As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criar um plano de backup
Você pode criar um plano de backup usando o AWS Backup console, a API, a CLI, o SDK ou um modelo. AWS CloudFormation
**Topics**
+ [Crie planos de backup usando o AWS Backup console](#create-backup-plan-console)
+ [Crie planos de backup usando o AWS CLI](#create-backup-plan-cli)
+ [Opções de planos e configuração de backup](plan-options-and-configuration.md)
+ [CloudFormation modelos para planos de backup](plan-cfn.md)
+ [Excluir um plano de backup](deleting-a-backup-plan.md)
+ [Atualizar um plano de backup](updating-a-backup-plan.md)
## Crie planos de backup usando o AWS Backup console
Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup) No painel, escolha **Gerenciar planos de backup**. Ou, usando o painel de navegação, escolha **Planos de backup** e **Criar plano de backup**.
**Opções de início**
Você tem três opções para um novo plano de backup:
+ Criar um plano backup com base em um existente
+ Criar um novo plano
+ [Crie um plano de backup usando o AWS CLI](#create-backup-plan-cli)
Neste procedimento, construímos um plano novo. Cada parte da configuração tem um link para uma seção expandida mais adiante na página, à qual você pode navegar para obter mais detalhes.
1. Insira o nome do plano em **[Nome do plano de backup](plan-options-and-configuration.md#plan-name)**. Não é possível alterar o nome de um usuário após sua criação.
Se tentar criar um plano de backup idêntico a um plano existente, você receberá um erro `AlreadyExistsException`.
1. Se preferir, você pode adicionar etiquetas ao plano de backup.
1. **Configuração da regra de backup:** na seção de configuração da regra de backup, você definirá a programação, a janela e o ciclo de vida do backup.
1. **Programação:**
1. Insira um **Nome da regra de backup** no campo de texto.
1. No menu suspenso do cofre de backup, escolha **Padrão** ou **Criar novo cofre de backup** para criar um cofre.
1. No menu suspenso da frequência de backup, escolha com que frequência você deseja que esse plano crie um backup.
1. **Janela de backup:**
1. A **Hora de início** é padronizada como 12h30 (00:30 em horário de 24 horas) no fuso horário local do seu sistema.
1. **Iniciar dentro de** é padronizado como 8 horas. Você pode alterar essa opção para especificar uma janela de tempo para o início do backup.
1. **Concluir dentro de** é padronizado como 7 dias. Certifique-se de que haja tempo suficiente para que o backup seja concluído, mesmo que o trabalho comece no final da janela inicial.
1. **[Backups e point-in-time recuperação contínuos (PITR)](point-in-time-recovery.md):** Você pode selecionar **Habilitar backups contínuos para point-in-time recuperação (PITR).** Para verificar quais recursos são compatíveis com esse tipo de backup, consulte a matriz de [Disponibilidade de recursos por recurso](backup-feature-availability.md#features-by-resource).
1. **Ciclo de vida**
1. **Armazenamento frio:** marque essa caixa para permitir que os tipos de recurso elegíveis façam a transição para o armazenamento frio de acordo com o cronograma especificado no período total de retenção. Para usar o armazenamento frio, você deve ter um período total de retenção de 90 dias ou mais. No entanto, observe o seguinte. Alguns serviços oferecem suporte a backups incrementais. Para backups incrementais, você deve ter pelo menos um backup completo a quente. AWS Backup recomenda que você defina suas configurações de ciclo de vida para não mover seu backup para o armazenamento refrigerado até pelo menos 8 dias. Se o backup completo for transferido para o armazenamento frio muito cedo (por exemplo, uma transição para o armazenamento frio após 1 dia), o AWS Backup criará outro backup completo quente.
1. O **Armazenamento frio para Amazon EBS** é o [Arquivo de Snapshots do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-archive.html). Os snapshots transferidos para o nível de armazenamento de arquivo serão exibidos no console como nível frio. Se o armazenamento frio estiver habilitado e se a frequência de backup for mensal ou inferior, você poderá fazer com que o plano de backup faça a transição dos snapshots do EBS.
1. O **Período total de retenção** é o número de dias em que você armazena o recurso no AWS Backup. É o número total de dias de armazenamento quente e armazenamento frio.
1. (*Opcional*) Você pode optar por criar um índice de backup com cada backup periódico de um tipo de recurso compatível (backups contínuos terão índices diários criados). Somente pontos de recuperação (backups) que tenham um índice associado podem ser incluídos em uma [pesquisa de backup](backup-search.md).
Por exemplo, toda vez que o plano de backup cria um backup do S3, você também pode criar um índice de backup para esse backup. Isso permitirá que esse backup específico seja incluído em uma pesquisa futura.
Coloque uma marca de seleção ao lado dos tipos de recursos para os quais você deseja criar índices.
1. (*Opcional*) Ative a verificação de malware para verificar automaticamente os backups depois que eles forem criados. Ao configurar a proteção contra malware, especifique quais tipos de recursos devem ser verificados (Amazon EC2, Amazon EBS, Amazon S3 ou todos os recursos compatíveis) e os tipos de escaneamento (completo ou incremental). A verificação de malware se aplica somente aos tipos de recursos selecionados. Por exemplo, se seu plano de backup incluir recursos do Amazon S3 e do Amazon EC2, mas você habilitar a verificação de malware somente para o Amazon EC2, o serviço examinará somente seus backups do EC2. Para cada regra de backup, você pode configurar qual tipo de escaneamento usar. A programação da regra de backup determinará a frequência com que o tipo de escaneamento ocorre.
**Importante**
Antes de ativar a proteção contra malware, certifique-se de que sua função de backup e de scanner tenham as permissões necessárias. Para obter mais informações, consulte [a documentação de permissões](https://docs.aws.amazon.com/aws-backup/latest/devguide/malware-protection.html#malware-access).
1. (*Opcional*) Use **Copiar para o destino** para criar uma cópia entre regiões dos recursos elegíveis se quiser armazenar uma cópia de um backup em outra Região da AWS.
1. (*Opcional*) Etiquetas adicionadas a pontos de recuperação.
1. Quando todas as seções estiverem definidas de acordo com as suas especificações, escolha **Salvar regra de backup**.
## Crie planos de backup usando o AWS CLI
Você também pode definir seu plano de backup em um documento JSON e fornecê-lo usando o console do AWS Backup ou a AWS CLI. O documento JSON a seguir contém um exemplo de plano de backup que cria um backup diário à 1h, horário do Pacífico (o horário local se ajusta às condições de horário do dia, padrão ou horário de verão do fuso horário, se aplicável). Ele exclui automaticamente um backup após um ano.
```
{
"BackupPlan":{
"BackupPlanName":"test-plan",
"Rules":[
{
"RuleName":"test-rule",
"TargetBackupVaultName":"test-vault",
"ScheduleExpression":"cron(0 1 ? * * *)",
"ScheduleExpressionTimezone":"America/Los_Angeles",
"StartWindowMinutes":integer, // Value is in minutes
"CompletionWindowMinutes":integer, // Value is in minutes
"IndexActions": [
{
"ResourceTypes": [ "string" ]
}
],
"Lifecycle":{
"DeleteAfterDays":integer, // Value is in days
}
}
]
}
}
```
É possível armazenar o documento JSON com o nome de sua escolha. O comando da CLI a seguir mostra [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) com um JSON chamado `test-backup-plan.json`:
```
aws backup create-backup-plan --cli-input-json file://PATH-TO-FILE/test-backup-plan.json
```
Observe que, embora alguns sistemas numerem os dias da semana de 0 a 6, nós os numeramos de 1 a 7. Consulte mais informações em [Expressões cron e rate](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html). Para obter mais informações sobre fusos horários, consulte [TimeZone](https://docs.aws.amazon.com/location/latest/APIReference/API_TimeZone.html)a *referência da API Amazon Location Service*.
# Opções de planos e configuração de backup
Ao definir um plano de backup no AWS Backup console, você configura as seguintes opções:
## Nome do plano de backup
Você deve fornecer um nome para o plano de backup. Os nomes devem ter até 50 caracteres, incluindo caracteres alfanuméricos, traços, sublinhados e pontos.
## Regras de backup
Os planos de backup contêm uma ou mais regras de backup. Como adicionar regras de backup a um plano de backup ou editar regras existentes em um plano de backup:
1. No AWS Backup console, no painel de navegação esquerdo, escolha **Planos de backup**.
1. Em **Nome do plano de backup**, selecione um plano de backup.
1. Na seção **Regras de backup**:
+ Para adicionar uma regra de backup, escolha **Adicionar regra de backup**.
+ Para editar uma regra de backup existente, selecione a regra e **Editar regra**.
**nota**
Se você tem um plano de backup com várias regras e os prazos das duas regras se sobrepõem, AWS Backup otimiza o backup e faz um backup da regra com maior tempo de retenção. A otimização leva em consideração a janela inicial completa, não apenas quando o backup diário é feito.
Cada regra de backup consiste nos elementos a seguir.
### Nome da regra de backup
Os nomes das regras de backup fazem distinção de maiúsculas de minúsculas. Devem conter de 1 a 50 caracteres alfanuméricos ou hífens.
### Frequência de Backup
A frequência do backup determina a frequência com que um backup instantâneo é AWS Backup criado. Usando o console, é possível escolher uma frequência de a cada hora, a cada 12 horas, diária, semanal ou mensal. Também é possível criar uma expressão cron que crie backups de snapshot com a frequência de a cada hora. Usando a AWS Backup CLI, você pode programar backups de instantâneos com a mesma frequência de hora em hora.
Ao selecionar a frequência semanal, você pode especificar os dias da semana em que deseja que os backups sejam feitos. Ao selecionar a frequência mensal, você pode escolher um determinado dia do mês.
Você também pode marcar a caixa de seleção **Habilitar backups contínuos para recursos suportados** para criar uma regra de backup contínuo habilitada para point-in-time restauração (PITR). Diferentemente dos backups instantâneos, os backups contínuos permitem que você realize a point-in-time restauração. Para saber mais sobre backups contínuos, consulte [Point-in-Time Recuperação](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html).
### Janela de backup
As janelas de backup consistem na hora em que a janela de backup começa e na duração da janela em horas. Os trabalhos de backup são iniciados nessa janela. As configurações padrão no console são:
+ **12h30** local do fuso horário do seu sistema (0h30 em sistemas de 24 horas)
+ **Começar em** 8 horas
+ **Concluir em** 7 dias
(**preenchido dentro do** parâmetro não se aplica aos FSx recursos da Amazon)
É possível personalizar a frequência de backups e o horário de início da janela de backup usando uma expressão cron. Para ver os seis campos das expressões AWS cron, consulte [Cron e expressões de taxa no Guia EventBridge ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html) *do usuário da Amazon*. Dois exemplos de expressões AWS cron são `15 * ? * * *` (faça um backup a cada hora, 15 minutos após a hora) e `0 12 * * ? *` (faça um backup todos os dias às 12h UTC). Para ver uma tabela de exemplos, clique no link anterior e role a página para baixo.
AWS Backup avalia expressões cron entre 00:00 e 23:59. Se você criar uma regra de backup “a cada 12 horas”, mas fornecer um horário de início posterior às 11:59, ela será executada somente uma vez por dia.
Planos de backup em um fuso horário que adota o horário de verão podem ser afetados pela mudança de horário. Você pode mudar para UTC ou criar um backup manual no dia em que o horário for adiantado. Para obter mais informações, consulte [Horário de verão no EventBridge Scheduler.](https://docs.aws.amazon.com/scheduler/latest/UserGuide/schedule-types.html#daylist-savings-time)
Os backups e point-in-time restaurações contínuos (PITR) fazem referência às alterações registradas em um período de tempo; portanto, eles não podem ser programados com uma expressão de hora ou cron.
Em geral, os serviços AWS de banco de dados não podem iniciar os backups 1 hora antes ou durante a janela de manutenção e a Amazon FSx não pode iniciar os backups 4 horas antes ou durante a janela de manutenção ou janela de backup automático (o Amazon Aurora está isento dessa restrição da janela de manutenção). haverá falha nos backups de snapshot programados durante esses horários. Uma exceção ocorre quando você opta por usar o AWS Backup para backups de snapshot e backups contínuos de um serviço compatível. O AWS Backup programará janelas de backup automaticamente para evitar conflitos. Consulte [Point-in-Time Recuperação](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html) para obter uma lista dos serviços suportados e instruções sobre como usar AWS Backup para fazer backups contínuos.
### Regras de backup sobrepostas
Ocasionalmente, um plano de backup pode conter várias regras sobrepostas. Quando as janelas iniciais de regras diferentes se sobrepõem, AWS Backup retém o backup de acordo com a regra com o período de retenção mais longo. Por exemplo, considere um plano de backup com duas regras:
1. Fazer backup a cada hora, com uma janela de início de uma hora, e reter por um dia.
1. Fazer backup a cada 12 horas, com uma janela de início de oito horas, e reter por uma semana.
Depois de 24 horas, a segunda regra cria dois backups (porque tem um período de retenção mais longo). A primeira regra cria oito backups (porque a janela de início de oito horas da segunda regra impediu a execução de mais backups por hora). Especificamente:
| Durante esta janela de início | Esta regra cria um backup |
| --- | --- |
| Meia-noite às 8h | 12 horas |
| de 8 às 9 | Por hora |
| de 9 às 10 | Por hora |
| de 10 às 11 | Por hora |
| de 11 ao meio-dia | Por hora |
| Do meio-dia às 20h | 12 horas |
| de 8 às 9 | Por hora |
| de 9 às 10 | Por hora |
| de 10 às 11 | Por hora |
| de 11 à meia-noite | Por hora |
Durante a janela inicial, o status da tarefa de backup permanece no status `CREATED` até que seja iniciado com sucesso ou até que o tempo da janela de início se esgote. Se, dentro da janela inicial, o horário AWS Backup receber um erro que permita que o trabalho seja repetido, AWS Backup tentará iniciá-lo automaticamente pelo menos a cada 10 minutos até que o backup seja iniciado com sucesso (o status do trabalho mude para`RUNNING`) ou até que o status do trabalho mude para `EXPIRED` (o que se espera que ocorra quando o tempo da janela inicial terminar).
### Ciclo de vida e níveis de armazenamento
Os backups são armazenados pelo número de dias que você especificar, o que é conhecido como *ciclo de vida* do backup. Os backups podem ser restaurados até o final de seu ciclo de vida.
Isso é definido como o **período total de retenção** na seção do ciclo de vida da configuração da regra de backup no AWS Backup console.
Se você usa AWS CLI, isso é definido usando o parâmetro [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html). O período de retenção para snapshots pode variar entre um dia e 100 anos (ou indefinidamente se você não inserir um valor), enquanto o período de retenção para backups contínuos pode variar de um dia a 35 dias. A data de criação de um backup é a data em que o trabalho de backup começou, não a data em que foi concluído. Se seu trabalho de backup não for concluído na mesma data em que começou, use a data em que ele começou para ajudar a calcular os períodos de retenção.
Os backups são mantidos em um nível de armazenamento. Cada nível tem um custo diferente de armazenamento e restauração, conforme descrito nos [Preços do AWS Backup](https://aws.amazon.com/backup/pricing/). Cada backup é criado e armazenado em um armazenamento quente. Dependendo do tempo que você decidir armazenar o backup, talvez queira fazer a transição do backup para um nível de menor custo chamado armazenamento frio. O [Disponibilidade de recursos por recurso](backup-feature-availability.md#features-by-resource) exibe quais recursos têm essa opção.
------
#### [ Console ]
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Crie ou edite um plano de backup.
1. Na seção do ciclo de vida da configuração da regra de backup, marque a caixa **Mova os backups do armazenamento quente para o armazenamento frio**.
1. (*Opcional*) Se o Amazon EBS for um dos recursos que você faz backup e a frequência de backup for mensal ou inferior, você poderá transferi-los para o nível frio usando o arquivamento de snapshots do EBS.
1. Insira um valor (em dias) em que você deseja que seus backups permaneçam em um armazenamento aquecido. AWS Backup recomenda pelo menos 8 dias.
1. Insira um valor (em dias) para o período total de retenção. A diferença entre o período total de retenção e o tempo em armazenamento quente será a quantidade de dias em que os backups permanecerão no armazenamento frio.
------
#### [ AWS CLI ]
1. Use [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) ou [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html).
1.
1. Inclua o parâmetro booleano [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html) para recursos do EBS.
1. Inclua o parâmetro [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_Lifecycle.html).
1. Use o parâmetro `DeleteAfterDays`. Esse valor deve ser 90 (dias) mais o valor que você inseriu para `MoveToColdStorageAfterDays`.
------
No momento, o armazenamento frio está disponível para os seguintes tipos de recurso:
| Tipo de atributo | Backup incremental ou completo em armazenamento frio |
| --- | --- |
| AWS CloudFormation | Incremental |
| DynamoDB com recursos avançados do | Completo; sem backups incrementais em nenhum nível |
| Amazon EBS (usando o Arquivo de Snapshots do EBS) | Completo; os backups incrementais se tornarão completos após a transição |
| Amazon EFS | Incremental |
| Bancos de dados SAP HANA em instâncias do Amazon EC2 | Incremental |
| Amazon Timestream | Incremental |
| VMware máquinas virtuais | Incremental |
Depois de habilitar a transição para o armazenamento frio por meio do console ou da linha de comandos, as seguintes condições serão verdadeiras para backups em armazenamento frio (ou arquivamento):
+ Os backups transferidos devem ser armazenados em armazenamento frio por no mínimo 90 dias, além do tempo em armazenamento quente. AWS Backup exige que a retenção seja definida por 90 dias a mais do que a configuração de “transição para o frio após dias”. Não é possível alterar a configuração do "número de dias para transição para armazenamento frio'" depois que a transição para "frio" foi habilitada.
+ Alguns serviços oferecem suporte a backups incrementais. Para backups incrementais, você deve ter pelo menos um backup completo a quente. AWS Backup recomenda que você defina suas configurações de ciclo de vida para não mover seu backup para o armazenamento refrigerado até pelo menos 8 dias. Se o backup completo for transferido para o armazenamento frio muito cedo (por exemplo, uma transição para o armazenamento frio após 1 dia), AWS Backup criará outro backup completo a quente.
+ Para tipos de recursos que oferecem suporte a backups incrementais, AWS Backup faz a transição dos dados do armazenamento quente para o armazenamento frio se os dados da transição não forem mais referenciados pelos backups quentes. Os dados em backups retidos em armazenamento frio que são referenciados somente por outros backups frios são cobrados de acordo com os preços do nível de armazenamento frio. Outros backups continuam com preços do nível de armazenamento quente.
### Cofre de backup
Um cofre de backup é um contêiner no qual os backups são organizados. Os backups criados por uma regra de backup são organizados no cofre de backup que você especifica na regra de backup. Você pode usar cofres de backup para definir a chave de criptografia AWS Key Management Service (AWS KMS) usada para criptografar backups no cofre de backup e controlar o acesso aos backups no cofre de backup. Também é possível adicionar tags a cofres de backup para ajudar a organizá-los. Se não quiser usar o cofre padrão, você poderá criar o seu próprio cofre. Para step-by-step obter instruções sobre como criar um cofre de backup, consulte[Criação e exclusão de um cofre de backup](create-a-vault.md).
### Copiar em regiões
Como parte do seu plano de backup, você pode, opcionalmente, criar uma cópia de backup no mesmo ou em outro Região da AWS. Essas cópias podem ser feitas na mesma conta ou em outra conta. Para obter mais informações sobre cópias de backup, consulte [Criar cópias de backup em Regiões da AWS](https://docs.aws.amazon.com/aws-backup/latest/devguide/cross-region-backup.html).
Ao definir uma cópia de backup, você configura as seguintes opções:
#### Região de destino
A região de destino da cópia de backup.
#### (Configurações avançadas) Cofre de backup
O cofre de backup de destino da cópia.
#### (Configurações avançadas) Perfil do IAM
A função do IAM AWS Backup usada ao criar a cópia. A função também deve estar AWS Backup listada como uma entidade confiável, o que AWS Backup permite assumir a função. Se você escolher **Padrão** e a função AWS Backup padrão não estiver presente na sua conta, uma função será criada para você com as permissões corretas.
#### (Configurações avançadas) Ciclo de vida
Especifica quando fazer a transição da cópia de backup para armazenamento estático e quando expirar (excluir) a cópia. Os backups transferidos para o armazenamento refrigerado devem ser armazenados em armazenamento refrigerado por no mínimo 90 dias. Você não poderá alterar esse valor depois que a transição da cópia for feita para o armazenamento estático.
**Expirar** especifica o número de dias em que a cópia é excluída depois de sua criação. O número de dias deve ser superior a 90 dias além do valor da **Transição para armazenamento estático**.
Se o valor de [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CopyAction.html#Backup-Type-CopyAction-Lifecycle](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CopyAction.html#Backup-Type-CopyAction-Lifecycle) (mostrado como **Expirar** no console) não for especificado nas configurações da cópia, ela seguirá as configurações do ciclo de vida do backup do qual foi copiada.
### Tags adicionadas a pontos de recuperação
As tags que você listar aqui serão automaticamente adicionadas aos backups quando eles forem criados.
## Tags adicionadas aos planos de backup
Essas tags são associadas ao plano de backup em si, para ajudar você a organizar e acompanhar o plano de backup.
## Configurações avançadas de backup
As configurações avançadas de backup permitem que você configure opções de backup específicas de recursos para diferentes serviços. AWS
### Configurações de backup avançadas do Amazon EC2
Habilita backups consistentes de aplicações de terceiros que estão em execução em instâncias do Amazon EC2. Atualmente, AWS Backup oferece suporte a backups do Windows VSS. AWS Backup exclui tipos específicos de instância do Amazon EC2 dos backups do Windows VSS. Para obter mais informações, consulte [Criar backups do VSS do Windows](windows-backups.md).
### Configurações de backup avançadas do Amazon S3
AWS Backup fornece configurações avançadas para controlar quais metadados estão incluídos nos seus backups do Amazon S3. Opcionalmente, você pode excluir listas de controle de acesso (ACLs) e tags de objetos de seus backups, o que se alinha às melhores práticas do Amazon S3 de usar permissões em nível de bucket em vez de em nível de objeto. ACLs
Para obter informações detalhadas sobre a configuração das opções ACLs de backup e tags de objetos do Amazon S3, consulte. [Configurações avançadas de backup do Amazon S3](s3-backups.md#s3-advanced-backup-settings)
**Importante**
Quando você exclui ACLs dos backups, os objetos restaurados sem ACLs eles usarão as configurações de propriedade padrão do bucket de destino. O bucket de destino deve ter uma configuração de propriedade de objeto adequada.
**nota**
Quando um trabalho de backup contínuo está em execução para um bucket do Amazon S3 e você inicia um trabalho de backup de snapshot, o snapshot usará as mesmas configurações de ACL e tag de objeto do backup contínuo, independentemente das configurações especificadas para o trabalho de snapshot.
## Análise de malware
AWS Backup se integra GuardDuty à Amazon para fornecer uma verificação automatizada de malware de seus pontos de recuperação. Quando você ativa a verificação de malware em seu plano de backup, verifica AWS Backup automaticamente se há malware em seus backups e fornece os resultados da verificação para ajudá-lo a tomar decisões informadas sobre a restauração de seus dados.
Para configurar a verificação de malware para seu plano de backup:
1. Crie uma função do IAM que `malware-protection.guardduty.amazonaws.com` confie e anexe à política AWS `AWSBackupGuardDutyRolePolicyForScans` gerenciada.
1. Anexe a política AWS gerenciada `AWSBackupServiceRolePolicyForScans` à função do IAM da sua seleção de backup.
1. Na configuração do seu plano de backup, adicione configurações de escaneamento que especifiquem:
+ O serviço de digitalização (GuardDuty)
+ Os tipos de recursos a serem escaneados (Amazon EC2, Amazon EBS, Amazon S3)
+ A função ARN do IAM a ser assumida GuardDuty
1. Configure as ações de escaneamento em suas regras de backup para especificar:
+ O serviço de digitalização (GuardDuty)
+ O tipo de varredura (varredura incremental ou completa)
Para obter mais informações sobre as políticas gerenciadas, consulte [AWSBackupGuardDutyRolePolicyForScans](security-iam-awsmanpol.md#AWSBackupGuardDutyRolePolicyForScans) [AWSBackupServiceRolePolicyForScans](security-iam-awsmanpol.md#AWSBackupServiceRolePolicyForScans) e.
# CloudFormation modelos para planos de backup
Nós fornecemos três CloudFormation modelos de amostra para sua referência. O primeiro modelo cria um plano de backup simples. O segundo modelo permite backups do VSS em um plano de backup. O terceiro modelo permite a verificação do Amazon GuardDuty Malware Protection em um plano de backup.
**nota**
Se você estiver usando a função de serviço padrão, *service-role* substitua por`AWSBackupServiceRolePolicyForBackup`.
```
Description: backup plan template to back up all resources daily at 5am UTC, and tag all recovery points with backup:daily.
Resources:
KMSKey:
Type: AWS::KMS::Key
Properties:
Description: "Encryption key for daily"
EnableKeyRotation: True
Enabled: True
KeyPolicy:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
"AWS": { "Fn::Sub": "arn:${AWS::Partition}:iam::${AWS::AccountId}:root" }
Action:
- kms:*
Resource: "*"
BackupVaultWithDailyBackups:
Type: "AWS::Backup::BackupVault"
Properties:
BackupVaultName: "BackupVaultWithDailyBackups"
EncryptionKeyArn: !GetAtt KMSKey.Arn
BackupPlanWithDailyBackups:
Type: "AWS::Backup::BackupPlan"
Properties:
BackupPlan:
BackupPlanName: "BackupPlanWithDailyBackups"
BackupPlanRule:
- RuleName: "RuleForDailyBackups"
TargetBackupVault: !Ref BackupVaultWithDailyBackups
ScheduleExpression: "cron(0 5 ? * * *)"
DependsOn: BackupVaultWithDailyBackups
DDBTableWithDailyBackupTag:
Type: "AWS::DynamoDB::Table"
Properties:
TableName: "TestTable"
AttributeDefinitions:
- AttributeName: "Album"
AttributeType: "S"
KeySchema:
- AttributeName: "Album"
KeyType: "HASH"
ProvisionedThroughput:
ReadCapacityUnits: "5"
WriteCapacityUnits: "5"
Tags:
- Key: "backup"
Value: "daily"
BackupRole:
Type: "AWS::IAM::Role"
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
Service:
- "backup.amazonaws.com"
Action:
- "sts:AssumeRole"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/service-role/service-role"
TagBasedBackupSelection:
Type: "AWS::Backup::BackupSelection"
Properties:
BackupSelection:
SelectionName: "TagBasedBackupSelection"
IamRoleArn: !GetAtt BackupRole.Arn
ListOfTags:
- ConditionType: "STRINGEQUALS"
ConditionKey: "backup"
ConditionValue: "daily"
BackupPlanId: !Ref BackupPlanWithDailyBackups
DependsOn: BackupPlanWithDailyBackups
```
```
Description: backup plan template to enable Windows VSS and add backup rule to take backup of assigned resources daily at 5am UTC.
Resources:
KMSKey:
Type: AWS::KMS::Key
Properties:
Description: "Encryption key for daily"
EnableKeyRotation: True
Enabled: True
KeyPolicy:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
"AWS": { "Fn::Sub": "arn:${AWS::Partition}:iam::${AWS::AccountId}:root" }
Action:
- kms:*
Resource: "*"
BackupVaultWithDailyBackups:
Type: "AWS::Backup::BackupVault"
Properties:
BackupVaultName: "BackupVaultWithDailyBackups"
EncryptionKeyArn: !GetAtt KMSKey.Arn
BackupPlanWithDailyBackups:
Type: "AWS::Backup::BackupPlan"
Properties:
BackupPlan:
BackupPlanName: "BackupPlanWithDailyBackups"
AdvancedBackupSettings:
- ResourceType: EC2
BackupOptions:
WindowsVSS: enabled
BackupPlanRule:
- RuleName: "RuleForDailyBackups"
TargetBackupVault: !Ref BackupVaultWithDailyBackups
ScheduleExpression: "cron(0 5 ? * * *)"
DependsOn: BackupVaultWithDailyBackups
```
```
Description: Backup plan template with Amazon GuardDuty Malware Protection scanning enabled.
Resources:
BackupVault:
Type: "AWS::Backup::BackupVault"
Properties:
BackupVaultName: "MalwareScanBackupVault"
BackupPlanWithMalwareScanning:
Type: "AWS::Backup::BackupPlan"
Properties:
BackupPlan:
BackupPlanName: "BackupPlanWithMalwareScanning"
BackupPlanRule:
- RuleName: "DailyBackupWithIncrementalScan"
TargetBackupVault: !Ref BackupVault
ScheduleExpression: "cron(0 5 ? * * *)"
Lifecycle:
DeleteAfterDays: 35
ScanActions:
- MalwareScanner: GUARDDUTY
ScanMode: INCREMENTAL_SCAN
- RuleName: "MonthlyBackupWithFullScan"
TargetBackupVault: !Ref BackupVault
ScheduleExpression: "cron(0 5 1 * ? *)"
Lifecycle:
DeleteAfterDays: 365
ScanActions:
- MalwareScanner: GUARDDUTY
ScanMode: FULL_SCAN
ScanSettings:
- MalwareScanner: GUARDDUTY
ResourceTypes:
- EBS
ScannerRoleArn: !GetAtt ScannerRole.Arn
DependsOn: BackupVault
ScannerRole:
Type: "AWS::IAM::Role"
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
Service:
- "malware-protection.guardduty.amazonaws.com"
Action:
- "sts:AssumeRole"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/AWSBackupGuardDutyRolePolicyForScans"
BackupRole:
Type: "AWS::IAM::Role"
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
Service:
- "backup.amazonaws.com"
Action:
- "sts:AssumeRole"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/service-role/service-role"
- "arn:aws:iam::aws:policy/AWSBackupServiceRolePolicyForScans"
TagBasedBackupSelection:
Type: "AWS::Backup::BackupSelection"
Properties:
BackupSelection:
SelectionName: "MalwareScanSelection"
IamRoleArn: !GetAtt BackupRole.Arn
ListOfTags:
- ConditionType: "STRINGEQUALS"
ConditionKey: "backup"
ConditionValue: "true"
BackupPlanId: !Ref BackupPlanWithMalwareScanning
DependsOn: BackupPlanWithMalwareScanning
```
# Excluir um plano de backup
Você pode excluir um plano de backup somente depois que todas as seleções de recursos associadas forem excluídas. Essas seleções também são conhecidas como *atribuições de recursos*. Se eles não tiverem sido excluídos antes da exclusão do plano de backup, o console exibirá o erro: "As seleções relacionadas do plano de backup devem ser excluídas antes da exclusão do plano de backup". Use o console ou [https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupSelection.html](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_DeleteBackupSelection.html).
A exclusão de um plano de backup exclui a versão atual do plano. As versões atuais e anteriores, se houver, ainda existem, mas elas não estão mais listadas no console em **Planos de backup**.
**nota**
Quando um plano de backup é excluído, os backups existentes não são excluídos. Para remover os backups existentes, exclua-os do cofre de backup usando as etapas em [Excluir backups](https://docs.aws.amazon.com/aws-backup/latest/devguide/deleting-backups.html).
**Para excluir um plano de backup usando o AWS Backup console**
1. Faça login no Console de gerenciamento da AWS e abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação no lado esquerdo, selecione **Planos de backup**.
1. Selecione seu plano de backup na lista.
1. Selecione todas as atribuições de recursos associadas ao plano de backup.
1. Escolha **Excluir**.
# Atualizar um plano de backup
Depois de criar um plano de backup, você pode editar o plano, por exemplo, você pode adicionar tags ou pode adicionar, editar ou excluir regras de backup. Qualquer alteração feita em um plano de backup não têm efeito sobre os backups existentes criados pelo plano de backup. As alterações se aplicam apenas a backups criados posteriormente.
Por exemplo, depois que você atualizar o período de retenção em uma regra de backup, o período de retenção de backups criados antes da atualização permanece o mesmo. Todos os backups já criados por essa regra e os próximos refletem o período de retenção.
Não é possível alterar o nome de um usuário após sua criação.
**Para editar um plano de backup usando o AWS Backup console**
1. Abra o AWS Backup console em [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. No painel de navegação, selecione **Planos de backup**.
1. No segundo painel, **Planos de backup**, os planos anteriores existentes são exibidos. Selecione o link sublinhado na coluna **Nome do plano de backup** para ver detalhes do plano de backup escolhido.
1. Você pode editar uma regra de backup, visualizar atribuições de recursos, visualizar trabalhos de backup, gerenciar tags ou alterar as configurações de VSS do Windows.
1. Para atualizar uma regra de backup, selecione o nome da regra de backup.
Selecione **Gerenciar tags** para adicionar ou excluir tags.
Selecione **Editar** ao lado de **Configurações avançadas de backup** para ativar ou desativar o VSS do Windows.
1. Altere as configurações de sua preferência e selecione **Salvar**.