Syntax und Beispiele für Backup-Richtlinien - AWS Organizations
Syntax für Backup-RichtlinienÜberlegungenBackup-Syntax: ÜberblickBackup-Syntax: RegelnBackup-Syntax: RegionenBackup-Syntax: AuswahlenBackup-Syntax: erweiterte Backup-EinstellungenBackup-Syntax: Backup-Plan-TagsBackup-Syntax: Scan-EinstellungenBeispiele für Backup-Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Syntax und Beispiele für Backup-Richtlinien

Auf dieser Seite wird die Syntax für Backup-Richtlinien beschrieben und durch Beispiele illustriert.

Syntax für Backup-Richtlinien

Eine Backup-Richtlinie ist eine Textdatei, die den JSON-Regeln entsprechend strukturiert ist. Die Syntax für Backup-Richtlinien folgt der Syntax für alle Verwaltungsrichtlinientypen. Weitere Informationen finden Sie unter Richtliniensyntax und Vererbung für Verwaltungsrichtlinientypen. Dieses Thema konzentriert sich auf die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungen des Backup-Richtlinientyps.

Weitere Informationen zu AWS Backup Plänen finden Sie CreateBackupPlanim AWS Backup Entwicklerhandbuch.

Überlegungen

Syntax der Richtlinien

Doppelte Schlüsselnamen werden in JSON zurückgewiesen.

In den Richtlinien müssen die zu sichernden Ressourcen AWS-Regionen und Ressourcen angegeben werden.

In den Richtlinien muss die IAM-Rolle angegeben werden, die übernommen AWS Backup wird.

Wenn Sie den @@assign Operator auf derselben Ebene verwenden, können vorhandene Einstellungen überschrieben werden. Weitere Informationen finden Sie unter Eine untergeordnete Richtlinie überschreibt Einstellungen in einer übergeordneten Richtlinie.

Vererbungsoperatoren steuern, wie geerbte Richtlinien und Richtlinien von Konten in die effektive Richtlinie des Kontos zusammengeführt werden. Zu diesen Operatoren gehören wertbestimmende Operatoren und untergeordnete Steuerungsoperatoren.

Weitere Informationen finden Sie unter Vererbungsoperatoren und Beispiele für Backup-Richtlinien.

IAM-Rollen

Die IAM-Rolle muss vorhanden sein, wenn Sie zum ersten Mal einen Backup-Plan erstellen.

Die IAM-Rolle muss berechtigt sein, auf Ressourcen zuzugreifen, die durch eine Tag-Abfrage identifiziert wurden.

Die IAM-Rolle muss über die Berechtigung verfügen, die Sicherung durchzuführen.

Backup-Tresore

AWS-Regionen Bevor ein Backup-Plan ausgeführt werden kann, müssen in jedem der angegebenen Tresore vorhanden sein.

Für jedes AWS Konto, für das die gültige Richtlinie gilt, müssen Tresore vorhanden sein. Weitere Informationen finden Sie unter Erstellen und Löschen von Backup-Tresoren im AWS Backup Entwicklerhandbuch.

Wir empfehlen, AWS CloudFormation Stack-Sets und deren Integration mit Organizations zu verwenden, um automatisch Backup-Tresore und IAM-Rollen für jedes Mitgliedskonto in der Organisation zu erstellen und zu konfigurieren. Weitere Informationen finden Sie unter Erstellen eines Stack-Sets mit selbstverwalteten Berechtigungen im AWS CloudFormation -Benutzerhandbuch.

Kontingente

Eine Liste der Kontingente finden Sie unter AWS Backup Kontingente im AWS Backup Entwicklerhandbuch.

Backup-Syntax: Überblick

Zur Syntax der Backup-Richtlinie gehören die folgenden Komponenten: 

{
    "plans": {
        "PlanName": {
            "rules": { ... },
            "regions": { ... },
            "selections": { ... },
            "advanced_backup_settings": { ... },
            "backup_plan_tags": { ... },
            "scan_settings": { ... }
        }
    }
}
Elemente der Backup-Richtlinie
Element Description Erforderlich
Regeln Liste der Backup-Regeln. Jede Regel definiert, wann Backups beginnen und in welchem Ausführungsfenster die in den selections Elementen regions und angegebenen Ressourcen ausgeführt werden. Ja
Regionen Liste der Bereiche AWS-Regionen , in denen eine Backup-Richtlinie Ressourcen schützen kann. Ja
Auswahlen Ein oder mehrere Ressourcentypen innerhalb des angegebenen Bereichs, die durch regions das Backup rules geschützt werden. Ja
advanced_backup_settings

Konfigurationsoptionen für bestimmte Backup-Szenarien.

Derzeit ist die einzige erweiterte Backup-Einstellung, die unterstützt wird, die Aktivierung von Microsoft Volume Shadow Copy Service (VSS) -Backups für Windows oder SQL Server, die auf einer EC2 Amazon-Instance ausgeführt werden.

 Nein
backup_plan_tags

Tags, die Sie einem Backup-Plan zuordnen möchten. Jedes Tag ist eine Bezeichnung, die aus einem benutzerdefinierten Schlüssel und Wert besteht.

Mithilfe von Stichwörtern können Sie Ihre Backup-Pläne verwalten, identifizieren, organisieren, suchen und filtern.

 Nein
scan_settings

Konfigurationsoptionen für die Scaneinstellungen. Derzeit werden nur die Scaneinstellungen „Amazon GuardDuty Malware Protection für aktivieren“ unterstützt AWS Backup.

 Nein

Backup-Syntax: Regeln

Der rules Richtlinienschlüssel gibt die geplanten Backup-Aufgaben an, die AWS Backup auf den ausgewählten Ressourcen ausgeführt werden.

Regelelemente Backup
Element Description Erforderlich
schedule_expression

Cron-Ausdruck in UTC, der angibt, wann ein AWS Backup Backup-Job initiiert wird.

Informationen zum Cron-Ausdruck finden Sie im EventBridge Amazon-Benutzerhandbuch unter Verwenden von Cron- und Rate-Ausdrücken zur Planung von Regeln.

 Ja
target_backup_vault_name

Backup-Tresor, in dem Backups gespeichert werden.

Backup-Tresore werden anhand von Namen identifiziert, die für das Konto, mit dem sie erstellt wurden, und für den Ort, an AWS-Region dem sie erstellt wurden, eindeutig sind.

 Ja
target_logically_air_gapped_backup_vault_arn

Logisch Air-Gapped Vault-ARN, in dem Backups gespeichert werden.

Falls verfügbar, werden unterstützte, vollständig verwaltete Ressourcen direkt im Logical-Air-Gap-Tresor gesichert, während andere unterstützte Ressourcen einen temporären (kostenpflichtigen) Snapshot im Backup-Tresor erstellen und diesen dann in den Tresor mit logischem Air-Gapped kopieren. Nicht unterstützte Ressourcen werden nur im angegebenen Backup-Tresor gesichert.

Der ARN muss die speziellen Platzhalter $region und $account verwenden. Für einen Tresor mit dem Namen lautet AirGappedVault arn:aws:backup:$region:$account:backup-vault:AirGappedVault der richtige Wert beispielsweise.

 Nein
start_backup_window_minutes

Wartezeit in Minuten, bis ein Backup-Job abgebrochen wird, wenn er nicht erfolgreich gestartet wird.

Wenn dieser Wert enthalten ist, muss er mindestens 60 Minuten betragen, um Fehler zu vermeiden.

 Nein
complete_backup_window_minutes Anzahl der Minuten nach dem erfolgreichen Start eines Backup-Jobs, bevor er abgeschlossen sein muss, andernfalls wird er abgebrochen. AWS Backup Nein
enable_continuous_backup

Gibt an, ob fortlaufende Backups AWS Backup erstellt werden.

Trueveranlasst AWS Backup zur Erstellung kontinuierlicher Backups, die point-in-time wiederhergestellt werden können (PITR). False(oder nicht angegeben) verursacht AWS Backup die Erstellung von Snapshot-Backups.

Weitere Informationen zu kontinuierlichen Backups finden Sie unter P oint-in-time Recovery im AWS Backup Entwicklerhandbuch.

Hinweis: PITR-fähige Backups haben eine maximale Aufbewahrungsdauer von 35 Tagen.

 Nein
lifecycle

Gibt an, wann ein AWS Backup Backup in einen Cold Storage übertragen wird und wann es abläuft.

Ressourcentypen, die auf Cold Storage umgestellt werden können, sind in der Tabelle Verfügbarkeit von Funktionen nach Ressourcen im AWS Backup Entwicklerhandbuch aufgeführt.

Jeder Lebenszyklus enthält die folgenden Elemente:

  • move_to_cold_storage_after_days: Anzahl der Tage nach dem Backup, bevor der Recovery Point in den Cold Storage AWS Backup verschoben wird.

  • delete_after_days: Anzahl der Tage nach dem Erstellen eines Backups, bevor der Wiederherstellungspunkt AWS Backup gelöscht wird.

  • opt_in_to_archive_for_supported_resources: Wenn dieser Wert als zugewiesen isttrue, überträgt ein Backup-Plan die unterstützten Ressourcen entsprechend Ihren Lebenszykluseinstellungen auf die Archivierungsstufe (Kaltspeicher).

Hinweis: Backups, die auf Cold Storage umgestellt wurden, müssen mindestens 90 Tage im Cold Storage aufbewahrt werden.

Das bedeutet, dass die 90 Tage länger sein delete_after_days müssen alsmove_to_cold_storage_after_days.

 Nein
copy_actions

Gibt an, ob ein Backup an einen oder mehrere zusätzliche Speicherorte AWS Backup kopiert wird.

Jede Kopieraktion enthält die folgenden Elemente:

  • target_backup_vault_arn: Tresor, AWS Backup in dem eine zusätzliche Kopie des Backups gespeichert wird.

    • Wird $account für Kopien desselben Kontos verwendet

    • Verwenden Sie die tatsächliche Konto-ID für kontoübergreifende Kopien

  • lifecycle: Gibt an, wann AWS Backup ein Backup in einen Cold Storage übertragen wird und wann es abläuft.

    Jeder Lebenszyklus enthält die folgenden Elemente:

    • move_to_cold_storage_after_days: Anzahl der Tage nach dem Backup, bevor der Recovery Point in den Cold Storage AWS Backup verschoben wird.

    • delete_after_days: Anzahl der Tage nach erfolgter Sicherung, bevor der Erholungspunkt AWS Backup gelöscht wird.

Hinweis: Backups, die in den Cold Storage übertragen wurden, müssen mindestens 90 Tage im Cold Storage aufbewahrt werden.

Das bedeutet, dass die 90 Tage länger sein delete_after_days müssen alsmove_to_cold_storage_after_days.

 Nein
recovery_point_tags

Tags, die Sie Ressourcen zuweisen möchten, die aus dem Backup wiederhergestellt wurden.

Jedes Tag enthält die folgenden Elemente:

  • tag_key: Tagname (Groß- und Kleinschreibung beachten)

  • tag_value: Tag-Wert (Groß- und Kleinschreibung beachten)

 Nein
index_actions

Gibt an, ob ein Backup-Index Ihrer Amazon EBS-Snapshots und and/or Amazon S3 S3-Backups AWS Backup erstellt wird. Backup-Indizes werden erstellt, um die Metadaten Ihrer Backups zu durchsuchen. Weitere Informationen zur Erstellung eines Backup-Indexes und zur Backup-Suche finden Sie unter Backup-Suche.

Hinweis: Für die Erstellung des Amazon EBS-Snapshot-Backup-Index sind zusätzliche IAM-Rollenberechtigungen erforderlich.

Jede Indexaktion enthält das folgende Element: resource_types wobei Amazon EBS und Amazon S3 als Ressourcentypen für die Indizierung unterstützt werden. Dieser Parameter gibt an, welcher Ressourcentyp für die Indizierung ausgewählt wird.

Nein
scan_actions

Gibt an, ob eine Scanaktion für eine bestimmte Regel aktiviert ist. Sie müssen ein Malwarescanner und angebenScanMode. Sie müssen scan_settings in der Sicherungsrichtlinie Elemente in Verbindung mit scan_actions verwenden, damit Scanaufträge erfolgreich gestartet werden können. Stellen Sie außerdem sicher, dass Sie über die richtigen IAM-Rollenberechtigungen verfügen.

 Nein

Backup-Syntax: Regionen

Der regions Richtlinienschlüssel gibt an AWS-Regionen , in AWS Backup welchem Bereich nach den Ressourcen gesucht wird, die den Bedingungen im selections Schlüssel entsprechen.

Elemente von Backup-Regionen
Element Description Erforderlich
regions

Gibt die AWS-Region Codes an. Beispiel: ["us-east-1", "eu-north-1"].

 Ja

Backup-Syntax: Auswahlen

Der selections Richtlinienschlüssel gibt die Ressourcen an, die gemäß den Regeln in einer Backup-Richtlinie gesichert werden.

Es gibt zwei sich gegenseitig ausschließende Elemente: tags undresources. Eine wirksame Richtlinie muss have entweder mit Tags versehen oder resources in der Auswahl enthalten sein, um gültig zu sein.

Wenn Sie eine Auswahl mit sowohl Tag-Bedingungen als auch Ressourcenbedingungen wünschen, verwenden Sie die resources Schlüssel.

Auswahlelemente Backup: Tags
Element Description Erforderlich
iam_role_arn IAM-Rolle, die AWS Backup davon ausgeht, Ressourcen in den angegebenen Regionen abzufragen, zu finden und zu sichern.

Die Rolle muss über ausreichende Berechtigungen verfügen, um Ressourcen auf der Grundlage von Tag-Bedingungen abzufragen und Sicherungsvorgänge für die entsprechenden Ressourcen durchzuführen.

 Ja
tag_key Tag-Schlüsselname, nach dem gesucht werden soll. Ja
tag_value Wert, der dem passenden tag_key zugeordnet werden muss.

AWS Backup schließt die Ressource nur ein, wenn sowohl tag_key als auch tag_value übereinstimmen (Groß- und Kleinschreibung wird beachtet).

 Ja
conditions

Kennzeichnen Sie Schlüssel und Werte, die Sie ein- oder ausschließen möchten

Verwenden Sie string_equals oder string_not_equals, um exakt übereinstimmende Tags ein- oder auszuschließen.

Verwenden Sie string_like und string_not_like, um Tags, die bestimmte Zeichen enthalten oder nicht enthalten, ein- oder auszuschließen

Hinweis: Beschränkt auf 30 Bedingungen für jede Auswahl.

 Nein
Elemente der Backup-Auswahl: Ressourcen
Element Description Erforderlich
iam_role_arn IAM-Rolle, die AWS Backup davon ausgeht, Ressourcen in den angegebenen Regionen abzufragen, zu ermitteln und zu sichern.

Die Rolle muss über ausreichende Berechtigungen verfügen, um Ressourcen auf der Grundlage von Tag-Bedingungen abzufragen und Sicherungsvorgänge für die entsprechenden Ressourcen durchzuführen.

Hinweis: AWS GovCloud (US) Regions In müssen Sie den Namen der Partition zum ARN hinzufügen.

Zum Beispiel muss arn:aws:ec2:*:*:volume/* "" arn:aws-us-gov:ec2:*:*:volume/* "sein.

 Ja
resource_types Ressourcentypen, die in einen Backup-Plan aufgenommen werden sollen. Ja
not_resource_types Ressourcentypen, die aus einem Backup-Plan ausgeschlossen werden sollen. Nein
conditions

Kennzeichnen Sie Schlüssel und Werte, die Sie ein- oder ausschließen möchten

Verwenden Sie string_equals oder string_not_equals, um exakt übereinstimmende Tags ein- oder auszuschließen.

Verwenden Sie string_like und string_not_like, um Tags, die bestimmte Zeichen enthalten oder nicht enthalten, ein- oder auszuschließen

Hinweis: Beschränkt auf 30 Bedingungen für jede Auswahl.

 Nein

Unterstützte Ressourcentypen

Organizations unterstützt die folgenden Ressourcentypen für die not_resource_types Elemente resource_types und:

  • AWS Backup gateway virtuelle Maschinen: "arn:aws:backup-gateway:*:*:vm/*"

  • AWS CloudFormation Stapel: "arn:aws:cloudformation:*:*:stack/*"

  • Amazon DynamoDB-Tabellen: "arn:aws:dynamodb:*:*:table/*"

  • EC2 Amazon-Instanzen: "arn:aws:ec2:*:*:instance/*"

  • Amazon EBS-Volumen: "arn:aws:ec2:*:*:volume/*"

  • Amazon EFS-Dateisysteme: "arn:aws:elasticfilesystem:*:*:file-system/*"

  • Amazon Aurora/Amazon DocumentDB/Amazon Neptune-Cluster: "arn:aws:rds:*:*:cluster:*"

  • Amazon RDS-Datenbanken: "arn:aws:rds:*:*:db:*"

  • Amazon Redshift Redshift-Cluster: "arn:aws:redshift:*:*:cluster:*"

  • Amazon S3: "arn:aws:s3:::*"

  • AWS Systems Manager für SAP HANA-Datenbanken: "arn:aws:ssm-sap:*:*:HANA/*"

  • AWS Storage Gateway Gateways: "arn:aws:storagegateway:*:*:gateway/*"

  • Amazon Timestream Timestream-Datenbanken: "arn:aws:timestream:*:*:database/*"

  • FSx Amazon-Dateisysteme: "arn:aws:fsx:*:*:file-system/*"

  • FSx Amazon-Volumen: "arn:aws:fsx:*:*:volume/*"

Codebeispiele

Weitere Informationen finden Sie unter Ressourcen mit dem Tags-Block angeben und Ressourcen mit dem Ressourcenblock angeben.

Backup-Syntax: erweiterte Backup-Einstellungen

Der advanced_backup_settings Schlüssel gibt die Konfigurationsoptionen für bestimmte Backup-Szenarien an. Jede Einstellung enthält die folgenden Elemente:

Elemente für erweiterte Backup-Einstellungen
Element Description Erforderlich
advanced_backup_settings Gibt Einstellungen für bestimmte Backup-Szenarien an. Dieser Schlüssel enthält eine oder mehrere Einstellungen. Jede Einstellung ist eine JSON-Objektzeichenfolge mit den folgenden Elementen:

Derzeit ist die einzige erweiterte Backup-Einstellung, die unterstützt wird, die Aktivierung von Microsoft Volume Shadow Copy Service (VSS) -Backups für Windows oder SQL Server, die auf einer EC2 Amazon-Instance ausgeführt werden.

Jede erweiterte Backup-Einstellung umfasst die folgenden Elemente:

  • Object key name: Zeichenfolge, die den Ressourcentyp angibt, für den die folgenden erweiterten Einstellungen gelten.

    Der Schlüsselname muss dem "ec2" Ressourcentyp entsprechen

  • Object value: Zeichenfolge, die eine oder mehrere Backup-Einstellungen enthält, die für den zugehörigen Ressourcentyp spezifisch sind.

    Der Wert gibt an, dass die "windows_vss" Unterstützung entweder enabled oder disabled für Backups erfolgt, die auf den EC2 Amazon-Instances durchgeführt werden.

 Nein

Beispiel:


"advanced_backup_settings": {
    "ec2": { 
        "windows_vss": {
            "@@assign": "enabled" 
        }
    }
},

Backup-Syntax: Backup-Plan-Tags

Der backup_plan_tags Richtlinienschlüssel gibt die Tags an, die einem Backup-Plan selbst zugeordnet sind. Dies hat keine Auswirkungen auf die für rules oder angegebenen Tagsselections.

Tag-Elemente für Backup-Pläne
Element Description Erforderlich
backup_plan_tags Jedes Tag ist eine Bezeichnung, die aus einem benutzerdefinierten Schlüssel und Wert besteht:

  • tag_key: Name des Tag-Schlüssels, nach dem gesucht werden soll. Beim -Wert ist die Groß- und Kleinschreibung zu beachten.

  • tag_value: Wert, der an den Backup-Plan angehängt und dem zugeordnet isttag_key. Beim -Wert ist die Groß- und Kleinschreibung zu beachten.

 Nein

Backup-Syntax: Scan-Einstellungen

Der scan_settings Richtlinienschlüssel gibt die Tags an, die an einen Backup-Plan selbst angehängt sind. Dies hat keine Auswirkungen auf die für rules oder angegebenen Tagsselections.

Tag-Elemente für Backup-Pläne
Element Description Erforderlich
scan_settings

Jedes Tag ist eine Bezeichnung, die aus einem benutzerdefinierten Schlüssel und Wert besteht: Konfigurationsoptionen für Scaneinstellungen. Derzeit werden nur die Scaneinstellungen „Amazon GuardDuty Malware Protection für aktivieren“ unterstützt AWS Backup. Sie müssen MalwarescannerResourceTypes, und angebenScannerRoleArn.

Nein

Beispiele für Backup-Richtlinien

Die folgenden Backup-Richtlinienbeispiele dienen nur zu Informationszwecken. In einigen der folgenden Beispiele kann die JSON-Leerzeichenformatierung komprimiert sein, um Platz zu sparen.

Beispiel 1: Richtlinie, die einem übergeordneten Knoten zugewiesen ist

Das folgende Beispiel zeigt eine Backup-Richtlinie, die einem der übergeordneten Knoten eines Kontos zugewiesen ist.

Übergeordnete Richtlinie – Diese Richtlinie kann an den Organisationsstamm oder an eine Organisationseinheit angefügt werden, bei der es sich um eine übergeordnete Organisationseinheit aller betreffenden Konten handelt.

{
    "plans": {
        "PII_Backup_Plan": {
            "regions": {
                "@@assign": [
                    "ap-northeast-2",
                    "us-east-1",
                    "eu-north-1"
                ]
            },
            "rules": {
                "Hourly": {
                    "schedule_expression": {
                        "@@assign": "cron(0 5/1 ? * * *)"
                    },
                    "start_backup_window_minutes": {
                        "@@assign": "480"
                    },
                    "complete_backup_window_minutes": {
                        "@@assign": "10080"
                    },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": {
                            "@@assign": "180"
                        },
                        "delete_after_days": {
                            "@@assign": "270"
                        },
                        "opt_in_to_archive_for_supported_resources": {
                            "@@assign": "false"
                        }
                    },
                    "target_backup_vault_name": {
                        "@@assign": "FortKnox"
                    },
                    "target_logically_air_gapped_backup_vault_arn": {
                        "@@assign": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault"
                    },
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
                            "target_backup_vault_arn": {
                                "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
                            },
                            "lifecycle": {
                                "move_to_cold_storage_after_days": {
                                    "@@assign": "30"
                                },
                                "delete_after_days": {
                                    "@@assign": "120"
                                },
                                "opt_in_to_archive_for_supported_resources": {
                                    "@@assign": "false"
                                }
                            }
                        },
                        "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
                            "target_backup_vault_arn": {
                                "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
                            },
                            "lifecycle": {
                                "move_to_cold_storage_after_days": {
                                    "@@assign": "30"
                                },
                                "delete_after_days": {
                                    "@@assign": "120"
                                },
                                "opt_in_to_archive_for_supported_resources": {
                                    "@@assign": "false"
                                }
                            }
                        } 
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": {
                            "@@assign": "arn:aws:iam::$account:role/MyIamRole"
                        },
                        "tag_key": {
                            "@@assign": "dataType"
                        },
                        "tag_value": {
                            "@@assign": [
                                "PII",
                                "RED"
                            ]
                        }
                    }
                }
            },
            "advanced_backup_settings": {
                "ec2": {
                    "windows_vss": {
                        "@@assign": "enabled"
                    }
                }
            }
        }
    }
}

Wenn keine anderen Richtlinien vererbt oder an die Konten angehängt wurden, AWS-Konto sieht die jeweils gültige Richtlinie wie im folgenden Beispiel aus. Der CRON Ausdruck bewirkt, dass der Backup einmal pro Stunde zur vollen Stunde ausgeführt wird. Die Konto-ID 123456789012 ist die tatsächliche Konto-ID für jedes Konto.

{
    "plans": {
        "PII_Backup_Plan": {
            "regions": [
                "us-east-1",
                "ap-northeast-3",
                "eu-north-1"
            ],
            "rules": {
                "hourly": {
                    "schedule_expression": "cron(0 0/1 ? * * *)",
                    "start_backup_window_minutes": "60",
                    "target_backup_vault_name": "FortKnox",
                    "target_logically_air_gapped_backup_vault_arn": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault",
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "delete_after_days": "2",
                        "move_to_cold_storage_after_days": "180",
                        "opt_in_to_archive_for_supported_resources": "false"
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
                            "target_backup_vault_arn": {
                                "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
                            },
                            "lifecycle": {
                                "delete_after_days": "28",
                                "move_to_cold_storage_after_days": "180",
                                "opt_in_to_archive_for_supported_resources": "false"
                            }
                        },
                        "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
                            "target_backup_vault_arn": {
                                "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
                            },
                            "lifecycle": {
                                "delete_after_days": "28",
                                "move_to_cold_storage_after_days": "180",
                                "opt_in_to_archive_for_supported_resources": "false"
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
                        "tag_key": "dataType",
                        "tag_value": [
                            "PII",
                            "RED"
                        ]
                    }
                }
            },
            "advanced_backup_settings": {
                "ec2": {
                    "windows_vss": "enabled"
                }
            }
        }
    }
}

Beispiel 2: Eine übergeordnete Richtlinie wird mit einer untergeordneten Richtlinie zusammengeführt

Im folgenden Beispiel werden eine geerbte übergeordnete Richtlinie und eine untergeordnete Richtlinie entweder vererbt oder direkt an eine AWS-Konto Zusammenführung angehängt, um die effektive Richtlinie zu bilden.

Übergeordnete Richtlinie – Diese Richtlinie kann an den Organisationsstamm oder an eine übergeordnete Organisationseinheit angefügt werden.

{
    "plans": {
       "PII_Backup_Plan": {
            "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "60" },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "28" },
                        "delete_after_days": { "@@assign": "180" },
                        "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
                            "target_backup_vault_arn" : {
                                "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
                            },
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "28" },
                                "delete_after_days": { "@@assign": "180" },
                                "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII", "RED" ] }
                    }
                }
            }
        }
    }
}

Untergeordnete Richtlinie – Diese Richtlinie kann direkt an das Konto oder an eine Organisationseinheit auf einer Ebene unterhalb der Organisationseinheit, an die die übergeordnete Richtlinie angefügt ist, angefügt werden.

{
    "plans": {
       "Monthly_Backup_Plan": {
            "regions": {
                "@@append":[ "us-east-1", "eu-central-1" ] },
            "rules": {
                "Monthly": {
                    "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "target_backup_vault_name": { "@@assign": "Default" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "30" },
                        "delete_after_days": { "@@assign": "365" },
                        "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
                            "target_backup_vault_arn" : {
                                "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
                            },
                            "lifecycle": { 
                                "move_to_cold_storage_after_days": { "@@assign": "30" },
                                "delete_after_days": { "@@assign": "365" },
                                "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "MonthlyDatatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" },
                        "tag_key": { "@@assign": "BackupType" },
                        "tag_value": { "@@assign": [ "MONTHLY", "RED" ] }
                    }
                }
            }
        }
    }
}

Resultierende effektive Richtlinie – Die effektive Richtlinie, die auf die Konten angewendet wird, enthält zwei Pläne mit jeweils eigenen Regeln und Ressourcen, auf die die Regeln angewendet werden sollen. 

{
    "plans": {
       "PII_Backup_Plan": {
            "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ],
            "rules": {
                "hourly": {
                    "schedule_expression": "cron(0 0/1 ? * * *)",
                    "start_backup_window_minutes": "60",
                    "target_backup_vault_name": "FortKnox",
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "delete_after_days": "2",
                        "move_to_cold_storage_after_days": "180",
                        "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
                            "target_backup_vault_arn" : {
                                "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
                            },
                            "lifecycle": {
                                "move_to_cold_storage_after_days": "28",
                                "delete_after_days": "180",
                                "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
                        "tag_key": "dataType",
                        "tag_value": [ "PII", "RED" ]
                    }
                }
            }
        },
        "Monthly_Backup_Plan": {
            "regions": [ "us-east-1", "eu-central-1" ],
            "rules": {
                "monthly": {
                    "schedule_expression": "cron(0 5 1 * ? *)",
                    "start_backup_window_minutes": "480",
                    "target_backup_vault_name": "Default",
                    "lifecycle": {
                        "delete_after_days": "365",
                        "move_to_cold_storage_after_days": "30",
                        "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
                            "target_backup_vault_arn": {
                                "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
                            },
                            "lifecycle": {
                                "move_to_cold_storage_after_days": "30",
                                "delete_after_days": "365",
                                "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "monthlydatatype": {
                        "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole",
                        "tag_key": "BackupType",
                        "tag_value": [ "MONTHLY", "RED" ]
                    }
                }
            }
        }
    }
}

Beispiel 3: Eine übergeordnete Richtlinie verhindert Änderungen durch eine untergeordnete Richtlinie

Im folgenden Beispiel verwendet eine geerbte übergeordnete Richtlinie die untergeordneten Steuerungsoperatoren, um alle Einstellungen zu erzwingen, und verhindert, dass diese durch eine untergeordnete Richtlinie geändert oder überschrieben werden.

Übergeordnete Richtlinie – Diese Richtlinie kann an den Organisationsstamm oder an eine übergeordnete Organisationseinheit angefügt werden. Das Vorhandensein von "@@operators_allowed_for_child_policies": ["@@none"] an jedem Knoten der Richtlinie bedeutet, dass eine untergeordnete Richtlinie keine Änderungen an dem Plan vornehmen kann. Auch kann eine untergeordnete Richtlinie der effektiven Richtlinie keine zusätzlichen Pläne hinzufügen. Diese Richtlinie wird zur effektiven Richtlinie für jede Organisationseinheit und jedes Konto unter der Organisationseinheit, an die sie angefügt ist.

{
    "plans": {
        "@@operators_allowed_for_child_policies": ["@@none"],
        "PII_Backup_Plan": {
            "@@operators_allowed_for_child_policies": ["@@none"],
            "regions": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@append": [
                    "us-east-1",
                    "ap-northeast-3",
                    "eu-north-1"
                ]
            },
            "rules": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "Hourly": {
                    "@@operators_allowed_for_child_policies": ["@@none"],
                    "schedule_expression": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "@@assign": "cron(0 0/1 ? * * *)"
                    },
                    "start_backup_window_minutes": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "@@assign": "60"
                    },
                    "target_backup_vault_name": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "@@assign": "FortKnox"
                    },
                    "index_actions": {
                       "@@operators_allowed_for_child_policies": ["@@none"],
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "move_to_cold_storage_after_days": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": "28"
                        },
                        "delete_after_days": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": "180"
                        },
                        "opt_in_to_archive_for_supported_resources": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": "false"
                        }
                    },
                    "copy_actions": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "target_backup_vault_arn": {
                                "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault",
                                "@@operators_allowed_for_child_policies": ["@@none"]
                            },
                            "lifecycle": {
                                "@@operators_allowed_for_child_policies": ["@@none"],
                                "delete_after_days": {
                                    "@@operators_allowed_for_child_policies": ["@@none"],
                                    "@@assign": "28"
                                },
                                "move_to_cold_storage_after_days": {
                                    "@@operators_allowed_for_child_policies": ["@@none"],
                                    "@@assign": "180"
                                },
                                 "opt_in_to_archive_for_supported_resources": {
                                    "@@operators_allowed_for_child_policies": ["@@none"],
                                    "@@assign": "false"
                                }
                            }
                        }
                    }
                }
            },
            "selections": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "tags": {
                    "@@operators_allowed_for_child_policies": ["@@none"],
                    "datatype": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "iam_role_arn": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": "arn:aws:iam::$account:role/MyIamRole"
                        },
                        "tag_key": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": "dataType"
                        },
                        "tag_value": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": [
                                "PII",
                                "RED"
                            ]
                        }
                    }
                }
            },
            "advanced_backup_settings": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "ec2": {
                    "@@operators_allowed_for_child_policies": ["@@none"],
                    "windows_vss": {
                        "@@assign": "enabled",
                        "@@operators_allowed_for_child_policies": ["@@none"]
                    }
                }
            }
        }
    }
}

Resultierende effektive Richtlinie – Wenn untergeordnete Backup-Richtlinien vorhanden sind, werden sie ignoriert und die übergeordnete Richtlinie wird zur effektiven Richtlinie.

{
    "plans": {
        "PII_Backup_Plan": {
            "regions": [
                "us-east-1",
                "ap-northeast-3",
                "eu-north-1"
            ],
            "rules": {
                "hourly": {
                    "schedule_expression": "cron(0 0/1 ? * * *)",
                    "start_backup_window_minutes": "60",
                    "target_backup_vault_name": "FortKnox",
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "delete_after_days": "2",
                        "move_to_cold_storage_after_days": "180",
                        "opt_in_to_archive_for_supported_resources": "false"
                    },
                    "copy_actions": {
                        "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault",
                        "lifecycle": {
                            "move_to_cold_storage_after_days": "28",
                            "delete_after_days": "180",
                            "opt_in_to_archive_for_supported_resources": "false"
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
                        "tag_key": "dataType",
                        "tag_value": [
                            "PII",
                            "RED"
                        ]
                    }
                }
            },
            "advanced_backup_settings": {
                "ec2": {"windows_vss": "enabled"}
            }
        }
    }
}

Beispiel 4: Eine übergeordnete Richtlinie verhindert Änderungen an einem einzelnen Backup-Plan durch eine untergeordnete Richtlinie

Im folgenden Beispiel verwendet eine geerbte übergeordnete Richtlinie die untergeordneten Steuerungsoperatoren, um die Einstellungen für einen einzelnen Plan zu erzwingen, und verhindert, dass diese durch eine untergeordnete Richtlinie geändert oder überschrieben werden. Die untergeordnete Richtlinie kann weiterhin zusätzliche Pläne hinzufügen.

Übergeordnete Richtlinie – Diese Richtlinie kann an den Organisationsstamm oder an eine übergeordnete Organisationseinheit angefügt werden. Dieses Beispiel ähnelt dem vorherigen Beispiel, in dem alle untergeordneten Vererbungsoperatoren blockiert wurden, außer auf der obersten Ebene plans. Mit der Einstellung @@append auf dieser Ebene können untergeordnete Richtlinien der Sammlung in der effektiven Richtlinie weitere Pläne hinzufügen. Alle Änderungen an dem geerbten Plan werden weiterhin blockiert.

Die Abschnitte in dem Plan sind aus Gründen der Übersichtlichkeit abgeschnitten.

{
    "plans": {
        "@@operators_allowed_for_child_policies": ["@@append"],
        "PII_Backup_Plan": {
            "@@operators_allowed_for_child_policies": ["@@none"],
            "regions": { ... },
            "rules": { ... },
            "selections": { ... }
        }
    }
}

Untergeordnete Richtlinie – Diese Richtlinie kann direkt an das Konto oder an eine Organisationseinheit auf einer Ebene unterhalb der Organisationseinheit, an die die übergeordnete Richtlinie angefügt ist, angefügt werden. Diese untergeordnete Richtlinie definiert einen neuen Plan.

Die Abschnitte in dem Plan sind aus Gründen der Übersichtlichkeit abgeschnitten.

{
    "plans": {
        "MonthlyBackupPlan": {
            "regions": { ... },
            "rules": { ... },
            "selections": { … }
        }
    }
}

Resultierende effektive Richtlinie – Die effektive Richtlinie umfasst beide Pläne.

{
    "plans": {
        "PII_Backup_Plan": {
            "regions": { ... },
            "rules": { ... },
            "selections": { ... }
        },
        "MonthlyBackupPlan": {
            "regions": { ... },
            "rules": { ... },
            "selections": { … }
        }
    }
}

Beispiel 5: Eine untergeordnete Richtlinie überschreibt Einstellungen in einer übergeordneten Richtlinie

Im folgenden Beispiel verwendet eine untergeordnete Richtlinie wertbestimmende Operatoren, um einige der Einstellungen, die von einer übergeordneten Richtlinie geerbt wurden, außer Kraft zu setzen.

Übergeordnete Richtlinie – Diese Richtlinie kann an den Organisationsstamm oder an eine übergeordnete Organisationseinheit angefügt werden. Jede der Einstellungen kann von einer untergeordneten Richtlinie außer Kraft gesetzt werden, da das Standardverhalten in Abwesenheit eines untergeordneten Steuerungsoperators, der dies verhindert, darin besteht, @@assign, @@append oder @@remove durch die untergeordnete Richtlinie zuzulassen. Die übergeordnete Richtlinie enthält alle erforderlichen Elemente für einen gültigen Backup-Plan, sodass Ihre Ressourcen erfolgreich gesichert werden, wenn die Richtlinie unverändert geerbt wird.

{
    "plans": {
        "PII_Backup_Plan": {
            "regions": {
                "@@append": [
                    "us-east-1",
                    "ap-northeast-3",
                    "eu-north-1"
                ]
            },
            "rules": {
                "Hourly": {
                    "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"},
                    "start_backup_window_minutes": {"@@assign": "60"},
                    "target_backup_vault_name": {"@@assign": "FortKnox"},
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "delete_after_days": {"@@assign": "2"},
                        "move_to_cold_storage_after_days": {"@@assign": "180"},
                        "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:t2": {
                            "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"},
                            "lifecycle": {
                                "move_to_cold_storage_after_days": {"@@assign": "28"},
                                "delete_after_days": {"@@assign": "180"},
                                "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"},
                        "tag_key": {"@@assign": "dataType"},
                        "tag_value": {
                            "@@assign": [
                                "PII",
                                "RED"
                            ]
                        }
                    }
                }
            }
        }
    }
}

Untergeordnete Richtlinie – Die untergeordnete Richtlinie enthält nur die Einstellungen, die von der geerbten übergeordneten Richtlinie abweichen müssen. Es muss eine geerbte übergeordnete Richtlinie vorhanden sein, die die anderen erforderlichen Einstellungen bereitstellt, wenn eine Zusammenführung zu einer effektiven Richtlinie erfolgt. Andernfalls enthält die effektive Backup-Richtlinie einen ungültigen Backupplan, der Ihre Ressourcen nicht wie erwartet sichert.

{
    "plans": {
        "PII_Backup_Plan": {
            "regions": {
                "@@assign": [
                    "us-west-2",
                    "eu-central-1"
                ]
            },
            "rules": {
                "Hourly": {
                    "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"},
                    "start_backup_window_minutes": {"@@assign": "80"},
                    "target_backup_vault_name": {"@@assign": "Default"},
                    "lifecycle": {
                        "move_to_cold_storage_after_days": {"@@assign": "30"},
                        "delete_after_days": {"@@assign": "365"},
                        "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                    }
                }
            }
        }
    }
}

Resultierende effektive Richtlinie – Die effektive Richtlinie enthält Einstellungen aus beiden Richtlinien, wobei die von der untergeordneten Richtlinie bereitgestellten Einstellungen die von der übergeordneten Richtlinie geerbten Einstellungen außer Kraft setzen. In diesem Beispiel kommt es zu folgenden Änderungen:

  • Die Liste der Regionen wird durch eine völlig andere Liste ersetzt. Wenn Sie der geerbten Liste eine Region hinzufügen möchten, verwenden Sie in der untergeordneten Richtlinie @@append anstelle von @@assign.

  • AWS Backup führt jede zweite Stunde statt stündlich aus.

  • AWS Backup ermöglicht den Start des Backups 80 Minuten statt 60 Minuten.

  • AWS Backup verwendet den Default Tresor anstelle vonFortKnox.

  • Der Lebenszyklus wird sowohl für die Übertragung in den Cold Storage als auch für die letztendliche Löschung des Backups verlängert.

{
    "plans": {
        "PII_Backup_Plan": {
            "regions": [
                "us-west-2",
                "eu-central-1"
            ],
            "rules": {
                "hourly": {
                    "schedule_expression": "cron(0 0/2 ? * * *)",
                    "start_backup_window_minutes": "80",
                    "target_backup_vault_name": "Default",
                     "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "delete_after_days": "365",
                        "move_to_cold_storage_after_days": "30",
                        "opt_in_to_archive_for_supported_resources": "false"

                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
                            "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"},
                            "lifecycle": {
                                "move_to_cold_storage_after_days": "28",
                                "delete_after_days": "180",
                                "opt_in_to_archive_for_supported_resources": "false"
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
                        "tag_key": "dataType",
                        "tag_value": [
                            "PII",
                            "RED"
                        ]
                    }
                }
            }
        }
    }
}

Beispiel 6: Ressourcen mit dem tags Block angeben

Das folgende Beispiel umfasst alle Ressourcen mit tag_key = “env” und und tag_value = "prod" und"gamma". Dieses Beispiel schließt Ressourcen mit dem tag_key = "backup" und dem tag_value = "false" aus.

...
"selections":{
    "tags":{
        "selection_name":{
            "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"},
            "tag_key":{"@@assign": "env"},
            "tag_value":{"@@assign": ["prod", "gamma"]},
            "conditions":{                       
                "string_not_equals":{
                    "condition_name1":{
                        "condition_key": { "@@assign": "aws:ResourceTag/backup"  },
                        "condition_value": {  "@@assign": "false" }
                    }
                }
            }
        }  
    }
},
...

Beispiel 7: Ressourcen mit dem resources Block angeben

Im Folgenden finden Sie Beispiele für die Verwendung des resources Blocks zur Angabe von Ressourcen.

Example: Select all resources in my account

Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Der "resource_types" Block verwendet einen booleschen Wert, um die Ressourcentypen AND zu kombinieren.

...
"resources":{
    "resource_selection_name":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "*"
            ]
        }
    }
},
...
Example: Select all resources in my account, but exclude Amazon EBS volumes

Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Die "not_resource_types" Blöcke "resource_types" und verwenden einen booleschen Wert, um die Ressourcentypen AND zu kombinieren.

...
"resources":{
    "resource_selection_name":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "*"
            ]
        },
        "not_resource_types":{
            "@@assign": [
                "arn:aws:ec2:*:*:volume/*"
            ]
        }
    }
},
...
Example: Select all resources tagged with "backup" : "true", but exclude Amazon EBS volumes

Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Die "not_resource_types" Blöcke "resource_types" und verwenden einen booleschen Wert, um die Ressourcentypen AND zu kombinieren. Der "conditions" Block verwendet einen booleschen Wert. AND 

...
"resources":{
    "resource_selection_name":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "*"
            ]
        },
        "not_resource_types":{
            "@@assign": [
                "arn:aws:ec2:*:*:volume/*"
            ]
        },
        "conditions":{                       
            "string_equals":{
                "condition_name1":{
                    "condition_key": { "@@assign":"aws:ResourceTag/backup"},
                    "condition_value": {  "@@assign":"true" }
                }
            }
        }
    }
},
...
Example: Select all Amazon EBS volumes and Amazon RDS DB instances tagged with both "backup" : "true" and "stage" : "prod"

Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Der "resource_types" Block verwendet einen booleschen Wert, um die Ressourcentypen AND zu kombinieren. Der "conditions" Block verwendet einen booleschen Wert, um Ressourcentypen und Tag-Bedingungen AND zu kombinieren.

...
"resources":{
    "resource_selection_name":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:rds:*:*:db:*"
            ]
        },
        "conditions":{
            "string_equals":{
                "condition_name1":{
                    "condition_key":{"@@assign":"aws:ResourceTag/backup"},
                    "condition_value":{"@@assign":"true"}
                },
                "condition_name2":{
                    "condition_key":{"@@assign":"aws:ResourceTag/stage"},
                    "condition_value":{"@@assign":"prod"}
                }     
            }
        }   
    }
},
...
Example: Select all Amazon EBS volumes and Amazon RDS instances tagged with "backup" : "true" but not "stage" : "test"

Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Der "resource_types" Block verwendet einen booleschen Wert, um die Ressourcentypen AND zu kombinieren. Der "conditions" Block verwendet einen booleschen Wert, um Ressourcentypen und Tag-Bedingungen AND zu kombinieren.

...
"resources":{
    "resource_selection_name":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:rds:*:*:db:*"
            ]
        },
        "conditions":{
            "string_equals":{
                "condition_name1":{
                    "condition_key":{"@@assign":"aws:ResourceTag/backup"},
                    "condition_value":{"@@assign":"true"}
                  }
            },
            "string_not_equals":{
                "condition_name2":{
                    "condition_key":{"@@assign":"aws:ResourceTag/stage"},
                    "condition_value":{"@@assign":"test"}
                }
            }
        }
    }
},
...
Example: Select all resources tagged with "key1" and a value which begins with "include" but not with "key2" and value that contains the word "exclude"

Die boolesche Logik ähnelt der Logik, die Sie in IAM-Richtlinien verwenden könnten. Der "resource_types" Block verwendet einen booleschen Wert, um die Ressourcentypen AND zu kombinieren. Der "conditions" Block verwendet einen booleschen Wert, um Ressourcentypen und Tag-Bedingungen AND zu kombinieren.

Beachten Sie in diesem Beispiel die Verwendung des Platzhalterzeichens (*) ininclude*, und*exclude*. arn:aws:rds:*:*:db:* Sie können das Platzhalterzeichen (*) am Anfang, Ende und in der Mitte einer Zeichenfolge verwenden.

...
"resources":{
    "resource_selection_name":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "*"
            ]
        },              
        "conditions":{
            "string_like":{
                "condition_name1":{
                    "condition_key":{"@@assign":"aws:ResourceTag/key1"},
                    "condition_value":{"@@assign":"include*"}
                }
            },
            "string_not_like":{
                "condition_name2":{
                    "condition_key":{"@@assign":"aws:ResourceTag/key2"},
                    "condition_value":{"@@assign":"*exclude*"}
                }
            }
        }
    }
},
...
Example: Select all resources tagged with "backup" : "true" except Amazon FSx file systems and Amazon RDS resources

Die boolesche Logik ähnelt der Logik, die Sie möglicherweise in IAM-Richtlinien verwenden. Die "not_resource_types" Blöcke "resource_types" und verwenden einen booleschen Wert, um die Ressourcentypen AND zu kombinieren. Der "conditions" Block verwendet einen booleschen Wert, um Ressourcentypen und Tag-Bedingungen AND zu kombinieren.

...
"resources":{
    "resource_selection_name":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
            "resource_types":{
                "@@assign": [
                    "*"
               ]
            },
            "not_resource_types":{
                "@@assign":[
                    "arn:aws:fsx:*:*:file-system/*",
                    "arn:aws:rds:*:*:db:*"
                ]
            },
        "conditions":{
            "string_equals":{
                "condition_name1":{
                    "condition_key":{"@@assign":"aws:ResourceTag/backup"},
                    "condition_value":{"@@assign":"true"}
                }
            }
        }
    }
},
...