Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Políticas de copia de seguridad
Las políticas de respaldo le permiten administrar y aplicar planes de respaldo de manera centralizada a los AWS recursos de las cuentas de una organización.
[AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/)le permite crear [planes de respaldo](https://docs.aws.amazon.com/aws-backup/latest/devguide/about-backup-plans.html) que definen cómo realizar copias de seguridad de sus AWS recursos. Las reglas del plan incluyen una variedad de ajustes, como la frecuencia de las copias de seguridad, el intervalo de tiempo durante el cual se realiza la copia de seguridad, la forma en que se Región de AWS contienen los recursos de los que se debe realizar la copia de seguridad y el almacén en el que se almacena la copia de seguridad. A continuación, puede aplicar un plan de respaldo a los grupos de AWS recursos identificados mediante etiquetas. También debe identificar un rol AWS Identity and Access Management (de IAM) que otorgue AWS Backup permiso para realizar la operación de respaldo en su nombre.
Las políticas de Backup AWS Organizations combinan todas esas piezas en documentos de texto [JSON](https://json.org). Puedes adjuntar una política de copias de seguridad a cualquiera de los elementos de la estructura de tu organización, como la raíz, las unidades organizativas (OUs) y las cuentas individuales. Organizations aplica reglas de herencia para combinar las políticas de la organización raíz, de cualquier matriz OUs o adjuntas a la cuenta. Esto da como resultado una [política de copia de seguridad en vigor](orgs_manage_policies_effective.md) para cada cuenta. Esta política eficaz indica AWS Backup cómo hacer copias de seguridad automáticas de sus AWS recursos.
## Funcionamiento de las políticas de copia de seguridad
Las políticas de copia de seguridad le proporcionan un control detallado sobre las copias de seguridad de sus recursos en cualquier nivel que requiera su organización. Por ejemplo, puede especificar en una política asociada al nodo raíz de la organización que se debe realizar una copia de seguridad de todas las tablas de Amazon DynamoDB. Esa política puede incluir una frecuencia de copia de seguridad predeterminada. A continuación, puede adjuntar una política de respaldo OUs que anule la frecuencia de respaldo de acuerdo con los requisitos de cada unidad organizativa. Por ejemplo, la unidad organizativa `Developers` puede especificar una frecuencia de copia de seguridad de una vez por semana, mientras que la unidad organizativa `Production` especifica una vez por día.
Puede crear políticas de copia de seguridad parciales que solo incluyan una parte de la información necesaria para realizar correctamente la copia de seguridad de sus recursos. Puede adjuntar estas políticas a diferentes partes del árbol organizativo, como la OU raíz o la unidad organizativa principal, con la intención de que esas políticas parciales las hereden las cuentas de nivel inferior OUs . Cuando Organizations combina todas las políticas de una cuenta mediante reglas de herencia, la política en vigor resultante debe tener todos los elementos necesarios. De lo contrario, AWS Backup considera que la política no es válida y no hace copias de seguridad de los recursos afectados.
**importante**
AWS Backup solo puede realizar una copia de seguridad correcta cuando se aplica mediante una política *completa* y eficaz que contenga todos los elementos necesarios.
Aunque una estrategia de política parcial como la descrita anteriormente puede funcionar, si una política en vigor de una cuenta está incompleta, se producirán errores o habrá recursos de los que no se realicen correctamente las copias de seguridad. Como estrategia alternativa, plantéese exigir que todas las políticas de copia de seguridad estén completas y sean válidas por sí mismas. Utilice los valores predeterminados proporcionados por las políticas asociadas a un nivel más alto en la jerarquía y reemplácelos cuando sea necesario en las políticas secundarias mediante la inclusión de [operadores de control secundarios de herencia](policy-operators.md).
El plan de respaldo efectivo para cada Cuenta de AWS miembro de la organización aparece en la AWS Backup consola como un plan inmutable para esa cuenta. Puede verlo, pero no cambiarlo. Sin embargo, puede añadir o eliminar las etiquetas del plan de respaldo mediante [TagResource](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_TagResource.html)y. [UntagResource](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UntagResource.html) APIs
Cuando se AWS Backup inicia una copia de seguridad basada en un plan de copia de seguridad creado por una política, puede ver el estado de la tarea de copia de seguridad en la AWS Backup consola. Un usuario de una cuenta de miembro puede ver el estado y los errores de los trabajos de copia de seguridad de esa cuenta de miembro. Si también habilitas el acceso a un servicio confiable con AWS Backup, un usuario de la cuenta de administración de la organización podrá ver el estado y los errores de todos los trabajos de respaldo de la organización. Para obtener más información, consulte [Cómo habilitar la administración entre cuentas](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#enable-cross-account) en la *Guía para desarrolladores AWS Backup *.
# Introducción a las políticas de copia de seguridad
Siga estos pasos para empezar a utilizar las políticas de copia de seguridad.
1. [Obtenga información sobre los permisos que debe tener para realizar tareas de políticas de copia de seguridad](orgs_manage_policies_prereqs.md)
1. [Obtenga más información sobre algunas prácticas que recomendamos al utilizar políticas de copia de seguridad](orgs_manage_policies_backup_best-practices.md).
1. [Habilite políticas de copia de seguridad para su organización](enable-policy-type.md).
1. [Crear una política de copias de seguridad](orgs_policies_create.md#create-backup-policy-procedure).
1. [Asocie la política de copia de seguridad a la raíz, unidad organizativa o cuenta de su organización](orgs_policies_attach.md).
1. [Vea la política de copia de seguridad en vigor combinada que se aplica a una cuenta](orgs_manage_policies_effective.md).
Para todos estos pasos, debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
**Información adicional**
+ [Aprenda la sintaxis de las políticas de copia de seguridad y vea ejemplos de políticas](orgs_manage_policies_backup_syntax.md)
# Prácticas recomendadas para el uso de políticas de copia de seguridad
AWS recomienda las siguientes prácticas recomendadas para el uso de políticas de respaldo.
## Decidir una estrategia de política de copia de seguridad
Puede crear políticas de copia de seguridad en partes incompletas que se heredan y fusionan para crear una política completa para cada cuenta de miembro. Si lo hace, corre el riesgo de terminar con una política en vigor incompleta si realiza un cambio en un nivel sin considerar detenidamente el impacto del cambio en todas las cuentas que estén por debajo de ese nivel. Para que esto no ocurra, le recomendamos que se asegure de que las políticas de copia de seguridad que implemente en todos los niveles estén completas por sí mismas. Trate las políticas principales como valores de políticas predeterminados que se pueden reemplazar por la configuración especificada en las políticas secundarias. De esta forma, incluso aunque no exista una política secundaria, la política heredada estará completa y utilizará los valores predeterminados. Puede controlar qué configuración se puede añadir, cambiar o eliminar en las políticas secundarias mediante los [operadores de herencia de control secundarios](policy-operators.md#child-control-operators).
## Valide los cambios realizados en sus políticas de copia de seguridad mediante `GetEffectivePolicy`
Cuando realice un cambio en una política de copia de seguridad, compruebe las políticas en vigor de cuentas representativas que estén por debajo del nivel en el que haya realizado el cambio. [Para ver la política en vigor Consola de administración de AWS, utilice la](orgs_manage_policies_effective.md) operación de [GetEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_GetEffectivePolicy.html)API o una de sus variantes AWS CLI o del AWS SDK. Asegúrese de que el cambio que ha realizado haya tenido el impacto previsto en la política en vigor.
## Comience de forma sencilla y haga pequeños cambios
Para simplificar la depuración, comience con políticas sencillas y realice cambios de un elemento cada vez. Valide el comportamiento y el impacto de cada cambio antes de realizar el siguiente cambio. Este abordaje reduce el número de variables que tiene que tener en cuenta cuando se produce un error o un resultado inesperado.
## Guarde copias de sus copias de seguridad en otras cuentas Regiones de AWS y en las de su organización
Para mejorar su posición de recuperación de desastres, puede almacenar copias de sus copias de seguridad.
+ **Una región diferente**: si guardas copias de la copia de seguridad en otra región Regiones de AWS, ayudarás a proteger la copia de seguridad contra su corrupción o eliminación accidental en la región original. Use la sección `copy_actions` de la política para especificar un almacén en una o varias regiones de la misma cuenta en la que se ejecuta el plan de copia de seguridad. Para ello, identifique la cuenta mediante la variable `$account` cuando especifique el ARN del almacén de copia de seguridad en el que se almacenará la copia de la copia de seguridad. La variable `$account ` se reemplaza automáticamente en tiempo de ejecución con el ID de cuenta en el que se está ejecutando la política de copia de seguridad.
+ **Una cuenta diferente**: si guardas copias de la copia de seguridad en una cuenta adicional Cuentas de AWS, añadirás una barrera de seguridad que te ayudará a protegerte de cualquier agente malintencionado que ponga en peligro una de tus cuentas. Use la sección `copy_actions` de la política para especificar un almacén en una o varias cuentas de la organización, independientemente de la cuenta en la que se ejecuta el plan de copia de seguridad. Para ello, identifique la cuenta usando el número de ID real de la cuenta cuando especifique el ARN del almacén de copia de seguridad en el que se almacenará la copia de la copia de seguridad.
## Limite el número de planes por política
En las políticas que contienen varios planes es más complicado solucionar problemas ya que hay que validar un mayor número de salidas. Por ello, le recomendamos que haga que cada política contenga un solo plan de copia de seguridad para simplificar la depuración y la resolución de problemas. A continuación, puede añadir más políticas con otros planes para cumplir con otros requisitos. Este abordaje ayuda a mantener los problemas con un plan aislados en una política y evita que esos problemas compliquen la resolución de problemas con otras políticas y sus planes.
## Utilice stack sets para crear los almacenes de copias de seguridad y los roles de IAM necesarios
Utilice la integración de conjuntos de AWS CloudFormation pilas con Organizations para crear automáticamente las bóvedas de respaldo y las funciones AWS Identity and Access Management (IAM) necesarias en cada una de las cuentas de los miembros de su organización. Puede crear un conjunto apilado que incluya los recursos que desee que estén disponibles automáticamente Cuenta de AWS en todos los miembros de su organización. Este abordaje le permite ejecutar sus planes de copia de seguridad con la seguridad de que las dependencias ya se cumplen. Para obtener más información, consulte [Crear un Stack Set con permisos autoadministrados](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#create-stack-set-service-managed-permissions) en la *Guía del usuario AWS CloudFormation *.
## Compruebe sus resultados revisando la primera copia de seguridad creada en cada cuenta
Cuando realice un cambio en una política, compruebe la siguiente copia de seguridad creada después de ese cambio para asegurarse de que el cambio tuvo el impacto deseado. Este paso va más allá de analizar la política efectiva y garantiza que AWS Backup interprete sus políticas e implemente los planes de respaldo de la manera prevista.
# Uso de AWS CloudTrail eventos para monitorear las políticas de respaldo en su organización
Puede usar AWS CloudTrail los eventos para monitorear cuándo se crean, actualizan o eliminan las políticas de respaldo de cualquier cuenta de su organización, o cuando hay un plan de respaldo organizacional no válido. Para obtener más información, consulte [Cómo registrar eventos de administración entre cuentas](https://docs.aws.amazon.com/aws-backup/latest/devguide/logging-using-cloudtrail.html#logging-cam-events) en la *Guía para desarrolladores AWS Backup *.
# Ejemplos y sintaxis de políticas de copia de seguridad
En esta página se describe la sintaxis de la política de copia de seguridad y se proporcionan ejemplos.
## Sintaxis de las políticas de copia de seguridad
Una política de copia de seguridad es un archivo de texto sin formato que se estructura de acuerdo con las reglas de [JSON](http://json.org). La sintaxis de las políticas de copia de seguridad sigue la sintaxis de todos los tipos de políticas de administración. Para obtener más información, consulte [Sintaxis de política y herencia para tipos de políticas de administración](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Este tema se centra en aplicar esa sintaxis general a los requisitos específicos del tipo de política de copia de seguridad.
Para obtener más información sobre AWS Backup los planes, consulte [CreateBackupPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateBackupPlan.html)la *Guía para AWS Backup desarrolladores*.
## Consideraciones
**Sintaxis de políticas**
Se rechazarán los nombres de clave duplicados en JSON.
Las políticas deben especificar los recursos Regiones de AWS y los que se van a respaldar.
Las políticas deben especificar la función de IAM que AWS Backup asume.
El uso de un operador `@@assign` en el mismo nivel puede sobrescribir la configuración existente. Para obtener más información, consulte [Una política secundaria anula la configuración de una política principal](#backup-policy-example-5).
Los operadores de herencia controlan cómo se fusionan las políticas heredadas y las políticas de la cuenta con la política de etiquetas en vigor de la cuenta. Estos operadores incluyen operadores de configuración de valores y operadores de control secundarios.
Para obtener más información, consulte [Operadores de herencia](policy-operators.md) y [Ejemplos de políticas de copias de seguridad](#backup-policy-examples).
**Roles de IAM**
El rol de IAM debe existir al crear un plan de copias de seguridad por primera vez.
Este rol de IAM debe tener los permisos para acceder a recursos identificados mediante una consulta de etiquetas.
El rol de IAM debe tener permisos para realizar las copias de seguridad.
**Almacenes de copias de seguridad**
Para Regiones de AWS poder ejecutar un plan de respaldo, deben existir bóvedas en cada uno de los lugares especificados.
Deben existir almacenes para cada AWS cuenta que reciba la política vigente. Para obtener más información, consulte [Creación y eliminación del almacén de copias de seguridad](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html) en la *Guía para desarrolladores AWS Backup Backup*.
Le recomendamos que utilice conjuntos de AWS CloudFormation pilas y su integración con Organizations para crear y configurar automáticamente bóvedas de respaldo y funciones de IAM para cada cuenta de miembro de la organización. Para obtener más información, consulte [Crear un conjunto de pilas con permisos autoadministrados](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#create-stack-set-service-managed-permissions) en la *Guía del usuario AWS CloudFormation *.
**Cuotas**
Para obtener más información sobre las listas de cuotas, consulte [Cuotas de AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html#aws-backup-policies-quotas-table) en la *Guía para desarrolladores de AWS Backup *.
## Sintaxis de copia de seguridad: descripción general
La sintaxis de política de copia de seguridad incluye los siguientes componentes:
```
{
"plans": {
"PlanName": {
"rules": { ... },
"regions": { ... },
"selections": { ... },
"advanced_backup_settings": { ... },
"backup_plan_tags": { ... },
"scan_settings": { ... }
}
}
}
```
**Elementos de la política de copias de seguridad**
| Element | Description (Descripción) | Obligatorio |
| --- | --- | --- |
| [reglas](#backup-policy-rules) | Lista de reglas de copias de seguridad. Cada regla define cuándo se inician las copias de seguridad y la ventana de ejecución de los recursos especificados en los elementos regions y selections. | Sí |
| [regiones](#backup-plan-regions) | Lista de los Regiones de AWS lugares en los que una política de respaldo puede proteger los recursos. | Sí |
| [selecciones](#backup-plan-selections) | Uno o más tipos de recursos dentro de las regions especificadas que protegen la copia de seguridad rules. | Sí |
| [advanced\$1backup\$1settings](#advanced-backup-settings) | Opciones de configuración para escenarios de copias de seguridad específicos. Actualmente, la única configuración avanzada de copia de seguridad admitida habilita las copias de seguridad de Microsoft Volume Shadow Copy Service (VSS) para Windows o SQL Server que se ejecutan en una instancia de Amazon EC2. | No |
| [backup\$1plan\$1tags](#backup-plan-tags) | Etiquetas que se deseen asociar a un plan de copias de seguridad. Cada etiqueta es una marca que consta de una clave y un valor definidos por el usuario. Las etiquetas pueden ayudarle a administrar, identificar, organizar, buscar y filtrar los planes de copias de seguridad. | No |
| [scan\$1settings](#scan-settings) | Opciones de configuración para los ajustes de escaneo. Actualmente, la única configuración de escaneo que se admite es habilitar Amazon GuardDuty Malware Protection para AWS Backup. | No |
## Sintaxis de copias de seguridad: reglas
La clave de política `rules` especifica las tareas de copias de seguridad programadas que AWS Backup realiza en los recursos seleccionados.
**Elementos de la regla de copias de seguridad**
| Element | Description (Descripción) | Obligatorio |
| --- | --- | --- |
| schedule\$1expression | Expresión cron en UTC que especifica cuándo se AWS Backup inicia un trabajo de copia de seguridad. Para obtener información sobre la expresión cron, consulte [Uso de expresiones cron y de calificación para programar reglas](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html) en la Guía * EventBridge del usuario de Amazon*. | Sí |
| target\$1backup\$1vault\$1name | Almacén de copias de seguridad donde se guardan las copias de seguridad. Los almacenes de Backup se identifican con nombres que son exclusivos de la cuenta utilizada para crearlos y del Región de AWS lugar donde se crearon. | Sí |
| target\$1logically\$1air\$1gapped\$1backup\$1vault\$1arn | Un ARN de bóveda con huecos lógicos donde se almacenan las copias de seguridad. Si se proporcionan, los recursos compatibles totalmente gestionados realizan copias de seguridad directamente en un almacén vacío de forma lógica, mientras que otros recursos compatibles crean una instantánea temporal (facturable) en la bóveda de respaldo y, a continuación, la copian en un almacén aislado de forma lógica. Los recursos no compatibles solo se respaldan en el almacén de respaldo especificado. El ARN debe usar los marcadores de posición `$region` especiales y. `$account` Por ejemplo, para una bóveda con un nombre, `AirGappedVault` el valor correcto es. `arn:aws:backup:$region:$account:backup-vault:AirGappedVault` | No |
| start\$1backup\$1window\$1minutes | Número de minutos a esperar antes de cancelar un trabajo de copia de seguridad si no se ha iniciado correctamente. Si se incluye este valor, debe ser de al menos 60 minutos para evitar errores. | No |
| complete\$1backup\$1window\$1minutes | Número de minutos después de que un trabajo de copia de seguridad se haya iniciado correctamente antes que AWS Backup deba completarlo o cancelarlo. | No |
| enable\$1continuous\$1backup | Especifica si AWS Backup crea copias de seguridad continuas. `True`provoca AWS Backup la creación de copias de seguridad continuas con capacidad de point-in-time restauración (PITR). `False`(o no especificado) provoca AWS Backup la creación de copias de seguridad instantáneas. Para obtener más información sobre las copias de seguridad continuas, consulte la [oint-in-timerecuperación de P](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html) en la *Guía para AWS Backup desarrolladores*. **Nota:** Las copias de seguridad compatibles con PIR tienen una retención máxima de 35 días. | No |
| lifecycle | Especifica cuándo AWS Backup pasa una copia de seguridad a almacenamiento en frío y cuándo caduca. Los tipos de recursos que se pueden trasladar al almacenamiento en frío se enumeran en la tabla Disponibilidad de características por recurso [Disponibilidad de características por recurso](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) en la *Guía para desarrolladores de AWS Backup *. Cada ciclo de vida contiene los siguientes elementos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) **Nota**: Las copias de seguridad que se han migrado al almacenamiento en frío deben permanecer en él durante un mínimo de 90 días. Esto significa que `delete_after_days` debe ser 90 días superior a `move_to_cold_storage_after_days`. | No |
| copy\$1actions | Especifica si AWS Backup copia una copia de seguridad en una o más ubicaciones adicionales. Cada copia de acción contiene los siguientes elementos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) **Nota**: Las copias de seguridad que se han migrado al almacenamiento en frío deben permanecer en él durante un mínimo de 90 días. Esto significa que `delete_after_days` debe ser 90 días superior a `move_to_cold_storage_after_days`. | No |
| recovery\$1point\$1tags | Etiquetas que se desean asignar a los recursos que se restauran desde una copia de seguridad. Cada etiqueta contiene los siguientes elementos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | No |
| index\$1actions | Especifica si AWS Backup crea un índice de copias de seguridad de las instantáneas de Amazon EBS, las copias de seguridad de and/or Amazon S3. Los índices de copias de seguridad se crean para buscar los metadatos de sus copias de seguridad. Para obtener más información sobre la creación del índice de copias de seguridad y la búsqueda de copias de seguridad, consulte [Búsqueda de copias de seguridad](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-overview). **Nota:** Se requieren [permisos del rol de IAM](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-access) adicionales para crear el índice de copias de seguridad de instantáneas de Amazon EBS. Cada acción de indexación contiene el siguiente elemento: `resource_types`, donde los tipos de recursos compatibles para la indexación son Amazon EBS y Amazon S3. Este parámetro especifica el tipo de recurso que se seleccionará para la indexación. | No |
| scan\$1actions | Especifica si una acción de escaneo está habilitada para una regla determinada. Debe especificar un`ScanMode`. Debe utilizar `scan_settings` los elementos de la política de copias de seguridad en conjunto con `scan_actions` el fin de que los trabajos de digitalización se inicien correctamente. Asegúrese también de tener los [permisos de rol de IAM](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access) correctos. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | No |
## Sintaxis de copia de seguridad: regiones
La clave `regions` de política especifica qué Regiones de AWS recursos AWS Backup busca para encontrar los recursos que coincidan con las condiciones de la `selections` clave.
**Elementos de las regiones de copias de seguridad**
| Element | Description (Descripción) | Obligatorio |
| --- | --- | --- |
| regions | Especifica los Región de AWS códigos. Por ejemplo: `["us-east-1", "eu-north-1"]`. | Sí |
## Sintaxis de copia de seguridad: selecciones
La clave de política `selections` especifica los recursos que están respaldados por las reglas en una política de copias de seguridad.
Existen dos elementos que se excluyen mutuamente: `tags` y `resources`. Una política en vigor **debe** `have` etiquetas o `resources` en la selección para ser válida.
Si desea una selección con condiciones de etiqueta y condiciones de recursos, utilice las teclas `resources`.
**Elementos de selección de la copia de seguridad: etiquetas**
| Element | Description (Descripción) | Obligatorio |
| --- | --- | --- |
| iam\$1role\$1arn | Función de IAM que consiste AWS Backup en consultar, descubrir y hacer copias de seguridad de los recursos en las regiones especificadas. El rol debe tener permisos suficientes para consultar los recursos según las condiciones de las etiquetas y para realizar operaciones de respaldo en los recursos coincidentes. | Sí |
| tag\$1key | Nombre de la etiqueta clave que desea buscar. | Sí |
| tag\$1value | Valor que debe estar asociado a tag\$1key coincidente. AWS Backup únicamente incluye el recurso si tag\$1key y tag\$1value coinciden (distingue entre mayúsculas y minúsculas). | Sí |
| conditions | Etiquete las claves y los valores que desee incluir o excluir Utilice string\$1equals o string\$1not\$1equals para incluir o excluir etiquetas que coincidan exactamente. Utilice string\$1like y string\$1not\$1like para incluir o excluir etiquetas que contengan o no caracteres específicos **Nota:** Limitado a 30 condiciones para cada selección. | No |
**Elementos de selección de la copia de seguridad: recursos**
| Element | Description (Descripción) | Obligatorio |
| --- | --- | --- |
| iam\$1role\$1arn | Función de IAM que consiste AWS Backup en consultar, descubrir y hacer copias de seguridad de los recursos en las regiones especificadas. El rol debe tener permisos suficientes para consultar los recursos según las condiciones de las etiquetas y para realizar operaciones de respaldo en los recursos coincidentes. **Nota:** En AWS GovCloud (US) Regions, debe añadir el nombre de la partición al ARN. Por ejemplo, “`arn:aws:ec2:*:*:volume/*`” debe ser “`arn:aws-us-gov:ec2:*:*:volume/*`”. | Sí |
| resource\$1types | Tipos de recursos que se deben incluir en un plan de copia de seguridad. | Sí |
| not\$1resource\$1types | Tipos de recursos que se deben excluir de un plan de copia de seguridad. | No |
| conditions | Etiquete las claves y los valores que desee incluir o excluir Utilice string\$1equals o string\$1not\$1equals para incluir o excluir etiquetas que coincidan exactamente. Utilice string\$1like y string\$1not\$1like para incluir o excluir etiquetas que contengan o no caracteres específicos **Nota:** Limitado a 30 condiciones para cada selección. | No |
**Tipos de recursos compatibles**
Organizations es compatible los siguientes tipos de recursos de los elementos `resource_types` y `not_resource_types`:
+ AWS Backup gateway máquinas virtuales: `"arn:aws:backup-gateway:*:*:vm/*"`
+ AWS CloudFormation pilas: `"arn:aws:cloudformation:*:*:stack/*"`
+ Tablas de Amazon DynamoDB: `"arn:aws:dynamodb:*:*:table/*"`
+ Instancias de Amazon EC2: `"arn:aws:ec2:*:*:instance/*"`
+ Volúmenes de Amazon EBS: `"arn:aws:ec2:*:*:volume/*"`
+ Sistemas de archivos de Amazon EFS: `"arn:aws:elasticfilesystem:*:*:file-system/*"`
+ Clústeres de Amazon Aurora/Amazon DocumentDB/Amazon Neptune: `"arn:aws:rds:*:*:cluster:*"`
+ Bases de datos de Amazon RDS: `"arn:aws:rds:*:*:db:*"`
+ Clústeres de Amazon Redshift: `"arn:aws:redshift:*:*:cluster:*"`
+ Amazon S3: `"arn:aws:s3:::*"`
+ AWS Systems Manager para SAP Bases de datos HANA: `"arn:aws:ssm-sap:*:*:HANA/*"`
+ AWS Storage Gateway pasarelas: `"arn:aws:storagegateway:*:*:gateway/*"`
+ Bases de datos de Amazon Timestream: `"arn:aws:timestream:*:*:database/*"`
+ Sistemas de FSx archivos de Amazon: `"arn:aws:fsx:*:*:file-system/*"`
+ FSx Volúmenes de Amazon: `"arn:aws:fsx:*:*:volume/*"`
+ Volúmenes de Amazon Elastic Kubernetes Service: `"arn:aws:eks:*:*:cluster/*"`
**Ejemplos de código**
Para obtener más información, consulte [Especificar recursos con el bloque de etiquetas](#backup-policy-example-6) y [Especificar recursos con el bloque de recursos](#backup-policy-example-7).
## Sintaxis de la copia de seguridad: configuración avanzada de la copia de seguridad
La clave `advanced_backup_settings` especifica las opciones de configuración para escenarios de copia de seguridad específicos. Cada configuración contiene los siguientes elementos:
**Elementos de configuración de copia de seguridad avanzado**
| Element | Description (Descripción) | Obligatorio |
| --- | --- | --- |
| advanced\$1backup\$1settings | Especifica la configuración de escenarios de copia de seguridad específicos. Esta clave contiene una o varias opciones de configuración. Cada configuración es una cadena de objetos JSON con los siguientes elementos: Actualmente, la única configuración avanzada de copia de seguridad admitida habilita las copias de seguridad de Microsoft Volume Shadow Copy Service (VSS) para Windows o SQL Server que se ejecutan en una instancia de Amazon EC2. Cada copia de seguridad avanzada tiene los siguientes elementos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | No |
**Ejemplo:**
```
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
},
```
## Sintaxis de la copia de seguridad: etiquetas del plan de copia de seguridad
La clave de política `backup_plan_tags` especifica las etiquetas asociadas a un plan de copia de seguridad en sí. Esto no afecta a las etiquetas especificadas para `rules` o `selections`.
**Elementos de etiqueta del plan de copia de seguridad**
| Element | Description (Descripción) | Obligatorio |
| --- | --- | --- |
| backup\$1plan\$1tags | Cada etiqueta es una marca que consta de una clave y un valor definidos por el usuario: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | No |
## Sintaxis de Backup: configuración de escaneo
La clave `scan_settings` de política especifica la configuración para el análisis de malware mediante Amazon GuardDuty Malware Protection for AWS Backup. Debe `scan_settings` utilizarla junto con las reglas de copia `scan_actions` de seguridad para que los trabajos de escaneo se inicien correctamente.
**Escanea los elementos de configuración**
| Element | Description (Descripción) | Obligatorio |
| --- | --- | --- |
| scan\$1settings | Opciones de configuración para los ajustes de escaneo. Actualmente, la única configuración de escaneo que se admite es habilitar Amazon GuardDuty Malware Protection para AWS Backup. Debe especificar el `ResourceTypes` y`ScannerRoleArn`. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | No |
**Ejemplo:**
A continuación, se muestra cómo configurar `scan_actions` una regla de respaldo y `scan_settings` a nivel de plan para habilitar el escaneo de Amazon GuardDuty Malware Protection.
`scan_actions`en una regla:
```
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
```
`scan_settings`a nivel del plan:
```
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": ["EBS"]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
```
## Ejemplos de políticas de copia de seguridad
Los ejemplos de políticas de copia de seguridad siguientes son solo para fines informativos. En algunos de los ejemplos siguientes, el formato de espacio en blanco JSON podría comprimirse para ahorrar espacio.
+ [Ejemplo 1: Política asignada a un nodo principal](#backup-policy-example-1)
+ [Ejemplo 2: Una política principal se fusiona con una política secundaria](#backup-policy-example-2)
+ [Ejemplo 3: Una política principal impide cualquier cambio por parte de una política secundaria](#backup-policy-example-3)
+ [Ejemplo 4: Una política para padres impide que una política para hijos modifique un plan alternativo](#backup-policy-example-4)
+ [Ejemplo 5: Una política para niños anula la configuración de una política para padres](#backup-policy-example-5)
+ [Ejemplo 6: Especificar recursos con el bloque de etiquetas](#backup-policy-example-6)
+ [Ejemplo 7: Especificar recursos con el bloque de recursos](#backup-policy-example-7)
+ [Ejemplo 8: Plan de Backup con escaneo de Amazon GuardDuty Malware Protection](#backup-policy-example-8)
### Ejemplo 1: política asignada a un nodo principal
En el ejemplo siguiente se muestra una política de copia de seguridad asignada a uno de los nodos principales de una cuenta.
**Política principal**: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa que sea primaria de todas las cuentas previstas.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"ap-northeast-2",
"us-east-1",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {
"@@assign": "cron(0 5/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "480"
},
"complete_backup_window_minutes": {
"@@assign": "10080"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "180"
},
"delete_after_days": {
"@@assign": "270"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
},
"target_backup_vault_name": {
"@@assign": "FortKnox"
},
"target_logically_air_gapped_backup_vault_arn": {
"@@assign": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault"
},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@assign": "dataType"
},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
}
}
}
}
```
Si no se hereda ni se adjunta ninguna otra política a las cuentas, la política vigente que aparece en cada una de las correspondientes es la Cuenta de AWS que se muestra en el siguiente ejemplo. La expresión CRON hace que la copia de seguridad se ejecute una vez por hora, a la hora en punto. El ID de cuenta 123456789012 será el ID de cuenta real de cada cuenta.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"target_logically_air_gapped_backup_vault_arn": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": "enabled"
}
}
}
}
}
```
### Ejemplo 2: una política principal se fusiona con una política secundaria
En el siguiente ejemplo, una política principal heredada y una política secundaria se heredan o se asocian directamente a una Cuenta de AWS fusión para formar la política efectiva.
**Política principal**: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "60" },
"target_backup_vault_name": { "@@assign": "FortKnox" },
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII", "RED" ] }
}
}
}
}
}
}
```
**Política secundaria**: esta política puede estar asociada directamente a la cuenta o a una unidad organizativa en cualquier nivel por debajo del nivel al que está asociada.
```
{
"plans": {
"Monthly_Backup_Plan": {
"regions": {
"@@append":[ "us-east-1", "eu-central-1" ] },
"rules": {
"Monthly": {
"schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"target_backup_vault_name": { "@@assign": "Default" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"MonthlyDatatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" },
"tag_key": { "@@assign": "BackupType" },
"tag_value": { "@@assign": [ "MONTHLY", "RED" ] }
}
}
}
}
}
}
```
**Resultado de políticas en vigor**: la política efectiva aplicada a las cuentas contiene dos planes, cada uno con su propio conjunto de reglas y conjunto de recursos a los que aplicar las reglas.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [ "PII", "RED" ]
}
}
}
},
"Monthly_Backup_Plan": {
"regions": [ "us-east-1", "eu-central-1" ],
"rules": {
"monthly": {
"schedule_expression": "cron(0 5 1 * ? *)",
"start_backup_window_minutes": "480",
"target_backup_vault_name": "Default",
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn": {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": "30",
"delete_after_days": "365",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"monthlydatatype": {
"iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole",
"tag_key": "BackupType",
"tag_value": [ "MONTHLY", "RED" ]
}
}
}
}
}
}
```
### Ejemplo 3: una política principal evita los cambios realizados por una política secundaria
En el ejemplo siguiente, una política principal heredada utiliza los [operadores de control secundarios](policy-operators.md#child-control-operators) para aplicar toda la configuración y evita que una política secundaria los modifique.
**Política principal**: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. La presencia de `"@@operators_allowed_for_child_policies": ["@@none"]` en cada nodo de la política significa que una política secundaria no puede realizar cambios de ningún tipo en el plan. Tampoco puede una política secundaria añadir planes adicionales a la política en vigor. Esta política se convierte en la política en vigor para cada unidad organizativa y cuenta bajo la unidad organizativa a la que está asociada.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@none"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"@@operators_allowed_for_child_policies": ["@@none"],
"Hourly": {
"@@operators_allowed_for_child_policies": ["@@none"],
"schedule_expression": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "cron(0 0/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "60"
},
"target_backup_vault_name": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "FortKnox"
},
"index_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
},
"copy_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"@@operators_allowed_for_child_policies": ["@@none"],
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault",
"@@operators_allowed_for_child_policies": ["@@none"]
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"@@operators_allowed_for_child_policies": ["@@none"],
"tags": {
"@@operators_allowed_for_child_policies": ["@@none"],
"datatype": {
"@@operators_allowed_for_child_policies": ["@@none"],
"iam_role_arn": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "dataType"
},
"tag_value": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"@@operators_allowed_for_child_policies": ["@@none"],
"ec2": {
"@@operators_allowed_for_child_policies": ["@@none"],
"windows_vss": {
"@@assign": "enabled",
"@@operators_allowed_for_child_policies": ["@@none"]
}
}
}
}
}
}
```
**Resultado de políticas en vigor**: si existe alguna política de copia de seguridad secundaria, se ignora y la política principal se convierte en la política efectiva.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault",
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {"windows_vss": "enabled"}
}
}
}
}
```
### Ejemplo 4: una política principal impide que una política secundaria realice cambios en un plan de copia de seguridad.
En el ejemplo siguiente, una política principal heredada utiliza los [operadores de control secundarios](policy-operators.md#child-control-operators) para aplicar la configuración de un único plan y evita que una política secundaria los modifique. De todas formas, la política secundaria puede agregar planes adicionales.
**Política principal**: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. Este ejemplo es similar al ejemplo anterior con todos los operadores secundarios heredados bloqueados, excepto en el nivel superior de `plans`. La configuración `@@append` en ese nivel permite a las políticas secundarias agregar otros planes a la recopilación en la política en vigor. Cualquier cambio en el plan heredado sigue bloqueado.
Las secciones del plan se truncan para mayor claridad.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@append"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": { ... },
"rules": { ... },
"selections": { ... }
}
}
}
```
**Política secundaria**: esta política puede estar asociada directamente a la cuenta o a una unidad organizativa en cualquier nivel por debajo del nivel al que está asociada. Esta política secundaria define un nuevo plan.
Las secciones del plan se truncan para mayor claridad.
```
{
"plans": {
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
**Resultado de políticas en vigor** — La política en vigor incluye ambos planes.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { ... },
"rules": { ... },
"selections": { ... }
},
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
### Ejemplo 5: una política secundaria reemplaza la configuración de una política principal
En el ejemplo siguiente, una política secundaria utiliza [operadores de establecimiento de valores](policy-operators.md#value-setting-operators) para anular algunas de las configuraciones heredadas de una política principal.
**Política principal**: esta política se puede asociar al nodo raíz de la organización o a cualquier unidad organizativa principal. Cualquiera de las opciones puede ser anulada por una política secundaria porque el comportamiento predeterminado, en ausencia de un [operador de control secundario](policy-operators.md#child-control-operators) que lo impida, es permitir que la política secundaria `@@assign`, `@@append`, o `@@remove`. La política principal contiene todos los elementos necesarios para un plan de copia de seguridad válido, por lo que realiza una copia de seguridad de los recursos correctamente si se hereda tal y como está.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "60"},
"target_backup_vault_name": {"@@assign": "FortKnox"},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": {"@@assign": "2"},
"move_to_cold_storage_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:t2": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "28"},
"delete_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"},
"tag_key": {"@@assign": "dataType"},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
}
}
}
}
```
**Política secundaria**: la política secundaria incluye solo la configuración que debe ser diferente de la política principal heredada. Debe haber una política principal heredada que proporcione la otra configuración necesaria cuando se fusiona en una política en vigor. De lo contrario, la política de copia de seguridad efectiva contiene un plan de copia de seguridad no válido que no realiza una copia de seguridad de los recursos como se esperaba.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"us-west-2",
"eu-central-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "80"},
"target_backup_vault_name": {"@@assign": "Default"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "30"},
"delete_after_days": {"@@assign": "365"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
}
}
```
**Resultado de políticas en vigor**: la política en vigor incluye la configuración de ambas políticas, con la configuración proporcionada por la política secundaria anulando la configuración heredada de la principal. En este ejemplo, se producen los siguientes cambios:
+ La lista de regiones se sustituye por una lista completamente diferente. Si desea agregar una región a la lista heredada, utilice `@@append` en lugar de `@@assign` en la política secundaria.
+ AWS Backup actúa cada dos horas en lugar de cada hora.
+ AWS Backup permite que comience la copia de seguridad durante 80 minutos en lugar de 60 minutos.
+ AWS Backup utiliza la `Default` bóveda en lugar de`FortKnox`.
+ El ciclo de vida se extiende tanto para la transferencia al almacenamiento en frío como para la eliminación eventual de la copia de seguridad.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-west-2",
"eu-central-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/2 ? * * *)",
"start_backup_window_minutes": "80",
"target_backup_vault_name": "Default",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
}
}
}
}
```
### Ejemplo 6: Especificar recursos con el bloque de `tags`
El siguiente ejemplo incluye todos los recursos con los `tag_key` valores = `“env”` y `tag_value` = `"prod"` o`"gamma"`. En este ejemplo se excluyen los recursos con la `tag_key` = `"backup"` y el `tag_value` = `"false"`.
```
...
"selections":{
"tags":{
"selection_name":{
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"tag_key":{"@@assign": "env"},
"tag_value":{"@@assign": ["prod", "gamma"]},
"conditions":{
"string_not_equals":{
"condition_name1":{
"condition_key": { "@@assign": "aws:ResourceTag/backup" },
"condition_value": { "@@assign": "false" }
}
}
}
}
}
},
...
```
### Ejemplo 7: Especificar recursos con el bloque de `resources`
Los siguientes son ejemplos del uso del bloque de `resources` para especificar recursos.
------
#### [ Example: Select all resources in my account ]
La lógica booleana es similar a la que se puede utilizar en las políticas de IAM. El bloque de `"resource_types"` utiliza un booleano `AND` para combinar los tipos de recursos.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
}
}
},
...
```
------
#### [ Example: Select all resources in my account, but exclude Amazon EBS volumes ]
La lógica booleana es similar a la que se puede utilizar en las políticas de IAM. Los bloques de `"resource_types"` y `"not_resource_types"` utilizan un booleano `AND` para combinar los tipos de recursos.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true", but exclude Amazon EBS volumes ]
La lógica booleana es similar a la que se puede utilizar en las políticas de IAM. Los bloques de `"resource_types"` y `"not_resource_types"` utilizan un booleano `AND` para combinar los tipos de recursos. El bloque de `"conditions"` utiliza un booleano `AND`.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key": { "@@assign":"aws:ResourceTag/backup"},
"condition_value": { "@@assign":"true" }
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS DB instances tagged with both "backup" : "true" and "stage" : "prod" ]
La lógica booleana es similar a la que se puede utilizar en las políticas de IAM. El bloque de `"resource_types"` utiliza un booleano `AND` para combinar los tipos de recursos. El bloque de `"conditions"` utiliza un booleano `AND` para combinar los tipos de recursos y las condiciones de las etiquetas.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
},
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"prod"}
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS instances tagged with "backup" : "true" but not "stage" : "test" ]
La lógica booleana es similar a la que se puede utilizar en las políticas de IAM. El bloque de `"resource_types"` utiliza un booleano `AND` para combinar los tipos de recursos. El bloque de `"conditions"` utiliza un booleano `AND` para combinar los tipos de recursos y las condiciones de las etiquetas.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
},
"string_not_equals":{
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"test"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "key1" and a value which begins with "include" but not with "key2" and value that contains the word "exclude" ]
La lógica booleana es similar a la que se puede utilizar en las políticas de IAM. El bloque de `"resource_types"` utiliza un booleano `AND` para combinar los tipos de recursos. El bloque de `"conditions"` utiliza un booleano `AND` para combinar los tipos de recursos y las condiciones de las etiquetas.
En este ejemplo, observe el uso del carácter comodín `(*)` en `include*`, `*exclude*` y `arn:aws:rds:*:*:db:*`. Puede utilizar el carácter comodín `(*)` al principio, al final y al centro de una cadena.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"conditions":{
"string_like":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/key1"},
"condition_value":{"@@assign":"include*"}
}
},
"string_not_like":{
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/key2"},
"condition_value":{"@@assign":"*exclude*"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true" except Amazon FSx file systems and Amazon RDS resources ]
La lógica booleana es similar a la que se puede utilizar en las políticas de IAM. Los bloques de `"resource_types"` y `"not_resource_types"` utilizan un booleano `AND` para combinar los tipos de recursos. El bloque de `"conditions"` utiliza un booleano `AND` para combinar los tipos de recursos y las condiciones de las etiquetas.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign":[
"arn:aws:fsx:*:*:file-system/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
}
}
}
},
...
```
------
### Ejemplo 8: Plan de Backup con escaneo de Amazon GuardDuty Malware Protection
El siguiente ejemplo muestra una política de copias de seguridad que permite a Amazon GuardDuty Malware Protection escanear los puntos de recuperación de copias de seguridad. La política se basa `scan_actions` en la regla para habilitar el escaneo y, `scan_settings` a nivel del plan, para configurar el escáner.
Para utilizar esta función, debe tener los permisos de rol de IAM adecuados. Para obtener más información, consulte [Access](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access) en la *Guía para AWS Backup desarrolladores*.
```
{
"plans": {
"Malware_Scan_Backup_Plan": {
"regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"rules": {
"Daily_With_Incremental_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "35"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
},
"Monthly_With_Full_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 1 * ? *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "365"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "FULL_SCAN"
}
}
}
}
},
"selections": {
"tags": {
"scan_selection": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyBackupRole"
},
"tag_key": {
"@@assign": "backup"
},
"tag_value": {
"@@assign": [
"true"
]
}
}
}
},
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": [
"EBS"
]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
}
}
}
```
Los puntos clave de este ejemplo son:
+ `scan_actions`se especifica dentro de cada regla. El nombre del escáner `GUARDDUTY` se utiliza como clave. La regla diaria usa `INCREMENTAL_SCAN` y la regla mensual usa`FULL_SCAN`.
+ `scan_settings`se especifica a nivel del plan (no dentro de una regla). Configura la función del analizador y los tipos de recursos que se van a escanear.
+ `scanner_role_arn`Debe hacer referencia a una función de IAM con la política `AWSBackupGuardDutyRolePolicyForScans` gestionada adjunta y a una política de confianza que permita al director del `malware-protection.guardduty.amazonaws.com` servicio asumir la función.