Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos y sintaxis de políticas de copia de seguridad
En esta página se describe la sintaxis de la política de copia de seguridad y se proporcionan ejemplos.
Sintaxis de las políticas de copia de seguridad
Una política de copia de seguridad es un archivo de texto sin formato que se estructura de acuerdo con las reglas de JSON
Para obtener más información sobre AWS Backup los planes, consulte CreateBackupPlanla Guía para AWS Backup desarrolladores.
Consideraciones
Sintaxis de políticas
Se rechazarán los nombres de clave duplicados en JSON.
Las políticas deben especificar los recursos Regiones de AWS y los que se van a respaldar.
Las políticas deben especificar la función de IAM que AWS Backup asume.
El uso de un operador @@assign en el mismo nivel puede sobrescribir la configuración existente. Para obtener más información, consulte Una política secundaria anula la configuración de una política principal.
Los operadores de herencia controlan cómo se fusionan las políticas heredadas y las políticas de la cuenta con la política de etiquetas en vigor de la cuenta. Estos operadores incluyen operadores de configuración de valores y operadores de control secundarios.
Para obtener más información, consulte Operadores de herencia y Ejemplos de políticas de copias de seguridad.
Roles de IAM
El rol de IAM debe existir al crear un plan de copias de seguridad por primera vez.
Este rol de IAM debe tener los permisos para acceder a recursos identificados mediante una consulta de etiquetas.
El rol de IAM debe tener permisos para realizar las copias de seguridad.
Almacenes de copias de seguridad
Para Regiones de AWS poder ejecutar un plan de respaldo, deben existir bóvedas en cada uno de los lugares especificados.
Deben existir almacenes para cada AWS cuenta que reciba la política vigente. Para obtener más información, consulte Creación y eliminación del almacén de copias de seguridad en la Guía para desarrolladores AWS Backup Backup.
Le recomendamos que utilice conjuntos de AWS CloudFormation pilas y su integración con Organizations para crear y configurar automáticamente bóvedas de respaldo y funciones de IAM para cada cuenta de miembro de la organización. Para obtener más información, consulte Crear un conjunto de pilas con permisos autoadministrados en la Guía del usuario AWS CloudFormation .
Cuotas
Para obtener más información sobre las listas de cuotas, consulte Cuotas de AWS Backup en la Guía para desarrolladores de AWS Backup .
Sintaxis de copia de seguridad: descripción general
La sintaxis de política de copia de seguridad incluye los siguientes componentes:
{ "plans": { "PlanName": { "rules": { ... }, "regions": { ... }, "selections": { ... }, "advanced_backup_settings": { ... }, "backup_plan_tags": { ... }, "scan_settings": { ... } } } }
| Element | Description (Descripción) | Obligatorio |
|---|---|---|
| reglas | Lista de reglas de copias de seguridad. Cada regla define cuándo se inician las copias de seguridad y la ventana de ejecución de los recursos especificados en los elementos regions y selections. |
Sí |
| regiones | Lista de los Regiones de AWS lugares en los que una política de respaldo puede proteger los recursos. | Sí |
| selecciones | Uno o más tipos de recursos dentro de las regions especificadas que protegen la copia de seguridad rules. |
Sí |
| advanced_backup_settings | Opciones de configuración para escenarios de copias de seguridad específicos. Actualmente, la única configuración avanzada de copia de seguridad admitida habilita las copias de seguridad de Microsoft Volume Shadow Copy Service (VSS) para Windows o SQL Server que se ejecutan en una instancia de Amazon EC2. |
No |
| backup_plan_tags | Etiquetas que se deseen asociar a un plan de copias de seguridad. Cada etiqueta es una marca que consta de una clave y un valor definidos por el usuario. Las etiquetas pueden ayudarle a administrar, identificar, organizar, buscar y filtrar los planes de copias de seguridad. |
No |
| scan_settings | Opciones de configuración para los ajustes de escaneo. Actualmente, la única configuración de escaneo que se admite es habilitar Amazon GuardDuty Malware Protection para AWS Backup. |
No |
Sintaxis de copias de seguridad: reglas
La clave de política rules especifica las tareas de copias de seguridad programadas que AWS Backup
realiza en los recursos seleccionados.
| Element | Description (Descripción) | Obligatorio |
|---|---|---|
schedule_expression |
Expresión cron en UTC que especifica cuándo se AWS Backup inicia un trabajo de copia de seguridad. Para obtener información sobre las expresiones cron, consulte Uso de expresiones cron y de valoración para programar reglas en la Guía EventBridge del usuario de Amazon. |
Sí |
target_backup_vault_name |
Almacén de copias de seguridad donde se guardan las copias de seguridad. Los almacenes de Backup se identifican con nombres que son exclusivos de la cuenta utilizada para crearlos y del Región de AWS lugar donde se crearon. |
Sí |
target_logically_air_gapped_backup_vault_arn |
Un ARN de bóveda con huecos lógicos donde se almacenan las copias de seguridad. Si se proporcionan, los recursos compatibles totalmente gestionados realizan copias de seguridad directamente en un almacén vacío de forma lógica, mientras que otros recursos compatibles crean una instantánea temporal (facturable) en la bóveda de respaldo y, a continuación, la copian en un almacén aislado de forma lógica. Los recursos no compatibles solo se respaldan en el almacén de respaldo especificado. El ARN debe usar los marcadores de posición |
No |
start_backup_window_minutes |
Número de minutos a esperar antes de cancelar un trabajo de copia de seguridad si no se ha iniciado correctamente. Si se incluye este valor, debe ser de al menos 60 minutos para evitar errores. |
No |
complete_backup_window_minutes |
Número de minutos después de que un trabajo de copia de seguridad se haya iniciado correctamente antes que AWS Backup deba completarlo o cancelarlo. | No |
enable_continuous_backup |
Especifica si AWS Backup crea copias de seguridad continuas.
Para obtener más información sobre las copias de seguridad continuas, consulte la oint-in-timerecuperación de P en la Guía para AWS Backup desarrolladores. Nota: Las copias de seguridad compatibles con PIR tienen una retención máxima de 35 días. |
No |
lifecycle |
Especifica cuándo AWS Backup pasa una copia de seguridad a almacenamiento en frío y cuándo caduca. Los tipos de recursos que se pueden trasladar al almacenamiento en frío se enumeran en la tabla Disponibilidad de características por recurso Disponibilidad de características por recurso en la Guía para desarrolladores de AWS Backup . Cada ciclo de vida contiene los siguientes elementos:
Nota: Las copias de seguridad que se han migrado al almacenamiento en frío deben permanecer en él durante un mínimo de 90 días. Esto significa que |
No |
copy_actions |
Especifica si AWS Backup copia una copia de seguridad en una o más ubicaciones adicionales. Cada copia de acción contiene los siguientes elementos:
Nota: Las copias de seguridad que se han migrado al almacenamiento en frío deben permanecer en él durante un mínimo de 90 días. Esto significa que |
No |
recovery_point_tags |
Etiquetas que se desean asignar a los recursos que se restauran desde una copia de seguridad. Cada etiqueta contiene los siguientes elementos:
|
No |
index_actions |
Especifica si AWS Backup crea un índice de copias de seguridad de las instantáneas de Amazon EBS, las copias de seguridad de and/or Amazon S3. Los índices de copias de seguridad se crean para buscar los metadatos de sus copias de seguridad. Para obtener más información sobre la creación del índice de copias de seguridad y la búsqueda de copias de seguridad, consulte Búsqueda de copias de seguridad. Nota: Se requieren permisos del rol de IAM adicionales para crear el índice de copias de seguridad de instantáneas de Amazon EBS. Cada acción de indexación contiene el siguiente elemento: |
No |
scan_actions |
Especifica si una acción de escaneo está habilitada para una regla determinada. Debe especificar un
|
No |
Sintaxis de copia de seguridad: regiones
La clave regions de política especifica qué Regiones de AWS recursos AWS Backup busca para encontrar los recursos que coincidan con las condiciones de la selections clave.
| Element | Description (Descripción) | Obligatorio |
|---|---|---|
regions |
Especifica los Región de AWS códigos. Por ejemplo: |
Sí |
Sintaxis de copia de seguridad: selecciones
La clave de política selections especifica los recursos que están respaldados por las reglas en una política de copias de seguridad.
Existen dos elementos que se excluyen mutuamente: tags y resources. Una política en vigor debe have etiquetas o resources en la selección para ser válida.
Si desea una selección con condiciones de etiqueta y condiciones de recursos, utilice las teclas resources.
| Element | Description (Descripción) | Obligatorio |
|---|---|---|
iam_role_arn |
Función de IAM que consiste AWS Backup en consultar, descubrir y hacer copias de seguridad de los recursos en las regiones especificadas. El rol debe tener permisos suficientes para consultar los recursos según las condiciones de las etiquetas y para realizar operaciones de respaldo en los recursos coincidentes. |
Sí |
tag_key |
Nombre de la etiqueta clave que desea buscar. | Sí |
tag_value |
Valor que debe estar asociado a tag_key coincidente. AWS Backup únicamente incluye el recurso si tag_key y tag_value coinciden (distingue entre mayúsculas y minúsculas). |
Sí |
conditions |
Etiquete las claves y los valores que desee incluir o excluir Utilice string_equals o string_not_equals para incluir o excluir etiquetas que coincidan exactamente. Utilice string_like y string_not_like para incluir o excluir etiquetas que contengan o no caracteres específicos Nota: Limitado a 30 condiciones para cada selección. |
No |
| Element | Description (Descripción) | Obligatorio |
|---|---|---|
iam_role_arn |
Función de IAM que consiste AWS Backup en consultar, descubrir y hacer copias de seguridad de los recursos en las regiones especificadas. El rol debe tener permisos suficientes para consultar los recursos según las condiciones de las etiquetas y para realizar operaciones de respaldo en los recursos coincidentes. Nota: En AWS GovCloud (US) Regions, debe añadir el nombre de la partición al ARN. Por ejemplo, “ |
Sí |
resource_types |
Tipos de recursos que se deben incluir en un plan de copia de seguridad. | Sí |
not_resource_types |
Tipos de recursos que se deben excluir de un plan de copia de seguridad. | No |
conditions |
Etiquete las claves y los valores que desee incluir o excluir Utilice string_equals o string_not_equals para incluir o excluir etiquetas que coincidan exactamente. Utilice string_like y string_not_like para incluir o excluir etiquetas que contengan o no caracteres específicos Nota: Limitado a 30 condiciones para cada selección. |
No |
Tipos de recursos compatibles
Organizations es compatible los siguientes tipos de recursos de los elementos resource_types y not_resource_types:
-
AWS Backup gateway máquinas virtuales:
"arn:aws:backup-gateway:*:*:vm/*" -
AWS CloudFormation pilas:
"arn:aws:cloudformation:*:*:stack/*" -
Tablas de Amazon DynamoDB:
"arn:aws:dynamodb:*:*:table/*" -
Instancias de Amazon EC2:
"arn:aws:ec2:*:*:instance/*" -
Volúmenes de Amazon EBS:
"arn:aws:ec2:*:*:volume/*" -
Sistemas de archivos de Amazon EFS:
"arn:aws:elasticfilesystem:*:*:file-system/*" -
Clústeres de Amazon Aurora/Amazon DocumentDB/Amazon Neptune:
"arn:aws:rds:*:*:cluster:*" -
Bases de datos de Amazon RDS:
"arn:aws:rds:*:*:db:*" -
Clústeres de Amazon Redshift:
"arn:aws:redshift:*:*:cluster:*" -
Amazon S3:
"arn:aws:s3:::*" -
AWS Systems Manager para SAP Bases de datos HANA:
"arn:aws:ssm-sap:*:*:HANA/*" -
AWS Storage Gateway pasarelas:
"arn:aws:storagegateway:*:*:gateway/*" -
Bases de datos de Amazon Timestream:
"arn:aws:timestream:*:*:database/*" -
Sistemas de FSx archivos de Amazon:
"arn:aws:fsx:*:*:file-system/*" -
FSx Volúmenes de Amazon:
"arn:aws:fsx:*:*:volume/*" -
Volúmenes de Amazon Elastic Kubernetes Service:
"arn:aws:eks:*:*:cluster/*"
Ejemplos de código
Para obtener más información, consulte Especificar recursos con el bloque de etiquetas y Especificar recursos con el bloque de recursos.
Sintaxis de la copia de seguridad: configuración avanzada de la copia de seguridad
La clave advanced_backup_settings especifica las opciones de configuración para escenarios de copia de seguridad específicos. Cada configuración contiene los siguientes elementos:
| Element | Description (Descripción) | Obligatorio |
|---|---|---|
advanced_backup_settings |
Especifica la configuración de escenarios de copia de seguridad específicos. Esta clave contiene una o varias opciones de configuración. Cada configuración es una cadena de objetos JSON con los siguientes elementos: Actualmente, la única configuración avanzada de copia de seguridad admitida habilita las copias de seguridad de Microsoft Volume Shadow Copy Service (VSS) para Windows o SQL Server que se ejecutan en una instancia de Amazon EC2. Cada copia de seguridad avanzada tiene los siguientes elementos:
|
No |
Ejemplo:
"advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } },
Sintaxis de la copia de seguridad: etiquetas del plan de copia de seguridad
La clave de política backup_plan_tags especifica las etiquetas asociadas a un plan de copia de seguridad en sí. Esto no afecta a las etiquetas especificadas para rules o selections.
| Element | Description (Descripción) | Obligatorio |
|---|---|---|
backup_plan_tags |
Cada etiqueta es una marca que consta de una clave y un valor definidos por el usuario:
|
No |
Sintaxis de Backup: configuración de escaneo
La clave scan_settings de política especifica la configuración para el análisis de malware mediante Amazon GuardDuty Malware Protection for AWS Backup. Debe scan_settings utilizarla junto con las reglas de copia scan_actions de seguridad para que los trabajos de escaneo se inicien correctamente.
| Element | Description (Descripción) | Obligatorio |
|---|---|---|
scan_settings |
Opciones de configuración para los ajustes de escaneo. Actualmente, la única configuración de escaneo que se admite es habilitar Amazon GuardDuty Malware Protection para AWS Backup. Debe especificar el
|
No |
Ejemplo:
A continuación, se muestra cómo configurar scan_actions una regla de respaldo y scan_settings a nivel de plan para habilitar el escaneo de Amazon GuardDuty Malware Protection.
scan_actionsen una regla:
"scan_actions": { "GUARDDUTY": { "scan_mode": { "@@assign": "INCREMENTAL_SCAN" } } }
scan_settingsa nivel del plan:
"scan_settings": { "GUARDDUTY": { "resource_types": { "@@assign": ["EBS"] }, "scanner_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole" } } }
Ejemplos de políticas de copia de seguridad
Los ejemplos de políticas de copia de seguridad siguientes son solo para fines informativos. En algunos de los ejemplos siguientes, el formato de espacio en blanco JSON podría comprimirse para ahorrar espacio.
-
Ejemplo 2: Una política principal se fusiona con una política secundaria
-
Ejemplo 3: Una política principal impide cualquier cambio por parte de una política secundaria
-
Ejemplo 4: Una política para padres impide que una política para hijos modifique un plan alternativo
-
Ejemplo 5: Una política para niños anula la configuración de una política para padres
-
Ejemplo 8: Plan de Backup con escaneo de Amazon GuardDuty Malware Protection
Ejemplo 1: política asignada a un nodo principal
En el ejemplo siguiente se muestra una política de copia de seguridad asignada a uno de los nodos principales de una cuenta.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa que sea primaria de todas las cuentas previstas.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "target_logically_air_gapped_backup_vault_arn": { "@@assign": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault" }, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } } } }
Si no se hereda ni se adjunta ninguna otra política a las cuentas, la política vigente que aparece en cada una de las correspondientes es la Cuenta de AWS que se muestra en el siguiente ejemplo. La expresión CRON hace que la copia de seguridad se ejecute una vez por hora, a la hora en punto. El ID de cuenta 123456789012 será el ID de cuenta real de cada cuenta.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "target_logically_air_gapped_backup_vault_arn": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": { "windows_vss": "enabled" } } } } }
Ejemplo 2: una política principal se fusiona con una política secundaria
En el siguiente ejemplo, una política principal heredada y una política secundaria se heredan o se asocian directamente a una Cuenta de AWS fusión para formar la política efectiva.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Política secundaria: esta política puede estar asociada directamente a la cuenta o a una unidad organizativa en cualquier nivel por debajo del nivel al que está asociada.
{ "plans": { "Monthly_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "eu-central-1" ] }, "rules": { "Monthly": { "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:Default" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "MonthlyDatatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" }, "tag_key": { "@@assign": "BackupType" }, "tag_value": { "@@assign": [ "MONTHLY", "RED" ] } } } } } } }
Resultado de políticas en vigor: la política efectiva aplicada a las cuentas contiene dos planes, cada uno con su propio conjunto de reglas y conjunto de recursos a los que aplicar las reglas.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } }, "Monthly_Backup_Plan": { "regions": [ "us-east-1", "eu-central-1" ], "rules": { "monthly": { "schedule_expression": "cron(0 5 1 * ? *)", "start_backup_window_minutes": "480", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:Default" : { "target_backup_vault_arn": { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": "30", "delete_after_days": "365", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "monthlydatatype": { "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole", "tag_key": "BackupType", "tag_value": [ "MONTHLY", "RED" ] } } } } } }
Ejemplo 3: una política principal evita los cambios realizados por una política secundaria
En el ejemplo siguiente, una política principal heredada utiliza los operadores de control secundarios para aplicar toda la configuración y evita que una política secundaria los modifique.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. La presencia de "@@operators_allowed_for_child_policies": ["@@none"] en cada nodo de la política significa que una política secundaria no puede realizar cambios de ningún tipo en el plan. Tampoco puede una política secundaria añadir planes adicionales a la política en vigor. Esta política se convierte en la política en vigor para cada unidad organizativa y cuenta bajo la unidad organizativa a la que está asociada.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@none"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { "@@operators_allowed_for_child_policies": ["@@none"], "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "@@operators_allowed_for_child_policies": ["@@none"], "Hourly": { "@@operators_allowed_for_child_policies": ["@@none"], "schedule_expression": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "60" }, "target_backup_vault_name": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "FortKnox" }, "index_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } }, "copy_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "@@operators_allowed_for_child_policies": ["@@none"], "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault", "@@operators_allowed_for_child_policies": ["@@none"] }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } } } } } }, "selections": { "@@operators_allowed_for_child_policies": ["@@none"], "tags": { "@@operators_allowed_for_child_policies": ["@@none"], "datatype": { "@@operators_allowed_for_child_policies": ["@@none"], "iam_role_arn": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "dataType" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "@@operators_allowed_for_child_policies": ["@@none"], "ec2": { "@@operators_allowed_for_child_policies": ["@@none"], "windows_vss": { "@@assign": "enabled", "@@operators_allowed_for_child_policies": ["@@none"] } } } } } }
Resultado de políticas en vigor: si existe alguna política de copia de seguridad secundaria, se ignora y la política principal se convierte en la política efectiva.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault", "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": {"windows_vss": "enabled"} } } } }
Ejemplo 4: una política principal impide que una política secundaria realice cambios en un plan de copia de seguridad.
En el ejemplo siguiente, una política principal heredada utiliza los operadores de control secundarios para aplicar la configuración de un único plan y evita que una política secundaria los modifique. De todas formas, la política secundaria puede agregar planes adicionales.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. Este ejemplo es similar al ejemplo anterior con todos los operadores secundarios heredados bloqueados, excepto en el nivel superior de plans. La configuración @@append en ese nivel permite a las políticas secundarias agregar otros planes a la recopilación en la política en vigor. Cualquier cambio en el plan heredado sigue bloqueado.
Las secciones del plan se truncan para mayor claridad.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@append"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { ... }, "rules": { ... }, "selections": { ... } } } }
Política secundaria: esta política puede estar asociada directamente a la cuenta o a una unidad organizativa en cualquier nivel por debajo del nivel al que está asociada. Esta política secundaria define un nuevo plan.
Las secciones del plan se truncan para mayor claridad.
{ "plans": { "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Resultado de políticas en vigor — La política en vigor incluye ambos planes.
{ "plans": { "PII_Backup_Plan": { "regions": { ... }, "rules": { ... }, "selections": { ... } }, "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Ejemplo 5: una política secundaria reemplaza la configuración de una política principal
En el ejemplo siguiente, una política secundaria utiliza operadores de establecimiento de valores para anular algunas de las configuraciones heredadas de una política principal.
Política principal: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. Cualquiera de las opciones puede ser anulada por una política secundaria porque el comportamiento predeterminado, en ausencia de un operador de control secundario que lo impida, es permitir que la política secundaria @@assign, @@append, o @@remove. La política principal contiene todos los elementos necesarios para un plan de copia de seguridad válido, por lo que realiza una copia de seguridad de los recursos correctamente si se hereda tal y como está.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "target_backup_vault_name": {"@@assign": "FortKnox"}, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": {"@@assign": "2"}, "move_to_cold_storage_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:t2": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "28"}, "delete_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Política secundaria: la política secundaria incluye solo la configuración que debe ser diferente de la política principal heredada. Debe haber una política principal heredada que proporcione la otra configuración necesaria cuando se fusiona en una política en vigor. De lo contrario, la política de copia de seguridad efectiva contiene un plan de copia de seguridad no válido que no realiza una copia de seguridad de los recursos como se esperaba.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "us-west-2", "eu-central-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "80"}, "target_backup_vault_name": {"@@assign": "Default"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "30"}, "delete_after_days": {"@@assign": "365"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } } }
Resultado de políticas en vigor: la política en vigor incluye la configuración de ambas políticas, con la configuración proporcionada por la política secundaria anulando la configuración heredada de la principal. En este ejemplo, se producen los siguientes cambios:
-
La lista de regiones se sustituye por una lista completamente diferente. Si desea agregar una región a la lista heredada, utilice
@@appenden lugar de@@assignen la política secundaria. -
AWS Backup actúa cada dos horas en lugar de cada hora.
-
AWS Backup permite que comience la copia de seguridad durante 80 minutos en lugar de 60 minutos.
-
AWS Backup utiliza la
Defaultbóveda en lugar deFortKnox. -
El ciclo de vida se extiende tanto para la transferencia al almacenamiento en frío como para la eliminación eventual de la copia de seguridad.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-west-2", "eu-central-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/2 ? * * *)", "start_backup_window_minutes": "80", "target_backup_vault_name": "Default", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"}, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } } } }
Ejemplo 6: Especificar recursos con el bloque de tags
El siguiente ejemplo incluye todos los recursos con la tag_key = “env” y el tag_value = "prod" y "gamma". En este ejemplo se excluyen los recursos con la tag_key = "backup" y el tag_value = "false".
... "selections":{ "tags":{ "selection_name":{ "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"}, "tag_key":{"@@assign": "env"}, "tag_value":{"@@assign": ["prod", "gamma"]}, "conditions":{ "string_not_equals":{ "condition_name1":{ "condition_key": { "@@assign": "aws:ResourceTag/backup" }, "condition_value": { "@@assign": "false" } } } } } } }, ...
Ejemplo 7: Especificar recursos con el bloque de resources
Los siguientes son ejemplos del uso del bloque de resources para especificar recursos.
Ejemplo 8: Plan de Backup con escaneo de Amazon GuardDuty Malware Protection
El siguiente ejemplo muestra una política de copias de seguridad que permite a Amazon GuardDuty Malware Protection escanear los puntos de recuperación de copias de seguridad. La política se basa scan_actions en la regla para habilitar el escaneo y, scan_settings a nivel del plan, para configurar el escáner.
Para utilizar esta función, debe tener los permisos de rol de IAM adecuados. Para obtener más información, consulte Access en la Guía para AWS Backup desarrolladores.
{ "plans": { "Malware_Scan_Backup_Plan": { "regions": { "@@assign": [ "us-east-1", "us-west-2" ] }, "rules": { "Daily_With_Incremental_Scan": { "schedule_expression": { "@@assign": "cron(0 5 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "delete_after_days": { "@@assign": "35" } }, "scan_actions": { "GUARDDUTY": { "scan_mode": { "@@assign": "INCREMENTAL_SCAN" } } } }, "Monthly_With_Full_Scan": { "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "delete_after_days": { "@@assign": "365" } }, "scan_actions": { "GUARDDUTY": { "scan_mode": { "@@assign": "FULL_SCAN" } } } } }, "selections": { "tags": { "scan_selection": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyBackupRole" }, "tag_key": { "@@assign": "backup" }, "tag_value": { "@@assign": [ "true" ] } } } }, "scan_settings": { "GUARDDUTY": { "resource_types": { "@@assign": [ "EBS" ] }, "scanner_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole" } } } } } }
Los puntos clave de este ejemplo son:
-
scan_actionsse especifica dentro de cada regla. El nombre del escánerGUARDDUTYse utiliza como clave. La regla diaria usaINCREMENTAL_SCANy la regla mensual usaFULL_SCAN. -
scan_settingsse especifica a nivel del plan (no dentro de una regla). Configura la función del analizador y los tipos de recursos que se van a escanear. -
scanner_role_arnDebe hacer referencia a una función de IAM con la políticaAWSBackupGuardDutyRolePolicyForScansgestionada adjunta y a una política de confianza que permita al director delmalware-protection.guardduty.amazonaws.comservicio asumir la función.
