本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 備份政策語法和範例
<a name="orgs_manage_policies_backup_syntax"></a>

此頁面說明備份政策語法並提供範例。

## 備份政策的語法
<a name="backup-policy-syntax-reference"></a>

備份政策是根據 [JSON](http://json.org) 規則建構的純文字檔。備份政策的語法遵循所有宣告政策類型的語法。如需詳細資訊，請參閱[宣告政策類型的政策語法和繼承](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html)。本主題著重於以該一般語法滿足備份政策類型的特定需求。

如需 AWS Backup 計劃的詳細資訊，請參閱《 *AWS Backup 開發人員指南*》中的 [CreateBackupPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateBackupPlan.html)。

## 考量事項
<a name="backup-policy-syntax-considerations"></a>

**政策語法**

JSON 中將拒絕重複的金鑰名稱。

政策必須指定要備份的 AWS 區域 和資源。

政策必須指定 AWS Backup 擔任的 IAM 角色。

在相同層級使用`@@assign`運算子可以覆寫現有的設定。如需詳細資訊，請參閱[子政策覆寫父政策中的設定](#backup-policy-example-5)。

繼承運算子可控制繼承的政策和帳戶政策如何合併成為帳戶的有效政策。這些運算子包括值-設定運算子和子控制運算子。

如需詳細資訊，請參閱[繼承運算子](policy-operators.md)和[備份政策範例](#backup-policy-examples)。

**IAM 角色**

第一次建立備份計劃時，IAM 角色必須存在。

IAM 角色必須具有存取標籤查詢所識別資源的許可。

IAM 角色必須具有執行備份的許可。

**備份保存庫**

保存庫必須存在於每個指定的 中， AWS 區域 備份計畫才能執行。

每個接收有效政策 AWS 的帳戶都必須有保存庫。如需詳細資訊，請參閱《 *AWS Backup 開發人員指南*》中的[備份保存庫建立和刪除](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html)。

我們建議您使用 AWS CloudFormation 堆疊集及其與 Organizations 的整合，為組織中的每個成員帳戶自動建立和設定備份保存庫和 IAM 角色。如需詳細資訊，請參閱*AWS CloudFormation 使用者指南*中的[建立具有自我管理許可的堆疊集](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#create-stack-set-service-managed-permissions)。

**配額**

如需配額清單，請參閱《 *AWS Backup 開發人員指南*》中的[AWS Backup 配額](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html#aws-backup-policies-quotas-table)。

## 備份語法：概觀
<a name="backup-policy-syntax-components"></a>

備份政策語法包含下列元素：

```
{
    "plans": {
        "PlanName": {
            "rules": { ... },
            "regions": { ... },
            "selections": { ... },
            "advanced_backup_settings": { ... },
            "backup_plan_tags": { ... },
            "scan_settings": { ... }
        }
    }
}
```


**備份政策元素**  

| Element | 說明 | 必要 | 
| --- | --- | --- | 
| [規則](#backup-policy-rules) | 備份規則的清單。每個規則會定義備份何時開始，以及 regions和 selections元素中指定資源的執行時段。 | 是 | 
| [區域](#backup-plan-regions) | 備份政策可保護資源 AWS 區域 的清單。 | 是 | 
| [選取項目](#backup-plan-selections) | 備份rules保護regions之指定 內的一或多個資源類型。 | 是 | 
| [advanced\_backup\_settings](#advanced-backup-settings) | 特定備份案例的組態選項。<br />目前，支援的唯一進階備份設定是為在 Amazon EC2 執行個體上執行的 Windows 或 SQL Server 啟用 Microsoft Volume Shadow Copy Service (VSS) 備份。 | 否 | 
| [backup\_plan\_tags](#backup-plan-tags) | 您要與備份計畫建立關聯的標籤。每個標籤都是由使用者定義的金鑰和值組成的標籤。<br />標籤可協助您管理、識別、組織、搜尋和篩選備份計劃。 | 否 | 
| [scan\_settings](#scan-settings) | 掃描設定的組態選項。目前支援的唯一掃描設定是啟用 Amazon GuardDuty 惡意軟體防護 AWS Backup。 | 否 | 

## 備份語法：規則
<a name="backup-policy-rules"></a>

`rules` 政策金鑰會指定在所選資源上執行的排程備份任務 AWS Backup 。


**備份規則元素**  

| Element | 說明 | 必要 | 
| --- | --- | --- | 
| schedule\_expression | UTC 中的 Cron 表達式，指定 何時 AWS Backup 啟動備份任務。<br />如需 cron 表達式的詳細資訊，請參閱《*Amazon EventBridge 使用者指南*》中的[使用 cron 和 rate 表達式來排程規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html)。 | 是 | 
| target\_backup\_vault\_name | 存放備份的備份保存庫。<br />備份保存庫是由用於建立它們的帳戶及其建立 AWS 區域 位置的唯一名稱所識別。 | 是 | 
| target\_logically\_air\_gapped\_backup\_vault\_arn | 存放備份的邏輯氣隙隔離保存庫 ARN。<br />如果提供，支援的全受管資源會直接備份到邏輯氣隙隔離保存庫，而其他支援的資源則會在備份保存庫中建立暫時 （計費） 快照，然後將其複製到邏輯氣隙隔離保存庫。不支援的資源只會備份到指定的備份保存庫。<br />ARN 必須使用特殊預留位置 `$region`和 `$account`。例如，對於名為 的保存庫`AirGappedVault`，正確值為 `arn:aws:backup:$region:$account:backup-vault:AirGappedVault`。 | 否 | 
| start\_backup\_window\_minutes | 如果備份任務未成功啟動，則會取消在取消備份任務之前等待的分鐘數。<br />若包含此值，則其必須至少為 60 分鐘以避免發生錯誤。 | 否 | 
| complete\_backup\_window\_minutes | 備份任務成功啟動後，必須完成或由 取消前的 N 分鐘數 AWS Backup。 | 否 | 
| enable\_continuous\_backup | 指定 是否 AWS Backup 建立連續備份。<br />`True` AWS Backup 會導致 建立能夠point-in-time還原 (PITR) 的連續備份。 `False`（或未指定） AWS Backup 會導致 建立快照備份。<br />如需持續備份的詳細資訊，請參閱*AWS Backup 開發人員指南*中的 [point-in-time 恢復](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)。<br />**注意：**啟用 PITR 的備份保留期上限為 35 天。 | 否 | 
| lifecycle | 指定 何時將備份 AWS Backup 轉換為冷儲存，以及何時過期。<br />*AWS Backup 開發人員指南*中，可轉換為冷儲存的資源類型會依資源表的功能可用性[依資源的功能可用性](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource)列出。<br />每個生命週期都包含下列元素：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html)<br />**注意**：轉換為冷儲存的備份必須存放在冷儲存中至少 90 天。<br />這表示 `delete_after_days` 必須大於 90 天`move_to_cold_storage_after_days`。 | 否 | 
| copy\_actions | 指定 是否將備份 AWS Backup 複製到一或多個其他位置。<br />每個複製動作都包含下列元素：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html)<br />**注意**：轉換為冷儲存的備份必須存放在冷儲存中至少 90 天。<br />這表示 `delete_after_days` 必須大於 90 天`move_to_cold_storage_after_days`。 | 否 | 
| recovery\_point\_tags | 您要指派給從備份還原之資源的標籤。<br />每個標籤都包含下列元素：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | 否 | 
| index\_actions | 指定 是否 AWS Backup 建立 Amazon EBS 快照和/或 Amazon S3 備份的備份索引。建立備份索引是為了搜尋備份的中繼資料。如需備份索引建立和備份搜尋的詳細資訊，請參閱[備份搜尋](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-overview)。<br />**注意：**建立 Amazon EBS 快照備份索引需要其他 [IAM 角色許可](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-access)。<br />每個索引動作都包含下列元素：`resource_types`其中支援編製索引的資源類型為 Amazon EBS 和 Amazon S3。此參數會指定要選擇加入索引的資源類型。 | 否 | 
| scan\_actions | 指定是否針對指定規則啟用掃描動作。您必須指定 `ScanMode`。您必須在備份政策元素`scan_settings`中使用 搭配 `scan_actions` ，掃描任務才能成功啟動。也請確認您擁有正確的 [IAM 角色許可](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access)。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | 否 | 

## 備份語法：區域
<a name="backup-plan-regions"></a>

`regions` 政策金鑰會指定 AWS 區域 中 AWS Backup 尋找的 ，以尋找符合`selections`金鑰中條件的資源。


**備份區域元素**  

| Element | 說明 | 必要 | 
| --- | --- | --- | 
| regions | 指定 AWS 區域 代碼。例如：`["us-east-1", "eu-north-1"]`。 | 是 | 

## 備份語法：選取項目
<a name="backup-plan-selections"></a>

`selections` 政策金鑰指定由備份政策中的規則所備份的資源。

有兩種互斥元素： `tags`和 `resources`。有效的政策**必須在**選擇`resources`中`have`標籤或 才有效。

如果您想要同時具有標籤條件和資源條件的選擇，請使用 `resources`金鑰。


**備份選擇元素：標籤**  

| Element | 說明 | 必要 | 
| --- | --- | --- | 
| iam\_role\_arn |  AWS Backup 擔任的 IAM 角色可跨指定區域查詢、探索和備份資源。角色必須有足夠的許可，才能根據標籤條件查詢資源，並對相符的資源執行備份操作。 | 是 | 
| tag\_key | 要搜尋的標籤索引鍵名稱。 | 是 | 
| tag\_value | 必須與相符 tag\_key 相關聯的值。AWS Backup 只有在 tag\_key 和 tag\_value 兩者相符 （區分大小寫） 時，才包含 資源。 | 是 | 
| conditions | 您要包含或排除的標籤索引鍵和值<br />使用 string\_equals 或 string\_not\_equals 來包含或排除完全相符的標籤。<br />使用 string\_like 和 string\_not\_like 來包含或排除包含或不包含特定字元的標籤<br />**注意：**每個選擇僅限 30 個條件。 | 否 | 


**備份選擇元素：資源**  

| Element | 說明 | 必要 | 
| --- | --- | --- | 
| iam\_role\_arn |  AWS Backup 擔任的 IAM 角色可跨指定區域查詢、探索和備份資源。角色必須有足夠的許可，才能根據標籤條件查詢資源，並對相符的資源執行備份操作。<br />**注意：**在 中 AWS GovCloud (US) Regions，您必須將分割區的名稱新增至 ARN。<br />例如，"`arn:aws:ec2:*:*:volume/*`" 必須是 "`arn:aws-us-gov:ec2:*:*:volume/*`"。 | 是 | 
| resource\_types | 要包含在備份計畫中的資源類型。 | 是 | 
| not\_resource\_types | 從備份計畫中排除的資源類型。 | 否 | 
| conditions | 您要包含或排除的標籤索引鍵和值<br />使用 string\_equals 或 string\_not\_equals 來包含或排除完全相符的標籤。<br />使用 string\_like 和 string\_not\_like 來包含或排除包含或不包含特定字元的標籤<br />**注意：**每個選擇僅限 30 個條件。 | 否 | 

**支援的資源類型**

Organizations 支援 `resource_types`和 `not_resource_types`元素的下列資源類型：
+ AWS Backup gateway 虛擬機器： `"arn:aws:backup-gateway:*:*:vm/*"`
+ AWS CloudFormation 堆疊： `"arn:aws:cloudformation:*:*:stack/*"`
+ Aurora DSQL 叢集： `"arn:aws:dsql:*:*:cluster/*"`
+ Amazon DynamoDB 資料表： `"arn:aws:dynamodb:*:*:table/*"`
+ Amazon EC2 執行個體：`"arn:aws:ec2:*:*:instance/*"`
+ Amazon EBS 磁碟區： `"arn:aws:ec2:*:*:volume/*"`
+ Amazon EFS 檔案系統： `"arn:aws:elasticfilesystem:*:*:file-system/*"`
+ Amazon Aurora/Amazon DocumentDB/Amazon Neptune 叢集： `"arn:aws:rds:*:*:cluster:*"`
+ Amazon RDS 資料庫： `"arn:aws:rds:*:*:db:*"`
+ Amazon Redshift 叢集： `"arn:aws:redshift:*:*:cluster:*"`
+ Amazon Redshift Serverless 命名空間： `"arn:aws:redshift-serverless:*:*:namespace/*"`
+ Amazon S3： `"arn:aws:s3:::*"`
+ 適用於 SAP 的 AWS Systems Manager HANA 資料庫： `"arn:aws:ssm-sap:*:*:HANA/*"`
+ AWS Storage Gateway 閘道： `"arn:aws:storagegateway:*:*:gateway/*"`
+ Amazon Timestream 資料庫： `"arn:aws:timestream:*:*:database/*"`
+ Amazon FSx 檔案系統： `"arn:aws:fsx:*:*:file-system/*"`
+ Amazon FSx 磁碟區： `"arn:aws:fsx:*:*:volume/*"`
+ Amazon Elastic Kubernetes Service 磁碟區： `"arn:aws:eks:*:*:cluster/*"`

**程式碼範例**

如需詳細資訊，請參閱[使用標籤區塊指定資源](#backup-policy-example-6)和[使用資源區塊指定資源](#backup-policy-example-7)。

## 備份語法：進階備份設定
<a name="advanced-backup-settings"></a>

`advanced_backup_settings` 金鑰指定特定備份案例的組態選項。每個設定都包含下列元素：


**進階備份設定元素**  

| Element | 說明 | 必要 | 
| --- | --- | --- | 
| advanced\_backup\_settings | 指定特定備份案例的設定。此索引鍵包含一個或多個設定。每個設定都是包含下列元素的 JSON 物件字串：目前支援的唯一進階備份設定是為在 Amazon EC2 執行個體上執行的 Windows 或 SQL Server 啟用 Microsoft Volume Shadow Copy Service (VSS) 備份。<br />每個進階備份都會設定下列元素：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | 否 | 

**範例**：

```
"advanced_backup_settings": {
    "ec2": { 
        "windows_vss": {
            "@@assign": "enabled" 
        }
    }
},
```

## 備份語法：備份計畫標籤
<a name="backup-plan-tags"></a>

`backup_plan_tags` 政策金鑰會指定連接至備份計畫本身的標籤。這不會影響為 `rules`或 指定的標籤`selections`。


**備份計畫標籤元素**  

| Element | 說明 | 必要 | 
| --- | --- | --- | 
| backup\_plan\_tags | 每個標籤都是由使用者定義的索引鍵和值組成的標籤：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | 否 | 

## 備份語法：掃描設定
<a name="scan-settings"></a>

`scan_settings` 政策金鑰指定使用 Amazon GuardDuty 惡意軟體防護進行惡意軟體掃描的組態 AWS Backup。您必須在備份規則`scan_actions`中使用 `scan_settings`搭配 ，掃描任務才能成功啟動。


**掃描設定元素**  

| Element | 說明 | 必要 | 
| --- | --- | --- | 
| scan\_settings | 掃描設定的組態選項。目前唯一支援的掃描設定是啟用 Amazon GuardDuty 惡意軟體防護 AWS Backup。您必須指定 `ResourceTypes`和 `ScannerRoleArn`。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | 否 | 

**範例**：

以下說明如何`scan_actions`在備份規則和`scan_settings`計劃層級設定 ，以啟用 Amazon GuardDuty 惡意軟體防護掃描。

`scan_actions` 在規則中：

```
"scan_actions": {
    "GUARDDUTY": {
        "scan_mode": {
            "@@assign": "INCREMENTAL_SCAN"
        }
    }
}
```

`scan_settings` 在計劃層級：

```
"scan_settings": {
    "GUARDDUTY": {
        "resource_types": {
            "@@assign": ["EBS"]
        },
        "scanner_role_arn": {
            "@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
        }
    }
}
```

## 備份政策範例
<a name="backup-policy-examples"></a>

接下來的備份政策範例僅供參考。在下列某些範例中，可能會壓縮 JSON 空白格式以節省空間。
+ [範例 1：指派給父節點的政策](#backup-policy-example-1)
+ [範例 2：父政策與子政策合併](#backup-policy-example-2)
+ [範例 3：父政策可防止子政策的任何變更](#backup-policy-example-3)
+ [範例 4：父政策防止子政策變更一個備份計畫](#backup-policy-example-4)
+ [範例 5：子政策覆寫父政策中的設定](#backup-policy-example-5)
+ [範例 6：使用標籤區塊指定資源](#backup-policy-example-6)
+ [範例 7：使用資源區塊指定資源](#backup-policy-example-7)
+ [範例 8：使用 Amazon GuardDuty 惡意軟體防護掃描的備份計劃](#backup-policy-example-8)

### 範例 1：指派給父節點的政策
<a name="backup-policy-example-1"></a>

下列範例顯示備份政策指派給帳戶的其中一個父節點。

**父政策** – 此政策可以連接至組織的根，或任何 OU (所有預定帳戶的父系)。

```
{
    "plans": {
        "PII_Backup_Plan": {
            "regions": {
                "@@assign": [
                    "ap-northeast-2",
                    "us-east-1",
                    "eu-north-1"
                ]
            },
            "rules": {
                "Hourly": {
                    "schedule_expression": {
                        "@@assign": "cron(0 5/1 ? * * *)"
                    },
                    "start_backup_window_minutes": {
                        "@@assign": "480"
                    },
                    "complete_backup_window_minutes": {
                        "@@assign": "10080"
                    },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": {
                            "@@assign": "180"
                        },
                        "delete_after_days": {
                            "@@assign": "270"
                        },
                        "opt_in_to_archive_for_supported_resources": {
                            "@@assign": "false"
                        }
                    },
                    "target_backup_vault_name": {
                        "@@assign": "FortKnox"
                    },
                    "target_logically_air_gapped_backup_vault_arn": {
                        "@@assign": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault"
                    },
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
                            "target_backup_vault_arn": {
                                "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
                            },
                            "lifecycle": {
                                "move_to_cold_storage_after_days": {
                                    "@@assign": "30"
                                },
                                "delete_after_days": {
                                    "@@assign": "120"
                                },
                                "opt_in_to_archive_for_supported_resources": {
                                    "@@assign": "false"
                                }
                            }
                        },
                        "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
                            "target_backup_vault_arn": {
                                "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
                            },
                            "lifecycle": {
                                "move_to_cold_storage_after_days": {
                                    "@@assign": "30"
                                },
                                "delete_after_days": {
                                    "@@assign": "120"
                                },
                                "opt_in_to_archive_for_supported_resources": {
                                    "@@assign": "false"
                                }
                            }
                        } 
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": {
                            "@@assign": "arn:aws:iam::$account:role/MyIamRole"
                        },
                        "tag_key": {
                            "@@assign": "dataType"
                        },
                        "tag_value": {
                            "@@assign": [
                                "PII",
                                "RED"
                            ]
                        }
                    }
                }
            },
            "advanced_backup_settings": {
                "ec2": {
                    "windows_vss": {
                        "@@assign": "enabled"
                    }
                }
            }
        }
    }
}
```

如果沒有其他政策繼承或連接到帳戶，則每個適用的有效政策轉譯 AWS 帳戶 如下範例所示。CRON 運算式導致每小時整點執行一次備份。帳戶 ID 123456789012 將是每個帳戶的實際帳戶 ID。

```
{
    "plans": {
        "PII_Backup_Plan": {
            "regions": [
                "us-east-1",
                "ap-northeast-3",
                "eu-north-1"
            ],
            "rules": {
                "hourly": {
                    "schedule_expression": "cron(0 0/1 ? * * *)",
                    "start_backup_window_minutes": "60",
                    "target_backup_vault_name": "FortKnox",
                    "target_logically_air_gapped_backup_vault_arn": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault",
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "delete_after_days": "2",
                        "move_to_cold_storage_after_days": "180",
                        "opt_in_to_archive_for_supported_resources": "false"
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
                            "target_backup_vault_arn": {
                                "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
                            },
                            "lifecycle": {
                                "delete_after_days": "28",
                                "move_to_cold_storage_after_days": "180",
                                "opt_in_to_archive_for_supported_resources": "false"
                            }
                        },
                        "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
                            "target_backup_vault_arn": {
                                "@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
                            },
                            "lifecycle": {
                                "delete_after_days": "28",
                                "move_to_cold_storage_after_days": "180",
                                "opt_in_to_archive_for_supported_resources": "false"
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
                        "tag_key": "dataType",
                        "tag_value": [
                            "PII",
                            "RED"
                        ]
                    }
                }
            },
            "advanced_backup_settings": {
                "ec2": {
                    "windows_vss": "enabled"
                }
            }
        }
    }
}
```

### 範例 2：父政策與子政策合併
<a name="backup-policy-example-2"></a>

在下列範例中，繼承的父政策和子政策會繼承或直接連接到 AWS 帳戶 合併，以形成有效的政策。

**父政策** – 此政策可以連接至組織的根或任何父 OU。

```
{
    "plans": {
       "PII_Backup_Plan": {
            "regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "60" },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "28" },
                        "delete_after_days": { "@@assign": "180" },
                        "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
                            "target_backup_vault_arn" : {
                                "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
                            },
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "28" },
                                "delete_after_days": { "@@assign": "180" },
                                "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII", "RED" ] }
                    }
                }
            }
        }
    }
}
```

**子政策** – 此政策可以直接連接至帳戶，或父政策所連接 OU 之下任何層級的 OU。

```
{
    "plans": {
       "Monthly_Backup_Plan": {
            "regions": {
                "@@append":[ "us-east-1", "eu-central-1" ] },
            "rules": {
                "Monthly": {
                    "schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "target_backup_vault_name": { "@@assign": "Default" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "30" },
                        "delete_after_days": { "@@assign": "365" },
                        "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
                            "target_backup_vault_arn" : {
                                "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
                            },
                            "lifecycle": { 
                                "move_to_cold_storage_after_days": { "@@assign": "30" },
                                "delete_after_days": { "@@assign": "365" },
                                "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "MonthlyDatatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" },
                        "tag_key": { "@@assign": "BackupType" },
                        "tag_value": { "@@assign": [ "MONTHLY", "RED" ] }
                    }
                }
            }
        }
    }
}
```

**產生的有效政策** – 套用至帳戶的有效政策包含兩個計劃，每個計劃各自有一組規則和一組要套用規則的資源。

```
{
    "plans": {
       "PII_Backup_Plan": {
            "regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ],
            "rules": {
                "hourly": {
                    "schedule_expression": "cron(0 0/1 ? * * *)",
                    "start_backup_window_minutes": "60",
                    "target_backup_vault_name": "FortKnox",
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "delete_after_days": "2",
                        "move_to_cold_storage_after_days": "180",
                        "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
                            "target_backup_vault_arn" : {
                                "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
                            },
                            "lifecycle": {
                                "move_to_cold_storage_after_days": "28",
                                "delete_after_days": "180",
                                "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
                        "tag_key": "dataType",
                        "tag_value": [ "PII", "RED" ]
                    }
                }
            }
        },
        "Monthly_Backup_Plan": {
            "regions": [ "us-east-1", "eu-central-1" ],
            "rules": {
                "monthly": {
                    "schedule_expression": "cron(0 5 1 * ? *)",
                    "start_backup_window_minutes": "480",
                    "target_backup_vault_name": "Default",
                    "lifecycle": {
                        "delete_after_days": "365",
                        "move_to_cold_storage_after_days": "30",
                        "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
                            "target_backup_vault_arn": {
                                "@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
                            },
                            "lifecycle": {
                                "move_to_cold_storage_after_days": "30",
                                "delete_after_days": "365",
                                "opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "monthlydatatype": {
                        "iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole",
                        "tag_key": "BackupType",
                        "tag_value": [ "MONTHLY", "RED" ]
                    }
                }
            }
        }
    }
}
```

### 範例 3：父政策防止子政策做出任何變更
<a name="backup-policy-example-3"></a>

在下列範例中，繼承的父政策使用[子控制運算子](policy-operators.md#child-control-operators)來強制執行所有設定，並防止子政策變更或覆寫這些設定。

**父政策** – 此政策可以連接至組織的根或任何父 OU。政策的每個節點上都出現 `"@@operators_allowed_for_child_policies": ["@@none"]`，表示子政策完全無法變更計劃。子政策也無法將其他計劃新增至有效政策。此政策成為所連接的 OU 之下每個 OU 和帳戶的有效政策。

```
{
    "plans": {
        "@@operators_allowed_for_child_policies": ["@@none"],
        "PII_Backup_Plan": {
            "@@operators_allowed_for_child_policies": ["@@none"],
            "regions": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@append": [
                    "us-east-1",
                    "ap-northeast-3",
                    "eu-north-1"
                ]
            },
            "rules": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "Hourly": {
                    "@@operators_allowed_for_child_policies": ["@@none"],
                    "schedule_expression": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "@@assign": "cron(0 0/1 ? * * *)"
                    },
                    "start_backup_window_minutes": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "@@assign": "60"
                    },
                    "target_backup_vault_name": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "@@assign": "FortKnox"
                    },
                    "index_actions": {
                       "@@operators_allowed_for_child_policies": ["@@none"],
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "move_to_cold_storage_after_days": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": "28"
                        },
                        "delete_after_days": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": "180"
                        },
                        "opt_in_to_archive_for_supported_resources": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": "false"
                        }
                    },
                    "copy_actions": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "target_backup_vault_arn": {
                                "@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault",
                                "@@operators_allowed_for_child_policies": ["@@none"]
                            },
                            "lifecycle": {
                                "@@operators_allowed_for_child_policies": ["@@none"],
                                "delete_after_days": {
                                    "@@operators_allowed_for_child_policies": ["@@none"],
                                    "@@assign": "28"
                                },
                                "move_to_cold_storage_after_days": {
                                    "@@operators_allowed_for_child_policies": ["@@none"],
                                    "@@assign": "180"
                                },
                                 "opt_in_to_archive_for_supported_resources": {
                                    "@@operators_allowed_for_child_policies": ["@@none"],
                                    "@@assign": "false"
                                }
                            }
                        }
                    }
                }
            },
            "selections": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "tags": {
                    "@@operators_allowed_for_child_policies": ["@@none"],
                    "datatype": {
                        "@@operators_allowed_for_child_policies": ["@@none"],
                        "iam_role_arn": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": "arn:aws:iam::$account:role/MyIamRole"
                        },
                        "tag_key": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": "dataType"
                        },
                        "tag_value": {
                            "@@operators_allowed_for_child_policies": ["@@none"],
                            "@@assign": [
                                "PII",
                                "RED"
                            ]
                        }
                    }
                }
            },
            "advanced_backup_settings": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "ec2": {
                    "@@operators_allowed_for_child_policies": ["@@none"],
                    "windows_vss": {
                        "@@assign": "enabled",
                        "@@operators_allowed_for_child_policies": ["@@none"]
                    }
                }
            }
        }
    }
}
```

**產生的有效政策** – 忽略任何存在的子備份政策，父政策會成為有效政策。

```
{
    "plans": {
        "PII_Backup_Plan": {
            "regions": [
                "us-east-1",
                "ap-northeast-3",
                "eu-north-1"
            ],
            "rules": {
                "hourly": {
                    "schedule_expression": "cron(0 0/1 ? * * *)",
                    "start_backup_window_minutes": "60",
                    "target_backup_vault_name": "FortKnox",
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "delete_after_days": "2",
                        "move_to_cold_storage_after_days": "180",
                        "opt_in_to_archive_for_supported_resources": "false"
                    },
                    "copy_actions": {
                        "target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault",
                        "lifecycle": {
                            "move_to_cold_storage_after_days": "28",
                            "delete_after_days": "180",
                            "opt_in_to_archive_for_supported_resources": "false"
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
                        "tag_key": "dataType",
                        "tag_value": [
                            "PII",
                            "RED"
                        ]
                    }
                }
            },
            "advanced_backup_settings": {
                "ec2": {"windows_vss": "enabled"}
            }
        }
    }
}
```

### 範例 4：父政策防止子政策變更備份計劃
<a name="backup-policy-example-4"></a>

在下列範例中，繼承的父政策使用[子控制運算子](policy-operators.md#child-control-operators)來強制執行單一計劃的設定，並防止子政策變更或覆寫這些設定。子政策仍然可以新增其他計劃。

**父政策** – 此政策可以連接至組織的根或任何父 OU。此範例與上一個範例類似，一樣都封鎖所有子繼承運算子，但 `plans` 最上層除外。該層級的 `@@append` 設定可讓子政策將其他計劃新增至有效政策中的集合。仍然完全禁止變更繼承的計劃。

為了清楚起見，已截斷計劃中的區段。

```
{
    "plans": {
        "@@operators_allowed_for_child_policies": ["@@append"],
        "PII_Backup_Plan": {
            "@@operators_allowed_for_child_policies": ["@@none"],
            "regions": { ... },
            "rules": { ... },
            "selections": { ... }
        }
    }
}
```

**子政策** – 此政策可以直接連接至帳戶，或父政策所連接 OU 之下任何層級的 OU。這個子政策定義新的計劃。

為了清楚起見，已截斷計劃中的區段。

```
{
    "plans": {
        "MonthlyBackupPlan": {
            "regions": { ... },
            "rules": { ... },
            "selections": { … }
        }
    }
}
```

**產生的有效政策** – 有效政策包含這兩個計劃。

```
{
    "plans": {
        "PII_Backup_Plan": {
            "regions": { ... },
            "rules": { ... },
            "selections": { ... }
        },
        "MonthlyBackupPlan": {
            "regions": { ... },
            "rules": { ... },
            "selections": { … }
        }
    }
}
```

### 範例 5：子政策覆寫父政策中的設定
<a name="backup-policy-example-5"></a>

在下列範例中，子政策使用[值設定運算子](policy-operators.md#value-setting-operators)來覆寫從父政策繼承的某些設定。

**父政策** – 此政策可以連接至組織的根或任何父 OU。子政策可以覆寫任何設定，因為沒有[子控制運算子](policy-operators.md#child-control-operators)出面禁止，所以預設行為允許子政策 `@@assign`、`@@append` 或 `@@remove`。父政策包含有效備份計劃的所有必要元素，因此，只要原封不動繼承，就會成功備份資源。

```
{
    "plans": {
        "PII_Backup_Plan": {
            "regions": {
                "@@append": [
                    "us-east-1",
                    "ap-northeast-3",
                    "eu-north-1"
                ]
            },
            "rules": {
                "Hourly": {
                    "schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"},
                    "start_backup_window_minutes": {"@@assign": "60"},
                    "target_backup_vault_name": {"@@assign": "FortKnox"},
                    "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "delete_after_days": {"@@assign": "2"},
                        "move_to_cold_storage_after_days": {"@@assign": "180"},
                        "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:t2": {
                            "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"},
                            "lifecycle": {
                                "move_to_cold_storage_after_days": {"@@assign": "28"},
                                "delete_after_days": {"@@assign": "180"},
                                "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"},
                        "tag_key": {"@@assign": "dataType"},
                        "tag_value": {
                            "@@assign": [
                                "PII",
                                "RED"
                            ]
                        }
                    }
                }
            }
        }
    }
}
```

**子政策** – 子政策只能包含的設定必須不同於繼承的父政策。合併到有效政策時，必須有繼承的父政策提供其他必要的設定。否則，有效的備份政策會包含無效的備份計劃，而無法如預期般備份資源。

```
{
    "plans": {
        "PII_Backup_Plan": {
            "regions": {
                "@@assign": [
                    "us-west-2",
                    "eu-central-1"
                ]
            },
            "rules": {
                "Hourly": {
                    "schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"},
                    "start_backup_window_minutes": {"@@assign": "80"},
                    "target_backup_vault_name": {"@@assign": "Default"},
                    "lifecycle": {
                        "move_to_cold_storage_after_days": {"@@assign": "30"},
                        "delete_after_days": {"@@assign": "365"},
                        "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                    }
                }
            }
        }
    }
}
```

**產生的有效政策** – 有效政策包含兩個政策的設定，而子政策所提供的設定會覆寫從父政策繼承的設定。此範例中有下列變更：
+ 區域清單換成完全不同的清單。如果您要將區域新增至繼承的清單，請在子政策中使用 `@@append`，而不是 `@@assign`。
+ AWS Backup 每隔一小時執行一次，而不是每小時執行一次。
+ AWS Backup 允許 80 分鐘開始備份，而不是 60 分鐘。
+ AWS Backup 使用`Default`保存庫而非 `FortKnox`。
+ 生命週期延長，而得以轉移至不常用的儲存體及最終刪除備份。

```
{
    "plans": {
        "PII_Backup_Plan": {
            "regions": [
                "us-west-2",
                "eu-central-1"
            ],
            "rules": {
                "hourly": {
                    "schedule_expression": "cron(0 0/2 ? * * *)",
                    "start_backup_window_minutes": "80",
                    "target_backup_vault_name": "Default",
                     "index_actions": {
                        "resource_types": {
                            "@@assign": [
                                "EBS",
                                "S3"
                            ]
                        }
                     },
                    "lifecycle": {
                        "delete_after_days": "365",
                        "move_to_cold_storage_after_days": "30",
                        "opt_in_to_archive_for_supported_resources": "false"

                    },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
                            "target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"},
                            "lifecycle": {
                                "move_to_cold_storage_after_days": "28",
                                "delete_after_days": "180",
                                "opt_in_to_archive_for_supported_resources": "false"
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
                        "tag_key": "dataType",
                        "tag_value": [
                            "PII",
                            "RED"
                        ]
                    }
                }
            }
        }
    }
}
```

### 範例 6：使用 `tags`區塊指定資源
<a name="backup-policy-example-6"></a>

下列範例包含所有具有 `tag_key` = `“env”`和 `tag_value` = `"prod"`或 的資源`"gamma"`。此範例會排除具有 `tag_key` = `"backup"`和 `tag_value` = 的資源`"false"`。

```
...
"selections":{
    "tags":{
        "{{selection_name}}":{
            "iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"},
            "tag_key":{"@@assign": "env"},
            "tag_value":{"@@assign": ["prod", "gamma"]},
            "conditions":{                       
                "string_not_equals":{
                    "{{condition_name1}}":{
                        "condition_key": { "@@assign": "aws:ResourceTag/backup"  },
                        "condition_value": {  "@@assign": "false" }
                    }
                }
            }
        }  
    }
},
...
```

### 範例 7：使用 `resources`區塊指定資源
<a name="backup-policy-example-7"></a>

以下是使用 `resources`區塊來指定資源的範例。

------
#### [ Example: Select all resources in my account ]

布林值邏輯類似於您可能在 IAM 政策中使用的邏輯。`"resource_types"` 區塊使用布林值`AND`來合併資源類型。

```
...
"resources":{
    "{{resource_selection_name}}":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "*"
            ]
        }
    }
},
...
```

------
#### [ Example: Select all resources in my account, but exclude Amazon EBS volumes ]

布林值邏輯類似於您可能在 IAM 政策中使用的邏輯。`"resource_types"` 和 `"not_resource_types"`區塊使用布林值`AND`來結合資源類型。

```
...
"resources":{
    "{{resource_selection_name}}":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "*"
            ]
        },
        "not_resource_types":{
            "@@assign": [
                "arn:aws:ec2:*:*:volume/*"
            ]
        }
    }
},
...
```

------
#### [ Example: Select all resources tagged with "backup" : "true", but exclude Amazon EBS volumes ]

布林值邏輯類似於您可能在 IAM 政策中使用的邏輯。`"resource_types"` 和 `"not_resource_types"`區塊使用布林值`AND`來結合資源類型。`"conditions"` 區塊使用布林值 `AND`。

```
...
"resources":{
    "{{resource_selection_name}}":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "*"
            ]
        },
        "not_resource_types":{
            "@@assign": [
                "arn:aws:ec2:*:*:volume/*"
            ]
        },
        "conditions":{                       
            "string_equals":{
                "{{condition_name1}}":{
                    "condition_key": { "@@assign":"aws:ResourceTag/backup"},
                    "condition_value": {  "@@assign":"true" }
                }
            }
        }
    }
},
...
```

------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS DB instances tagged with both "backup" : "true" and "stage" : "prod" ]

布林值邏輯類似於您可能在 IAM 政策中使用的邏輯。`"resource_types"` 區塊使用布林值`AND`來合併資源類型。`"conditions"` 區塊使用布林值`AND`來結合資源類型和標籤條件。

```
...
"resources":{
    "{{resource_selection_name}}":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:rds:*:*:db:*"
            ]
        },
        "conditions":{
            "string_equals":{
                "{{condition_name1}}":{
                    "condition_key":{"@@assign":"aws:ResourceTag/backup"},
                    "condition_value":{"@@assign":"true"}
                },
                "{{condition_name2}}":{
                    "condition_key":{"@@assign":"aws:ResourceTag/stage"},
                    "condition_value":{"@@assign":"prod"}
                }     
            }
        }   
    }
},
...
```

------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS instances tagged with "backup" : "true" but not "stage" : "test" ]

布林值邏輯類似於您可能在 IAM 政策中使用的邏輯。`"resource_types"` 區塊使用布林值`AND`來合併資源類型。`"conditions"` 區塊使用布林值`AND`來結合資源類型和標籤條件。

```
...
"resources":{
    "{{resource_selection_name}}":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:rds:*:*:db:*"
            ]
        },
        "conditions":{
            "string_equals":{
                "{{condition_name1}}":{
                    "condition_key":{"@@assign":"aws:ResourceTag/backup"},
                    "condition_value":{"@@assign":"true"}
                  }
            },
            "string_not_equals":{
                "{{condition_name2}}":{
                    "condition_key":{"@@assign":"aws:ResourceTag/stage"},
                    "condition_value":{"@@assign":"test"}
                }
            }
        }
    }
},
...
```

------
#### [ Example: Select all resources tagged with "key1" and a value which begins with "include" but not with "key2" and value that contains the word "exclude" ]

布林值邏輯類似於您可能在 IAM 政策中使用的邏輯。`"resource_types"` 區塊使用布林值`AND`來合併資源類型。`"conditions"` 區塊使用布林值`AND`來結合資源類型和標籤條件。

在此範例中，請注意在 `include*`、 `*exclude*`和 `(*)`中使用萬用字元`arn:aws:rds:*:*:db:*`。您可以在字串的`(*)`開頭、結尾和中間使用萬用字元。

```
...
"resources":{
    "{{resource_selection_name}}":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
        "resource_types":{
            "@@assign": [
                "*"
            ]
        },              
        "conditions":{
            "string_like":{
                "{{condition_name1}}":{
                    "condition_key":{"@@assign":"aws:ResourceTag/key1"},
                    "condition_value":{"@@assign":"include*"}
                }
            },
            "string_not_like":{
                "{{condition_name2}}":{
                    "condition_key":{"@@assign":"aws:ResourceTag/key2"},
                    "condition_value":{"@@assign":"*exclude*"}
                }
            }
        }
    }
},
...
```

------
#### [ Example: Select all resources tagged with "backup" : "true" except Amazon FSx file systems and Amazon RDS resources ]

布林值邏輯類似於您可能在 IAM 政策中使用的邏輯。`"resource_types"` 和 `"not_resource_types"`區塊使用布林值`AND`來結合資源類型。`"conditions"` 區塊使用布林值`AND`來結合資源類型和標籤條件。

```
...
"resources":{
    "{{resource_selection_name}}":{
        "iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
            "resource_types":{
                "@@assign": [
                    "*"
               ]
            },
            "not_resource_types":{
                "@@assign":[
                    "arn:aws:fsx:*:*:file-system/*",
                    "arn:aws:rds:*:*:db:*"
                ]
            },
        "conditions":{
            "string_equals":{
                "{{condition_name1}}":{
                    "condition_key":{"@@assign":"aws:ResourceTag/backup"},
                    "condition_value":{"@@assign":"true"}
                }
            }
        }
    }
},
...
```

------

### 範例 8：使用 Amazon GuardDuty 惡意軟體防護掃描的備份計劃
<a name="backup-policy-example-8"></a>

下列範例顯示備份政策，可在備份復原點上啟用 Amazon GuardDuty 惡意軟體防護掃描。政策在 規則`scan_actions`中使用 來啟用掃描，`scan_settings`並在計劃層級使用 來設定掃描器。

若要使用此功能，您必須擁有適當的 IAM 角色許可。如需詳細資訊，請參閱《 *AWS Backup 開發人員指南*》中的[存取](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access)。

```
{
    "plans": {
        "Malware_Scan_Backup_Plan": {
            "regions": {
                "@@assign": [
                    "us-east-1",
                    "us-west-2"
                ]
            },
            "rules": {
                "Daily_With_Incremental_Scan": {
                    "schedule_expression": {
                        "@@assign": "cron(0 5 ? * * *)"
                    },
                    "start_backup_window_minutes": {
                        "@@assign": "60"
                    },
                    "target_backup_vault_name": {
                        "@@assign": "Default"
                    },
                    "lifecycle": {
                        "delete_after_days": {
                            "@@assign": "35"
                        }
                    },
                    "scan_actions": {
                        "GUARDDUTY": {
                            "scan_mode": {
                                "@@assign": "INCREMENTAL_SCAN"
                            }
                        }
                    }
                },
                "Monthly_With_Full_Scan": {
                    "schedule_expression": {
                        "@@assign": "cron(0 5 1 * ? *)"
                    },
                    "start_backup_window_minutes": {
                        "@@assign": "60"
                    },
                    "target_backup_vault_name": {
                        "@@assign": "Default"
                    },
                    "lifecycle": {
                        "delete_after_days": {
                            "@@assign": "365"
                        }
                    },
                    "scan_actions": {
                        "GUARDDUTY": {
                            "scan_mode": {
                                "@@assign": "FULL_SCAN"
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "scan_selection": {
                        "iam_role_arn": {
                            "@@assign": "arn:aws:iam::$account:role/MyBackupRole"
                        },
                        "tag_key": {
                            "@@assign": "backup"
                        },
                        "tag_value": {
                            "@@assign": [
                                "true"
                            ]
                        }
                    }
                }
            },
            "scan_settings": {
                "GUARDDUTY": {
                    "resource_types": {
                        "@@assign": [
                            "EBS"
                        ]
                    },
                    "scanner_role_arn": {
                        "@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
                    }
                }
            }
        }
    }
}
```

此範例中的要點如下：
+ `scan_actions` 會在每個規則中指定。掃描器名稱`GUARDDUTY`會用作金鑰。每日規則使用 `INCREMENTAL_SCAN`，每月規則使用 `FULL_SCAN`。
+ `scan_settings` 在計劃層級指定 （不在規則內）。它會設定要掃描的掃描器角色和資源類型。
+ 必須`scanner_role_arn`參考已連接 `AWSBackupGuardDutyRolePolicyForScans`受管政策的 IAM 角色，以及允許`malware-protection.guardduty.amazonaws.com`服務主體擔任該角色的信任政策。