Comment empêcher certains utilisateurs IAM de restaurer des points de restauration dans AWS Backup ?

Lecture de 3 minute(s)

Je souhaite empêcher certains utilisateurs AWS Identity and Access Management (IAM) de restaurer des points de restauration dans AWS Backup.

Résolution

Pour empêcher des utilisateurs ou rôles IAM de restaurer des points de restauration dans AWS Backup, vous devez créer une politique de coffre de sauvegarde ou une politique IAM qui refuse les autorisations d'accès. Pour appliquer ces restrictions à des utilisateurs ou à un groupe d'utilisateurs au niveau d'AWS Organizations, votre politique doit refuser l'action StartRestoreJob.

AWS Organizations permet également d’utiliser des politiques de contrôle de service (SCP) pour appliquer des restrictions à des utilisateurs IAM.

Utilisation d’une politique de coffre de sauvegarde pour empêcher la restauration par des identités IAM

Procédez comme suit :

1. Ouvrez la console AWS Backup.

2. Dans le volet de navigation, choisissez Coffres de sauvegarde.

3. Choisissez le coffre-fort de sauvegarde auquel vous souhaitez appliquer la politique.

4. Pour la Stratégie d'accès, choisissez Modifier, puis mettez à jour la stratégie avec les attributs suivants :

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Principal": "*",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

Cette stratégie d'accès au coffre-fort refuse l'accès à l'action StartRestoreJob à tous les utilisateurs, à l'exception de l'utilisateur IAM arn:aws:iam::11111111111:user/Admin.

Pour obtenir d’autres exemples, consultez la section Définition de stratégies d'accès sur les coffres-forts de sauvegarde.

Utilisation d’une politique IAM pour empêcher la restauration par des identités IAM

Vous pouvez modifier une ](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies)politique gérée par le client[ ou associer une politique à un utilisateur IAM.

Modification d’une politique gérée par le client

1. Ouvrez la console AWS Backup.

2. Dans le volet de navigation, choisissez Politiques.

3. Choisissez Créer une politique.

4. Choisissez l’onglet JSON.

5. Saisissez ou collez un document de politique JSON. Pour en savoir plus sur le langage des politiques IAM, consultez la référence de politique JSON IAM.

6. Choisissez Suivant : Balises.

7. Dans Vérifier la stratégie, saisissez le nom et la description de la politique que vous avez créée. Vous pouvez consulter le Résumé de la politique pour voir les autorisations accordées.

8. Choisissez Créer une politique.

Association d’une politique à un utilisateur IAM

Procédez comme suit :

1. Ouvrez la console IAM.

2. Dans le volet de navigation, choisissez Groupes d'utilisateurs, puis choisissez le nom du groupe.

3. Choisissez l'onglet Autorisations.

4. Choisissez Ajouter des autorisations, puis Attacher une politique. Les politiques actuelles associées au groupe d'utilisateurs apparaissent dans la liste des politiques d'autorisations actuelles.

5. Dans Autres politiques d'autorisations, sélectionnez le nom de la politique créée à l'étape précédente.
Remarque : vous pouvez utiliser le champ de recherche pour filtrer cette liste par nom et par type de politique.

6. Choisissez Ajouter des autorisations, puis mettez à jour la politique avec les attributs suivants :

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

Création d'un SCP pour AWS Organizations

AWS Organizations permet de créer une politique de contrôle de service (SCP) pour empêcher les utilisateurs IAM de restaurer des points de restauration.

Utilisez l'exemple de SCP suivant pour refuser l'accès à l'action backup:StartRestoreJob :

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

Ce SCP refuse l'action StartRestoreJob pour tous les utilisateurs, à l'exception de l'utilisateur IAM arn:aws:iam::11111111111:user/Admin.

Sujets

Stockage

Balises

AWS Backup

Langue

Français

AWS OFFICIELA mis à jour il y a 10 mois

Aucun commentaire

Contenus pertinents

Échec création de base de données Neptune sur AWS
jjso
demandé il y a 8 mois
problème de placement de sous titres lors de la création de fichier dans MEDIACONVERT
rePost-User-0874367
demandé il y a un an
Problème de facturation au niveau des instances réservée
Kevin
demandé il y a 5 mois
Comment changer l'émetteur utilisé pour envoyer les SMS ?
Nicolas
demandé il y a 9 mois
Quels services AWS sont nécessaires pour remplacer une base de données MySQL classique ?
rePost-User-8854683
demandé il y a un an
Pourquoi mon point de restauration affiche-t-il l'état Expiré dans AWS Backup ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment restaurer un système de fichiers Amazon EFS à partir d'un point de restauration AWS Backup à l'aide de l'interface de ligne de commande AWS ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment restaurer une instance Amazon EC2 à partir d'un point de restauration AWS Backup à l'aide de l'AWS CLI ?
AWS OFFICIELA mis à jour il y a un an
Comment supprimer un point de restauration d’un coffre de sauvegarde dans AWS Backup ?
AWS OFFICIELA mis à jour il y a un an