Como impedir que determinados usuários do IAM restaurem pontos de recuperação no AWS Backup?

Resolução

Para impedir que usuários ou funções do IAM restaurem pontos de recuperação no AWS Backup, crie uma política de cofre de backup ou política do IAM que negue permissões de acesso. Para restringir usuários ou um grupo de usuários no nível das organizações da AWS, a política deve negar a ação StartRestoreJob.

Nas organizações da AWS, você também pode usar políticas de controle de serviços (SCPs) para restringir os usuários do IAM.

Use uma política de cofre de backup para impedir a restauração das identidades do IAM

Execute as etapas a seguir:

1. Abra o console do AWS Backup.

2. No painel de navegação, selecione Cofres de backup.

3. Escolha o cofre de backup ao qual deseja aplicar a política.

4. Para Política de acesso, escolha Editar e, em seguida, atualize a política com os seguintes atributos:

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Principal": "*",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

Essa política de acesso ao cofre nega o acesso à ação StartRestoreJob para todos os usuários, exceto o usuário do IAM arn:aws:iam: :11111111111:user/admin.

Para exemplos adicionais de políticas, consulte Configuração de políticas de acesso em cofres de backup.

Use uma política do IAM para impedir que as identidades do IAM sejam restauradas

Você pode editar uma ](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies)política gerenciada pelo cliente[ ou anexar uma política a um usuário do IAM.

Como editar uma política gerenciada pelo cliente

1. Abra o console do AWS Backup.

2. No painel de navegação, selecione Políticas.

3. Escolha Criar política.

4. Escolha a guia JSON.

5. Insira ou cole um documento de política JSON. Para mais informações sobre a linguagem da política do IAM, consulte a referência da política do IAM JSON.

6. Escolha Avançar: Tags.

7. Em Revisar política, insira um nome e uma descrição para a política criada. Você pode revisar o Resumo da política para ver as permissões concedidas.

8. Escolha Criar política.

Como anexar uma política a um usuário do IAM

Execute as etapas a seguir:

1. Abra o console do IAM.

2. No painel de navegação, escolha Grupos de usuários e, em seguida, escolha o nome do grupo.

3. Escolha a guia Permissões.

4. Escolha Adicionar permissões e, em seguida, escolha Anexar política. As políticas atuais anexadas ao grupo de usuários são exibidas na lista de políticas de Permissões atuais.

5. Em Outras políticas de permissões, selecione o nome da política criada na etapa anterior.
   Observação: você pode usar a caixa Pesquisar para filtrar a lista de políticas por nome e tipo.

6. Escolha Adicionar permissões e atualize a política com os seguintes atributos:

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

Crie um SCP para organizações

Em Organizações, você pode criar um SCP para impedir que os usuários do IAM restaurem pontos de recuperação.

Use o exemplo de SCP a seguir para negar acesso à ação backup:startRestoreJob:

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

Esse SCP nega a ação StartRestoreJob para todos os usuários, exceto o usuário do IAM arn:aws:iam:11111111111:user/admin.