As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sintaxe e exemplos de políticas de backup
Esta página descreve a sintaxe da política de backup e fornece exemplos.
Sintaxe para políticas de backup
Uma política de backup é um arquivo de texto sem formatação estruturado de acordo com as regras do JSON
Para obter mais informações sobre AWS Backup os planos, consulte CreateBackupPlano Guia do AWS Backup desenvolvedor.
Considerações
Sintaxe da política
Nomes de chave duplicados serão rejeitados em JSON.
As políticas devem especificar os recursos Regiões da AWS e os recursos a serem copiados.
As políticas devem especificar a função do IAM que ela AWS Backup assume.
Usar o operador @@assign no mesmo nível pode sobrescrever as configurações existentes. Para obter mais informações, consulte Uma política secundária substitui as configurações em uma política principal.
Operadores de herança controlam como as políticas herdadas e as políticas de conta se fundem na política efetiva da conta. Esses operadores incluem operadores de definição de valor e operadores de controle filho.
Para obter mais informações, consulte Operadores de herança e Exemplos de política de backup.
Perfis do IAM
O perfil do IAM deve existir ao criar um plano de backup pela primeira vez.
O perfil do IAM deve ter permissão para acessar recursos identificados pela consulta de tag.
O perfil do IAM deve ter permissão para executar o backup.
Cofres de backup
Os cofres devem existir em cada um deles para que um plano Regiões da AWS de backup possa ser executado.
Devem existir cofres para cada AWS conta que recebe a política efetiva. Para obter mais informações, consulte Criar e excluir um cofre de backup no Guia do desenvolvedor de AWS Backup .
Recomendamos que você use conjuntos de AWS CloudFormation pilhas e sua integração com Organizations para criar e configurar automaticamente cofres de backup e funções do IAM para cada conta membro na organização. Para obter mais informações, consulte Criar um conjunto de pilhas com permissões autogerenciadas no Guia do usuário do AWS CloudFormation .
Cotas
Para obter uma lista de cotas, consulte Cotas de AWS Backup no Guia do desenvolvedor de AWS Backup .
Sintaxe de backup: visão geral
A sintaxe da política de backup inclui os seguintes componentes:
{ "plans": { "PlanName": { "rules": { ... }, "regions": { ... }, "selections": { ... }, "advanced_backup_settings": { ... }, "backup_plan_tags": { ... } } } }
| Elemento | Description | Obrigatório |
|---|---|---|
| regras | Lista de regras de backup. Cada regra define quando os backups começam e a janela de execução dos recursos especificados nos elementos regions e selections. |
Sim |
| regiões | Lista de Regiões da AWS onde uma política de backup pode proteger os recursos. | Sim |
| selections | Um ou mais tipos de recursos dentro das regions especificadas que as rules de backup protegem. |
Sim |
| advanced_backup_settings | Opções de configuração para cenários de backup específicos. Atualmente, a única configuração avançada de backup compatível é habilitar backups do Microsoft Volume Shadow Copy Service (VSS) para Windows ou SQL Server em execução em uma EC2 instância da Amazon. |
Não |
| backup_plan_tags | Tags que você deseja associar a um plano de backup. Cada tag é um rótulo que consiste em um valor e uma chave definida pelo usuário. As tags podem ajudar você a gerenciar, identificar, organizar, pesquisar e filtrar planos de backup. |
Não |
Sintaxe de backup: regras
A chave de política rules especifica as tarefas de backup agendadas que AWS Backup
executa nos recursos selecionados.
| Elemento | Description | Obrigatório |
|---|---|---|
schedule_expression |
Expressão Cron em UTC que especifica quando AWS Backup inicia uma tarefa de backup. Para obter informações sobre a expressão cron, consulte Usando expressões cron e rate para programar regras no Amazon EventBridge User Guide. |
Sim |
target_backup_vault_name |
Cofre de backup em que backups são armazenados. Os cofres de backup são identificados por nomes exclusivos da conta usada para criá-los e do Região da AWS local em que foram criados. |
Sim |
target_logically_air_gapped_backup_vault_arn |
ARN de cofre logicamente isolado onde os backups são armazenados. Se fornecidos, os recursos compatíveis totalmente gerenciados fazem backup diretamente para um cofre com espaço aéreo lógico, enquanto outros recursos compatíveis criam um instantâneo temporário (faturável) no cofre de backup e, em seguida, o copiam para um cofre com lacuna lógica. Recursos incompatíveis só fazem backup no cofre de backup especificado. O ARN deve usar os espaços reservados especiais e. |
Não |
start_backup_window_minutes |
O número de minutos a aguardar antes de cancelar uma tarefa de backup será definido caso ela não seja iniciada com sucesso. Se esse valor for incluído, deve ser de pelo menos 60 minutos para evitar erros. |
Não |
complete_backup_window_minutes |
Número de minutos após o início bem-sucedido de uma tarefa de backup antes que ela seja concluída ou cancelada pelo AWS Backup. | Não |
enable_continuous_backup |
Especifica se AWS Backup cria backups contínuos.
Para obter mais informações sobre backups contínuos, consulte P oint-in-time recovery no Guia do AWS Backup desenvolvedor. Observação: os backups habilitados para PITR têm retenção máxima de 35 dias. |
Não |
lifecycle |
Especifica quando é feita a AWS Backup transição de um backup para armazenamento frio e quando ele expira. Os tipos de recursos que podem ser transferidos para o armazenamento a frio estão listados na tabela Disponibilidade de recursos por recurso no Manual do desenvolvedor de AWS Backup . Cada ciclo de vida contém os seguintes elementos:
Observação: os backups transferidos para armazenamento “frio” devem ficar armazenados lá por no mínimo 90 dias. Isso significa que |
Não |
copy_actions |
Especifica se AWS Backup copia um backup para um ou mais locais adicionais. Cada ação de cópia contém os seguintes elementos:
Observação: os backups transferidos para armazenamento “frio” devem ficar armazenados lá por no mínimo 90 dias. Isso significa que |
Não |
recovery_point_tags |
Tags que você deseja atribuir aos recursos restaurados a partir do backup. Cada tag contém os seguintes elementos:
|
Não |
index_actions |
Especifica se AWS Backup cria um índice de backup dos seus snapshots do Amazon EBS e backups do Amazon S3 and/or . Os índices de backup são criados para pesquisar os metadados de seus backups. Para obter mais informações sobre criação de índice de backup e pesquisa de backup, consulte Pesquisa de backup. Observação: permissões adicionais de perfil do IAM são necessárias para a criação do índice de backup de snapshots do Amazon EBS. Cada ação de índice contém o seguinte elemento: |
Não |
Sintaxe de backup: regiões
A chave regions de política especifica o Regiões da AWS que deve AWS Backup ser examinado para encontrar os recursos que correspondem às condições na selections chave.
| Elemento | Description | Obrigatório |
|---|---|---|
regions |
Especifica os Região da AWS códigos. Por exemplo: |
Sim |
Sintaxe de backup: seleções
A chave de política selections especifica os recursos que são protegidos pelas regras em uma política de backup.
Existem dois elementos mutuamente exclusivos: tags e resources. Uma política eficaz deve estar marcada have ou ter resources na seleção para ser válida.
Se você quiser uma seleção com condições de tag e condições de recursos, use as chaves resources.
| Elemento | Description | Obrigatório |
|---|---|---|
iam_role_arn |
Função do IAM que AWS Backup pressupõe consultar, descobrir e fazer backup de recursos nas regiões especificadas. A função deve ter permissões suficientes para consultar recursos com base nas condições da tag e realizar operações de backup nos recursos correspondentes. |
Sim |
tag_key |
Nome da tag chave a ser pesquisada. | Sim |
tag_value |
Valor que deve ser associado à tag_key correspondente. AWS Backup inclui o recurso somente se tag_key e tag_value corresponderem (diferencia maiúsculas de minúsculas). |
Sim |
conditions |
Marque chaves e valores que você deseja incluir ou excluir Use string_equals ou string_not_equals para incluir ou excluir tags de uma correspondência exata. Use string_like e string_not_like para incluir ou excluir tags que contenham ou não caracteres específicos Nota: limitado a 30 condições para cada seleção. |
Não |
| Elemento | Description | Obrigatório |
|---|---|---|
iam_role_arn |
Função do IAM que AWS Backup pressupõe consultar, descobrir e fazer backup de recursos nas regiões especificadas. A função deve ter permissões suficientes para consultar recursos com base nas condições da tag e realizar operações de backup nos recursos correspondentes. Nota: Em AWS GovCloud (US) Regions, você deve adicionar o nome da partição ao ARN. Por exemplo, “ |
Sim |
resource_types |
Tipos de recursos a serem incluídos em um plano de backup. | Sim |
not_resource_types |
Tipos de recursos a serem excluídos de um plano de backup. | Não |
conditions |
Marque chaves e valores que você deseja incluir ou excluir Use string_equals ou string_not_equals para incluir ou excluir tags de uma correspondência exata. Use string_like e string_not_like para incluir ou excluir tags que contenham ou não caracteres específicos Nota: limitado a 30 condições para cada seleção. |
Não |
Tipos de recursos compatíveis
O Organizations oferece suporte aos seguintes tipos de recursos para os elementos resource_types e not_resource_types:
-
AWS Backup gateway máquinas virtuais:
"arn:aws:backup-gateway:*:*:vm/*" -
AWS CloudFormation pilhas:
"arn:aws:cloudformation:*:*:stack/*" -
Tabelas do Amazon DynamoDB:
"arn:aws:dynamodb:*:*:table/*" -
EC2 Instâncias da Amazon:
"arn:aws:ec2:*:*:instance/*" -
Volumes do Amazon EBS:
"arn:aws:ec2:*:*:volume/*" -
Sistemas de arquivos do Amazon EFS:
"arn:aws:elasticfilesystem:*:*:file-system/*" -
Clusters Amazon Aurora/Amazon DocumentDB/Amazon Neptune:
"arn:aws:rds:*:*:cluster:*" -
Bancos de dados do Amazon RDS:
"arn:aws:rds:*:*:db:*" -
Clusters do Amazon Redshift:
"arn:aws:redshift:*:*:cluster:*" -
Amazon S3:
"arn:aws:s3:::*" -
AWS Systems Manager para SAP Bancos de dados HANA:
"arn:aws:ssm-sap:*:*:HANA/*" -
AWS Storage Gateway gateways:
"arn:aws:storagegateway:*:*:gateway/*" -
Banco de dados do Amazon Timestream:
"arn:aws:timestream:*:*:database/*" -
Sistemas de FSx arquivos da Amazon:
"arn:aws:fsx:*:*:file-system/*" -
FSx Volumes da Amazon:
"arn:aws:fsx:*:*:volume/*"
Exemplos de código
Para obter mais informações, consulte Especificar recursos com o bloco de tags e Especificar recursos com o bloco de recursos.
Sintaxe de backup: configurações de backup avançadas
A chave advanced_backup_settings especifica as opções de configuração para cenários de backup específicos. Cada configuração contém os seguintes elementos:
| Elemento | Description | Obrigatório |
|---|---|---|
advanced_backup_settings |
Especifica configurações para cenários de backup específicos. Esta chave contém uma ou mais configurações. Cada configuração é uma sequência de objeto JSON com os seguintes elementos: Atualmente, a única configuração avançada de backup compatível é habilitar backups do Microsoft Volume Shadow Copy Service (VSS) para Windows ou SQL Server em execução em uma EC2 instância da Amazon. Cada configuração de backup avançado tem os seguintes elementos:
|
Não |
Exemplo:
"advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } },
Sintaxe de backup: tags do plano de backup
A chave de política backup_plan_tags especifica as tags anexadas ao plano de backup propriamente dito. Isso não afeta as tags especificadas para rules ou selections.
| Elemento | Description | Obrigatório |
|---|---|---|
backup_plan_tags |
Cada tag é um rótulo que consiste em um valor e uma chave definida pelo usuário:
|
Não |
Exemplos de políticas de backup
As políticas de backup no exemplo a seguir são apenas para fins informativos. Em alguns dos exemplos a seguir, a formatação de espaço em branco JSON pode ser compactada para economizar espaço.
Exemplo 1: Política atribuída a um nó pai
O exemplo a seguir mostra uma política de backup atribuída a um dos nós pai de uma conta.
Política superior – Esta política pode ser anexada à raiz da organização ou a qualquer UO que seja superior a todas as contas pretendidas.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "target_logically_air_gapped_backup_vault_arn": { "@@assign": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault" }, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "120" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "ec2": { "windows_vss": { "@@assign": "enabled" } } } } } }
Se nenhuma outra política for herdada ou anexada às contas, a política efetiva renderizada em cada política aplicável será Conta da AWS semelhante ao exemplo a seguir. A expressão CRON faz com que o backup seja executado uma vez por hora. O ID da conta 123456789012 será o ID de conta real para cada conta.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "target_logically_air_gapped_backup_vault_arn": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } }, "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": { "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault" }, "lifecycle": { "delete_after_days": "28", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": { "windows_vss": "enabled" } } } } }
Exemplo 2: Uma política pai é mesclada com uma política filho
No exemplo a seguir, uma política principal herdada e uma política secundária herdadas ou diretamente associadas a uma Conta da AWS fusão para formar a política efetiva.
Política superior – Esta política pode ser anexada à raiz da organização ou a qualquer UO superior.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "60" }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "28" }, "delete_after_days": { "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Política subordinada – Esta política pode ser anexada diretamente à conta ou a uma UO em qualquer nível abaixo daquele ao qual a política superior está anexada.
{ "plans": { "Monthly_Backup_Plan": { "regions": { "@@append":[ "us-east-1", "eu-central-1" ] }, "rules": { "Monthly": { "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "target_backup_vault_name": { "@@assign": "Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:Default" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "30" }, "delete_after_days": { "@@assign": "365" }, "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "MonthlyDatatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" }, "tag_key": { "@@assign": "BackupType" }, "tag_value": { "@@assign": [ "MONTHLY", "RED" ] } } } } } } }
Política em vigor resultante – A política em vigor aplicada às contas contém dois planos, cada um com o seu próprio conjunto de regras e conjunto de recursos aos quais as regras devem ser aplicadas.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : { "target_backup_vault_arn" : { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" }, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } }, "Monthly_Backup_Plan": { "regions": [ "us-east-1", "eu-central-1" ], "rules": { "monthly": { "schedule_expression": "cron(0 5 1 * ? *)", "start_backup_window_minutes": "480", "target_backup_vault_name": "Default", "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:Default" : { "target_backup_vault_arn": { "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default" }, "lifecycle": { "move_to_cold_storage_after_days": "30", "delete_after_days": "365", "opt_in_to_archive_for_supported_resources": { "@@assign": "false" } } } } } }, "selections": { "tags": { "monthlydatatype": { "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole", "tag_key": "BackupType", "tag_value": [ "MONTHLY", "RED" ] } } } } } }
Exemplo 3: Uma política pai impede quaisquer alterações por uma política filho
No exemplo a seguir, uma política pai herdada usa os operadores de controle filho para impor todas as configurações e impede que elas sejam alteradas ou substituídas por uma política filho.
Política superior – Esta política pode ser anexada à raiz da organização ou a qualquer UO superior. A presença de "@@operators_allowed_for_child_policies": ["@@none"] em cada nó da política significa que uma política filho não pode fazer alterações de nenhum tipo no plano. Uma política filho também não pode adicionar planos extras à política efetiva. Essa política se torna a política efetiva para cada UO e conta sob a UO à qual ela está anexada.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@none"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { "@@operators_allowed_for_child_policies": ["@@none"], "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "@@operators_allowed_for_child_policies": ["@@none"], "Hourly": { "@@operators_allowed_for_child_policies": ["@@none"], "schedule_expression": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "cron(0 0/1 ? * * *)" }, "start_backup_window_minutes": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "60" }, "target_backup_vault_name": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "FortKnox" }, "index_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } }, "copy_actions": { "@@operators_allowed_for_child_policies": ["@@none"], "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "@@operators_allowed_for_child_policies": ["@@none"], "target_backup_vault_arn": { "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault", "@@operators_allowed_for_child_policies": ["@@none"] }, "lifecycle": { "@@operators_allowed_for_child_policies": ["@@none"], "delete_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "28" }, "move_to_cold_storage_after_days": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "180" }, "opt_in_to_archive_for_supported_resources": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "false" } } } } } }, "selections": { "@@operators_allowed_for_child_policies": ["@@none"], "tags": { "@@operators_allowed_for_child_policies": ["@@none"], "datatype": { "@@operators_allowed_for_child_policies": ["@@none"], "iam_role_arn": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "dataType" }, "tag_value": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": [ "PII", "RED" ] } } } }, "advanced_backup_settings": { "@@operators_allowed_for_child_policies": ["@@none"], "ec2": { "@@operators_allowed_for_child_policies": ["@@none"], "windows_vss": { "@@assign": "enabled", "@@operators_allowed_for_child_policies": ["@@none"] } } } } } }
Política em vigor resultante Se existirem políticas de backup subordinadas, elas serão ignoradas e a política superior se tornará a política em vigor.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/1 ? * * *)", "start_backup_window_minutes": "60", "target_backup_vault_name": "FortKnox", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "2", "move_to_cold_storage_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault", "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } }, "advanced_backup_settings": { "ec2": {"windows_vss": "enabled"} } } } }
Exemplo 4: Uma política pai impede alterações em um plano de backup por uma política filho
No exemplo a seguir, uma política pai herdada usa os operadores de controle filho para impor as configurações para um único plano e impede que elas sejam alteradas ou substituídas por uma política filho. A política filho ainda pode adicionar planos extras.
Política superior – Esta política pode ser anexada à raiz da organização ou a qualquer UO superior. Este exemplo é semelhante ao exemplo anterior com todos os operadores de herança filho bloqueados, exceto no nível superior dos plans. A configuração @@append nesse nível permite que as políticas filho adicionem outros planos à coleção na política efetiva. Quaisquer alterações ao plano herdado ainda são bloqueadas.
As seções do plano estão truncadas para maior clareza.
{ "plans": { "@@operators_allowed_for_child_policies": ["@@append"], "PII_Backup_Plan": { "@@operators_allowed_for_child_policies": ["@@none"], "regions": { ... }, "rules": { ... }, "selections": { ... } } } }
Política subordinada – Esta política pode ser anexada diretamente à conta ou a uma UO em qualquer nível abaixo daquele ao qual a política superior está anexada. Esta política filho define um novo plano.
As seções do plano estão truncadas para maior clareza.
{ "plans": { "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Política em vigor resultante – A política em vigor inclui ambos os planos.
{ "plans": { "PII_Backup_Plan": { "regions": { ... }, "rules": { ... }, "selections": { ... } }, "MonthlyBackupPlan": { "regions": { ... }, "rules": { ... }, "selections": { … } } } }
Exemplo 5: Uma política filho substitui as configurações numa política pai
No exemplo a seguir, uma política subordinada usa operadores de definição de valor para substituir algumas das configurações herdadas de uma política superior.
Política superior – Esta política pode ser anexada à raiz da organização ou a qualquer UO superior. Qualquer uma das configurações pode ser substituída por uma política filho porque o comportamento padrão, na ausência de um operador de controle filho que o impede, é permitir a política filho para @@assign, @@append, ou @@remove. A política pai contém todos os elementos necessários para um plano de backup válido; portanto, ele faz backup de seus recursos com êxito se for herdado como está.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@append": [ "us-east-1", "ap-northeast-3", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "60"}, "target_backup_vault_name": {"@@assign": "FortKnox"}, "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": {"@@assign": "2"}, "move_to_cold_storage_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:t2": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "28"}, "delete_after_days": {"@@assign": "180"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"}, "tag_key": {"@@assign": "dataType"}, "tag_value": { "@@assign": [ "PII", "RED" ] } } } } } } }
Política subordinada – A política subordinada inclui apenas as configurações que precisam ser diferentes da política superior herdada. Deve haver uma política superior herdada que forneça as outras configurações necessárias quando mescladas em uma política em vigor. Caso contrário, a política de backup em vigor contém um plano de backup inválido que não fará backup de seus recursos conforme o esperado.
{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "us-west-2", "eu-central-1" ] }, "rules": { "Hourly": { "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"}, "start_backup_window_minutes": {"@@assign": "80"}, "target_backup_vault_name": {"@@assign": "Default"}, "lifecycle": { "move_to_cold_storage_after_days": {"@@assign": "30"}, "delete_after_days": {"@@assign": "365"}, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } } }
Política em vigor resultante – A política em vigor inclui configurações de ambas as políticas, com as configurações fornecidas pela política subordinada substituindo as configurações herdadas da superior. Neste exemplo, ocorrem as seguintes alterações:
-
A lista de regiões é substituída por uma lista completamente diferente. Se você quiser adicionar uma região à lista herdada, consulte
@@appendem vez de@@assignna política subordinada. -
AWS Backup executa a cada duas horas, em vez de a cada hora.
-
AWS Backup permite 80 minutos para que o backup seja iniciado em vez de 60 minutos.
-
AWS Backup usa o
Defaultcofre em vez de.FortKnox -
O ciclo de vida é estendido tanto para a transferência para o armazenamento frio quanto para a eventual exclusão do backup.
{ "plans": { "PII_Backup_Plan": { "regions": [ "us-west-2", "eu-central-1" ], "rules": { "hourly": { "schedule_expression": "cron(0 0/2 ? * * *)", "start_backup_window_minutes": "80", "target_backup_vault_name": "Default", "index_actions": { "resource_types": { "@@assign": [ "EBS", "S3" ] } }, "lifecycle": { "delete_after_days": "365", "move_to_cold_storage_after_days": "30", "opt_in_to_archive_for_supported_resources": "false" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": { "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"}, "lifecycle": { "move_to_cold_storage_after_days": "28", "delete_after_days": "180", "opt_in_to_archive_for_supported_resources": "false" } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole", "tag_key": "dataType", "tag_value": [ "PII", "RED" ] } } } } } }
Exemplo 6: especificar recursos com o bloco de tags
O exemplo a seguir inclui todos os recursos com tag_key = “env” e tag_value = "prod" e "gamma". Este exemplo exclui recursos com o tag_key = "backup" e o tag_value ="false".
... "selections":{ "tags":{ "selection_name":{ "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"}, "tag_key":{"@@assign": "env"}, "tag_value":{"@@assign": ["prod", "gamma"]}, "conditions":{ "string_not_equals":{ "condition_name1":{ "condition_key": { "@@assign": "aws:ResourceTag/backup" }, "condition_value": { "@@assign": "false" } } } } } } }, ...
Exemplo 7: especificar recursos com o bloco de resources
Veja a seguir exemplos do uso do bloco de resources para especificar recursos.
