Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Sintaksis kebijakan Backup dan contoh
Halaman ini menjelaskan sintaksis kebijakan backup dan memberikan contohnya.
## Sintaksis untuk kebijakan backup
Kebijakan backup adalah file plaintext yang terstruktur sesuai dengan aturan [JSON](http://json.org). Sintaks untuk kebijakan cadangan mengikuti sintaks untuk semua jenis kebijakan deklaratif. Untuk informasi selengkapnya, lihat [Sintaks kebijakan dan pewarisan untuk jenis kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Topik ini berfokus pada penerapan sintaksis umum untuk persyaratan khusus jenis kebijakan backup.
Untuk informasi selengkapnya tentang AWS Backup paket, lihat [CreateBackupPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateBackupPlan.html)di *Panduan AWS Backup Pengembang*.
## Pertimbangan-pertimbangan
**Sintaks kebijakan**
Nama kunci duplikat akan ditolak di JSON.
Kebijakan harus menentukan AWS Region dan sumber daya yang akan dicadangkan.
Kebijakan harus menentukan peran IAM yang AWS Backup mengasumsikan.
Menggunakan `@@assign` operator pada tingkat yang sama dapat menimpa pengaturan yang ada. Untuk informasi selengkapnya, lihat [Kebijakan anak mengganti setelan di kebijakan induk](#backup-policy-example-5).
Operator pewarisan mengontrol bagaimana warisan kebijakan dan kebijakan akun bergabung menjadi sebuah kebijakan efektif dari akun tersebut. Operator ini mencakup operator pengaturan nilai dan operator kontrol anak.
Untuk informasi selengkapnya, lihat [Operator warisan](policy-operators.md) dan [contoh kebijakan Backup](#backup-policy-examples).
**Peran IAM**
Peran IAM harus ada saat membuat rencana cadangan untuk pertama kalinya.
Peran IAM harus memiliki izin untuk mengakses sumber daya yang diidentifikasi oleh kueri tag.
Peran IAM harus memiliki izin untuk melakukan pencadangan.
**Brankas cadangan**
Vault harus ada di setiap yang ditentukan AWS Region sebelum rencana cadangan dapat berjalan.
Vault harus ada untuk setiap AWS akun yang menerima kebijakan efektif. *Untuk informasi selengkapnya, lihat [Membuat dan menghapus cadangan vault di Panduan Pengembang](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html).AWS Backup *
Kami menyarankan Anda menggunakan kumpulan AWS CloudFormation tumpukan dan integrasinya dengan Organizations untuk secara otomatis membuat dan mengonfigurasi vault cadangan dan peran IAM untuk setiap akun anggota di organisasi. Untuk informasi lebih lanjut, lihat [Membuat set tumpukan dengan izin dikelola sendiri](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#create-stack-set-service-managed-permissions) di *Panduan Pengguna AWS CloudFormation *.
**Kuota**
Untuk daftar kuota lihat, [AWS Backup kuota di Panduan AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html#aws-backup-policies-quotas-table) *Pengembang*.
## Sintaks Backup: Ikhtisar
Sintaksis kebijakan Backup mencakup komponen-komponen berikut:
```
{
"plans": {
"PlanName": {
"rules": { ... },
"regions": { ... },
"selections": { ... },
"advanced_backup_settings": { ... },
"backup_plan_tags": { ... },
"scan_settings": { ... }
}
}
}
```
**Elemen kebijakan Backup**
| Elemen | Deskripsi | Diperlukan |
| --- | --- | --- |
| [aturan](#backup-policy-rules) | Daftar aturan cadangan. Setiap aturan menentukan kapan pencadangan dimulai dan jendela eksekusi untuk sumber daya yang ditentukan dalam elemen dan. regions selections | Ya |
| [daerah](#backup-plan-regions) | Daftar AWS Region tempat kebijakan cadangan dapat melindungi sumber daya. | Ya |
| [pilihan](#backup-plan-selections) | Satu atau beberapa jenis sumber daya dalam regions yang ditentukan yang rules dilindungi cadangan. | Ya |
| [advanced\_backup\_settings](#advanced-backup-settings) | Opsi konfigurasi untuk skenario pencadangan tertentu.
Saat ini, satu-satunya pengaturan cadangan lanjutan yang didukung adalah mengaktifkan cadangan Microsoft Volume Shadow Copy Service (VSS) untuk Windows atau SQL Server yang berjalan pada instans Amazon EC2. | Tidak |
| [backup\_plan\_tags](#backup-plan-tags) | Tag yang ingin Anda kaitkan dengan rencana cadangan. Setiap tag adalah label yang terdiri dari kunci dan nilai yang ditentukan pengguna.
Tag dapat membantu Anda mengelola, mengidentifikasi, mengatur, mencari, dan memfilter rencana cadangan Anda. | Tidak |
| [scan\_settings](#scan-settings) | Opsi konfigurasi untuk pengaturan pemindaian. Saat ini satu-satunya pengaturan pemindaian yang didukung adalah mengaktifkan Amazon GuardDuty Malware Protection untuk AWS Backup. | Tidak |
## Sintaks Backup: aturan
Kunci `rules` kebijakan menentukan tugas pencadangan terjadwal yang AWS Backup dilakukan pada sumber daya yang dipilih.
**Elemen aturan Backup**
| Elemen | Deskripsi | Diperlukan |
| --- | --- | --- |
| schedule\_expression | Ekspresi cron di UTC yang menentukan kapan AWS Backup memulai pekerjaan cadangan.
Untuk informasi tentang ekspresi cron, lihat [Menggunakan ekspresi cron dan rate untuk menjadwalkan aturan](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html) di * EventBridge Panduan Pengguna Amazon*. | Ya |
| target\_backup\_vault\_name | Brankas cadangan tempat cadangan disimpan.
Brankas cadangan diidentifikasi dengan nama yang unik untuk akun yang digunakan untuk membuatnya dan AWS Region tempat pembuatannya. | Ya |
| target\_logically\_air\_gapped\_backup\_vault\_arn | ARN vault yang memiliki celah udara secara logis tempat cadangan disimpan.
Jika disediakan, sumber daya terkelola penuh yang didukung dicadangkan langsung ke brankas yang memiliki celah udara secara logis, sementara sumber daya lain yang didukung membuat snapshot sementara (dapat ditagih) di brankas cadangan, lalu salin ke brankas yang memiliki celah udara secara logis. Sumber daya yang tidak didukung hanya dicadangkan ke brankas cadangan yang ditentukan.
ARN harus menggunakan `$region` placeholder khusus dan. `$account` Misalnya, untuk vault bernama nilai `AirGappedVault` yang benar adalah`arn:aws:backup:$region:$account:backup-vault:AirGappedVault`. | Tidak |
| start\_backup\_window\_minutes | Jumlah menit untuk menunggu sebelum membatalkan pekerjaan cadangan akan dibatalkan jika tidak berhasil dimulai.
Jika nilai ini disertakan, setidaknya harus 60 menit untuk menghindari kesalahan. | Tidak |
| complete\_backup\_window\_minutes | Njumlah menit setelah pekerjaan cadangan berhasil dimulai sebelum harus diselesaikan atau akan dibatalkan oleh. AWS Backup | Tidak |
| enable\_continuous\_backup | Menentukan apakah AWS Backup membuat backup terus menerus.
`True`menyebabkan AWS Backup untuk membuat backup berkelanjutan yang mampu point-in-time restore (PITR). `False`(atau tidak ditentukan) menyebabkan AWS Backup membuat cadangan snapshot.
Untuk informasi selengkapnya tentang pencadangan berkelanjutan, lihat [Point-in-timepemulihan](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html) di Panduan *AWS Backup Pengembang*.
**Catatan:** PITR-enabled backup memiliki retensi maksimum 35 hari. | Tidak |
| lifecycle | Menentukan kapan AWS Backup transisi cadangan ke cold storage dan ketika kedaluwarsa.
Jenis sumber daya yang dapat bertransisi ke penyimpanan dingin tercantum dalam tabel Ketersediaan fitur menurut sumber daya [Ketersediaan fitur menurut sumber daya](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) di *Panduan AWS Backup Pengembang*.
Setiap siklus hidup berisi elemen-elemen berikut:[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html)
**Catatan**: Cadangan yang dialihkan ke cold storage harus disimpan dalam cold storage selama minimal 90 hari.
Ini berarti bahwa `delete_after_days` harus 90 hari lebih besar dari`move_to_cold_storage_after_days`. | Tidak |
| copy\_actions | Menentukan apakah AWS Backup salinan cadangan ke satu atau lebih lokasi tambahan.
Setiap tindakan penyalinan berisi elemen-elemen berikut:[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html)
**Catatan**: Cadangan yang dialihkan ke cold storage harus disimpan dalam cold storage selama minimal 90 hari.
Ini berarti bahwa `delete_after_days` harus 90 hari lebih besar dari`move_to_cold_storage_after_days`. | Tidak |
| recovery\_point\_tags | Tag yang ingin Anda tetapkan ke sumber daya yang dipulihkan dari cadangan.
Setiap tag berisi elemen-elemen berikut:[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Tidak |
| index\_actions | Menentukan apakah AWS Backup membuat indeks cadangan snapshot Amazon EBS Anda cadangan Amazon S3 and/or . Indeks cadangan dibuat untuk mencari metadata cadangan Anda. Untuk informasi selengkapnya tentang pembuatan indeks cadangan dan pencarian cadangan, lihat [Pencarian cadangan](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-overview).
**Catatan:** [Izin peran IAM](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-access) tambahan diperlukan untuk pembuatan indeks cadangan snapshot Amazon EBS.
Setiap tindakan indeks berisi elemen berikut: `resource_types` di mana jenis sumber daya yang didukung untuk pengindeksan adalah Amazon EBS dan Amazon S3. Parameter ini menentukan jenis sumber daya yang akan dipilih ke dalam pengindeksan. | Tidak |
| scan\_actions | Menentukan apakah tindakan pemindaian diaktifkan untuk aturan yang diberikan. Anda harus menentukan`ScanMode`. Anda harus menggunakan `scan_settings` elemen kebijakan cadangan bersama dengan `scan_actions` agar pekerjaan pemindaian berhasil dimulai. Pastikan juga Anda memiliki [izin peran IAM](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access) yang tepat.[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Tidak |
## Sintaks Backup: wilayah
Kunci `regions` kebijakan menentukan mana AWS Region yang AWS Backup mencari sumber daya yang cocok dengan kondisi di `selections` kunci.
**Elemen wilayah cadangan**
| Elemen | Deskripsi | Diperlukan |
| --- | --- | --- |
| regions | Menentukan AWS Region kode. Sebagai contoh: `["us-east-1", "eu-north-1"]`. | Ya |
## Sintaks Backup: pilihan
Kunci `selections` kebijakan menentukan sumber daya yang didukung oleh aturan dalam kebijakan cadangan.
Ada dua elemen yang saling eksklusif: `tags` dan`resources`. Kebijakan yang efektif **harus** tag `have` atau `resources` dalam seleksi agar valid.
Jika Anda ingin pilihan dengan kondisi tag dan kondisi sumber daya, gunakan `resources` kunci.
**Elemen pemilihan cadangan: Tag**
| Elemen | Deskripsi | Diperlukan |
| --- | --- | --- |
| iam\_role\_arn | Peran IAM yang AWS Backup mengasumsikan kueri, menemukan, dan mencadangkan sumber daya di seluruh Wilayah yang ditentukan. Peran harus memiliki izin yang cukup untuk menanyakan sumber daya berdasarkan kondisi tag dan melakukan operasi pencadangan pada sumber daya yang cocok. | Ya |
| tag\_key | Tag nama kunci untuk mencari. | Ya |
| tag\_value | Nilai yang harus dikaitkan dengan tag\_key yang cocok. AWS Backup menyertakan sumber daya hanya jika tag\_key dan tag\_value cocok (peka huruf besar/kecil). | Ya |
| conditions | Tandai kunci dan nilai yang ingin Anda sertakan atau kecualikan
Gunakan string\_equals atau string\_not\_equals untuk menyertakan atau mengecualikan tag yang sama persis.
Gunakan string\_like dan string\_not\_like untuk menyertakan atau mengecualikan tag yang berisi atau tidak mengandung karakter tertentu
**Catatan:** Terbatas hingga 30 kondisi untuk setiap pilihan. | Tidak |
**Elemen pemilihan cadangan: Sumber daya**
| Elemen | Deskripsi | Diperlukan |
| --- | --- | --- |
| iam\_role\_arn | Peran IAM yang AWS Backup mengasumsikan kueri, menemukan, dan mencadangkan sumber daya di seluruh Wilayah yang ditentukan. Peran harus memiliki izin yang cukup untuk menanyakan sumber daya berdasarkan kondisi tag dan melakukan operasi pencadangan pada sumber daya yang cocok.
**Catatan:** Di AWS GovCloud (US) Regions, Anda harus menambahkan nama partisi ke ARN.
Misalnya, "`arn:aws:ec2:*:*:volume/*`" harus "`arn:aws-us-gov:ec2:*:*:volume/*`”. | Ya |
| resource\_types | Jenis sumber daya untuk disertakan dalam rencana cadangan. | Ya |
| not\_resource\_types | Jenis sumber daya untuk dikecualikan dari rencana cadangan. | Tidak |
| conditions | Tandai kunci dan nilai yang ingin Anda sertakan atau kecualikan
Gunakan string\_equals atau string\_not\_equals untuk menyertakan atau mengecualikan tag yang sama persis.
Gunakan string\_like dan string\_not\_like untuk menyertakan atau mengecualikan tag yang berisi atau tidak mengandung karakter tertentu
**Catatan:** Terbatas hingga 30 kondisi untuk setiap pilihan. | Tidak |
**Jenis sumber daya yang didukung**
Organizations mendukung jenis sumber daya berikut untuk `not_resource_types` elemen `resource_types` dan:
+ AWS Backup gateway mesin virtual: `"arn:aws:backup-gateway:*:*:vm/*"`
+ AWS CloudFormation tumpukan: `"arn:aws:cloudformation:*:*:stack/*"`
+ Kluster Aurora DSQL: `"arn:aws:dsql:*:*:cluster/*"`
+ Tabel Amazon DynamoDB: `"arn:aws:dynamodb:*:*:table/*"`
+ Instans Amazon EC2: `"arn:aws:ec2:*:*:instance/*"`
+ Volume Amazon EBS: `"arn:aws:ec2:*:*:volume/*"`
+ Sistem file Amazon EFS: `"arn:aws:elasticfilesystem:*:*:file-system/*"`
+ Cluster Amazon Aurora/Amazon DocumentDB/Amazon Neptunus: `"arn:aws:rds:*:*:cluster:*"`
+ Basis data Amazon RDS: `"arn:aws:rds:*:*:db:*"`
+ Cluster Amazon Redshift: `"arn:aws:redshift:*:*:cluster:*"`
+ Ruang nama Tanpa Server Amazon Redshift: `"arn:aws:redshift-serverless:*:*:namespace/*"`
+ Amazon S3: `"arn:aws:s3:::*"`
+ Manajer Sistem AWS untuk SAP Basis data HANA: `"arn:aws:ssm-sap:*:*:HANA/*"`
+ AWS Storage Gateway gerbang: `"arn:aws:storagegateway:*:*:gateway/*"`
+ Database Amazon Timestream: `"arn:aws:timestream:*:*:database/*"`
+ Sistem file Amazon FSx: `"arn:aws:fsx:*:*:file-system/*"`
+ Volume Amazon FSx: `"arn:aws:fsx:*:*:volume/*"`
+ Volume Layanan Amazon Elastic Kubernetes: `"arn:aws:eks:*:*:cluster/*"`
**Contoh kode**
Untuk informasi selengkapnya, lihat [Menentukan sumber daya dengan blok tag](#backup-policy-example-6) dan [Menentukan sumber daya dengan blok sumber daya](#backup-policy-example-7).
## Sintaks Backup: pengaturan cadangan lanjutan
`advanced_backup_settings`Kunci menentukan opsi konfigurasi untuk skenario cadangan tertentu. Setiap pengaturan berisi elemen-elemen berikut:
**Elemen pengaturan cadangan lanjutan**
| Elemen | Deskripsi | Diperlukan |
| --- | --- | --- |
| advanced\_backup\_settings | Menentukan pengaturan untuk skenario cadangan tertentu. Kunci ini berisi satu atau beberapa pengaturan. Setiap pengaturan adalah string objek JSON dengan elemen-elemen berikut: Saat ini satu-satunya pengaturan cadangan lanjutan yang didukung adalah mengaktifkan cadangan Microsoft Volume Shadow Copy Service (VSS) untuk Windows atau SQL Server yang berjalan pada instans Amazon EC2.
Setiap cadangan lanjutan mengatur elemen-elemen berikut:[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Tidak |
**Contoh:**
```
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
},
```
## Sintaks Backup: tag rencana cadangan
Kunci `backup_plan_tags` kebijakan menentukan tag yang dilampirkan ke rencana cadangan itu sendiri. Ini tidak memengaruhi tag yang ditentukan untuk `rules` atau`selections`.
**Elemen tag rencana cadangan**
| Elemen | Deskripsi | Diperlukan |
| --- | --- | --- |
| backup\_plan\_tags | Setiap tag adalah label yang terdiri dari kunci dan nilai yang ditentukan pengguna: [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Tidak |
## Sintaks Backup: pengaturan pemindaian
Kunci `scan_settings` kebijakan menentukan konfigurasi untuk pemindaian malware menggunakan Amazon GuardDuty Malware Protection for AWS Backup. Anda harus menggunakan `scan_settings` bersama dengan `scan_actions` aturan cadangan Anda untuk memindai pekerjaan agar berhasil dimulai.
**Pindai elemen pengaturan**
| Elemen | Deskripsi | Diperlukan |
| --- | --- | --- |
| scan\_settings | Opsi konfigurasi untuk pengaturan pemindaian. Saat ini satu-satunya pengaturan pemindaian yang didukung adalah mengaktifkan Perlindungan GuardDuty Malware Amazon untuk AWS Backup. Anda harus menentukan `ResourceTypes` dan`ScannerRoleArn`. [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Tidak |
**Contoh:**
Berikut ini menunjukkan cara mengonfigurasi `scan_actions` dalam aturan cadangan dan `scan_settings` pada tingkat paket untuk mengaktifkan pemindaian Amazon GuardDuty Malware Protection.
`scan_actions`dalam aturan:
```
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
```
`scan_settings`pada tingkat rencana:
```
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": ["EBS"]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
```
## Contoh kebijakan Backup
Contoh kebijakan backup berikut adalah untuk tujuan informasi saja. Dalam beberapa contoh berikut, format spasi kosong JSON mungkin dikompresi untuk menghemat ruang.
+ [Contoh 1: Kebijakan ditetapkan ke node induk](#backup-policy-example-1)
+ [Contoh 2: Kebijakan induk digabungkan dengan kebijakan anak](#backup-policy-example-2)
+ [Contoh 3: Kebijakan induk mencegah perubahan apa pun oleh kebijakan anak](#backup-policy-example-3)
+ [Contoh 4: Kebijakan induk mencegah perubahan pada satu paket cadangan oleh kebijakan anak](#backup-policy-example-4)
+ [Contoh 5: Kebijakan anak mengganti setelan dalam kebijakan induk](#backup-policy-example-5)
+ [Contoh 6: Menentukan sumber daya dengan blok tag](#backup-policy-example-6)
+ [Contoh 7: Menentukan sumber daya dengan blok sumber daya](#backup-policy-example-7)
+ [Contoh 8: Paket Backup dengan pemindaian Amazon GuardDuty Malware Protection](#backup-policy-example-8)
### Contoh 1: Kebijakan yang ditetapkan ke simpul induk
Contoh berikut menunjukkan kebijakan backup yang ditetapkan ke salah satu simpul induk akun.
**Kebijakan Induk** — Kebijakan ini dapat dilampirkan ke root organisasi, atau ke OU yang merupakan induk dari semua akun yang dimaksud.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"ap-northeast-2",
"us-east-1",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {
"@@assign": "cron(0 5/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "480"
},
"complete_backup_window_minutes": {
"@@assign": "10080"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "180"
},
"delete_after_days": {
"@@assign": "270"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
},
"target_backup_vault_name": {
"@@assign": "FortKnox"
},
"target_logically_air_gapped_backup_vault_arn": {
"@@assign": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault"
},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@assign": "dataType"
},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
}
}
}
}
```
Jika tidak ada kebijakan lain yang diwarisi atau dilampirkan ke akun, kebijakan efektif yang diberikan di setiap yang berlaku Akun AWS terlihat seperti contoh berikut. Ekspresi CRON menyebabkan backup berjalan sekali dalam satu jam pada jamnya. ID akun 123456789012 akan menjadi ID akun aktual untuk setiap akun.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"target_logically_air_gapped_backup_vault_arn": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": "enabled"
}
}
}
}
}
```
### Contoh 2: Sebuah kebijakan induk digabung dengan sebuah kebijakan anak
Dalam contoh berikut, kebijakan induk yang diwariskan dan kebijakan anak diwariskan atau langsung dilampirkan pada Akun AWS penggabungan untuk membentuk kebijakan yang efektif.
**Kebijakan Induk** — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "60" },
"target_backup_vault_name": { "@@assign": "FortKnox" },
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII", "RED" ] }
}
}
}
}
}
}
```
**Kebijakan anak** — Kebijakan ini dapat dilampirkan langsung ke akun atau ke OU di tingkat di bawahnya di mana kebijakan induk dilampirkan.
```
{
"plans": {
"Monthly_Backup_Plan": {
"regions": {
"@@append":[ "us-east-1", "eu-central-1" ] },
"rules": {
"Monthly": {
"schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"target_backup_vault_name": { "@@assign": "Default" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"MonthlyDatatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" },
"tag_key": { "@@assign": "BackupType" },
"tag_value": { "@@assign": [ "MONTHLY", "RED" ] }
}
}
}
}
}
}
```
**Menghasilkan kebijakan efektif** — Kebijakan efektif yang diterapkan pada akun yang berisi dua paket, masing-masing dengan seperangkat aturan dan seperangkat sumber daya sendiri untuk menerapkan aturan.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [ "PII", "RED" ]
}
}
}
},
"Monthly_Backup_Plan": {
"regions": [ "us-east-1", "eu-central-1" ],
"rules": {
"monthly": {
"schedule_expression": "cron(0 5 1 * ? *)",
"start_backup_window_minutes": "480",
"target_backup_vault_name": "Default",
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn": {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": "30",
"delete_after_days": "365",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"monthlydatatype": {
"iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole",
"tag_key": "BackupType",
"tag_value": [ "MONTHLY", "RED" ]
}
}
}
}
}
}
```
### Contoh 3: Kebijakan induk mencegah perubahan oleh kebijakan anak
Pada contoh berikut, kebijakan induk yang diwariskan menggunakan [operator kontrol anak](policy-operators.md#child-control-operators) untuk menegakkan semua pengaturan dan mencegahnya diubah atau ditimpa oleh kebijakan anak.
**Kebijakan Induk** — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk. Kehadiran `"@@operators_allowed_for_child_policies": ["@@none"]` di setiap simpul kebijakan berarti bahwa kebijakan anak tidak dapat membuat perubahan dalam bentuk apapun pada paket. Kebijakan anak juga tidak dapat menambahkan paket tambahan untuk kebijakan efektif. Kebijakan ini menjadi kebijakan efektif untuk setiap OU dan akun di bawah OU yang padanya kebijakan tersebut dilampirkan.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@none"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"@@operators_allowed_for_child_policies": ["@@none"],
"Hourly": {
"@@operators_allowed_for_child_policies": ["@@none"],
"schedule_expression": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "cron(0 0/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "60"
},
"target_backup_vault_name": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "FortKnox"
},
"index_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
},
"copy_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"@@operators_allowed_for_child_policies": ["@@none"],
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault",
"@@operators_allowed_for_child_policies": ["@@none"]
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"@@operators_allowed_for_child_policies": ["@@none"],
"tags": {
"@@operators_allowed_for_child_policies": ["@@none"],
"datatype": {
"@@operators_allowed_for_child_policies": ["@@none"],
"iam_role_arn": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "dataType"
},
"tag_value": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"@@operators_allowed_for_child_policies": ["@@none"],
"ec2": {
"@@operators_allowed_for_child_policies": ["@@none"],
"windows_vss": {
"@@assign": "enabled",
"@@operators_allowed_for_child_policies": ["@@none"]
}
}
}
}
}
}
```
**Menghasilkan kebijakan efektif** — Jika ada kebijakan backup anak apapun, mereka akan diabaikan dan kebijakan induk menjadi kebijakan efektif.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault",
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {"windows_vss": "enabled"}
}
}
}
}
```
### Contoh 4: Kebijakan induk mencegah perubahan ke sebuah paket backup oleh kebijakan anak
Pada contoh berikut, kebijakan induk yang diwariskan menggunakan [operator kontrol anak](policy-operators.md#child-control-operators) untuk menegakkan pengaturan untuk paket tunggal dan mencegahnya diubah atau ditimpa oleh kebijakan anak. Kebijakan anak masih dapat menambahkan paket tambahan.
**Kebijakan Induk** — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk. Contoh ini mirip dengan contoh sebelumnya dengan semua operator warisan anak diblokir, kecuali pada `plans` tingkat atas. Pengaturan `@@append` pada tingkat yang memungkinkan kebijakan anak untuk menambahkan paket lain untuk kumpulan dalam kebijakan efektif. Setiap perubahan pada paket yang diwariskan masih diblokir.
Bagian dalam paket dipotong untuk kejelasan.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@append"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": { ... },
"rules": { ... },
"selections": { ... }
}
}
}
```
**Kebijakan anak** — Kebijakan ini dapat dilampirkan langsung ke akun atau ke OU di tingkat di bawahnya di mana kebijakan induk dilampirkan. Kebijakan anak ini menentukan paket baru.
Bagian dalam paket dipotong untuk kejelasan.
```
{
"plans": {
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
**Menghasilkan kebijakan efektif** — Kebijakan efektif menyertakan kedua paket tersebut.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { ... },
"rules": { ... },
"selections": { ... }
},
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
### Contoh 5: Kebijakan anak menimpa pengaturan di kebijakan induk
Pada contoh berikut, kebijakan anak menggunakan [operator pengaturan nilai](policy-operators.md#value-setting-operators) untuk menimpa beberapa pengaturan yang diwarisi dari kebijakan induk.
**Kebijakan Induk** — Kebijakan ini dapat dilampirkan ke root organisasi atau ke OU induk. Setiap pengaturan dapat ditimpa oleh kebijakan anak karena perilaku default, dengan tidak adanya [operator kontrol anak](policy-operators.md#child-control-operators) yang mencegah hal itu, maka itu akan memungkinkan kebijakan anak untuk `@@assign`, `@@append`, atau `@@remove`. Kebijakan induk berisi semua elemen yang diperlukan untuk paket backup yang valid, sehingga ia berhasil mencadangkan sumber daya Anda jika diwariskan sebagaimana adanya.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "60"},
"target_backup_vault_name": {"@@assign": "FortKnox"},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": {"@@assign": "2"},
"move_to_cold_storage_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:t2": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "28"},
"delete_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"},
"tag_key": {"@@assign": "dataType"},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
}
}
}
}
```
**Kebijakan anak** — Kebijakan anak hanya mencakup pengaturan yang harus berbeda dari kebijakan induk yang diwariskan. Harus ada kebijakan induk yang diwariskan yang menyediakan pengaturan lain yang diperlukan ketika digabungkan ke kebijakan efektif. Jika tidak, kebijakan backup efektif berisi paket backup yang tidak valid dan tidak membuat mencadangkan sumber daya Anda seperti yang diharapkan.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"us-west-2",
"eu-central-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "80"},
"target_backup_vault_name": {"@@assign": "Default"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "30"},
"delete_after_days": {"@@assign": "365"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
}
}
```
**Menghasilkan kebijakan efektif** — Kebijakan efektif mencakup pengaturan dari kedua kebijakan, dengan pengaturan yang disediakan oleh kebijakan anak yang menimpa pengaturan yang diwarisi dari induk. Dalam contoh ini, perubahan berikut terjadi:
+ Daftar Wilayah diganti dengan daftar yang sama sekali berbeda. Jika Anda ingin menambahkan Wilayah ke daftar warisan, gunakan `@@append`, bukan `@@assign` dalam kebijakan anak.
+ AWS Backup melakukan setiap jam, bukan setiap jam.
+ AWS Backup memungkinkan 80 menit untuk pencadangan dimulai, bukan 60 menit.
+ AWS Backup menggunakan lemari `Default` besi alih-alih. `FortKnox`
+ Siklus hidup diperpanjang baik untuk transfer backup ke penyimpanan dingin atau pun penghapusan di akhir.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-west-2",
"eu-central-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/2 ? * * *)",
"start_backup_window_minutes": "80",
"target_backup_vault_name": "Default",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
}
}
}
}
```
### Contoh 6: Menentukan sumber daya dengan blok `tag`
Contoh berikut mencakup semua sumber daya dengan `tag_key` = `“env”` dan `tag_value` = `"prod"` atau`"gamma"`. Contoh ini mengecualikan sumber daya dengan `tag_key` = `"backup"` dan `tag_value` =`"false"`.
```
...
"selections":{
"tags":{
"{{selection_name}}":{
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"tag_key":{"@@assign": "env"},
"tag_value":{"@@assign": ["prod", "gamma"]},
"conditions":{
"string_not_equals":{
"{{condition_name1}}":{
"condition_key": { "@@assign": "aws:ResourceTag/backup" },
"condition_value": { "@@assign": "false" }
}
}
}
}
}
},
...
```
### Contoh 7: Menentukan sumber daya dengan blok `sumber daya`
Berikut ini adalah contoh penggunaan `resources` blok untuk menentukan sumber daya.
------
#### [ Example: Select all resources in my account ]
Logika Boolean mirip dengan apa yang mungkin Anda gunakan dalam kebijakan IAM. `"resource_types"`Blok menggunakan Boolean `AND` untuk menggabungkan jenis sumber daya.
```
...
"resources":{
"{{resource_selection_name}}":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
}
}
},
...
```
------
#### [ Example: Select all resources in my account, but exclude Amazon EBS volumes ]
Logika Boolean mirip dengan apa yang mungkin Anda gunakan dalam kebijakan IAM. `"not_resource_types"`Blok `"resource_types"` dan menggunakan Boolean `AND` untuk menggabungkan jenis sumber daya.
```
...
"resources":{
"{{resource_selection_name}}":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true", but exclude Amazon EBS volumes ]
Logika Boolean mirip dengan apa yang mungkin Anda gunakan dalam kebijakan IAM. `"not_resource_types"`Blok `"resource_types"` dan menggunakan Boolean `AND` untuk menggabungkan jenis sumber daya. `"conditions"`Blok menggunakan Boolean`AND`.
```
...
"resources":{
"{{resource_selection_name}}":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
},
"conditions":{
"string_equals":{
"{{condition_name1}}":{
"condition_key": { "@@assign":"aws:ResourceTag/backup"},
"condition_value": { "@@assign":"true" }
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS DB instances tagged with both "backup" : "true" and "stage" : "prod" ]
Logika Boolean mirip dengan apa yang mungkin Anda gunakan dalam kebijakan IAM. `"resource_types"`Blok menggunakan Boolean `AND` untuk menggabungkan jenis sumber daya. `"conditions"`Blok menggunakan Boolean `AND` untuk menggabungkan jenis sumber daya dan kondisi tag.
```
...
"resources":{
"{{resource_selection_name}}":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"{{condition_name1}}":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
},
"{{condition_name2}}":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"prod"}
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS instances tagged with "backup" : "true" but not "stage" : "test" ]
Logika Boolean mirip dengan apa yang mungkin Anda gunakan dalam kebijakan IAM. `"resource_types"`Blok menggunakan Boolean `AND` untuk menggabungkan jenis sumber daya. `"conditions"`Blok menggunakan Boolean `AND` untuk menggabungkan jenis sumber daya dan kondisi tag.
```
...
"resources":{
"{{resource_selection_name}}":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"{{condition_name1}}":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
},
"string_not_equals":{
"{{condition_name2}}":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"test"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "key1" and a value which begins with "include" but not with "key2" and value that contains the word "exclude" ]
Logika Boolean mirip dengan apa yang mungkin Anda gunakan dalam kebijakan IAM. `"resource_types"`Blok menggunakan Boolean `AND` untuk menggabungkan jenis sumber daya. `"conditions"`Blok menggunakan Boolean `AND` untuk menggabungkan jenis sumber daya dan kondisi tag.
Dalam contoh ini, perhatikan penggunaan karakter wildcard `(*)` di`include*`,`*exclude*`, dan`arn:aws:rds:*:*:db:*`. Anda dapat menggunakan karakter wildcard `(*)` di awal, akhir, dan tengah string.
```
...
"resources":{
"{{resource_selection_name}}":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"conditions":{
"string_like":{
"{{condition_name1}}":{
"condition_key":{"@@assign":"aws:ResourceTag/key1"},
"condition_value":{"@@assign":"include*"}
}
},
"string_not_like":{
"{{condition_name2}}":{
"condition_key":{"@@assign":"aws:ResourceTag/key2"},
"condition_value":{"@@assign":"*exclude*"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true" except Amazon FSx file systems and Amazon RDS resources ]
Logika Boolean mirip dengan apa yang mungkin Anda gunakan dalam kebijakan IAM. `"not_resource_types"`Blok `"resource_types"` dan menggunakan Boolean `AND` untuk menggabungkan jenis sumber daya. `"conditions"`Blok menggunakan Boolean `AND` untuk menggabungkan jenis sumber daya dan kondisi tag.
```
...
"resources":{
"{{resource_selection_name}}":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign":[
"arn:aws:fsx:*:*:file-system/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"{{condition_name1}}":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
}
}
}
},
...
```
------
### Contoh 8: Paket Backup dengan pemindaian Amazon GuardDuty Malware Protection
Contoh berikut menunjukkan kebijakan cadangan yang memungkinkan pemindaian Amazon GuardDuty Malware Protection pada titik pemulihan cadangan. Kebijakan ini digunakan `scan_actions` dalam aturan untuk mengaktifkan pemindaian dan `scan_settings` pada tingkat paket untuk mengonfigurasi pemindai.
Untuk menggunakan fitur ini, Anda harus memiliki izin peran IAM yang sesuai. Untuk informasi selengkapnya, lihat [Akses](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access) di *Panduan AWS Backup Pengembang*.
```
{
"plans": {
"Malware_Scan_Backup_Plan": {
"regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"rules": {
"Daily_With_Incremental_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "35"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
},
"Monthly_With_Full_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 1 * ? *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "365"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "FULL_SCAN"
}
}
}
}
},
"selections": {
"tags": {
"scan_selection": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyBackupRole"
},
"tag_key": {
"@@assign": "backup"
},
"tag_value": {
"@@assign": [
"true"
]
}
}
}
},
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": [
"EBS"
]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
}
}
}
```
Poin kunci dalam contoh ini adalah:
+ `scan_actions`ditentukan di dalam setiap aturan. Nama pemindai `GUARDDUTY` digunakan sebagai kunci. Aturan harian menggunakan `INCREMENTAL_SCAN` dan aturan bulanan digunakan`FULL_SCAN`.
+ `scan_settings`ditentukan pada tingkat rencana (bukan di dalam aturan). Ini mengkonfigurasi peran pemindai dan jenis sumber daya untuk memindai.
+ `scanner_role_arn`Harus merujuk peran IAM dengan kebijakan `AWSBackupGuardDutyRolePolicyForScans` terkelola yang dilampirkan dan kebijakan kepercayaan yang memungkinkan kepala `malware-protection.guardduty.amazonaws.com` layanan untuk mengambil peran tersebut.