Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Sintaksis kebijakan Backup dan contoh
Halaman ini menjelaskan sintaksis kebijakan backup dan memberikan contohnya.
Sintaksis untuk kebijakan backup
Kebijakan backup adalah file plaintext yang terstruktur sesuai dengan aturan JSON
Untuk informasi selengkapnya tentang AWS Backup paket, lihat CreateBackupPlandi Panduan AWS Backup Pengembang.
Pertimbangan
Sintaks kebijakan
Nama kunci duplikat akan ditolak di JSON.
Kebijakan harus menentukan Wilayah AWS dan sumber daya yang akan dicadangkan.
Kebijakan harus menentukan peran IAM yang AWS Backup mengasumsikan.
Menggunakan @@assign operator pada tingkat yang sama dapat menimpa pengaturan yang ada. Untuk informasi selengkapnya, lihat Kebijakan anak menimpa pengaturan di kebijakan induk.
Operator pewarisan mengontrol bagaimana warisan kebijakan dan kebijakan akun bergabung menjadi sebuah kebijakan efektif dari akun tersebut. Operator ini mencakup operator pengaturan nilai dan operator kontrol anak.
Untuk informasi selengkapnya, lihat Operator warisan dan contoh kebijakan Backup.
Peran IAM
Peran IAM harus ada saat membuat rencana cadangan untuk pertama kalinya.
IAM role harus memiliki izin untuk mengakses sumber daya yang diidentifikasi berdasarkan kueri tag.
IAM role harus memiliki izin untuk melakukan backup.
Brankas cadangan
Vault harus ada di setiap yang ditentukan Wilayah AWS sebelum rencana cadangan dapat berjalan.
Vault harus ada untuk setiap AWS akun yang menerima kebijakan efektif. Untuk informasi selengkapnya, lihat Pembuatan dan penghapusan cadangan vault di Panduan Pengembang.AWS Backup
Kami menyarankan agar Anda menggunakan set AWS CloudFormation tumpukan dan integrasinya dengan Organizations untuk secara otomatis membuat dan mengonfigurasi ruang penyimpanan backup dan IAM role untuk setiap akun anggota dalam organisasi. Untuk informasi lebih lanjut, lihat Membuat set tumpukan dengan izin dikelola sendiri di Panduan Pengguna AWS CloudFormation .
Kuota
Untuk daftar kuota lihat, AWS Backup kuota di Panduan AWS Backup Pengembang.
Sintaks Backup: Ikhtisar
Sintaksis kebijakan Backup mencakup komponen-komponen berikut:
{ "plans": { "PlanName": { "rules": { ... }, "regions": { ... }, "selections": { ... }, "advanced_backup_settings": { ... }, "backup_plan_tags": { ... } } } }
| Elemen | Deskripsi | Wajib |
|---|---|---|
| aturan | Daftar aturan cadangan. Setiap aturan menentukan kapan pencadangan dimulai dan jendela eksekusi untuk sumber daya yang ditentukan dalam elemen dan. regions selections |
Ya |
| daerah | Daftar Wilayah AWS tempat kebijakan cadangan dapat melindungi sumber daya. | Ya |
| pilihan | Satu atau beberapa jenis sumber daya dalam regions yang ditentukan yang rules dilindungi cadangan. |
Ya |
| advanced_backup_settings | Opsi konfigurasi untuk skenario pencadangan tertentu. Saat ini, satu-satunya pengaturan backup lanjutan yang didukung adalah mengaktifkan backup Microsoft Volume Shadow Copy Service (VSS) untuk Windows atau SQL Server yang berjalan pada instans Amazon. EC2 |
Tidak |
| backup_plan_tags | Tanda yang ingin Anda kaitkan dengan paket cadangan. Setiap tag adalah label yang terdiri dari kunci dan nilai yang ditentukan pengguna. Tanda dapat membantu Anda mengelola, mengidentifikasi, mengatur, dan memfilter paket cadangan Anda. |
Tidak |
Sintaks Backup: aturan
Kunci rules kebijakan menentukan tugas pencadangan terjadwal yang AWS Backup
dilakukan pada sumber daya yang dipilih.
| Elemen | Deskripsi | Wajib |
|---|---|---|
schedule_expression |
Ekspresi cron di UTC yang menentukan kapan AWS Backup memulai tugas backup. Untuk informasi tentang ekspresi cron, lihat Menggunakan ekspresi cron dan rate untuk menjadwalkan aturan di EventBridge Panduan Pengguna Amazon. |
Ya |
target_backup_vault_name |
Vault cadangan tempat cadangan disimpan. Vault cadangan diidentifikasi berdasarkan nama yang unik untuk akun yang digunakan untuk membuatnya dan Wilayah AWS tempatnya dibuat. |
Ya |
start_backup_window_minutes |
Jumlah menit untuk menunggu sebelum membatalkan tugas backup akan dibatalkan jika tidak berhasil memulai. Jika nilai ini disertakan, setidaknya harus 60 menit untuk menghindari kesalahan. |
Tidak |
complete_backup_window_minutes |
Jumlah menit setelah tugas backup berhasil dimulai sebelum ia harus diselesaikan atau akan dibatalkan oleh. AWS Backup | Tidak |
enable_continuous_backup |
Menentukan apakah AWS Backup membuat backup terus menerus.
Untuk informasi tentang backup berkelanjutan, lihat oint-in-timePemulihan P di Panduan AWS Backup Developer. Catatan: Pencadangan berkemampuan PITR memiliki retensi maksimum 35 hari. |
Tidak |
lifecycle |
Menentukan kapan AWS Backup mengalihkan backup ke penyimpanan dingin dan kapan kedaluwarsa. Jenis sumber daya yang dapat bertransisi ke penyimpanan dingin tercantum dalam tabel Ketersediaan fitur menurut sumber daya Ketersediaan fitur menurut sumber daya di Panduan AWS Backup Pengembang. Setiap siklus hidup berisi elemen berikut:
Catatan: Backup yang dialihkan ke penyimpanan dingin harus disimpan dalam penyimpanan dingin minimal 90 hari. Ini berarti bahwa |
Tidak |
copy_actions |
Menentukan apakah AWS Backup menyalin backup ke satu lokasi tambahan atau lebih. Setiap pasangan kunci berisi elemen berikut:
Catatan: Backup yang dialihkan ke penyimpanan dingin harus disimpan dalam penyimpanan dingin minimal 90 hari. Ini berarti bahwa |
Tidak |
recovery_point_tags |
Tag yang ingin Anda tetapkan ke sumber daya yang dipulihkan dari cadangan. Setiap tag berisi elemen berikut:
|
Tidak |
index_actions |
Menentukan apakah AWS Backup membuat indeks cadangan snapshot Amazon EBS Anda dan/atau cadangan Amazon S3. Indeks cadangan dibuat untuk mencari metadata cadangan Anda. Untuk informasi selengkapnya tentang pembuatan indeks cadangan dan pencarian cadangan, lihat Pencarian cadangan. Catatan: Izin peran IAM tambahan diperlukan untuk pembuatan indeks cadangan snapshot Amazon EBS. Setiap tindakan indeks berisi elemen berikut: |
Tidak |
Sintaks Backup:
Kunci regions kebijakan menentukan yang mana Wilayah AWS yang AWS Backup dilihat oleh untuk menemukan sumber daya yang sesuai dengan syarat di selections kunci.
| Elemen | Deskripsi | Wajib |
|---|---|---|
regions |
Menentukan Wilayah AWS kode. Sebagai contoh: |
Ya |
Sintaks Backup: pilihan
Kunci selections kebijakan menentukan sumber daya yang di-backup oleh aturan backup.
Ada dua elemen yang saling eksklusif: tags danresources. Kebijakan yang efektif harus tag have atau resources dalam seleksi agar valid.
Jika Anda ingin pilihan dengan kondisi tag dan kondisi sumber daya, gunakan resources kunci.
| Elemen | Deskripsi | Wajib |
|---|---|---|
iam_role_arn |
Peran IAM yang AWS Backup mengasumsikan kueri, menemukan, dan mencadangkan sumber daya di seluruh Wilayah yang ditentukan. Peran harus memiliki izin yang cukup untuk menanyakan sumber daya berdasarkan kondisi tag dan melakukan operasi pencadangan pada sumber daya yang cocok. |
Ya |
tag_key |
Tandai nama kunci untuk dicari. | Ya |
tag_value |
Nilai yang harus dikaitkan dengan tag_key yang cocok. AWS Backup menyertakan sumber daya hanya jika tag_key dan tag_value cocok (peka huruf besar/kecil). |
Ya |
conditions |
Tandai kunci dan nilai yang ingin Anda sertakan atau kecualikan Gunakan string_equals atau string_not_equals untuk menyertakan atau mengecualikan tag yang sama persis. Gunakan string_like dan string_not_like untuk menyertakan atau mengecualikan tag yang berisi atau tidak mengandung karakter tertentu Catatan: Terbatas hingga 30 kondisi untuk setiap pilihan. |
Tidak |
| Elemen | Deskripsi | Wajib |
|---|---|---|
iam_role_arn |
Peran IAM yang AWS Backup mengasumsikan kueri, menemukan, dan mencadangkan sumber daya di seluruh Wilayah yang ditentukan. Peran harus memiliki izin yang cukup untuk menanyakan sumber daya berdasarkan kondisi tag dan melakukan operasi pencadangan pada sumber daya yang cocok. Catatan: Di AWS GovCloud (US) Regions, Anda harus menambahkan nama partisi ke ARN. Misalnya, " |
Ya |
resource_types |
Jenis sumber daya yang akan disertakan dalam paket cadangan. | Ya |
not_resource_types |
Jenis sumber daya yang akan dikecualikan dari paket cadangan. | Tidak |
conditions |
Tandai kunci dan nilai yang ingin Anda sertakan atau kecualikan Gunakan string_equals atau string_not_equals untuk menyertakan atau mengecualikan tag yang sama persis. Gunakan string_like dan string_not_like untuk menyertakan atau mengecualikan tag yang berisi atau tidak mengandung karakter tertentu Catatan: Terbatas hingga 30 kondisi untuk setiap pilihan. |
Tidak |
Jenis sumber daya yang didukung
Organizations mendukung jenis sumber daya berikut untuk not_resource_types elemen resource_types dan:
-
AWS Backup gateway mesin virtual:
"arn:aws:backup-gateway:*:*:vm/*" -
AWS CloudFormation tumpukan:
"arn:aws:cloudformation:*:*:stack/*" -
Tabel Amazon DynamoDB:
"arn:aws:dynamodb:*:*:table/*" -
EC2 Contoh Amazon:
"arn:aws:ec2:*:*:instance/*" -
Volume Amazon EBS:
"arn:aws:ec2:*:*:volume/*" -
Sistem file Amazon EFS:
"arn:aws:elasticfilesystem:*:*:file-system/*" -
Cluster Amazon Aurora/Amazon DocumentDB/Amazon Neptunus:
"arn:aws:rds:*:*:cluster:*" -
Basis data Amazon RDS:
"arn:aws:rds:*:*:db:*" -
Cluster Amazon Redshift:
"arn:aws:redshift:*:*:cluster:*" -
Amazon S3:
"arn:aws:s3:::*" -
Manajer Sistem AWS untuk SAP Basis data HANA:
"arn:aws:ssm-sap:*:*:HANA/*" -
AWS Storage Gateway gerbang:
"arn:aws:storagegateway:*:*:gateway/*" -
Database Amazon Timestream:
"arn:aws:timestream:*:*:database/*" -
Sistem FSx file Amazon:
"arn:aws:fsx:*:*:file-system/*" -
FSx Volume Amazon:
"arn:aws:fsx:*:*:volume/*"
Contoh kode
Untuk informasi selengkapnya, lihat Menentukan sumber daya dengan blok tag dan Menentukan sumber daya dengan blok sumber daya.
Sintaks Backup: pengaturan cadangan lanjutan
advanced_backup_settingsKunci menentukan opsi konfigurasi untuk skenario cadangan tertentu. Setiap pengaturan berisi elemen berikut:
| Elemen | Deskripsi | Wajib |
|---|---|---|
advanced_backup_settings |
Menentukan pengaturan untuk skenario backup tertentu. Kunci ini berisi satu atau beberapa pengaturan. Setiap pengaturan adalah string objek JSON dengan elemen-elemen berikut: Saat ini satu-satunya pengaturan backup lanjutan yang didukung adalah mengaktifkan backup Microsoft Volume Shadow Copy Service (VSS) untuk Windows atau SQL Server yang berjalan pada instans Amazon. EC2 Setiap backup lanjutan mengatur elemen berikut:
|
Tidak |
Contoh:
"advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } },
Sintaks Backup: tag rencana cadangan
Kunci backup_plan_tags kebijakan menentukan tag yang dilampirkan ke paket cadangan itu sendiri. Ini tidak memengaruhi tag yang ditentukan untuk rules atauselections.
| Elemen | Deskripsi | Wajib |
|---|---|---|
backup_plan_tags |
Setiap tag adalah label yang terdiri dari kunci dan nilai yang ditentukan pengguna:
|
Tidak |
Contoh kebijakan Backup
Contoh kebijakan backup berikut adalah untuk tujuan informasi saja. Dalam beberapa contoh berikut, format spasi kosong JSON mungkin dikompresi untuk menghemat ruang.
Contoh 1: Kebijakan yang ditetapkan ke simpul induk
Contoh berikut menunjukkan kebijakan backup yang ditetapkan ke salah satu simpul induk akun.
Kebijakan Induk — Kebijakan ini dapat dilampirkan ke root organisasi, atau ke OU yang merupakan induk dari semua akun yang dimaksud.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } } } }
Jika tidak ada kebijakan lain yang diwariskan atau dilampirkan ke akun, maka kebijakan efektif yang diberikan di masing-masing yang berlaku Akun AWS terlihat seperti contoh berikut. Ekspresi CRON menyebabkan backup berjalan sekali dalam satu jam pada jamnya. ID akun 123456789012 akan menjadi ID akun aktual untuk setiap akun.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": { "windows_vss": "enabled" } } } } }
Contoh 2: Sebuah kebijakan induk digabung dengan sebuah kebijakan anak
Pada contoh berikut, kebijakan induk yang diwariskan dan kebijakan anak baik diwariskan atau yang langsung dilampirkan pada Akun AWS bergabung membentuk kebijakan efektif.
Kebijakan Induk — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Kebijakan anak — Kebijakan ini dapat dilampirkan langsung ke akun atau ke OU di tingkat di bawahnya di mana kebijakan induk dilampirkan.
{ "plans": { "Monthly_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "eu-central-1" ] }, "rules": { "Monthly": { "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:Default" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "MonthlyDatatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" }, "tag_key": { "@@assign": "BackupType" }, "tag_value": { "@@assign": [ "MONTHLY", "RED" ] } } } } } } }
Menghasilkan kebijakan efektif — Kebijakan efektif yang diterapkan pada akun yang berisi dua paket, masing-masing dengan seperangkat aturan dan seperangkat sumber daya sendiri untuk menerapkan aturan.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } }, "Monthly_Backup_Plan": { "regions": [ "us-east-1", "eu-central-1" ], "rules": { "monthly": { "schedule_expression": "cron(0 5 1 * ? *)", "start_backup_window_minutes": "480", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:Default" : { "target_backup_vault_arn": { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": "30", "delete_after_days": "365", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "monthlydatatype": { "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole", "tag_key": "BackupType", "tag_value": [ "MONTHLY", "RED" ] } } } } } }
Contoh 3: Kebijakan induk mencegah perubahan oleh kebijakan anak
Pada contoh berikut, kebijakan induk yang diwariskan menggunakan operator kontrol anak untuk menegakkan semua pengaturan dan mencegahnya diubah atau ditimpa oleh kebijakan anak.
Kebijakan Induk — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk. Kehadiran "@@operators_allowed_for_child_policies": ["@@none"] di setiap simpul kebijakan berarti bahwa kebijakan anak tidak dapat membuat perubahan dalam bentuk apapun pada paket. Kebijakan anak juga tidak dapat menambahkan paket tambahan untuk kebijakan efektif. Kebijakan ini menjadi kebijakan efektif untuk setiap OU dan akun di bawah OU yang padanya kebijakan tersebut dilampirkan.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@none"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { "@@operators_allowed_for_child_policies": ["@@none"], "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "@@operators_allowed_for_child_policies": ["@@none"], "Hourly": { "@@operators_allowed_for_child_policies": ["@@none"], "schedule_expression": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "60" }, "target_backup_vault_name": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "FortKnox" }, "index_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } }, "copy_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "@@operators_allowed_for_child_policies": ["@@none"], "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault", "@@operators_allowed_for_child_policies": ["@@none"] }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } } } } } }, "selections": { "@@operators_allowed_for_child_policies": ["@@none"], "tags": { "@@operators_allowed_for_child_policies": ["@@none"], "datatype": { "@@operators_allowed_for_child_policies": ["@@none"], "iam_role_arn": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "dataType" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "@@operators_allowed_for_child_policies": ["@@none"], "ec2": { "@@operators_allowed_for_child_policies": ["@@none"], "windows_vss": { "@@assign": "enabled", "@@operators_allowed_for_child_policies": ["@@none"] } } } } } }
Menghasilkan kebijakan efektif — Jika ada kebijakan backup anak apapun, mereka akan diabaikan dan kebijakan induk menjadi kebijakan efektif.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault", "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": {"windows_vss": "enabled"} } } } }
Contoh 4: Kebijakan induk mencegah perubahan ke sebuah paket backup oleh kebijakan anak
Pada contoh berikut, kebijakan induk yang diwariskan menggunakan operator kontrol anak untuk menegakkan pengaturan untuk paket tunggal dan mencegahnya diubah atau ditimpa oleh kebijakan anak. Kebijakan anak masih dapat menambahkan paket tambahan.
Kebijakan Induk — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk. Contoh ini mirip dengan contoh sebelumnya dengan semua operator warisan anak diblokir, kecuali pada plans tingkat atas. Pengaturan @@append pada tingkat yang memungkinkan kebijakan anak untuk menambahkan paket lain untuk kumpulan dalam kebijakan efektif. Setiap perubahan pada paket yang diwariskan masih diblokir.
Bagian dalam paket dipotong untuk kejelasan.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@append"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { ... }, "rules": { ... }, "selections": { ... } } } }
Kebijakan anak — Kebijakan ini dapat dilampirkan langsung ke akun atau ke OU di tingkat di bawahnya di mana kebijakan induk dilampirkan. Kebijakan anak ini menentukan paket baru.
Bagian dalam paket dipotong untuk kejelasan.
{ "plans": { "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Menghasilkan kebijakan efektif — Kebijakan efektif menyertakan kedua paket tersebut.
{ "plans": { "PII_Backup_Plan": { "regions": { ... }, "rules": { ... }, "selections": { ... } }, "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Contoh 5: Kebijakan anak menimpa pengaturan di kebijakan induk
Pada contoh berikut, kebijakan anak menggunakan operator pengaturan nilai untuk menimpa beberapa pengaturan yang diwarisi dari kebijakan induk.
Kebijakan Induk — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk. Setiap pengaturan dapat ditimpa oleh kebijakan anak karena perilaku default, dengan tidak adanya operator kontrol anak yang mencegah hal itu, maka itu akan memungkinkan kebijakan anak untuk @@assign, @@append, atau @@remove. Kebijakan induk berisi semua elemen yang diperlukan untuk paket backup yang valid, sehingga ia berhasil mencadangkan sumber daya Anda jika diwariskan sebagaimana adanya.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "target_backup_vault_name": {"@@assign": "FortKnox"}, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": {"@@assign": "2"}, "move_to_cold_storage_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:t2": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "28"}, "delete_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Kebijakan anak — Kebijakan anak hanya mencakup pengaturan yang harus berbeda dari kebijakan induk yang diwariskan. Harus ada kebijakan induk yang diwariskan yang menyediakan pengaturan lain yang diperlukan ketika digabungkan ke kebijakan efektif. Jika tidak, kebijakan backup efektif berisi paket backup yang tidak valid dan tidak membuat mencadangkan sumber daya Anda seperti yang diharapkan.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "us-west-2", "eu-central-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "80"}, "target_backup_vault_name": {"@@assign": "Default"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "30"}, "delete_after_days": {"@@assign": "365"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } } }
Menghasilkan kebijakan efektif — Kebijakan efektif mencakup pengaturan dari kedua kebijakan, dengan pengaturan yang disediakan oleh kebijakan anak yang menimpa pengaturan yang diwarisi dari induk. Dalam contoh ini, perubahan berikut terjadi:
-
Daftar Wilayah diganti dengan daftar yang sama sekali berbeda. Jika Anda ingin menambahkan Wilayah ke daftar warisan, gunakan
@@append, bukan@@assigndalam kebijakan anak. -
AWS Backup melakukan setiap dua jam, bukan setiap jam.
-
AWS Backup memungkinkan 80 menit agar backup dimulai, bukan 60 menit.
-
AWS Backup menggunakan lemari
Defaultbesi alih-alih.FortKnox -
Siklus hidup diperpanjang baik untuk transfer backup ke penyimpanan dingin atau pun penghapusan di akhir.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-west-2", "eu-central-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/2 ? * * *)", "start_backup_window_minutes": "80", "target_backup_vault_name": "Default", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"}, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } } } }
Contoh 6: Menentukan sumber daya dengan blok tags
Contoh berikut mencakup semua sumber daya dengan tag_key = “env” dan dan tag_value = "prod" dan"gamma". Contoh ini mengecualikan sumber daya dengan tag_key = "backup" dan tag_value ="false".
... "selections":{ "tags":{ "selection_name":{ "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"}, "tag_key":{"@@assign": "env"}, "tag_value":{"@@assign": ["prod", "gamma"]}, "conditions":{ "string_not_equals":{ "condition_name1":{ "condition_key": { "@@assign": "aws:ResourceTag/backup" }, "condition_value": { "@@assign": "false" } } } } } } }, ...
Contoh 7: Menentukan sumber daya dengan blok resources
Berikut ini adalah contoh penggunaan resources blok untuk menentukan sumber daya.
