As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sintaxe e exemplos de políticas de backup
Esta página descreve a sintaxe da política de backup e fornece exemplos.
Sintaxe para políticas de backup
Uma política de backup é um arquivo de texto sem formatação estruturado de acordo com as regras do JSON
Para obter mais informações sobre AWS Backup planos, consulte CreateBackupPlano Guia do AWS Backup desenvolvedor.
Considerações
Sintaxe da política
Nomes de chave duplicados serão rejeitados em JSON.
As políticas devem especificar os recursos Regiões da AWS e os recursos a serem copiados.
As políticas devem especificar a função do IAM que ela AWS Backup assume.
Usar o @@assign operador no mesmo nível pode substituir as configurações existentes. Para obter mais informações, consulte Uma política secundária substitui as configurações em uma política principal.
Operadores de herança controlam como as políticas herdadas e as políticas de conta se fundem na política efetiva da conta. Esses operadores incluem operadores de definição de valor e operadores de controle filho.
Para obter mais informações, consulte Operadores de herança e exemplos de políticas de Backup.
Perfis do IAM
A função do IAM deve existir ao criar um plano de backup pela primeira vez.
A função do IAM deve ter permissão para acessar recursos identificados pela consulta de tag.
A função do IAM também deve ter permissão para executar o backup.
Cofres de backup
Os cofres devem existir em cada um deles para que um plano Regiões da AWS de backup possa ser executado.
Devem existir cofres para cada AWS conta que recebe a política efetiva. Para obter mais informações, consulte Criação e exclusão de cofres de backup no Guia do AWS Backup desenvolvedor.
Recomendamos que você use os conjuntos de AWS CloudFormation pilhas e sua integração com o Organizations para criar e configurar automaticamente cofres de backup e funções do IAM para cada conta-membro da organização. Para obter mais informações, consulte Criar um conjunto de pilhas com permissões autogerenciadas no Guia do usuário do AWS CloudFormation .
Cotas
Para obter uma lista de cotas, consulte AWS Backup cotas no Guia do AWS Backup desenvolvedor.
Sintaxe de backup: visão geral
A sintaxe da política de backup inclui os seguintes componentes:
{ "plans": { "PlanName": { "rules": { ... }, "regions": { ... }, "selections": { ... }, "advanced_backup_settings": { ... }, "backup_plan_tags": { ... } } } }
| Elemento | Descrição | Obrigatório |
|---|---|---|
| regras | Lista de regras de backup. Cada regra define quando os backups são iniciados e a janela de execução dos recursos especificados nos selections elementos regions e. |
Sim |
| regiões | Lista de Regiões da AWS onde uma política de backup pode proteger os recursos. | Sim |
| seleções | Um ou mais tipos de recursos dentro do especificado regions que o backup rules protege. |
Sim |
| configurações_de backup avançadas | Opções de configuração para cenários de backup específicos. No momento, a única configuração de backup avançada compatível é habilitar os backups do Microsoft Volume Shadow Copy Service (VSS) para Windows ou SQL Server em execução em uma EC2 instância da Amazon. |
Não |
| etiquetas_do_plano de backup | Tags que deseja associar a um plano de backup. Cada tag é um rótulo que consiste em um valor e uma chave definida pelo usuário. As tags podem ajudar você a gerenciar, identificar, organizar, pesquisar e filtrar seus planos de backup. |
Não |
Sintaxe de backup: regras
A chave rules de política especifica as tarefas de backup agendadas que são AWS Backup
executadas nos recursos selecionados.
| Elemento | Descrição | Obrigatório |
|---|---|---|
schedule_expression |
Expressão Cron em UTC que especifica quando o AWS Backup inicia um trabalho de backup. Para ter informações sobre expressão cron, consulte Using cron and rate expressions to schedule rules in the Amazon EventBridge User Guide. |
Sim |
target_backup_vault_name |
Cofre de backup onde os backups são armazenados. Os cofres de backup são identificados por nomes que são exclusivos da conta usada para criá-los e da Região da AWS em que são criados. |
Sim |
start_backup_window_minutes |
O número de minutos a aguardar antes de cancelar um trabalho de backup será cancelado se ele não for iniciado com êxito. Se esse valor for incluído, deve ser de pelo menos 60 minutos para evitar erros. |
Não |
complete_backup_window_minutes |
Quantidade de minutos após um trabalho de backup ser iniciado com êxito antes que ele seja concluído ou ele será cancelado pelo. AWS Backup | Não |
enable_continuous_backup |
Especifica se o AWS Backup cria backups contínuos.
Para obter mais informações sobre backups contínuos, consulte P oint-in-time recovery no Guia do AWS Backup desenvolvedor. Observação: os backups habilitados para PITR têm retenção máxima de 35 dias. |
Não |
lifecycle |
Especifica quando o faz a AWS Backup transição de um backup para armazenamento de baixa atividade e quando ele expira. Os tipos de recursos que podem ser transferidos para armazenamento a frio estão listados na tabela Disponibilidade de recursos por recurso no Guia do AWS Backup desenvolvedor. Cada ciclo de vida contém os seguintes elementos:
Observação: Os backups transferidos para armazenamento “frio” devem ficar armazenados lá por no mínimo 90 dias. Isso significa que |
Não |
copy_actions |
Especifica se AWS Backup copia um backup para um ou mais locais adicionais. Cada ação de cópia contém os seguintes elementos:
Observação: Os backups transferidos para armazenamento “frio” devem ficar armazenados lá por no mínimo 90 dias. Isso significa que |
Não |
recovery_point_tags |
Tags que deseja atribuir aos recursos restaurados do backup. Cada tag contém os seguintes elementos:
|
Não |
index_actions |
Especifica se AWS Backup cria um índice de backup de seus snapshots do Amazon EBS e/ou backups do Amazon S3. Os índices de backup são criados para pesquisar os metadados de seus backups. Para obter mais informações sobre criação de índice de backup e pesquisa de backup, consulte Pesquisa de backup. Observação: permissões adicionais de função do IAM são necessárias para a criação do índice de backup de snapshots do Amazon EBS. Cada ação de índice contém o seguinte elemento: |
Não |
Sintaxe de backup: regiões
A chave regions de política especifica quais o Regiões da AWS AWS Backup examina para localizar os recursos que correspondem às condições da selections chave.
| Elemento | Descrição | Obrigatório |
|---|---|---|
regions |
Especifica os Região da AWS códigos. Por exemplo: |
Sim |
Sintaxe de backup: seleções
A chave selections de política especifica os recursos que são apoiados pelas regras em uma política de backup.
Existem dois elementos mutuamente exclusivos: tags e. resources Uma política eficaz deve estar marcada have ou estar resources na seleção para ser válida.
Se você quiser uma seleção com condições de tag e condições de recursos, use as resources teclas.
| Elemento | Descrição | Obrigatório |
|---|---|---|
iam_role_arn |
Função do IAM que AWS Backup pressupõe consultar, descobrir e fazer backup de recursos nas regiões especificadas. A função deve ter permissões suficientes para consultar recursos com base nas condições da tag e realizar operações de backup nos recursos correspondentes. |
Sim |
tag_key |
Marque o nome da chave a ser pesquisada. | Sim |
tag_value |
Valor que deve ser associado à tag_key correspondente. AWS Backup inclui o recurso somente se tag_key e tag_value corresponderem (diferencia maiúsculas de minúsculas). |
Sim |
conditions |
Marque chaves e valores que você deseja incluir ou excluir Use string_equals ou string_not_equals para incluir ou excluir tags de uma correspondência exata. Use string_like e string_not_like para incluir ou excluir tags que contenham ou não caracteres específicos Nota: Limitado a 30 condições para cada seleção. |
Não |
| Elemento | Descrição | Obrigatório |
|---|---|---|
iam_role_arn |
Função do IAM que AWS Backup pressupõe consultar, descobrir e fazer backup de recursos nas regiões especificadas. A função deve ter permissões suficientes para consultar recursos com base nas condições da tag e realizar operações de backup nos recursos correspondentes. Nota: Em AWS GovCloud (US) Regions, você deve adicionar o nome da partição ao ARN. Por exemplo, " |
Sim |
resource_types |
Tipos de recursos a serem incluídos em um plano de backup. | Sim |
not_resource_types |
Tipos de recursos a serem excluídos de um plano de backup. | Não |
conditions |
Marque chaves e valores que você deseja incluir ou excluir Use string_equals ou string_not_equals para incluir ou excluir tags de uma correspondência exata. Use string_like e string_not_like para incluir ou excluir tags que contenham ou não caracteres específicos Nota: Limitado a 30 condições para cada seleção. |
Não |
Tipos de recursos compatíveis
O Organizations oferece suporte aos seguintes tipos de recursos para os not_resource_types elementos resource_types e:
-
AWS Backup gateway máquinas virtuais:
"arn:aws:backup-gateway:*:*:vm/*" -
AWS CloudFormation pilhas:
"arn:aws:cloudformation:*:*:stack/*" -
Tabelas do Amazon DynamoDB:
"arn:aws:dynamodb:*:*:table/*" -
EC2 Instâncias da Amazon:
"arn:aws:ec2:*:*:instance/*" -
Volumes do Amazon EBS:
"arn:aws:ec2:*:*:volume/*" -
Sistemas de arquivos do Amazon EFS:
"arn:aws:elasticfilesystem:*:*:file-system/*" -
Clusters do Amazon Aurora/Amazon DocumentDB/Amazon Neptune:
"arn:aws:rds:*:*:cluster:*" -
Bancos de dados do Amazon RDS:
"arn:aws:rds:*:*:db:*" -
Clusters do Amazon Redshift:
"arn:aws:redshift:*:*:cluster:*" -
Amazon S3:
"arn:aws:s3:::*" -
AWS Systems Manager para SAP Bancos de dados HANA:
"arn:aws:ssm-sap:*:*:HANA/*" -
AWS Storage Gateway gateways:
"arn:aws:storagegateway:*:*:gateway/*" -
Bancos de dados Amazon Timestream:
"arn:aws:timestream:*:*:database/*" -
Sistemas de FSx arquivos da Amazon:
"arn:aws:fsx:*:*:file-system/*" -
FSx Volumes da Amazon:
"arn:aws:fsx:*:*:volume/*"
Exemplos de código
Para obter mais informações, consulte Especificação de recursos com o bloco de tags e Especificação de recursos com o bloco de recursos.
Sintaxe de backup: configurações avançadas de backup
A advanced_backup_settings chave especifica as opções de configuração para cenários de backup específicos. Cada configuração contém os seguintes elementos:
| Elemento | Descrição | Obrigatório |
|---|---|---|
advanced_backup_settings |
Especifica configurações para cenários de backup específicos. Esta chave contém uma ou mais configurações. Cada configuração é uma sequência de objeto JSON com os seguintes elementos: No momento, a única configuração de backup avançada compatível é habilitar os backups do Microsoft Volume Shadow Copy Service (VSS) para Windows ou SQL Server em execução em uma EC2 instância da Amazon. Cada configuração de backup avançada contém os seguintes elementos:
|
Não |
Exemplo:
"advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } },
Sintaxe de backup: etiquetas do plano de backup
A chave backup_plan_tags de política especifica as tags anexadas ao plano de backup propriamente dito. Isso não afeta as tags especificadas para rules ouselections.
| Elemento | Descrição | Obrigatório |
|---|---|---|
backup_plan_tags |
Cada tag é um rótulo que consiste em uma chave e um valor definidos pelo usuário:
|
Não |
Exemplos de políticas de backup
As políticas de backup no exemplo a seguir são apenas para fins informativos. Em alguns dos exemplos a seguir, a formatação de espaço em branco JSON pode ser compactada para economizar espaço.
-
Exemplo 2: uma política principal é mesclada com uma política secundária
-
Exemplo 3: Uma política para pais impede qualquer alteração feita por uma política para crianças
-
Exemplo 5: uma política secundária substitui as configurações em uma política principal
-
Exemplo 7: Especificação de recursos com o bloco de recursos
Exemplo 1: Política atribuída a um nó pai
O exemplo a seguir mostra uma política de backup atribuída a um dos nós pai de uma conta.
Política superior – Esta política pode ser anexada à raiz da organização ou a qualquer UO que seja superior a todas as contas pretendidas.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } } } }
Se nenhuma outra política for herdada ou anexada às contas, a política em vigor processada em cada aplicável será Conta da AWS semelhante ao exemplo a seguir. A expressão CRON faz com que o backup seja executado uma vez por hora. O ID da conta 123456789012 será o ID de conta real para cada conta.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": { "windows_vss": "enabled" } } } } }
Exemplo 2: Uma política pai é mesclada com uma política filho
No exemplo a seguir, uma política superior herdada e uma política subordinada herdada ou diretamente anexada a uma se Conta da AWS mesclam para formar a política em vigor.
Política superior – Esta política pode ser anexada à raiz da organização ou a qualquer UO superior.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Política subordinada – Esta política pode ser anexada diretamente à conta ou a uma UO em qualquer nível abaixo daquele ao qual a política superior está anexada.
{ "plans": { "Monthly_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "eu-central-1" ] }, "rules": { "Monthly": { "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:Default" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "MonthlyDatatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" }, "tag_key": { "@@assign": "BackupType" }, "tag_value": { "@@assign": [ "MONTHLY", "RED" ] } } } } } } }
Política em vigor resultante – A política em vigor aplicada às contas contém dois planos, cada um com o seu próprio conjunto de regras e conjunto de recursos aos quais as regras devem ser aplicadas.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } }, "Monthly_Backup_Plan": { "regions": [ "us-east-1", "eu-central-1" ], "rules": { "monthly": { "schedule_expression": "cron(0 5 1 * ? *)", "start_backup_window_minutes": "480", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:Default" : { "target_backup_vault_arn": { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": "30", "delete_after_days": "365", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "monthlydatatype": { "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole", "tag_key": "BackupType", "tag_value": [ "MONTHLY", "RED" ] } } } } } }
Exemplo 3: Uma política pai impede quaisquer alterações por uma política filho
No exemplo a seguir, uma política pai herdada usa os operadores de controle filho para impor todas as configurações e impede que elas sejam alteradas ou substituídas por uma política filho.
Política superior – Esta política pode ser anexada à raiz da organização ou a qualquer UO superior. A presença de "@@operators_allowed_for_child_policies": ["@@none"] em cada nó da política significa que uma política filho não pode fazer alterações de nenhum tipo no plano. Uma política filho também não pode adicionar planos extras à política efetiva. Essa política se torna a política efetiva para cada UO e conta sob a UO à qual ela está anexada.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@none"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { "@@operators_allowed_for_child_policies": ["@@none"], "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "@@operators_allowed_for_child_policies": ["@@none"], "Hourly": { "@@operators_allowed_for_child_policies": ["@@none"], "schedule_expression": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "60" }, "target_backup_vault_name": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "FortKnox" }, "index_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } }, "copy_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "@@operators_allowed_for_child_policies": ["@@none"], "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault", "@@operators_allowed_for_child_policies": ["@@none"] }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } } } } } }, "selections": { "@@operators_allowed_for_child_policies": ["@@none"], "tags": { "@@operators_allowed_for_child_policies": ["@@none"], "datatype": { "@@operators_allowed_for_child_policies": ["@@none"], "iam_role_arn": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "dataType" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "@@operators_allowed_for_child_policies": ["@@none"], "ec2": { "@@operators_allowed_for_child_policies": ["@@none"], "windows_vss": { "@@assign": "enabled", "@@operators_allowed_for_child_policies": ["@@none"] } } } } } }
Política em vigor resultante Se existirem políticas de backup subordinadas, elas serão ignoradas e a política superior se tornará a política em vigor.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault", "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": {"windows_vss": "enabled"} } } } }
Exemplo 4: Uma política pai impede alterações em um plano de backup por uma política filho
No exemplo a seguir, uma política pai herdada usa os operadores de controle filho para impor as configurações para um único plano e impede que elas sejam alteradas ou substituídas por uma política filho. A política filho ainda pode adicionar planos extras.
Política superior – Esta política pode ser anexada à raiz da organização ou a qualquer UO superior. Este exemplo é semelhante ao exemplo anterior com todos os operadores de herança filho bloqueados, exceto no nível superior dos plans. A configuração @@append nesse nível permite que as políticas filho adicionem outros planos à coleção na política efetiva. Quaisquer alterações ao plano herdado ainda são bloqueadas.
As seções do plano estão truncadas para maior clareza.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@append"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { ... }, "rules": { ... }, "selections": { ... } } } }
Política subordinada – Esta política pode ser anexada diretamente à conta ou a uma UO em qualquer nível abaixo daquele ao qual a política superior está anexada. Esta política filho define um novo plano.
As seções do plano estão truncadas para maior clareza.
{ "plans": { "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Política em vigor resultante – A política em vigor inclui ambos os planos.
{ "plans": { "PII_Backup_Plan": { "regions": { ... }, "rules": { ... }, "selections": { ... } }, "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Exemplo 5: Uma política filho substitui as configurações numa política pai
No exemplo a seguir, uma política subordinada usa operadores de definição de valor para substituir algumas das configurações herdadas de uma política superior.
Política superior – Esta política pode ser anexada à raiz da organização ou a qualquer UO superior. Qualquer uma das configurações pode ser substituída por uma política filho porque o comportamento padrão, na ausência de um operador de controle filho que o impede, é permitir a política filho para @@assign, @@append, ou @@remove. A política pai contém todos os elementos necessários para um plano de backup válido; portanto, ele faz backup de seus recursos com êxito se for herdado como está.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "target_backup_vault_name": {"@@assign": "FortKnox"}, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": {"@@assign": "2"}, "move_to_cold_storage_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:t2": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "28"}, "delete_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Política subordinada – A política subordinada inclui apenas as configurações que precisam ser diferentes da política superior herdada. Deve haver uma política superior herdada que forneça as outras configurações necessárias quando mescladas em uma política em vigor. Caso contrário, a política de backup em vigor contém um plano de backup inválido que não fará backup de seus recursos conforme o esperado.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "us-west-2", "eu-central-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "80"}, "target_backup_vault_name": {"@@assign": "Default"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "30"}, "delete_after_days": {"@@assign": "365"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } } }
Política em vigor resultante – A política em vigor inclui configurações de ambas as políticas, com as configurações fornecidas pela política subordinada substituindo as configurações herdadas da superior. Neste exemplo, ocorrem as seguintes alterações:
-
A lista de regiões é substituída por uma lista completamente diferente. Se você quiser adicionar uma região à lista herdada, consulte
@@appendem vez de@@assignna política subordinada. -
AWS Backup O executa a cada duas horas em vez de hora em hora.
-
AWS Backup permite 80 minutos para que o backup seja iniciado em vez de 60 minutos.
-
AWS Backup usa o
Defaultcofre em vez de.FortKnox -
O ciclo de vida é estendido tanto para a transferência para o armazenamento frio quanto para a eventual exclusão do backup.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-west-2", "eu-central-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/2 ? * * *)", "start_backup_window_minutes": "80", "target_backup_vault_name": "Default", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"}, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } } } }
Exemplo 6: Especificando recursos com o bloco tags
O exemplo a seguir inclui todos os recursos com tag_key tag_value = “env” "prod" e = "gamma" e. Este exemplo exclui recursos com o tag_key = "backup" e o tag_value ="false".
... "selections":{ "tags":{ "selection_name":{ "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"}, "tag_key":{"@@assign": "env"}, "tag_value":{"@@assign": ["prod", "gamma"]}, "conditions":{ "string_not_equals":{ "condition_name1":{ "condition_key": { "@@assign": "aws:ResourceTag/backup" }, "condition_value": { "@@assign": "false" } } } } } } }, ...
Exemplo 7: especificando recursos com o bloco resources
Veja a seguir exemplos do uso do resources bloco para especificar recursos.
