View a markdown version of this page

Policy di accesso dei vault - AWS Backup
Negare l'accesso a un tipo di risorsa in un vault di backupNegare l'accesso a un vault di backupNegare l'accesso all'eliminazione dei punti di ripristino in un vault di backup

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy di accesso dei vault

Con AWS Backup, è possibile assegnare politiche agli archivi di backup e alle risorse che contengono. L'assegnazione di policy permette di eseguire operazioni come concedere l'accesso agli utenti per creare piani di backup e backup on demand, ma limita la possibilità di eliminare i punti di ripristino dopo la creazione.

Per informazioni sull'utilizzo delle policy per concedere o limitare l'accesso alle risorse, consulta Identity-Based Policies and Resource-Based Policies nella IAM User Guide. Puoi controllare l'accesso anche utilizzando i tag.

Puoi utilizzare le seguenti politiche di esempio come guida per limitare l'accesso alle risorse quando lavori con i AWS Backup vault. A differenza IAM-based di altre politiche, le politiche di AWS Backup accesso non supportano l'uso di caratteri jolly nella Action chiave.

Per un elenco di Amazon Resource Name (ARN) che è possibile utilizzare per identificare i punti di ripristino per diversi tipi di risorse, consulta AWS Backup ARN di risorse per gli ARN dei punti di ripristino specifici delle risorse.

Le policy di accesso di Vault controllano solo l'accesso degli utenti alle AWS Backup API. Utilizzando le API di tali servizi è inoltre possibile accedere ad alcuni tipi di backup, ad esempio gli snapshot Amazon Elastic Block Store (Amazon EBS) e Amazon Relational Database Service (Amazon RDS). In IAM è possibile creare policy di accesso separate che controllano l'accesso a queste API per offrire il controllo completo dell'accesso ai backup.

Indipendentemente dalla politica di accesso del AWS Backup vault, l'accesso tra account per qualsiasi azione diversa backup:CopyIntoBackupVault verrà rifiutato, ovvero AWS Backup rifiuterà qualsiasi altra richiesta proveniente da un account diverso dall'account della risorsa a cui si fa riferimento. Questa restrizione si applica alle politiche di accesso al vault su vault di backup standard e logicamente collegati. Gli archivi logicamente collegati supportano inoltre la condivisione tra account AWS Resource Access Manager (RAM), che consente operazioni come il ripristino tramite un meccanismo separato al di fuori delle politiche di accesso ai vault. Per ulteriori informazioni, consulta Vault logicamente isolata.

Negare l'accesso a un tipo di risorsa in un vault di backup

Questa policy nega l'accesso alle operazioni API specificate per tutte le snapshot Amazon EBS di un vault di backup.

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyRecoveryPointOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyRole"
      },
      "Action": [
        "backup:UpdateRecoveryPointLifecycle",
        "backup:DescribeRecoveryPoint",
        "backup:DeleteRecoveryPoint",
        "backup:GetRecoveryPointRestoreMetadata",
        "backup:StartRestoreJob"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:snapshot/*"
      ]
    }
  ]
}

Negare l'accesso a un vault di backup

Questa policy nega l'accesso alle operazioni API specificate eseguite su un vault di backup.

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyBackupVaultOperations",
      "Effect": "Deny",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MyRole"
      },
      "Action": [
        "backup:DescribeBackupVault",
        "backup:DeleteBackupVault",
        "backup:PutBackupVaultAccessPolicy",
        "backup:DeleteBackupVaultAccessPolicy",
        "backup:GetBackupVaultAccessPolicy",
        "backup:StartBackupJob",
        "backup:GetBackupVaultNotifications",
        "backup:PutBackupVaultNotifications",
        "backup:DeleteBackupVaultNotifications",
        "backup:ListRecoveryPointsByBackupVault"
      ],
      "Resource": "arn:aws:backup:us-east-1:123456789012:backup-vault:backup vault name"
    }
  ]
}

Negare l'accesso all'eliminazione dei punti di ripristino in un vault di backup

La possibilità di accedere ai vault e di eliminare i punti di ripristino in essi archiviati è determinata dal tipo di accesso concesso agli utenti.

Segui questi passaggi per creare una policy di accesso basata sulle risorse in un vault di backup che impedisca l'eliminazione di qualsiasi backup al suo interno.

Per creare una policy di accesso basata su risorse per un vault di backup

  1. Accedi a e apri la console all'indirizzo Console di gestione AWS. AWS Backup https://console.aws.amazon.com/backup

  2. Nel riquadro di navigazione a sinistra scegliere Vault di backup.

  3. Scegliere un vault di backup nell'elenco.

  4. Nella sezione Access policy (Policy di accesso) incollare l'esempio JSON riportato di seguito. Questa policy impedisce a chiunque non sia l'entità principale di eliminare un punto di ripristino nel vault di backup di destinazione.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "backup:DeleteRecoveryPoint",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:userId": [
                       "AIDA1234567890EXAMPLE",
                       "AROA1234567890EXAMPLE:my-role-session",
                       "AROA1234567890EXAMPLE:*",
                       "112233445566"
                    ]
                }
            }
        }
    ]
}

    Per consentire alle identità IAM elencate di utilizzare il proprio ARN, utilizzare a chiave di condizione globale aws:PrincipalArn nell'esempio seguente.

    JSON
    
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyDeleteRecoveryPoint",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "backup:DeleteRecoveryPoint",
      "Resource": "*",
      "Condition": {
        "ArnNotEquals": {
          "aws:PrincipalArn": [
            "arn:aws:iam::112233445566:role/mys3role",
            "arn:aws:iam::112233445566:user/shaheer",
            "arn:aws:iam::112233445566:root"
          ]
        }
      }
    }
  ]
}

    Per informazioni su come ottenere un ID univoco per un'entità IAM, consulta Ottenere l'identificatore univoco nella Guida per l'utente di IAM.

    Se si desidera limitare l'accesso a tipi di risorsa specifici, invece di "Resource": "*", è possibile includere esplicitamente i tipi di punti di ripristino a cui negare l'accesso. Ad esempio, per gli snapshot di Amazon EBS, modificare il tipo di risorsa nel modo seguente.

    "Resource": ["arn:aws:ec2:*:*:snapshot/*"]

  5. Scegliere Attach policy (Collega policy).