Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Syntaxe et exemples d'une politique de sauvegarde
Cette page décrit la syntaxe d'une politique de sauvegarde et fournit des exemples.
## Syntaxe des politiques de sauvegarde
Une politique de sauvegarde est un fichier texte brut qui est structuré conformément aux règles de [JSON](http://json.org). La syntaxe des politiques de sauvegarde suit celle de tous les types de politiques de gestion. Pour plus d'informations, voir [Syntaxe des politiques et héritage pour les types de politiques de gestion](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques du type de politique de sauvegarde.
Pour plus d'informations sur AWS Backup les forfaits, consultez [CreateBackupPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateBackupPlan.html)le *guide du AWS Backup développeur*.
## Considérations
**Syntaxe des politiques**
Les noms de clé dupliqués seront rejetés en JSON.
Les politiques doivent spécifier les ressources Régions AWS et les ressources à sauvegarder.
Les politiques doivent spécifier le rôle IAM assumé AWS Backup .
`@@assign`L'utilisation d'un opérateur au même niveau peut remplacer les paramètres existants. Pour plus d'informations, voir [Une politique relative aux enfants remplace les paramètres d'une politique parentale](#backup-policy-example-5).
Les opérateurs d'héritage contrôlent la façon dont les politiques héritées et les politiques attachées à un compte fusionnent pour former la politique effective de ce compte. Ces opérateurs comprennent les opérateurs de définition de valeurs et les opérateurs de contrôle enfants.
Pour plus d'informations, consultez les sections [Opérateurs d'héritage](policy-operators.md) et [Exemples de politiques de sauvegarde](#backup-policy-examples).
**Rôles IAM**
Le rôle IAM doit exister lors de la première création d'un plan de sauvegarde.
Le rôle IAM doit être autorisé à accéder aux ressources identifiées par une requête de balise.
Le rôle IAM doit être autorisé à effectuer la sauvegarde.
**Coffres-forts de sauvegarde**
Des coffres-forts doivent exister dans chaque unité spécifiée pour Régions AWS qu'un plan de sauvegarde puisse être exécuté.
Des coffres-forts doivent exister pour chaque AWS compte bénéficiant de la politique effective. Pour plus d'informations, consultez la section [Création et suppression d'un coffre de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html) dans le *Guide du AWS Backup développeur*.
Nous vous recommandons d'utiliser des ensembles de AWS CloudFormation piles et de les intégrer à Organizations pour créer et configurer automatiquement des coffres-forts de sauvegarde et des rôles IAM pour chaque compte membre de l'organisation. Pour de plus amples informations, consultez [Créer un ensemble de piles avec des autorisations autogérées](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#create-stack-set-service-managed-permissions) dans le *Guide de l'utilisateur AWS CloudFormation *.
**Quotas**
Pour une liste des quotas, voir « [AWS Backup quotas](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html#aws-backup-policies-quotas-table) » dans le *Guide du AWS Backup développeur*.
## Syntaxe de sauvegarde : présentation
La syntaxe d'une politique de sauvegarde inclut les composants suivants :
```
{
"plans": {
"PlanName": {
"rules": { ... },
"regions": { ... },
"selections": { ... },
"advanced_backup_settings": { ... },
"backup_plan_tags": { ... },
"scan_settings": { ... }
}
}
}
```
**Éléments de la politique de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| [règles](#backup-policy-rules) | Liste des règles de sauvegarde. Chaque règle définit le moment où les sauvegardes démarrent et la fenêtre d'exécution des ressources spécifiées dans les selections éléments regions et. | Oui |
| [régions](#backup-plan-regions) | Liste des domaines Régions AWS dans lesquels une politique de sauvegarde peut protéger les ressources. | Oui |
| [sélections](#backup-plan-selections) | Un ou plusieurs types de ressources dans les limites spécifiées regions que la sauvegarde rules protège. | Oui |
| [paramètres\$1de\$1sauvegarde avancés](#advanced-backup-settings) | Options de configuration pour des scénarios de sauvegarde spécifiques. Actuellement, le seul paramètre de sauvegarde avancé pris en charge consiste à activer les sauvegardes Microsoft Volume Shadow Copy Service (VSS) pour Windows ou SQL Server exécutées sur une instance Amazon EC2. | Non |
| [backup\$1plan\$1tags](#backup-plan-tags) | Tags que vous souhaitez associer à un plan de sauvegarde. Chaque balise est une étiquette composée d’une clé définie par l’utilisateur et d’une valeur. Les balises peuvent vous aider à gérer, identifier, organiser, rechercher et filtrer vos plans de sauvegarde. | Non |
| [paramètres de numérisation](#scan-settings) | Options de configuration pour les paramètres de numérisation. Actuellement, le seul paramètre de scan pris en charge est d'activer Amazon GuardDuty Malware Protection pour AWS Backup. | Non |
## Syntaxe de sauvegarde : règles
La clé `rules` de stratégie spécifie les tâches de sauvegarde planifiées qui AWS Backup s'exécutent sur les ressources sélectionnées.
**Éléments de règles de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| schedule\$1expression | Expression Cron en UTC qui indique à quel moment une AWS Backup tâche de sauvegarde est lancée. Pour plus d'informations sur les expressions cron, consultez la section [Utilisation des expressions cron et rate pour planifier des règles](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html) dans le guide de * EventBridge l'utilisateur Amazon*. | Oui |
| target\$1backup\$1vault\$1name | Coffre-fort de sauvegarde dans lequel les sauvegardes sont stockées. Les coffres-forts de sauvegarde sont identifiés par des noms propres au compte utilisé pour les créer et à l' Région AWS endroit où ils ont été créés. | Oui |
| target\$1logically\$1air\$1gapped\$1backup\$1vault\$1arn | ARN du coffre-fort logiquement espacé dans lequel les sauvegardes sont stockées. Si elles sont fournies, les ressources entièrement gérées prises en charge sont sauvegardées directement dans un coffre-fort à espacement logique, tandis que les autres ressources prises en charge créent un instantané temporaire (facturable) dans le coffre-fort de sauvegarde, puis le copient dans un coffre-fort à espacement logique. Les ressources non prises en charge ne sont sauvegardées que dans le coffre de sauvegarde spécifié. L'ARN doit utiliser les espaces réservés spéciaux `$region` et`$account`. Par exemple, pour un coffre nommé, `AirGappedVault` la valeur correcte est`arn:aws:backup:$region:$account:backup-vault:AirGappedVault`. | Non |
| start\$1backup\$1window\$1minutes | Le nombre de minutes à attendre avant d'annuler une tâche de sauvegarde sera annulé si elle ne démarre pas correctement. Si cette valeur est incluse, elle doit être d'au moins 60 minutes pour éviter les erreurs. | Non |
| complete\$1backup\$1window\$1minutes | Nombre de minutes après le démarrage réussi d'une tâche de sauvegarde avant qu'elle ne doive être terminée, faute de quoi elle sera annulée par AWS Backup. | Non |
| enable\$1continuous\$1backup | Spécifie s'il AWS Backup crée des sauvegardes continues. `True`provoque AWS Backup la création de sauvegardes continues capables de point-in-time restauration (PITR). `False`(ou non spécifiée) provoque AWS Backup la création de sauvegardes instantanées. Pour plus d'informations sur les sauvegardes continues, consultez [P oint-in-time recovery](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html) dans le *Guide du AWS Backup développeur*. **Remarque :** les sauvegardes compatibles PITR ont une durée de conservation maximale de 35 jours. | Non |
| lifecycle | Spécifie à AWS Backup quel moment une sauvegarde passe en stockage à froid et à quel moment elle expire. Les types de ressources pouvant passer au stockage à froid sont répertoriés dans le tableau Disponibilité des fonctionnalités par ressource [Disponibilité des fonctionnalités par ressource](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) du *Guide du AWS Backup développeur*. Chaque cycle de vie contient les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) **Remarque** : Les sauvegardes transférées vers une chambre froide doivent être stockées dans une chambre froide pendant au moins 90 jours. Cela signifie que le délai `delete_after_days` doit être supérieur de 90 jours à`move_to_cold_storage_after_days`. | Non |
| copy\$1actions | Spécifie si une sauvegarde est AWS Backup copiée vers un ou plusieurs emplacements supplémentaires. Chaque action de copie contient les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) **Remarque** : Les sauvegardes transférées vers une chambre froide doivent être stockées dans une chambre froide pendant au moins 90 jours. Cela signifie que le délai `delete_after_days` doit être supérieur de 90 jours à`move_to_cold_storage_after_days`. | Non |
| recovery\$1point\$1tags | Tags que vous souhaitez attribuer aux ressources restaurées à partir d'une sauvegarde. Chaque balise contient les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
| index\$1actions | Spécifie s'il AWS Backup crée un index de sauvegarde de vos instantanés Amazon EBS et des sauvegardes and/or Amazon S3. Des index de sauvegarde sont créés afin de rechercher les métadonnées de vos sauvegardes. Pour plus d'informations sur la création d'index de sauvegarde et la recherche de sauvegarde, consultez la section [Recherche de sauvegarde](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-overview). **Remarque :** des [autorisations de rôle IAM](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-access) supplémentaires sont requises pour créer un index de sauvegarde instantanée Amazon EBS. Chaque action d'indexation contient l'élément suivant : les types `resource_types` de ressources pris en charge pour l'indexation sont Amazon EBS et Amazon S3. Ce paramètre indique le type de ressource qui sera sélectionné pour l'indexation. | Non |
| scan\$1actions | Spécifie si une action d'analyse est activée pour une règle donnée. Vous devez spécifier un`ScanMode`. Vous devez utiliser `scan_settings` les éléments de politique de sauvegarde conjointement avec pour que `scan_actions` les tâches de numérisation démarrent correctement. Vérifiez également que vous disposez des [autorisations de rôle IAM](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access) appropriées. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
## Syntaxe de sauvegarde : régions
La clé de `regions` stratégie Régions AWS indique laquelle AWS Backup recherche les ressources qui répondent aux conditions de la `selections` clé.
**Éléments des régions de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| regions | Spécifie les Région AWS codes. Par exemple : `["us-east-1", "eu-north-1"]`. | Oui |
## Syntaxe de sauvegarde : sélections
La clé `selections` de stratégie spécifie les ressources qui sont sauvegardées par les règles d'une stratégie de sauvegarde.
Il existe deux éléments qui s'excluent mutuellement : `tags` et`resources`. Pour être valide, une politique efficace **doit** être `resources` inscrite dans des balises `have` ou dans la sélection.
Si vous souhaitez une sélection comportant à la fois des conditions de balise et des conditions de ressources, utilisez les `resources` clés.
**Éléments de sélection de sauvegarde : Tags**
| Element | Description | Obligatoire |
| --- | --- | --- |
| iam\$1role\$1arn | Rôle IAM qui AWS Backup suppose d'interroger, de découvrir et de sauvegarder des ressources dans les régions spécifiées. Le rôle doit disposer d'autorisations suffisantes pour interroger les ressources en fonction des conditions des balises et effectuer des opérations de sauvegarde sur les ressources correspondantes. | Oui |
| tag\$1key | Nom de la clé de balise à rechercher. | Oui |
| tag\$1value | Valeur qui doit être associée au tag\$1key correspondant. AWS Backup inclut la ressource uniquement si tag\$1key et tag\$1value correspondent (distinction majuscules/minuscules). | Oui |
| conditions | Étiquetez les clés et les valeurs que vous souhaitez inclure ou exclure Utilisez string\$1equals ou string\$1not\$1equals pour inclure ou exclure les balises correspondant exactement à une correspondance. Utilisez string\$1like et string\$1not\$1like pour inclure ou exclure les balises contenant ou ne contenant pas de caractères spécifiques **Remarque :** Limité à 30 conditions pour chaque sélection. | Non |
**Éléments de sélection de sauvegarde : Ressources**
| Element | Description | Obligatoire |
| --- | --- | --- |
| iam\$1role\$1arn | Rôle IAM qui AWS Backup suppose d'interroger, de découvrir et de sauvegarder des ressources dans les régions spécifiées. Le rôle doit disposer d'autorisations suffisantes pour interroger les ressources en fonction des conditions des balises et effectuer des opérations de sauvegarde sur les ressources correspondantes. **Remarque :** Dans AWS GovCloud (US) Regions, vous devez ajouter le nom de la partition à l'ARN. Par exemple, « `arn:aws:ec2:*:*:volume/*` » doit être « `arn:aws-us-gov:ec2:*:*:volume/*` ». | Oui |
| resource\$1types | Types de ressources à inclure dans un plan de sauvegarde. | Oui |
| not\$1resource\$1types | Types de ressources à exclure d'un plan de sauvegarde. | Non |
| conditions | Étiquetez les clés et les valeurs que vous souhaitez inclure ou exclure Utilisez string\$1equals ou string\$1not\$1equals pour inclure ou exclure les balises correspondant exactement à une correspondance. Utilisez string\$1like et string\$1not\$1like pour inclure ou exclure les balises contenant ou ne contenant pas de caractères spécifiques **Remarque :** Limité à 30 conditions pour chaque sélection. | Non |
**Types de ressources pris en charge**
Organizations prend en charge les types de ressources suivants pour les `not_resource_types` éléments `resource_types` et :
+ AWS Backup gateway machines virtuelles : `"arn:aws:backup-gateway:*:*:vm/*"`
+ AWS CloudFormation piles : `"arn:aws:cloudformation:*:*:stack/*"`
+ Tables Amazon DynamoDB : `"arn:aws:dynamodb:*:*:table/*"`
+ Instances Amazon EC2 : `"arn:aws:ec2:*:*:instance/*"`
+ Volumes Amazon EBS : `"arn:aws:ec2:*:*:volume/*"`
+ Systèmes de fichiers Amazon EFS : `"arn:aws:elasticfilesystem:*:*:file-system/*"`
+ Clusters Amazon Aurora/Amazon DocumentDB/Amazon Neptune : `"arn:aws:rds:*:*:cluster:*"`
+ Bases de données Amazon RDS : `"arn:aws:rds:*:*:db:*"`
+ Clusters Amazon Redshift : `"arn:aws:redshift:*:*:cluster:*"`
+ Amazon S3 : `"arn:aws:s3:::*"`
+ Gestionnaire de systèmes AWS pour SAP Bases de données HANA : `"arn:aws:ssm-sap:*:*:HANA/*"`
+ AWS Storage Gateway passerelles : `"arn:aws:storagegateway:*:*:gateway/*"`
+ Bases de données Amazon Timestream : `"arn:aws:timestream:*:*:database/*"`
+ Systèmes de FSx fichiers Amazon : `"arn:aws:fsx:*:*:file-system/*"`
+ FSx Volumes Amazon : `"arn:aws:fsx:*:*:volume/*"`
+ Volumes Amazon Elastic Kubernetes Service : `"arn:aws:eks:*:*:cluster/*"`
**Exemples de code**
Pour plus d'informations, consultez les sections [Spécification des ressources à l'aide du bloc de balises](#backup-policy-example-6) et [Spécification des ressources à l'aide du bloc de ressources](#backup-policy-example-7).
## Syntaxe de sauvegarde : paramètres de sauvegarde avancés
La `advanced_backup_settings` clé spécifie les options de configuration pour des scénarios de sauvegarde spécifiques. Chaque paramètre contient les éléments suivants :
**Éléments de paramètres de sauvegarde avancés**
| Element | Description | Obligatoire |
| --- | --- | --- |
| advanced\$1backup\$1settings | Spécifie les paramètres pour des scénarios de sauvegarde spécifiques. Cette clé contient un ou plusieurs paramètres. Chaque paramètre est une chaîne d'objet JSON avec les éléments suivants : Actuellement, le seul paramètre de sauvegarde avancé pris en charge consiste à activer les sauvegardes Microsoft Volume Shadow Copy Service (VSS) pour Windows ou SQL Server exécutées sur une instance Amazon EC2. Chaque sauvegarde avancée définit les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
**Exemple :**
```
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
},
```
## Syntaxe de sauvegarde : balises du plan de sauvegarde
La clé de `backup_plan_tags` stratégie spécifie les balises associées au plan de sauvegarde lui-même. Cela n'a aucun impact sur les balises spécifiées pour `rules` ou`selections`.
**Éléments des balises du plan de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| backup\$1plan\$1tags | Chaque balise est une étiquette composée d'une clé et d'une valeur définies par l'utilisateur : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
## Syntaxe de sauvegarde : paramètres de numérisation
La clé `scan_settings` de politique spécifie la configuration pour l'analyse des programmes malveillants à l'aide d'Amazon GuardDuty Malware Protection for AWS Backup. Vous devez les utiliser `scan_settings` conjointement avec vos règles `scan_actions` de sauvegarde pour que les tâches de numérisation démarrent correctement.
**Éléments des paramètres de numérisation**
| Element | Description | Obligatoire |
| --- | --- | --- |
| scan\$1settings | Options de configuration pour les paramètres de numérisation. Actuellement, les seuls paramètres de scan pris en charge sont l'activation d'Amazon GuardDuty Malware Protection pour AWS Backup. Vous devez spécifier le `ResourceTypes` et`ScannerRoleArn`. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
**Exemple :**
Ce qui suit explique comment configurer `scan_actions` dans une règle de sauvegarde et `scan_settings` au niveau du plan pour activer l'analyse Amazon GuardDuty Malware Protection.
`scan_actions`dans une règle :
```
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
```
`scan_settings`au niveau du plan :
```
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": ["EBS"]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
```
## Exemples de politiques de sauvegarde
Les exemples de politiques de sauvegarde qui suivent sont fournis à titre informatif uniquement. Dans certains des exemples suivants, la mise en forme des espaces JSON peut être compressée pour économiser de l'espace.
+ [Exemple 1 : Politique attribuée à un nœud parent](#backup-policy-example-1)
+ [Exemple 2 : une politique parent est fusionnée avec une politique enfant](#backup-policy-example-2)
+ [Exemple 3 : Une politique parentale empêche toute modification par une politique enfant](#backup-policy-example-3)
+ [Exemple 4 : Une politique parent empêche la modification d'un plan de sauvegarde par une politique enfant](#backup-policy-example-4)
+ [Exemple 5 : une politique relative aux enfants remplace les paramètres d'une politique parentale](#backup-policy-example-5)
+ [Exemple 6 : Spécification des ressources à l'aide du bloc de balises](#backup-policy-example-6)
+ [Exemple 7 : Spécification des ressources avec le bloc de ressources](#backup-policy-example-7)
+ [Exemple 8 : plan de sauvegarde avec analyse Amazon GuardDuty Malware Protection](#backup-policy-example-8)
### Exemple 1 : Politique affectée à un nœud parent
L'exemple suivant montre une politique de sauvegarde affectée à l'un des nœuds parents d'un compte.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente de tous les comptes prévus.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"ap-northeast-2",
"us-east-1",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {
"@@assign": "cron(0 5/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "480"
},
"complete_backup_window_minutes": {
"@@assign": "10080"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "180"
},
"delete_after_days": {
"@@assign": "270"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
},
"target_backup_vault_name": {
"@@assign": "FortKnox"
},
"target_logically_air_gapped_backup_vault_arn": {
"@@assign": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault"
},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@assign": "dataType"
},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
}
}
}
}
```
Si aucune autre politique n'est héritée ou attachée aux comptes, la politique effective affichée dans chaque cas applicable Compte AWS ressemble à l'exemple suivant. L'expression CRON provoque l'exécution de la sauvegarde une fois par heure à l'heure pile. L'ID de compte 123456789012 sera l'ID de compte réel de chaque compte.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"target_logically_air_gapped_backup_vault_arn": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": "enabled"
}
}
}
}
}
```
### Exemple 2 : Une politique parente est fusionnée avec une politique enfant
Dans l'exemple suivant, une politique parent héritée et une politique enfant héritées ou directement associées à une Compte AWS fusion pour former la politique effective.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "60" },
"target_backup_vault_name": { "@@assign": "FortKnox" },
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII", "RED" ] }
}
}
}
}
}
}
```
**Politique enfant** : cette politique peut être attachée directement au compte ou à une UO dans n'importe quel niveau inférieur à celui auquel la politique parente est attachée.
```
{
"plans": {
"Monthly_Backup_Plan": {
"regions": {
"@@append":[ "us-east-1", "eu-central-1" ] },
"rules": {
"Monthly": {
"schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"target_backup_vault_name": { "@@assign": "Default" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"MonthlyDatatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" },
"tag_key": { "@@assign": "BackupType" },
"tag_value": { "@@assign": [ "MONTHLY", "RED" ] }
}
}
}
}
}
}
```
**Politique effective résultante** : la politique effective appliquée aux comptes contient deux plans, chacun avec son propre ensemble de règles et son ensemble de ressources auquel appliquer les règles.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [ "PII", "RED" ]
}
}
}
},
"Monthly_Backup_Plan": {
"regions": [ "us-east-1", "eu-central-1" ],
"rules": {
"monthly": {
"schedule_expression": "cron(0 5 1 * ? *)",
"start_backup_window_minutes": "480",
"target_backup_vault_name": "Default",
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn": {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": "30",
"delete_after_days": "365",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"monthlydatatype": {
"iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole",
"tag_key": "BackupType",
"tag_value": [ "MONTHLY", "RED" ]
}
}
}
}
}
}
```
### Exemple 3 : Une politique parente empêche toute modification par une politique enfant
Dans l'exemple suivant, une politique parente héritée utilise les [opérateurs de contrôle enfants](policy-operators.md#child-control-operators) pour appliquer tous les paramètres et empêche leur modification ou remplacement par une politique enfant.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. La présence de `"@@operators_allowed_for_child_policies": ["@@none"]` à chaque nœud de la politique signifie qu'une politique enfant ne peut apporter aucune modification au plan. Une politique enfant ne peut pas non plus ajouter des plans supplémentaires à la politique effective. Cette politique devient la politique effective pour chaque UO et chaque compte sous l'UO à laquelle elle est rattachée.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@none"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"@@operators_allowed_for_child_policies": ["@@none"],
"Hourly": {
"@@operators_allowed_for_child_policies": ["@@none"],
"schedule_expression": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "cron(0 0/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "60"
},
"target_backup_vault_name": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "FortKnox"
},
"index_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
},
"copy_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"@@operators_allowed_for_child_policies": ["@@none"],
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault",
"@@operators_allowed_for_child_policies": ["@@none"]
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"@@operators_allowed_for_child_policies": ["@@none"],
"tags": {
"@@operators_allowed_for_child_policies": ["@@none"],
"datatype": {
"@@operators_allowed_for_child_policies": ["@@none"],
"iam_role_arn": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "dataType"
},
"tag_value": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"@@operators_allowed_for_child_policies": ["@@none"],
"ec2": {
"@@operators_allowed_for_child_policies": ["@@none"],
"windows_vss": {
"@@assign": "enabled",
"@@operators_allowed_for_child_policies": ["@@none"]
}
}
}
}
}
}
```
**Politique effective résultante** : si des politiques de sauvegarde enfants existent, elles sont ignorées et la politique parente devient la politique effective.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault",
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {"windows_vss": "enabled"}
}
}
}
}
```
### Exemple 4 : Une politique parente empêche les modifications d'un plan de sauvegarde par une politique enfant
Dans l'exemple suivant, une politique parente héritée utilise les [opérateurs de contrôle enfants](policy-operators.md#child-control-operators) pour appliquer les paramètres d'un plan unique et les empêche d'être modifiés ou remplacés par une politique enfant. La politique enfant peut encore ajouter des plans supplémentaires.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. Cet exemple est similaire au précédent où tous les opérateurs d'héritage enfants sont bloqués, sauf au niveau supérieur `plans`. Le paramètre `@@append` à ce niveau permet aux politiques enfants d'ajouter d'autres plans à l'ensemble dans la politique effective. Toutes les modifications du plan hérité sont toujours bloquées.
Les sections du plan sont tronquées pour plus de clarté.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@append"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": { ... },
"rules": { ... },
"selections": { ... }
}
}
}
```
**Politique enfant** : cette politique peut être attachée directement au compte ou à une UO dans n'importe quel niveau inférieur à celui auquel la politique parente est attachée. Cette politique enfant définit un nouveau plan.
Les sections du plan sont tronquées pour plus de clarté.
```
{
"plans": {
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
**Politique effective résultante** : la politique effective inclut les deux plans.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { ... },
"rules": { ... },
"selections": { ... }
},
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
### Exemple 5 : Une politique enfant remplace les paramètres d'une politique parente
Dans l'exemple suivant, une politique enfant utilise des [opérateurs de définition de valeur](policy-operators.md#value-setting-operators) pour remplacer certains des paramètres hérités d'une politique parente.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. Tous les paramètres peuvent être remplacés par une politique enfant, car le comportement par défaut, en l'absence d'un [opérateur de contrôle enfant](policy-operators.md#child-control-operators) qui l'empêche, est d'autoriser la politique enfant à `@@assign`, `@@append` ou `@@remove`. La politique parente contient tous les éléments requis pour un plan de sauvegarde valable, de sorte qu'elle sauvegarde vos ressources correctement si elles sont héritées en l'état.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "60"},
"target_backup_vault_name": {"@@assign": "FortKnox"},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": {"@@assign": "2"},
"move_to_cold_storage_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:t2": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "28"},
"delete_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"},
"tag_key": {"@@assign": "dataType"},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
}
}
}
}
```
**Politique enfant** : la politique enfant inclut uniquement les paramètres qui doivent être différents de ceux de la politique parente héritée. Il doit y avoir une politique parente héritée qui fournit les autres paramètres requis lors de la fusion dans une politique effective. Sinon, la politique de sauvegarde effective contient un plan de sauvegarde non valable qui ne sauvegarde pas vos ressources comme prévu.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"us-west-2",
"eu-central-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "80"},
"target_backup_vault_name": {"@@assign": "Default"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "30"},
"delete_after_days": {"@@assign": "365"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
}
}
```
**Politique effective résultante** : la politique effective inclut les paramètres des deux politiques, ceux fournis par la politique enfant remplaçant les paramètres hérités de la politique parente. Dans cet exemple, les modifications suivantes se produisent :
+ La liste des régions est remplacée par une liste complètement différente. Si vous souhaitez ajouter une région à la liste héritée, utilisez `@@append` au lieu de `@@assign` dans la politique enfant.
+ AWS Backup se produit toutes les deux heures au lieu d'une heure.
+ AWS Backup accorde 80 minutes pour démarrer la sauvegarde au lieu de 60 minutes.
+ AWS Backup utilise le `Default` coffre au lieu de`FortKnox`.
+ Le cycle de vie est prolongé pour le transfert vers le stockage à froid et la suppression à terme de la sauvegarde.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-west-2",
"eu-central-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/2 ? * * *)",
"start_backup_window_minutes": "80",
"target_backup_vault_name": "Default",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
}
}
}
}
```
### Exemple 6 : Spécification des ressources avec le `tags` bloc
L'exemple suivant inclut toutes les ressources avec les `tag_key` symboles = `“env”` et `tag_value` = `"prod"` ou`"gamma"`. Cet exemple exclut les ressources avec le `tag_key` = `"backup"` et le `tag_value` =`"false"`.
```
...
"selections":{
"tags":{
"selection_name":{
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"tag_key":{"@@assign": "env"},
"tag_value":{"@@assign": ["prod", "gamma"]},
"conditions":{
"string_not_equals":{
"condition_name1":{
"condition_key": { "@@assign": "aws:ResourceTag/backup" },
"condition_value": { "@@assign": "false" }
}
}
}
}
}
},
...
```
### Exemple 7 : Spécification des ressources avec le `resources` bloc
Voici des exemples d'utilisation du `resources` bloc pour spécifier des ressources.
------
#### [ Example: Select all resources in my account ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
}
}
},
...
```
------
#### [ Example: Select all resources in my account, but exclude Amazon EBS volumes ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Les `"not_resource_types"` blocs `"resource_types"` et utilisent un booléen `AND` pour combiner les types de ressources.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true", but exclude Amazon EBS volumes ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Les `"not_resource_types"` blocs `"resource_types"` et utilisent un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un `AND` booléen.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key": { "@@assign":"aws:ResourceTag/backup"},
"condition_value": { "@@assign":"true" }
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS DB instances tagged with both "backup" : "true" and "stage" : "prod" ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
},
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"prod"}
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS instances tagged with "backup" : "true" but not "stage" : "test" ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
},
"string_not_equals":{
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"test"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "key1" and a value which begins with "include" but not with "key2" and value that contains the word "exclude" ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
Dans cet exemple, notez l'utilisation du caractère générique `(*)` dans `include*``*exclude*`, et`arn:aws:rds:*:*:db:*`. Vous pouvez utiliser le caractère générique `(*)` au début, à la fin et au milieu d'une chaîne.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"conditions":{
"string_like":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/key1"},
"condition_value":{"@@assign":"include*"}
}
},
"string_not_like":{
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/key2"},
"condition_value":{"@@assign":"*exclude*"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true" except Amazon FSx file systems and Amazon RDS resources ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Les `"not_resource_types"` blocs `"resource_types"` et utilisent un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign":[
"arn:aws:fsx:*:*:file-system/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
}
}
}
},
...
```
------
### Exemple 8 : plan de sauvegarde avec analyse Amazon GuardDuty Malware Protection
L'exemple suivant montre une politique de sauvegarde qui permet à Amazon GuardDuty Malware Protection de scanner les points de restauration des sauvegardes. La politique utilise `scan_actions` la règle pour activer le scan et `scan_settings` au niveau du plan pour configurer le scanner.
Pour utiliser cette fonctionnalité, vous devez disposer des autorisations de rôle IAM appropriées. Pour plus d'informations, consultez [Access](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access) dans le *guide du AWS Backup développeur*.
```
{
"plans": {
"Malware_Scan_Backup_Plan": {
"regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"rules": {
"Daily_With_Incremental_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "35"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
},
"Monthly_With_Full_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 1 * ? *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "365"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "FULL_SCAN"
}
}
}
}
},
"selections": {
"tags": {
"scan_selection": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyBackupRole"
},
"tag_key": {
"@@assign": "backup"
},
"tag_value": {
"@@assign": [
"true"
]
}
}
}
},
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": [
"EBS"
]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
}
}
}
```
Les points clés de cet exemple sont les suivants :
+ `scan_actions`est spécifié dans chaque règle. Le nom du scanner `GUARDDUTY` est utilisé comme clé. Les utilisations des règles quotidiennes `INCREMENTAL_SCAN` et les utilisations des règles mensuelles`FULL_SCAN`.
+ `scan_settings`est spécifié au niveau du plan (et non dans une règle). Il configure le rôle du scanner et les types de ressources à scanner.
+ Ils `scanner_role_arn` doivent faire référence à un rôle IAM auquel est attachée la politique `AWSBackupGuardDutyRolePolicyForScans` gérée et à une politique de confiance qui permet au principal du `malware-protection.guardduty.amazonaws.com` service d'assumer le rôle.