plan": {
"regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"rules": {
"Daily_With_Incremental_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "35"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
},
"Monthly_With_Full_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 1 * ? *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "365"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "FULL_SCAN"
}
}
}
}
},
"selections": {
"tags": {
"scan_selection": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyBackupRole"
},
"tag_key": {
"@@assign": "backup"
},
"tag_value": {
"@@assign": [
"true"
]
}
}
}
},
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": [
"EBS"
]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
}
}
}
```
Die wichtigsten Punkte in diesem Beispiel sind:
+ `scan_actions`ist in jeder Regel angegeben. Der Scannername `GUARDDUTY` wird als Schlüssel verwendet. Die tägliche Regel verwendet `INCREMENTAL_SCAN` und die monatliche Regel verwendet`FULL_SCAN`.
+ `scan_settings`wird auf Planebene angegeben (nicht innerhalb einer Regel). Es konfiguriert die Scannerrolle und die zu scannenden Ressourcentypen.
+ Das `scanner_role_arn` muss auf eine IAM-Rolle verweisen, der die `AWSBackupGuardDutyRolePolicyForScans` verwaltete Richtlinie angehängt ist, und eine Vertrauensrichtlinie, die es dem `malware-protection.guardduty.amazonaws.com` Dienstprinzipal ermöglicht, die Rolle zu übernehmen.