View a markdown version of this page

Stratégies d'accès aux coffres - AWS Backup
Rejet de l'accès à un type de ressource dans un coffre-fort de sauvegardeRejet de l'accès à un coffre-fort de sauvegardeRejet de l'accès pour supprimer des points de récupération dans un coffre-fort de sauvegarde

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Stratégies d'accès aux coffres

Avec AWS Backup, vous pouvez attribuer des politiques aux coffres-forts de sauvegarde et aux ressources qu'ils contiennent. L'attribution de politiques vous permet d'accorder l'accès aux utilisateurs afin qu'ils puissent créer des plans de sauvegarde et des sauvegardes à la demande, mais de limiter leur capacité à supprimer des points de récupération après leur création.

Pour plus d'informations sur l'utilisation de politiques pour accorder ou restreindre l'accès aux ressources, consultez la section Identity-Based Resource-Based Politiques et politiques du guide de l'utilisateur IAM. Vous pouvez également contrôler l'accès à l'aide de balises.

Vous pouvez utiliser les exemples de politiques suivants comme guide pour limiter l'accès aux ressources lorsque vous travaillez avec des AWS Backup coffres-forts. Contrairement aux autres IAM-based politiques, les politiques AWS Backup d'accès ne prennent pas en charge l'ajout d'un caractère générique dans la Action clé.

Pour obtenir la liste des ARN (Amazon Resource Names) que vous pouvez utiliser pour identifier des points de récupération pour différents types de ressources, veuillez vous reporter à AWS Backup ARN des ressources afin de connaître les points de récupération spécifiques aux ressources.

Les politiques d'accès au coffre-fort contrôlent uniquement l'accès des utilisateurs aux AWS Backup API. Certains types de sauvegarde, tels que les instantanés Amazon Elastic Block Store (Amazon EBS) et Amazon Relational Database Service (Amazon RDS), sont également accessibles via les API de ces services. Vous pouvez créer des stratégies d'accès distinctes dans IAM qui contrôlent l'accès à ces API afin d'exercer un contrôle total sur l'accès à ces types de sauvegardes.

Quelle que soit la politique d'accès du AWS Backup coffre, l'accès entre comptes pour toute action autre que backup:CopyIntoBackupVault sera rejeté, c'est-à-dire qu'il AWS Backup rejettera toute autre demande provenant d'un compte différent du compte de la ressource référencée. Cette restriction s'applique aux politiques d'accès aux coffres-forts de sauvegarde standard et aux coffres-forts de sauvegarde à espacement logique. Les coffres-forts à espacement logique prennent également en charge le partage entre comptes AWS Resource Access Manager (RAM), ce qui permet des opérations telles que la restauration par le biais d'un mécanisme distinct indépendant des politiques d'accès aux coffres-forts. Pour de plus amples informations, veuillez consulter Coffre-fort à isolation logique.

Rejet de l'accès à un type de ressource dans un coffre-fort de sauvegarde

Cette politique rejette l'accès aux opérations d'API spécifiées pour tous les instantanés Amazon EBS d'un coffre-fort de sauvegarde.

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyRecoveryPointOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyRole"
      },
      "Action": [
        "backup:UpdateRecoveryPointLifecycle",
        "backup:DescribeRecoveryPoint",
        "backup:DeleteRecoveryPoint",
        "backup:GetRecoveryPointRestoreMetadata",
        "backup:StartRestoreJob"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:snapshot/*"
      ]
    }
  ]
}

Rejet de l'accès à un coffre-fort de sauvegarde

Cette stratégie rejette l'accès aux opérations d'API spécifiées visant un coffre-fort de sauvegarde.

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyBackupVaultOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MyRole"
      },
      "Action": [
        "backup:DescribeBackupVault",
        "backup:DeleteBackupVault",
        "backup:PutBackupVaultAccessPolicy",
        "backup:DeleteBackupVaultAccessPolicy",
        "backup:GetBackupVaultAccessPolicy",
        "backup:StartBackupJob",
        "backup:GetBackupVaultNotifications",
        "backup:PutBackupVaultNotifications",
        "backup:DeleteBackupVaultNotifications",
        "backup:ListRecoveryPointsByBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
    }
  ]
}

Rejet de l'accès pour supprimer des points de récupération dans un coffre-fort de sauvegarde

L'accès aux coffres-forts et la possibilité de supprimer des points de récupération qui y sont stockés sont déterminés par l'accès que vous accordez aux utilisateurs.

Suivez les étapes ci-après pour créer une stratégie d'accès basée sur les ressources sur un coffre-fort de sauvegarde qui empêche la suppression de toutes les sauvegardes dans le coffre-fort de sauvegarde.

Pour créer une stratégie d'accès basée sur les ressources pour un coffre-fort de sauvegarde

  1. Connectez-vous à et ouvrez AWS Management Console la AWS Backup console à l'adresse https://console.aws.amazon.com/backup.

  2. Dans le panneau de navigation de gauche, choisissez Backup vaults (Coffres-forts de sauvegarde).

  3. Choisissez un coffre-fort de sauvegarde dans la liste.

  4. Dans la section Access policy (Stratégie d'accès), collez l'exemple JSON suivant. Cette stratégie empêche toute personne qui n'est pas le mandataire principal de supprimer un point de récupération dans le coffre-fort de sauvegarde cible.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "backup:DeleteRecoveryPoint",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:userId": [
                       "AIDA1234567890EXAMPLE",
                       "AROA1234567890EXAMPLE:my-role-session",
                       "AROA1234567890EXAMPLE:*",
                       "112233445566"
                    ]
                }
            }
        }
    ]
}

    Pour autoriser les identités IAM de liste à l'aide de leur ARN, utilisez la clé de condition aws:PrincipalArn globale dans l'exemple suivant.

    JSON
    
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyDeleteRecoveryPoint",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "backup:DeleteRecoveryPoint",
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "aws:PrincipalArn": [
            "arn:aws:iam::112233445566:role/mys3role",
            "arn:aws:iam::112233445566:user/shaheer",
            "arn:aws:iam::112233445566:root"
          ]
        }
      }
    }
  ]
}

    Pour plus d'informations sur l'obtention d'un ID unique pour une entité IAM, consultez Obtention de l'identifiant unique dans le Guide de l'utilisateur IAM.

    Si vous souhaitez limiter cette possibilité à des types de ressources spécifiques, au lieu de "Resource": "*", vous pouvez inclure explicitement les types de points de récupération à rejeter. Par exemple, pour les instantanés Amazon EBS, modifiez le type de ressource comme suit.

    "Resource": ["arn:aws:ec2:*:*:snapshot/*"]

  5. Choisissez Attach policy (Attacher la politique).