Políticas de acceso a almacenes
Con AWS Backup, puede asignar políticas a los almacenes de copias de seguridad y a los recursos que contienen. La asignación de políticas le permite hacer cosas como conceder acceso a los usuarios para crear planes de copia de seguridad y copias de seguridad bajo demanda, pero limitar su capacidad de eliminar puntos de recuperación una vez creados.
Para obtener información sobre el uso de políticas para conceder o restringir el acceso a recursos, consulte Políticas basadas en identidad y políticas basadas en recursos en la Guía del usuario de IAM. También puede controlar el acceso mediante etiquetas.
Puede utilizar las políticas de ejemplo siguientes como guía para limitar el acceso a los recursos cuando trabaja con almacenes de AWS Backup. A diferencia de otras políticas basadas en IAM, las políticas de acceso de AWS Backup no admiten el uso de un comodín en la clave Action.
Para obtener una lista de nombres de recursos de Amazon (ARN) que puede utilizar para identificar puntos de recuperación para diferentes tipos de recursos, consulte ARN de recursos de AWS Backup de los ARN de puntos de recuperación específicos de recursos.
Las políticas de acceso del almacén solo controlan el acceso de los usuarios a las API de AWS Backup. También se puede acceder a algunos tipos de copia de seguridad, como instantáneas de Amazon Elastic Block Store (Amazon EBS) y Amazon Relational Database Service (Amazon RDS), mediante las API de esos servicios. Puede crear políticas de acceso independientes en IAM que controlan el acceso a esas API con el fin de controlar plenamente el acceso a esos tipos de copia de seguridad.
Independientemente de la política de acceso del almacén de AWS Backup, se rechazará el acceso entre cuentas para cualquier acción que no sea backup:CopyIntoBackupVault; es decir, AWS Backup rechazará cualquier otra solicitud de una cuenta diferente de la cuenta del recurso al que se hace referencia.
Temas
Denegación del acceso a un tipo de recurso en un almacén de copias de seguridad
Esta política deniega el acceso a las operaciones de API especificadas para todas las instantáneas de Amazon EBS de un almacén de copias de seguridad.
Denegación del acceso a un almacén de copias de seguridad
Esta política deniega el acceso a las operaciones de API especificadas dirigidas a un almacén de copias de seguridad.
Denegación del acceso para eliminar puntos de recuperación en un almacén de copias de seguridad
El acceso a los almacenes y la capacidad de eliminar puntos de recuperación almacenados en ellos se determinará en función del acceso que conceda a los usuarios.
Siga estos pasos para crear una política de acceso basada en recursos en un almacén de copias de seguridad que impida la eliminación de todas las copias de seguridad del almacén.
Para crear una política de acceso basada en recursos en un almacén de copias de seguridad
Inicie sesión en la Consola de administración de AWS y abra la consola AWS Backup en https://console.aws.amazon.com/backup
. -
En el panel de navegación de la izquierda, elija Backup vaults (Almacenes de copias de seguridad).
-
Elija un almacén de copias de seguridad en la lista.
-
En la sección Access policy (Política de acceso), pegue el siguiente ejemplo de JSON. Esta política impide que cualquier persona que no sea la entidad principal elimine un punto de recuperación en el almacén de copias de seguridad de destino.
Para permitir que las identidades de IAM de la lista utilicen su ARN, utilice la clave de condición global
aws:PrincipalArndel siguiente ejemplo.Para obtener información acerca de cómo obtener un ID único para una entidad de IAM, consulte Obtener el identificador único en la Guía del usuario de IAM.
Si desea limitar esto a tipos de recursos específicos, en lugar de
"Resource": "*", puede incluir explícitamente los tipos de puntos de recuperación que se van a denegar. Por ejemplo, para las instantáneas de Amazon EBS, cambie el tipo de recurso por lo siguiente."Resource": ["arn:aws:ec2::Region::snapshot/*"] -
Elija Asociar política.
