Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Politiques de sauvegarde
Les politiques de sauvegarde vous permettent de gérer et d'appliquer de manière centralisée des plans de sauvegarde aux AWS ressources des comptes d'une organisation.
[AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/)vous permet de créer des [plans de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/about-backup-plans.html) qui définissent le mode de sauvegarde de vos AWS ressources. Les règles du plan incluent divers paramètres, tels que la fréquence des sauvegardes, la période pendant laquelle la sauvegarde a lieu, Région AWS le contenu des ressources à sauvegarder et le coffre-fort dans lequel stocker la sauvegarde. Vous pouvez ensuite appliquer un plan de sauvegarde aux groupes de AWS ressources identifiés à l'aide de balises. Vous devez également identifier un rôle Gestion des identités et des accès AWS (IAM) qui AWS Backup autorise l'exécution de l'opération de sauvegarde en votre nom.
Les politiques de sauvegarde AWS Organizations combinent tous ces éléments dans des documents texte [JSON](https://json.org). Vous pouvez associer une politique de sauvegarde à tous les éléments de la structure de votre organisation, tels que la racine, les unités organisationnelles (OUs) et les comptes individuels. Organizations applique des règles d'héritage pour combiner les politiques établies à la racine de l'organisation, celles de n'importe quel parent OUs ou celles associées au compte. Il en résulte une [politique de sauvegarde effective](orgs_manage_policies_effective.md) pour chaque compte. Cette politique efficace indique AWS Backup comment sauvegarder automatiquement vos AWS ressources.
## Comment fonctionnent les politiques de sauvegarde
Les politiques de sauvegarde vous procurent un contrôle granulaire sur la sauvegarde de vos ressources, quel que soit le niveau requis par votre organisation. Vous pouvez par exemple spécifier dans une politique attachée à la racine de l'organisation que toutes les tables Amazon DynamoDB doivent être sauvegardées. Cette politique peut inclure une fréquence de sauvegarde par défaut. Vous pouvez ensuite y associer une politique de sauvegarde OUs qui remplace la fréquence de sauvegarde en fonction des exigences de chaque unité d'organisation. Par exemple, l'UO `Developers` peut spécifier une fréquence de sauvegarde d'une fois par semaine, tandis que l'UO `Production` spécifie une fois par jour.
Vous pouvez créer des politiques de sauvegarde partielle qui incluent individuellement une partie seulement des informations requises pour sauvegarder correctement vos ressources. Vous pouvez associer ces politiques à différentes parties de l'arborescence organisationnelle, telles que la racine ou une unité d'organisation parent, dans le but que ces politiques partielles soient héritées par les comptes OUs et les niveaux inférieurs. Lorsque Organizations combine toutes les politiques d'un compte à l'aide de règles d'héritage, la politique effective obtenue doit posséder tous les éléments requis. Dans le cas contraire, AWS Backup considère que la politique n'est pas valide et ne sauvegarde pas les ressources concernées.
**Important**
AWS Backup ne peut effectuer une sauvegarde réussie que lorsqu'elle est invoquée par une politique efficace *complète* comportant tous les éléments requis.
Bien qu'une stratégie de politique partielle comme celle décrite plus haut puisse fonctionner, si une politique effective pour un compte est incomplète, elle provoque des erreurs ou ne sauvegarde pas correctement certaines ressources. Une autre stratégie consisterait à exiger que toutes les politiques de sauvegarde soient complètes et valables par elles-mêmes. Utilisez les valeurs par défaut fournies par les politiques attachées dans les niveaux supérieurs de la hiérarchie et remplacez-les si nécessaire dans les politiques enfants, en incluant des [opérateurs de contrôle enfants d'héritage](policy-operators.md).
Le plan de sauvegarde effectif pour chaque membre Compte AWS de l'organisation apparaît dans la AWS Backup console sous la forme d'un plan immuable pour ce compte. Vous pouvez le voir, mais pas le modifier. Vous pouvez toutefois ajouter ou supprimer des balises de plan de sauvegarde à l'aide de [TagResource](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_TagResource.html)et [UntagResource](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UntagResource.html) APIs.
Lorsque AWS Backup commence une sauvegarde basée sur un plan de sauvegarde créé par des règles, vous pouvez voir l'état de la tâche de sauvegarde dans la AWS Backup console. Un utilisateur d'un compte membre peut voir l'état et les erreurs éventuelles des tâches de sauvegarde de ce compte membre. Si vous activez également l'accès aux services sécurisés avec AWS Backup, un utilisateur du compte de gestion de l'organisation peut voir le statut et les erreurs de toutes les tâches de sauvegarde de l'organisation. Pour de plus amples informations, consultez [Activation de la gestion intercompte](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#enable-cross-account) dans le *Guide du développeur AWS Backup *.
# Mise en route avec les politiques de sauvegarde
Suivez ces étapes pour commencer à utiliser des politiques de sauvegarde.
1. [Découvrez les autorisations dont vous devez disposer pour effectuer des tâches de politique de sauvegarde](orgs_manage_policies_prereqs.md)
1. [Découvrez les bonnes pratiques que nous recommandons lors de l'utilisation de politiques de sauvegarde](orgs_manage_policies_backup_best-practices.md).
1. [Activez des politiques de sauvegarde pour votre organisation](enable-policy-type.md).
1. [Créez une politique de sauvegarde](orgs_policies_create.md#create-backup-policy-procedure).
1. [Attachez la politique de sauvegarde à la racine, une UO ou un compte de votre organisation](orgs_policies_attach.md).
1. [Affichez la politique de sauvegarde effective combinée qui s'applique à un compte](orgs_manage_policies_effective.md).
Pour effectuer toutes ces étapes, vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
**Autres informations**
+ [Découvrez la syntaxe des stratégies de sauvegarde et consultez des exemples de stratégies](orgs_manage_policies_backup_syntax.md)
# Bonnes pratiques pour l'utilisation des politiques de sauvegarde
AWS recommande les meilleures pratiques suivantes pour l'utilisation des politiques de sauvegarde.
## Décider d'une stratégie de politique de sauvegarde
Vous pouvez créer des politiques de sauvegarde en parties incomplètes qui sont héritées et fusionnées pour composer une politique complète pour chaque compte membre. Ce faisant, vous risquez d'obtenir une police effective incomplète si vous effectuez une modification à un niveau sans tenir compte de l'impact de cette dernière sur tous les comptes inférieurs à ce niveau. Pour éviter cela, nous vous recommandons de vous assurer que les politiques de sauvegarde que vous mettez en œuvre à tous les niveaux sont complètes en elles-mêmes. Traitez les politiques parentes comme des politiques par défaut qui peuvent être remplacées par des paramètres spécifiés dans les politiques enfants. De cette façon, même si une politique enfant n'existe pas, la politique héritée est complète et utilise les valeurs par défaut. Vous pouvez décider quels paramètres peuvent être ajoutés, modifiés ou supprimés par les stratégies enfants à l'aide des [opérateurs de contrôle d'héritage enfants](policy-operators.md#child-control-operators).
## Validez les modifications apportées à vos politiques de sauvegarde à l'aide de `GetEffectivePolicy`
Après avoir apporté une modification à une politique de sauvegarde, vérifiez les politiques effectives pour des comptes représentatifs inférieurs au niveau où la modification a été appliquée. Vous pouvez [consulter la politique effective à l'aide](orgs_manage_policies_effective.md) de l'opération [GetEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_GetEffectivePolicy.html)API AWS Management Console, de l'une de ses variantes AWS CLI ou du AWS SDK. Assurez-vous que la modification que vous avez apportée a eu l'impact escompté sur la politique effective.
## Commencez simplement en réalisant de petites modifications
Pour simplifier le débogage, commencez par des politiques simples et apportez des modifications à un élément à la fois. Validez le comportement et l'impact de chaque modification avant d'effectuer la suivante. Vous réduisez ainsi le nombre de variables dont vous devez tenir compte lorsqu'une erreur ou un résultat inattendu se produit.
## Stockez des copies de vos sauvegardes dans d'autres comptes Régions AWS et dans d'autres comptes de votre organisation
Pour améliorer votre position de reprise après sinistre, vous pouvez stocker des copies de vos sauvegardes.
+ **Une autre région** : si vous stockez des copies de la sauvegarde en plus Régions AWS, vous contribuez à protéger la sauvegarde contre toute corruption ou suppression accidentelle dans la région d'origine. Utilisez la section `copy_actions` de la politique pour spécifier un coffre-fort dans une ou plusieurs régions du même compte dans lequel le plan de sauvegarde s'exécute. Pour ce faire, identifiez le compte à l'aide de la variable `$account` lorsque vous spécifiez l'ARN du coffre-fort de sauvegarde dans lequel stocker la copie de la sauvegarde. La variable `$account ` est automatiquement remplacée au moment de l'exécution par l'ID du compte dans lequel la politique de sauvegarde est exécutée.
+ **Un autre compte** — Si vous stockez des copies de la sauvegarde en plus Comptes AWS, vous ajoutez une barrière de sécurité qui aide à vous protéger contre un acteur malveillant qui compromettrait l'un de vos comptes. Utilisez la section `copy_actions` de la politique pour spécifier un coffre-fort dans un ou plusieurs comptes de votre organisation, séparément du compte dans lequel le plan de sauvegarde s'exécute. Pour ce faire, identifiez le compte à l'aide de son numéro ID réel lorsque vous spécifiez l'ARN du coffre-fort de sauvegarde dans lequel stocker la copie de la sauvegarde.
## Limitez le nombre de plans par politique
Les politiques qui contiennent plusieurs plans sont plus compliquées à dépanner en raison du plus grand nombre de sorties qui doivent toutes être validées. Au lieu de cela, faites en sorte que chaque politique contienne un seul et unique plan de sauvegarde, pour simplifier le débogage et le dépannage. Vous pouvez ensuite ajouter des politiques supplémentaires avec d'autres plans pour satisfaire d'autres exigences. Cela permet de limiter à une seule politique les problèmes liés à un plan et d'éviter que ces problèmes compliquent la résolution des problèmes liés à d'autres politiques et à leurs plans.
## Utilisez des ensembles de piles pour créer les coffres-forts de sauvegarde et les rôles IAM requis
Utilisez l'intégration des ensembles de AWS CloudFormation piles avec Organizations pour créer automatiquement les coffres-forts de sauvegarde et les rôles Gestion des identités et des accès AWS (IAM) requis dans chacun des comptes membres de votre organisation. Vous pouvez créer un ensemble de ressources qui inclut les ressources que vous souhaitez voir automatiquement disponibles Compte AWS dans tous les membres de votre organisation. Vous pouvez ainsi exécuter vos plans de sauvegarde avec la garantie que les dépendances sont déjà respectées. Pour de plus amples informations, consultez [Créer un ensemble de piles avec des autorisations autogérées](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#create-stack-set-service-managed-permissions) dans le *Guide de l'utilisateur AWS CloudFormation *.
## Vérifiez vos résultats en examinant la première sauvegarde créée dans chaque compte
Lorsque vous modifiez une politique, vérifiez la sauvegarde suivante créée après cette modification pour vous assurer qu'elle a eu l'impact souhaité. Cette étape va au-delà de l'examen de la politique efficace et garantit l' AWS Backup interprétation de vos politiques et la mise en œuvre des plans de sauvegarde comme vous le souhaitiez.
# Utilisation d' AWS CloudTrail événements pour surveiller les politiques de sauvegarde au sein de votre entreprise
Vous pouvez utiliser les AWS CloudTrail événements pour surveiller le moment où des politiques de sauvegarde sont créées, mises à jour ou supprimées de n'importe quel compte de votre organisation, ou lorsqu'un plan de sauvegarde organisationnel n'est pas valide. Pour plus d'informations, consultez la rubrique [Journalisation des événements de gestion inter-comptes](https://docs.aws.amazon.com/aws-backup/latest/devguide/logging-using-cloudtrail.html#logging-cam-events) du *Guide du développeur AWS Backup *.
# Syntaxe et exemples d'une politique de sauvegarde
Cette page décrit la syntaxe d'une politique de sauvegarde et fournit des exemples.
## Syntaxe des politiques de sauvegarde
Une politique de sauvegarde est un fichier texte brut qui est structuré conformément aux règles de [JSON](http://json.org). La syntaxe des politiques de sauvegarde suit celle de tous les types de politiques de gestion. Pour plus d'informations, voir [Syntaxe des politiques et héritage pour les types de politiques de gestion](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques du type de politique de sauvegarde.
Pour plus d'informations sur AWS Backup les forfaits, consultez [CreateBackupPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateBackupPlan.html)le *guide du AWS Backup développeur*.
## Considérations
**Syntaxe des politiques**
Les noms de clé dupliqués seront rejetés en JSON.
Les politiques doivent spécifier les ressources Régions AWS et les ressources à sauvegarder.
Les politiques doivent spécifier le rôle IAM assumé AWS Backup .
`@@assign`L'utilisation d'un opérateur au même niveau peut remplacer les paramètres existants. Pour plus d'informations, voir [Une politique relative aux enfants remplace les paramètres d'une politique parentale](#backup-policy-example-5).
Les opérateurs d'héritage contrôlent la façon dont les politiques héritées et les politiques attachées à un compte fusionnent pour former la politique effective de ce compte. Ces opérateurs comprennent les opérateurs de définition de valeurs et les opérateurs de contrôle enfants.
Pour plus d'informations, consultez les sections [Opérateurs d'héritage](policy-operators.md) et [Exemples de politiques de sauvegarde](#backup-policy-examples).
**Rôles IAM**
Le rôle IAM doit exister lors de la première création d'un plan de sauvegarde.
Le rôle IAM doit être autorisé à accéder aux ressources identifiées par une requête de balise.
Le rôle IAM doit être autorisé à effectuer la sauvegarde.
**Coffres-forts de sauvegarde**
Des coffres-forts doivent exister dans chaque unité spécifiée pour Régions AWS qu'un plan de sauvegarde puisse être exécuté.
Des coffres-forts doivent exister pour chaque AWS compte bénéficiant de la politique effective. Pour plus d'informations, consultez la section [Création et suppression d'un coffre de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html) dans le *Guide du AWS Backup développeur*.
Nous vous recommandons d'utiliser des ensembles de AWS CloudFormation piles et de les intégrer à Organizations pour créer et configurer automatiquement des coffres-forts de sauvegarde et des rôles IAM pour chaque compte membre de l'organisation. Pour de plus amples informations, consultez [Créer un ensemble de piles avec des autorisations autogérées](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#create-stack-set-service-managed-permissions) dans le *Guide de l'utilisateur AWS CloudFormation *.
**Quotas**
Pour une liste des quotas, voir « [AWS Backup quotas](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html#aws-backup-policies-quotas-table) » dans le *Guide du AWS Backup développeur*.
## Syntaxe de sauvegarde : présentation
La syntaxe d'une politique de sauvegarde inclut les composants suivants :
```
{
"plans": {
"PlanName": {
"rules": { ... },
"regions": { ... },
"selections": { ... },
"advanced_backup_settings": { ... },
"backup_plan_tags": { ... },
"scan_settings": { ... }
}
}
}
```
**Éléments de la politique de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| [règles](#backup-policy-rules) | Liste des règles de sauvegarde. Chaque règle définit le moment où les sauvegardes démarrent et la fenêtre d'exécution des ressources spécifiées dans les selections éléments regions et. | Oui |
| [régions](#backup-plan-regions) | Liste des domaines Régions AWS dans lesquels une politique de sauvegarde peut protéger les ressources. | Oui |
| [sélections](#backup-plan-selections) | Un ou plusieurs types de ressources dans les limites spécifiées regions que la sauvegarde rules protège. | Oui |
| [paramètres\$1de\$1sauvegarde avancés](#advanced-backup-settings) | Options de configuration pour des scénarios de sauvegarde spécifiques. Actuellement, le seul paramètre de sauvegarde avancé pris en charge consiste à activer les sauvegardes Microsoft Volume Shadow Copy Service (VSS) pour Windows ou SQL Server exécutées sur une instance Amazon EC2. | Non |
| [backup\$1plan\$1tags](#backup-plan-tags) | Tags que vous souhaitez associer à un plan de sauvegarde. Chaque balise est une étiquette composée d’une clé définie par l’utilisateur et d’une valeur. Les balises peuvent vous aider à gérer, identifier, organiser, rechercher et filtrer vos plans de sauvegarde. | Non |
| [paramètres de numérisation](#scan-settings) | Options de configuration pour les paramètres de numérisation. Actuellement, le seul paramètre de scan pris en charge est d'activer Amazon GuardDuty Malware Protection pour AWS Backup. | Non |
## Syntaxe de sauvegarde : règles
La clé `rules` de stratégie spécifie les tâches de sauvegarde planifiées qui AWS Backup s'exécutent sur les ressources sélectionnées.
**Éléments de règles de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| schedule\$1expression | Expression Cron en UTC qui indique à quel moment une AWS Backup tâche de sauvegarde est lancée. Pour plus d'informations sur les expressions cron, consultez la section [Utilisation des expressions cron et rate pour planifier des règles](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html) dans le guide de * EventBridge l'utilisateur Amazon*. | Oui |
| target\$1backup\$1vault\$1name | Coffre-fort de sauvegarde dans lequel les sauvegardes sont stockées. Les coffres-forts de sauvegarde sont identifiés par des noms propres au compte utilisé pour les créer et à l' Région AWS endroit où ils ont été créés. | Oui |
| target\$1logically\$1air\$1gapped\$1backup\$1vault\$1arn | ARN du coffre-fort logiquement espacé dans lequel les sauvegardes sont stockées. Si elles sont fournies, les ressources entièrement gérées prises en charge sont sauvegardées directement dans un coffre-fort à espacement logique, tandis que les autres ressources prises en charge créent un instantané temporaire (facturable) dans le coffre-fort de sauvegarde, puis le copient dans un coffre-fort à espacement logique. Les ressources non prises en charge ne sont sauvegardées que dans le coffre de sauvegarde spécifié. L'ARN doit utiliser les espaces réservés spéciaux `$region` et`$account`. Par exemple, pour un coffre nommé, `AirGappedVault` la valeur correcte est`arn:aws:backup:$region:$account:backup-vault:AirGappedVault`. | Non |
| start\$1backup\$1window\$1minutes | Le nombre de minutes à attendre avant d'annuler une tâche de sauvegarde sera annulé si elle ne démarre pas correctement. Si cette valeur est incluse, elle doit être d'au moins 60 minutes pour éviter les erreurs. | Non |
| complete\$1backup\$1window\$1minutes | Nombre de minutes après le démarrage réussi d'une tâche de sauvegarde avant qu'elle ne doive être terminée, faute de quoi elle sera annulée par AWS Backup. | Non |
| enable\$1continuous\$1backup | Spécifie s'il AWS Backup crée des sauvegardes continues. `True`provoque AWS Backup la création de sauvegardes continues capables de point-in-time restauration (PITR). `False`(ou non spécifiée) provoque AWS Backup la création de sauvegardes instantanées. Pour plus d'informations sur les sauvegardes continues, consultez [P oint-in-time recovery](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html) dans le *Guide du AWS Backup développeur*. **Remarque :** les sauvegardes compatibles PITR ont une durée de conservation maximale de 35 jours. | Non |
| lifecycle | Spécifie à AWS Backup quel moment une sauvegarde passe en stockage à froid et à quel moment elle expire. Les types de ressources pouvant passer au stockage à froid sont répertoriés dans le tableau Disponibilité des fonctionnalités par ressource [Disponibilité des fonctionnalités par ressource](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) du *Guide du AWS Backup développeur*. Chaque cycle de vie contient les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) **Remarque** : Les sauvegardes transférées vers une chambre froide doivent être stockées dans une chambre froide pendant au moins 90 jours. Cela signifie que le délai `delete_after_days` doit être supérieur de 90 jours à`move_to_cold_storage_after_days`. | Non |
| copy\$1actions | Spécifie si une sauvegarde est AWS Backup copiée vers un ou plusieurs emplacements supplémentaires. Chaque action de copie contient les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) **Remarque** : Les sauvegardes transférées vers une chambre froide doivent être stockées dans une chambre froide pendant au moins 90 jours. Cela signifie que le délai `delete_after_days` doit être supérieur de 90 jours à`move_to_cold_storage_after_days`. | Non |
| recovery\$1point\$1tags | Tags que vous souhaitez attribuer aux ressources restaurées à partir d'une sauvegarde. Chaque balise contient les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
| index\$1actions | Spécifie s'il AWS Backup crée un index de sauvegarde de vos instantanés Amazon EBS et des sauvegardes and/or Amazon S3. Des index de sauvegarde sont créés afin de rechercher les métadonnées de vos sauvegardes. Pour plus d'informations sur la création d'index de sauvegarde et la recherche de sauvegarde, consultez la section [Recherche de sauvegarde](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-overview). **Remarque :** des [autorisations de rôle IAM](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-access) supplémentaires sont requises pour créer un index de sauvegarde instantanée Amazon EBS. Chaque action d'indexation contient l'élément suivant : les types `resource_types` de ressources pris en charge pour l'indexation sont Amazon EBS et Amazon S3. Ce paramètre indique le type de ressource qui sera sélectionné pour l'indexation. | Non |
| scan\$1actions | Spécifie si une action d'analyse est activée pour une règle donnée. Vous devez spécifier un`ScanMode`. Vous devez utiliser `scan_settings` les éléments de politique de sauvegarde conjointement avec pour que `scan_actions` les tâches de numérisation démarrent correctement. Vérifiez également que vous disposez des [autorisations de rôle IAM](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access) appropriées. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
## Syntaxe de sauvegarde : régions
La clé de `regions` stratégie Régions AWS indique laquelle AWS Backup recherche les ressources qui répondent aux conditions de la `selections` clé.
**Éléments des régions de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| regions | Spécifie les Région AWS codes. Par exemple : `["us-east-1", "eu-north-1"]`. | Oui |
## Syntaxe de sauvegarde : sélections
La clé `selections` de stratégie spécifie les ressources qui sont sauvegardées par les règles d'une stratégie de sauvegarde.
Il existe deux éléments qui s'excluent mutuellement : `tags` et`resources`. Pour être valide, une politique efficace **doit** être `resources` inscrite dans des balises `have` ou dans la sélection.
Si vous souhaitez une sélection comportant à la fois des conditions de balise et des conditions de ressources, utilisez les `resources` clés.
**Éléments de sélection de sauvegarde : Tags**
| Element | Description | Obligatoire |
| --- | --- | --- |
| iam\$1role\$1arn | Rôle IAM qui AWS Backup suppose d'interroger, de découvrir et de sauvegarder des ressources dans les régions spécifiées. Le rôle doit disposer d'autorisations suffisantes pour interroger les ressources en fonction des conditions des balises et effectuer des opérations de sauvegarde sur les ressources correspondantes. | Oui |
| tag\$1key | Nom de la clé de balise à rechercher. | Oui |
| tag\$1value | Valeur qui doit être associée au tag\$1key correspondant. AWS Backup inclut la ressource uniquement si tag\$1key et tag\$1value correspondent (distinction majuscules/minuscules). | Oui |
| conditions | Étiquetez les clés et les valeurs que vous souhaitez inclure ou exclure Utilisez string\$1equals ou string\$1not\$1equals pour inclure ou exclure les balises correspondant exactement à une correspondance. Utilisez string\$1like et string\$1not\$1like pour inclure ou exclure les balises contenant ou ne contenant pas de caractères spécifiques **Remarque :** Limité à 30 conditions pour chaque sélection. | Non |
**Éléments de sélection de sauvegarde : Ressources**
| Element | Description | Obligatoire |
| --- | --- | --- |
| iam\$1role\$1arn | Rôle IAM qui AWS Backup suppose d'interroger, de découvrir et de sauvegarder des ressources dans les régions spécifiées. Le rôle doit disposer d'autorisations suffisantes pour interroger les ressources en fonction des conditions des balises et effectuer des opérations de sauvegarde sur les ressources correspondantes. **Remarque :** Dans AWS GovCloud (US) Regions, vous devez ajouter le nom de la partition à l'ARN. Par exemple, « `arn:aws:ec2:*:*:volume/*` » doit être « `arn:aws-us-gov:ec2:*:*:volume/*` ». | Oui |
| resource\$1types | Types de ressources à inclure dans un plan de sauvegarde. | Oui |
| not\$1resource\$1types | Types de ressources à exclure d'un plan de sauvegarde. | Non |
| conditions | Étiquetez les clés et les valeurs que vous souhaitez inclure ou exclure Utilisez string\$1equals ou string\$1not\$1equals pour inclure ou exclure les balises correspondant exactement à une correspondance. Utilisez string\$1like et string\$1not\$1like pour inclure ou exclure les balises contenant ou ne contenant pas de caractères spécifiques **Remarque :** Limité à 30 conditions pour chaque sélection. | Non |
**Types de ressources pris en charge**
Organizations prend en charge les types de ressources suivants pour les `not_resource_types` éléments `resource_types` et :
+ AWS Backup gateway machines virtuelles : `"arn:aws:backup-gateway:*:*:vm/*"`
+ AWS CloudFormation piles : `"arn:aws:cloudformation:*:*:stack/*"`
+ Tables Amazon DynamoDB : `"arn:aws:dynamodb:*:*:table/*"`
+ Instances Amazon EC2 : `"arn:aws:ec2:*:*:instance/*"`
+ Volumes Amazon EBS : `"arn:aws:ec2:*:*:volume/*"`
+ Systèmes de fichiers Amazon EFS : `"arn:aws:elasticfilesystem:*:*:file-system/*"`
+ Clusters Amazon Aurora/Amazon DocumentDB/Amazon Neptune : `"arn:aws:rds:*:*:cluster:*"`
+ Bases de données Amazon RDS : `"arn:aws:rds:*:*:db:*"`
+ Clusters Amazon Redshift : `"arn:aws:redshift:*:*:cluster:*"`
+ Amazon S3 : `"arn:aws:s3:::*"`
+ Gestionnaire de systèmes AWS pour SAP Bases de données HANA : `"arn:aws:ssm-sap:*:*:HANA/*"`
+ AWS Storage Gateway passerelles : `"arn:aws:storagegateway:*:*:gateway/*"`
+ Bases de données Amazon Timestream : `"arn:aws:timestream:*:*:database/*"`
+ Systèmes de FSx fichiers Amazon : `"arn:aws:fsx:*:*:file-system/*"`
+ FSx Volumes Amazon : `"arn:aws:fsx:*:*:volume/*"`
+ Volumes Amazon Elastic Kubernetes Service : `"arn:aws:eks:*:*:cluster/*"`
**Exemples de code**
Pour plus d'informations, consultez les sections [Spécification des ressources à l'aide du bloc de balises](#backup-policy-example-6) et [Spécification des ressources à l'aide du bloc de ressources](#backup-policy-example-7).
## Syntaxe de sauvegarde : paramètres de sauvegarde avancés
La `advanced_backup_settings` clé spécifie les options de configuration pour des scénarios de sauvegarde spécifiques. Chaque paramètre contient les éléments suivants :
**Éléments de paramètres de sauvegarde avancés**
| Element | Description | Obligatoire |
| --- | --- | --- |
| advanced\$1backup\$1settings | Spécifie les paramètres pour des scénarios de sauvegarde spécifiques. Cette clé contient un ou plusieurs paramètres. Chaque paramètre est une chaîne d'objet JSON avec les éléments suivants : Actuellement, le seul paramètre de sauvegarde avancé pris en charge consiste à activer les sauvegardes Microsoft Volume Shadow Copy Service (VSS) pour Windows ou SQL Server exécutées sur une instance Amazon EC2. Chaque sauvegarde avancée définit les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
**Exemple :**
```
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
},
```
## Syntaxe de sauvegarde : balises du plan de sauvegarde
La clé de `backup_plan_tags` stratégie spécifie les balises associées au plan de sauvegarde lui-même. Cela n'a aucun impact sur les balises spécifiées pour `rules` ou`selections`.
**Éléments des balises du plan de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| backup\$1plan\$1tags | Chaque balise est une étiquette composée d'une clé et d'une valeur définies par l'utilisateur : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
## Syntaxe de sauvegarde : paramètres de numérisation
La clé `scan_settings` de politique spécifie la configuration pour l'analyse des programmes malveillants à l'aide d'Amazon GuardDuty Malware Protection for AWS Backup. Vous devez les utiliser `scan_settings` conjointement avec vos règles `scan_actions` de sauvegarde pour que les tâches de numérisation démarrent correctement.
**Éléments des paramètres de numérisation**
| Element | Description | Obligatoire |
| --- | --- | --- |
| scan\$1settings | Options de configuration pour les paramètres de numérisation. Actuellement, les seuls paramètres de scan pris en charge sont l'activation d'Amazon GuardDuty Malware Protection pour AWS Backup. Vous devez spécifier le `ResourceTypes` et`ScannerRoleArn`. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
**Exemple :**
Ce qui suit explique comment configurer `scan_actions` dans une règle de sauvegarde et `scan_settings` au niveau du plan pour activer l'analyse Amazon GuardDuty Malware Protection.
`scan_actions`dans une règle :
```
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
```
`scan_settings`au niveau du plan :
```
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": ["EBS"]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
```
## Exemples de politiques de sauvegarde
Les exemples de politiques de sauvegarde qui suivent sont fournis à titre informatif uniquement. Dans certains des exemples suivants, la mise en forme des espaces JSON peut être compressée pour économiser de l'espace.
+ [Exemple 1 : Politique attribuée à un nœud parent](#backup-policy-example-1)
+ [Exemple 2 : une politique parent est fusionnée avec une politique enfant](#backup-policy-example-2)
+ [Exemple 3 : Une politique parentale empêche toute modification par une politique enfant](#backup-policy-example-3)
+ [Exemple 4 : Une politique parent empêche la modification d'un plan de sauvegarde par une politique enfant](#backup-policy-example-4)
+ [Exemple 5 : une politique relative aux enfants remplace les paramètres d'une politique parentale](#backup-policy-example-5)
+ [Exemple 6 : Spécification des ressources à l'aide du bloc de balises](#backup-policy-example-6)
+ [Exemple 7 : Spécification des ressources avec le bloc de ressources](#backup-policy-example-7)
+ [Exemple 8 : plan de sauvegarde avec analyse Amazon GuardDuty Malware Protection](#backup-policy-example-8)
### Exemple 1 : Politique affectée à un nœud parent
L'exemple suivant montre une politique de sauvegarde affectée à l'un des nœuds parents d'un compte.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente de tous les comptes prévus.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"ap-northeast-2",
"us-east-1",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {
"@@assign": "cron(0 5/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "480"
},
"complete_backup_window_minutes": {
"@@assign": "10080"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "180"
},
"delete_after_days": {
"@@assign": "270"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
},
"target_backup_vault_name": {
"@@assign": "FortKnox"
},
"target_logically_air_gapped_backup_vault_arn": {
"@@assign": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault"
},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@assign": "dataType"
},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
}
}
}
}
```
Si aucune autre politique n'est héritée ou attachée aux comptes, la politique effective affichée dans chaque cas applicable Compte AWS ressemble à l'exemple suivant. L'expression CRON provoque l'exécution de la sauvegarde une fois par heure à l'heure pile. L'ID de compte 123456789012 sera l'ID de compte réel de chaque compte.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"target_logically_air_gapped_backup_vault_arn": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": "enabled"
}
}
}
}
}
```
### Exemple 2 : Une politique parente est fusionnée avec une politique enfant
Dans l'exemple suivant, une politique parent héritée et une politique enfant héritées ou directement associées à une Compte AWS fusion pour former la politique effective.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "60" },
"target_backup_vault_name": { "@@assign": "FortKnox" },
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII", "RED" ] }
}
}
}
}
}
}
```
**Politique enfant** : cette politique peut être attachée directement au compte ou à une UO dans n'importe quel niveau inférieur à celui auquel la politique parente est attachée.
```
{
"plans": {
"Monthly_Backup_Plan": {
"regions": {
"@@append":[ "us-east-1", "eu-central-1" ] },
"rules": {
"Monthly": {
"schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"target_backup_vault_name": { "@@assign": "Default" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"MonthlyDatatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" },
"tag_key": { "@@assign": "BackupType" },
"tag_value": { "@@assign": [ "MONTHLY", "RED" ] }
}
}
}
}
}
}
```
**Politique effective résultante** : la politique effective appliquée aux comptes contient deux plans, chacun avec son propre ensemble de règles et son ensemble de ressources auquel appliquer les règles.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [ "PII", "RED" ]
}
}
}
},
"Monthly_Backup_Plan": {
"regions": [ "us-east-1", "eu-central-1" ],
"rules": {
"monthly": {
"schedule_expression": "cron(0 5 1 * ? *)",
"start_backup_window_minutes": "480",
"target_backup_vault_name": "Default",
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn": {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": "30",
"delete_after_days": "365",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"monthlydatatype": {
"iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole",
"tag_key": "BackupType",
"tag_value": [ "MONTHLY", "RED" ]
}
}
}
}
}
}
```
### Exemple 3 : Une politique parente empêche toute modification par une politique enfant
Dans l'exemple suivant, une politique parente héritée utilise les [opérateurs de contrôle enfants](policy-operators.md#child-control-operators) pour appliquer tous les paramètres et empêche leur modification ou remplacement par une politique enfant.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. La présence de `"@@operators_allowed_for_child_policies": ["@@none"]` à chaque nœud de la politique signifie qu'une politique enfant ne peut apporter aucune modification au plan. Une politique enfant ne peut pas non plus ajouter des plans supplémentaires à la politique effective. Cette politique devient la politique effective pour chaque UO et chaque compte sous l'UO à laquelle elle est rattachée.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@none"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"@@operators_allowed_for_child_policies": ["@@none"],
"Hourly": {
"@@operators_allowed_for_child_policies": ["@@none"],
"schedule_expression": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "cron(0 0/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "60"
},
"target_backup_vault_name": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "FortKnox"
},
"index_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
},
"copy_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"@@operators_allowed_for_child_policies": ["@@none"],
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault",
"@@operators_allowed_for_child_policies": ["@@none"]
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"@@operators_allowed_for_child_policies": ["@@none"],
"tags": {
"@@operators_allowed_for_child_policies": ["@@none"],
"datatype": {
"@@operators_allowed_for_child_policies": ["@@none"],
"iam_role_arn": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "dataType"
},
"tag_value": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"@@operators_allowed_for_child_policies": ["@@none"],
"ec2": {
"@@operators_allowed_for_child_policies": ["@@none"],
"windows_vss": {
"@@assign": "enabled",
"@@operators_allowed_for_child_policies": ["@@none"]
}
}
}
}
}
}
```
**Politique effective résultante** : si des politiques de sauvegarde enfants existent, elles sont ignorées et la politique parente devient la politique effective.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault",
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {"windows_vss": "enabled"}
}
}
}
}
```
### Exemple 4 : Une politique parente empêche les modifications d'un plan de sauvegarde par une politique enfant
Dans l'exemple suivant, une politique parente héritée utilise les [opérateurs de contrôle enfants](policy-operators.md#child-control-operators) pour appliquer les paramètres d'un plan unique et les empêche d'être modifiés ou remplacés par une politique enfant. La politique enfant peut encore ajouter des plans supplémentaires.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. Cet exemple est similaire au précédent où tous les opérateurs d'héritage enfants sont bloqués, sauf au niveau supérieur `plans`. Le paramètre `@@append` à ce niveau permet aux politiques enfants d'ajouter d'autres plans à l'ensemble dans la politique effective. Toutes les modifications du plan hérité sont toujours bloquées.
Les sections du plan sont tronquées pour plus de clarté.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@append"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": { ... },
"rules": { ... },
"selections": { ... }
}
}
}
```
**Politique enfant** : cette politique peut être attachée directement au compte ou à une UO dans n'importe quel niveau inférieur à celui auquel la politique parente est attachée. Cette politique enfant définit un nouveau plan.
Les sections du plan sont tronquées pour plus de clarté.
```
{
"plans": {
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
**Politique effective résultante** : la politique effective inclut les deux plans.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { ... },
"rules": { ... },
"selections": { ... }
},
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
### Exemple 5 : Une politique enfant remplace les paramètres d'une politique parente
Dans l'exemple suivant, une politique enfant utilise des [opérateurs de définition de valeur](policy-operators.md#value-setting-operators) pour remplacer certains des paramètres hérités d'une politique parente.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. Tous les paramètres peuvent être remplacés par une politique enfant, car le comportement par défaut, en l'absence d'un [opérateur de contrôle enfant](policy-operators.md#child-control-operators) qui l'empêche, est d'autoriser la politique enfant à `@@assign`, `@@append` ou `@@remove`. La politique parente contient tous les éléments requis pour un plan de sauvegarde valable, de sorte qu'elle sauvegarde vos ressources correctement si elles sont héritées en l'état.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "60"},
"target_backup_vault_name": {"@@assign": "FortKnox"},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": {"@@assign": "2"},
"move_to_cold_storage_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:t2": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "28"},
"delete_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"},
"tag_key": {"@@assign": "dataType"},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
}
}
}
}
```
**Politique enfant** : la politique enfant inclut uniquement les paramètres qui doivent être différents de ceux de la politique parente héritée. Il doit y avoir une politique parente héritée qui fournit les autres paramètres requis lors de la fusion dans une politique effective. Sinon, la politique de sauvegarde effective contient un plan de sauvegarde non valable qui ne sauvegarde pas vos ressources comme prévu.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"us-west-2",
"eu-central-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "80"},
"target_backup_vault_name": {"@@assign": "Default"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "30"},
"delete_after_days": {"@@assign": "365"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
}
}
```
**Politique effective résultante** : la politique effective inclut les paramètres des deux politiques, ceux fournis par la politique enfant remplaçant les paramètres hérités de la politique parente. Dans cet exemple, les modifications suivantes se produisent :
+ La liste des régions est remplacée par une liste complètement différente. Si vous souhaitez ajouter une région à la liste héritée, utilisez `@@append` au lieu de `@@assign` dans la politique enfant.
+ AWS Backup se produit toutes les deux heures au lieu d'une heure.
+ AWS Backup accorde 80 minutes pour démarrer la sauvegarde au lieu de 60 minutes.
+ AWS Backup utilise le `Default` coffre au lieu de`FortKnox`.
+ Le cycle de vie est prolongé pour le transfert vers le stockage à froid et la suppression à terme de la sauvegarde.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-west-2",
"eu-central-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/2 ? * * *)",
"start_backup_window_minutes": "80",
"target_backup_vault_name": "Default",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
}
}
}
}
```
### Exemple 6 : Spécification des ressources avec le `tags` bloc
L'exemple suivant inclut toutes les ressources avec les `tag_key` symboles = `“env”` et `tag_value` = `"prod"` ou`"gamma"`. Cet exemple exclut les ressources avec le `tag_key` = `"backup"` et le `tag_value` =`"false"`.
```
...
"selections":{
"tags":{
"selection_name":{
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"tag_key":{"@@assign": "env"},
"tag_value":{"@@assign": ["prod", "gamma"]},
"conditions":{
"string_not_equals":{
"condition_name1":{
"condition_key": { "@@assign": "aws:ResourceTag/backup" },
"condition_value": { "@@assign": "false" }
}
}
}
}
}
},
...
```
### Exemple 7 : Spécification des ressources avec le `resources` bloc
Voici des exemples d'utilisation du `resources` bloc pour spécifier des ressources.
------
#### [ Example: Select all resources in my account ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
}
}
},
...
```
------
#### [ Example: Select all resources in my account, but exclude Amazon EBS volumes ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Les `"not_resource_types"` blocs `"resource_types"` et utilisent un booléen `AND` pour combiner les types de ressources.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true", but exclude Amazon EBS volumes ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Les `"not_resource_types"` blocs `"resource_types"` et utilisent un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un `AND` booléen.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key": { "@@assign":"aws:ResourceTag/backup"},
"condition_value": { "@@assign":"true" }
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS DB instances tagged with both "backup" : "true" and "stage" : "prod" ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
},
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"prod"}
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS instances tagged with "backup" : "true" but not "stage" : "test" ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
},
"string_not_equals":{
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"test"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "key1" and a value which begins with "include" but not with "key2" and value that contains the word "exclude" ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
Dans cet exemple, notez l'utilisation du caractère générique `(*)` dans `include*``*exclude*`, et`arn:aws:rds:*:*:db:*`. Vous pouvez utiliser le caractère générique `(*)` au début, à la fin et au milieu d'une chaîne.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"conditions":{
"string_like":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/key1"},
"condition_value":{"@@assign":"include*"}
}
},
"string_not_like":{
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/key2"},
"condition_value":{"@@assign":"*exclude*"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true" except Amazon FSx file systems and Amazon RDS resources ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Les `"not_resource_types"` blocs `"resource_types"` et utilisent un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign":[
"arn:aws:fsx:*:*:file-system/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
}
}
}
},
...
```
------
### Exemple 8 : plan de sauvegarde avec analyse Amazon GuardDuty Malware Protection
L'exemple suivant montre une politique de sauvegarde qui permet à Amazon GuardDuty Malware Protection de scanner les points de restauration des sauvegardes. La politique utilise `scan_actions` la règle pour activer le scan et `scan_settings` au niveau du plan pour configurer le scanner.
Pour utiliser cette fonctionnalité, vous devez disposer des autorisations de rôle IAM appropriées. Pour plus d'informations, consultez [Access](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access) dans le *guide du AWS Backup développeur*.
```
{
"plans": {
"Malware_Scan_Backup_Plan": {
"regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"rules": {
"Daily_With_Incremental_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "35"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
},
"Monthly_With_Full_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 1 * ? *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "365"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "FULL_SCAN"
}
}
}
}
},
"selections": {
"tags": {
"scan_selection": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyBackupRole"
},
"tag_key": {
"@@assign": "backup"
},
"tag_value": {
"@@assign": [
"true"
]
}
}
}
},
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": [
"EBS"
]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
}
}
}
```
Les points clés de cet exemple sont les suivants :
+ `scan_actions`est spécifié dans chaque règle. Le nom du scanner `GUARDDUTY` est utilisé comme clé. Les utilisations des règles quotidiennes `INCREMENTAL_SCAN` et les utilisations des règles mensuelles`FULL_SCAN`.
+ `scan_settings`est spécifié au niveau du plan (et non dans une règle). Il configure le rôle du scanner et les types de ressources à scanner.
+ Ils `scanner_role_arn` doivent faire référence à un rôle IAM auquel est attachée la politique `AWSBackupGuardDutyRolePolicyForScans` gérée et à une politique de confiance qui permet au principal du `malware-protection.guardduty.amazonaws.com` service d'assumer le rôle.