Perfis de serviço do IAM
Um perfil do AWS Identity and Access Management (IAM) é semelhante a um usuário do IAM, no sentido de ser uma identidade da AWS com políticas de permissão que determinam o que a identidade pode ou não fazer na AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Um perfil de serviço é uma função que um serviço da AWSassume para realizar ações em seu nome. Como um serviço que executa as operações de backup em seu nome, o AWS Backup exige que você atribua uma função a ele ao executar operações de backup em seu nome. Para obter mais informações sobre perfis do IAM, consulte Perfis do IAM no Guia do usuário do IAM.
O perfil que você passa para o AWS Backup deve ter uma política do IAM com as permissões que permitam que o AWS Backup realize as ações associadas às operações de backup, como criação, restauração ou expiração de backups. Diferentes permissões são necessárias para cada um dos serviços da AWS com o qual o AWS Backup é compatível. O perfil também deve ter o AWS Backup listado como uma entidade confiável, o que permitirá que o AWS Backup assuma o perfil.
Ao atribuir recursos a um plano de backup ou realizar um backup, cópia ou restauração sob demanda, você deve passar um perfil de serviço que tenha acesso para realizar as operações subjacentes nos recursos especificados. O AWS Backup usa esse perfil para criar, marcar e excluir recursos na sua conta.
Usar as funções da AWS para controlar o acesso aos backups
Você pode usar funções para controlar o acesso aos seus backups definindo funções com escopo limitado e especificando quem pode transmitir essa função ao AWS Backup. Por exemplo, é ´possível criar uma função que somente conceda permissões para fazer backup de bancos de dados do Amazon Relational Database Service (Amazon RDS) e somente conceda aos proprietários dos bancos de dados do Amazon RDS permissão para passar essa função ao AWS Backup. O AWS Backup fornece várias políticas gerenciadas predefinidas para cada um dos serviços compatíveis. Essas políticas gerenciadas podem ser anexadas a funções criadas por você. Isto facilita a criação de funções específicas de serviços que tenham as permissões corretas que o AWS Backup necessita.
Para obter mais informações sobre políticas gerenciadas da AWS para o AWS Backup, consulte Políticas gerenciadas para o AWS Backup.
Perfil de serviço padrão para o AWS Backup
Ao usar o console do AWS Backup pela primeira vez, é possível optar para que o AWS Backup crie um perfil de serviço padrão para você. Essa função tem as permissões do AWS Backup necessárias para criar e restaurar backups em seu nome.
nota
O perfil padrão é criado automaticamente quando você usa o Console de gerenciamento da AWS. É possível criar o perfil padrão usando a AWS Command Line Interface (AWS CLI), mas isso deve ser feito manualmente.
Se preferir usar perfis personalizados, como perfis separados para diferentes tipos de recursos, você também poderá fazer isso e passar os perfis personalizados para o AWS Backup. Para ver exemplos de funções que permitem o backup e a restauração para tipos de recursos individuais, consulte a tabela Políticas gerenciadas pelo cliente.
O nome do perfil de serviço padrão é AWSBackupDefaultServiceRole. Este perfil de serviço contém duas política gerenciadas, AWSBackupServiceRolePolicyForBackup e AWSBackupServiceRolePolicyForRestores.
O AWSBackupServiceRolePolicyForBackup inclui uma política do IAM que concede permissões ao AWS Backup para descrever o recurso que está tendo o backup feito, a possibilidade de criar, excluir, descrever ou adicionar tags um backup, independentemente da chave do AWS KMS com a qual ele foi criptografado.
A AWSBackupServiceRolePolicyForRestores inclui uma política do IAM que concede permissões ao AWS Backup para criar, excluir ou descrever o novo recurso que está sendo criado de um backup, independentemente da chave do AWS KMS com a qual ele foi criptografado. Ele também inclui permissões para marcar o recurso recém-criado.
Para restaurar uma instância do Amazon EC2, você deve executar uma nova instância.
Criar o perfil de serviço padrão no console
As ações específicas que você executa no console do AWS Backup criam o perfil de serviço padrão do AWS Backup.
Para criar o perfil de serviço padrão do AWS Backup em sua conta da AWS
Abra o console AWS Backup em https://console.aws.amazon.com/backup
. -
Para criar o perfil para sua conta, atribua recursos a um plano de backup ou crie um backup sob demanda.
-
Crie um plano de backup e atribua recursos ao backup. Consulte Criar um plano de backup.
-
Como alternativa, crie um backup sob demanda. Consulte Criar um backup sob demanda.
-
-
Verifique se você criou o
AWSBackupDefaultServiceRoleem sua conta seguindo estas etapas:-
Aguarde alguns instantes. Para obter mais informações, consulte As alterações que eu faço nem sempre ficam imediatamente visíveis no Guia do usuário do AWS Identity and Access Management.
Faça login no Console de gerenciamento da AWS e abra o console do IAM, em https://console.aws.amazon.com/iam/
. -
No menu de navegação esquerdo, escolha Perfis.
-
Na caixa de pesquisa, digite
AWSBackupDefaultServiceRole. Se essa seleção existir, você terá criado o perfil padrão do AWS Backup e concluído esse procedimento. -
Se
AWSBackupDefaultServiceRoleainda não for exibido, adicione as seguintes permissões ao usuário do IAM ou ao perfil do IAM que você usa para acessar o console.Para as regiões da China, substitua
awsporaws-cn. Para as regiões AWS GovCloud (US), substituaawsporaws-us-gov. -
Se não puder adicionar permissões ao seu usuário do IAM ou perfil do IAM, peça ao administrador que crie manualmente um perfil com um nome diferente de
AWSBackupDefaultServiceRolee anexe esse perfil a estas políticas gerenciadas:-
AWSBackupServiceRolePolicyForBackup -
AWSBackupServiceRolePolicyForRestores
-
-
