Upload
others
View
20
Download
0
Embed Size (px)
Citation preview
AWS BackupGuiacutea para desarrolladores
AWS Backup Guiacutea para desarrolladores
AWS Backup Guiacutea para desarrolladoresCopyright copy Amazon Web Services Inc andor its affiliates All rights reserved
Las marcas comerciales y la imagen comercial de Amazon no se pueden utilizar en relacioacuten con ninguacuten producto oservicio que no sea de Amazon de ninguna manera que pueda causar confusioacuten entre los clientes y que menosprecieo desacredite a Amazon Todas las demaacutes marcas comerciales que no sean propiedad de Amazon son propiedad desus respectivos propietarios que pueden o no estar afiliados conectados o patrocinados por Amazon
AWS Backup Guiacutea para desarrolladores
Table of ContentsiquestQueacute es AWS Backup 1
soportadasAWSrecursos y aplicaciones de terceros 1Caracteriacutesticas disponibles para todos los recursos admitidos 2Disponibilidad de caracteriacutesticas por recurso 2Disponibilidad de caracteriacutesticas porRegioacuten de AWS 3Informacioacuten general de caracteriacutesticas 5
Administracioacuten centralizada de copias de seguridad 5Copias de seguridad seguacuten poliacuteticas 6Poliacuteticas de seguridad basadas en etiquetas 6Poliacuteticas de administracioacuten del ciclo de vida 6Backup entre regiones 6Administracioacuten entre cuentas y copias de seguridad entre cuentas 6Auditoriacutea e informes conAWS BackupAudit Manager 7Copias de seguridad incrementales 7CompletoAWS Backupgestioacuten 7Monitorizacioacuten Backup la actividad de 8Proteja sus datos en boacutevedas de respaldo 8Support las obligaciones de conformidad 8
Introduccioacuten 9Coacutemo funciona 10
Trabajar con soporteAWSServicios de 10Optar por administrar servicios conAWS Backup 11Trabajo con datos de Amazon S3 11Trabajo con maacutequinas virtuales VMware 11Trabajo con Amazon DynamoDB 12Trabajo con sistemas de archivos de Amazon FSx 12Trabajo con Amazon EC2 13Trabajo con Amazon EFS 14Trabajo con Amazon EBS 14Trabajo con Amazon RDS y Aurora 14Uso de AWS Storage Gateway 15Trabajo con Amazon DocumentDB 15Trabajar con Amazon Neptune 15CoacutemoAWSlos servicios respaldan sus propios recursos 15
Medicioacuten costes y facturacioacuten 16Precios de AWS Backup 16AWS Backupfacturacioacuten 16Etiquetas de asignacioacuten de costos 16AWS BackupPrecios de Audit Manager 16
Blogs viacutedeos tutoriales y otros recursos 17Configuracioacuten deAWSpor primera vez 19
Registrarse en AWS 19Creacioacuten de un usuario de IAM 19Crear un rol de IAM 21
Introduccioacuten 22Requisitos previos 22Introduccioacuten al 1 Optar por el servicio 23
Pasos siguientes 23Introduccioacuten al 2 Crear una copia de seguridad bajo demanda 24
Pasos siguientes 25Introduccioacuten al 3 Crear una copia de seguridad programada 25
Paso 1 Cree un plan de copia de seguridad basado en otro existente 26Paso 2 Asignar recursos a un plan de copia de seguridad 26Paso 3 Creacioacuten de un almaceacuten de copias de seguridad 27
iii
AWS Backup Guiacutea para desarrolladores
Pasos siguientes 28Introduccioacuten al 4 Crear copias de seguridad automaacuteticas de Amazon EFS 28
Pasos siguientes 28Introduccioacuten al 5 Ver los trabajos de backup y los puntos de recuperacioacuten 29
Visualice el estado de los trabajos de backup 29Ver todas las copias de seguridad de un almaceacuten 29Ver detalles de los recursos protegidos 30Pasos siguientes 30
Introduccioacuten al 6 Restaurar una copia de seguridad 30Pasos siguientes 31
Introduccioacuten al 7 Creacioacuten de un informe de auditoriacutea 31Pasos siguientes 28
Introduccioacuten al 8 Limpiar recursos 33Paso 1 Eliminar restauradoAWSrecursos 33Paso 2 Eliminar el plan de copias de seguridad 34Paso 3 Eliminacioacuten de los puntos de recuperacioacuten 34Paso 4 Eliminacioacuten del almaceacuten de copias de seguridad 35Paso 5 Eliminar el plan de informes 35Paso 6 Eliminar los informes 35
Administracioacuten de los planes de copia 36Crear un plan de copia de seguridad 36
Creacioacuten de planes de copia de seguridad mediante elAWS Backupconsola 37Creacioacuten de planes de copia de seguridad mediante un documento JSON y elAWS BackupCLI 37Opciones y configuracioacuten del plan de Backup 38AWS CloudFormationplantillas de planes de copias de seguridad 41
Asignacioacuten de recursos 44Asignacioacuten de recursos mediante la consola 44Asignacioacuten de recursos mediante programacioacuten 46Asignacioacuten de recursos medianteAWS CloudFormation 52Cuotas de asignacioacuten de recursos 55
Eliminacioacuten de un plan de copia de seguridad 55Actualizacioacuten de un plan de copia de seguridad 55
Utilizacioacuten de almacenes de copias de seguridad 57Creacioacuten de un almaceacuten de copias de seguridad 57
Creacioacuten de un almaceacuten de copias de seguridad (consola) 57Creacioacuten de un almaceacuten de copias de seguridad (mediante programacioacuten) 57Nombre del almaceacuten de Backup de seguridad 58AWS KMSClave de cifrado de 58Etiquetas del almaceacuten de Backup de seguridad 58
Configuracioacuten de poliacuteticas de acceso en boacutevedas de backup 58Denegar el acceso a un tipo de recurso en un almaceacuten de backup 59Denegar acceso a un almaceacuten de copias de seguridad 59Denegar el acceso para eliminar puntos de recuperacioacuten en un almaceacuten de backup 60
Bloqueo de almacenes de AWS Backup 61Realizacioacuten del bloqueo de almacenes 62Revisioacuten de un almaceacuten de copias de seguridad para suAWS BackupConfiguracioacuten del bloqueodel almaceacuten 63Eliminacioacuten deAWS BackupRealizacioacuten del bloqueo del almaceacuten durante el periodo de reflexioacuten 64Cierre de unCuenta de AWScon boacuteveda cerrada 64Lograr defensa en profundidad conAWS BackupRealizacioacuten del bloqueo de almacenesAWSBackupcaracteriacutesticas de seguridad 64
Eliminacioacuten de un almaceacuten de copias de seguridad 65Trabajo con copias de seguridad 66
Creacioacuten de una copia de seguridad 66Creacioacuten de copias de seguridad automaacuteticas 66Creacioacuten de copias de seguridad bajo demanda 66Estados de trabajos de copia de seguridad 67
iv
AWS Backup Guiacutea para desarrolladores
Coacutemo funcionan las copias de seguridad incrementales 67Acceso a los recursos de origen 67Copias de seguridad bajo demanda 68Recuperacioacuten a un momento dado 69Creacioacuten de copias de seguridad de S3 73Creacioacuten de copias de seguridad de maacutequinas virtuales 78Backup avanzado de DynamoDB 90Creacioacuten de copias de seguridad de Windows VSS 94Creacioacuten de copias de seguridad coherentes frente a bloqueos en varios voluacutemenes de AmazonEBS 95Copia de etiquetas en las copias de seguridad 95Detener un trabajo de copia de seguridad 96
Copia de una copia de seguridad 96Backup entre regiones 97Backup entre cuentas 99
Visualizacioacuten de una lista de copias de seguridad 107Listar copias de seguridad por recurso protegido en la consola 107Listado de copias de seguridad por almaceacuten de copias de seguridad en la consola 107Lista de copias de seguridad mediante programacioacuten 108
Edicioacuten de una copia de seguridad 108Eliminacioacuten de copias de seguridad 109
Eliminacioacuten manual de las copias de seguridad 109Solucioacuten de problemas de eliminaciones manuales 110
Restauracioacuten de una copia de seguridad 110Restauraciones no destructivas 110Coacutemo restaurar 111Restaurar los estados de los trabajos 111Restauracioacuten de datos de S3 111Restaurar una maacutequina virtual 113Restauracioacuten de un sistema de archivos FSX 115Restauracioacuten de un volumen de Amazon EBS 118Restaurar un sistema de archivos de EFS 120Restauracioacuten de una tabla de DynamoDB 122Restauracioacuten de una base de datos de RDS 124Restaurar un cluacutester de Aurora 126Restauracioacuten de una instancia EC2 128Restauracioacuten del volumen de Storage Gateway 130Restaurar un cluacutester de DocumentDB 131Restauracioacuten de un cluacutester de Neptune 132
Audite las copias de seguridad y cree informes conAWS BackupAudit Manager 7Trabajo con marcos de auditoriacutea 135
Elegir los controles 135Activacioacuten del seguimiento de recursos 137Creacioacuten de marcos mediante elAWS Backupconsola 141Creacioacuten de marcos mediante elAWS BackupAPI 142Visualizacioacuten del estado de cumplimiento de 146Buacutesqueda de recursos no conformes 147Actualizacioacuten de marcos de auditoriacutea 147Eliminacioacuten de marcos de auditoriacutea 148
Uso de informes de auditoriacutea 148Elegir la plantilla de informe 148Creacioacuten de planes de informes mediante elAWS Backupconsola 152Creacioacuten de planes de informes mediante elAWS BackupAPI 154Creacioacuten de informes bajo demanda 155Visualizacioacuten de informes de auditoriacutea 155Actualizacioacuten de planes de informes 155Eliminacioacuten de planes de informes 155
v
AWS Backup Guiacutea para desarrolladores
Uso deAWS CloudFormationdesplegarAWS BackupRecursos de Audit Manager 156Activar el seguimiento de recursos 141Implementacioacuten de controles predeterminados 160Exencioacuten de funciones de IAM de la evaluacioacuten de control 160Crear un plan de informes 161
Uso deAWS BackupAudit Manager conAWS Audit Manager 162AWS BackupControles y correcciones de Audit Manager 162
Recursos Backup protegidos por un plan de backup 162Frecuencia miacutenima y retencioacuten miacutenima del plan de Backup 163La Backup evita la eliminacioacuten manual del punto de recuperacioacuten 163Punto de recuperacioacuten de copias de seguridad cifrado 164Retencioacuten miacutenima del punto de recuperacioacuten de Backup 164Copias entre regiones 164Copias entre cuentas 165Bloqueo de almacenes de AWS Backup 165
Administracioacuten de copias de seguridad en varias cuentas conAWS Organizations 167Creacioacuten de una cuenta de administracioacuten en Organizations 168Habilitacioacuten de administracioacuten entre cuentas 168Creacioacuten de un plan de copia de seguridad 169Supervisioacuten de actividades en muacuteltiplesCuentas de AWS 172Reglas de aceptacioacuten de recursos 173Definicioacuten de poliacuteticas sintaxis de poliacuteticas y herencia de poliacuteticas 173
Uso deAWS CloudFormationaprovisionarAWS Backuprecursos 174En general 174Implementacioacuten de un almaceacuten de backup un plan de backup y una asignacioacuten de recursos conAWSCloudFormation 174Implementar planes de copia de seguridad conAWS CloudFormation 174ImplementacioacutenAWS BackupMarcos de Audit Manager y planes de informes conAWS CloudFormation 175Uso de AWS CloudFormation con AWS Organizations 175Maacutes informacioacuten 175
Seguridad 176Proteccioacuten de los datos 176
Cifrado de copias de seguridad enAWS Backup 177Identity and Access Management 181
Autenticacioacuten 182Control de acceso 183Funciones de servicio de IAM 188Poliacuteticas administradas 190Uso de roles vinculados a servicios 267Prevencioacuten del suplente confuso entre servicios 272
Validacioacuten de conformidad 272Resiliencia 273Seguridad de infraestructuras 274AWS PrivateLink 274
Consideraciones para los puntos de enlace de Amazon VPC 274Creacioacuten de un punto de enlace de la VPC de tipo interfaz 275Usar un punto de enlace de la VPC 275Creacioacuten de una poliacutetica de punto de enlace de la VPC 275 276
Cuotas 278Supervisioacuten 281
MonitoreoAWS Backupeventos con EventBridge 281Supervisar eventos mediante EventBridge 281Diferencias con elAWS BackupAPI de notificacioacuten 302
MonitoreoAWS Backupmeacutetricas con CloudWatch 303Monitorizacioacuten de meacutetricas con CloudWatch 303Diferencias con elAWS Backupsalpicadero 305
vi
AWS Backup Guiacutea para desarrolladores
Registro deAWS BackupLlamadas al API con CloudTrail 306Informacioacuten de AWS Backup en CloudTrail 306Descripcioacuten de las entradas de los archivos de registro de AWS Backup 307Registro de eventos de administracioacuten entre cuentas 310
Uso de Amazon SNS para realizar un seguimiento de eventos 311Casos de uso comunes 312AWS BackupAPI de notificacioacuten 312Ejemplos de eventos 312AWS BackupEjemplos de comandos de notificacioacuten 315EspecificacioacutenAWS Backupcomo principal de servicio 315
Solucioacuten de problemas de AWS Backup 318Solucioacuten de problemas generales 318Solucioacuten de problemas de creacioacuten de recursos 318Solucioacuten de problemas de eliminacioacuten de recursos 319Solucioacuten de problemas de restauracioacuten de recursos 319
API de AWS Backup 321Acciones 321
AWS Backup 323Pasarela AWS Backup 510
Tipos de datos 547AWS Backup 548Pasarela AWS Backup 603
Paraacutemetros comunes 610Errores comunes 612
Glosario de AWS 614Historial de documentos 615 dcxxiv
vii
AWS Backup Guiacutea para desarrolladoressoportadasAWSrecursos y aplicaciones de terceros
iquestQueacute es AWS BackupAWS Backupes un servicio totalmente administrado que facilita la centralizacioacuten y automatizacioacuten de laproteccioacuten de datos enAWSservicios en la nube y en las instalaciones Con este servicio puede configurarpoliacuteticas de copia de seguridad y monitorear la actividad de los recursos de AWS en un solo lugar Lepermite automatizar y consolidar las tareas de copia de seguridad que anteriormente se realizaban serviciopor servicio y elimina la necesidad de crear scripts personalizados y procesos manuales Con unos pocosclics en elAWS Backup puede automatizar sus poliacuteticas y programas de proteccioacuten de datos
AWS Backupno rige las copias de seguridad que realizas en tuAWSentorno fuera deAWS Backup Por lotanto si quieres un sistema centralizado end-to-end solucioacuten para requisitos de cumplimiento normativo yempresarial comience a utilizarAWS Backuphoy
soportadasAWSrecursos y aplicaciones de tercerosLos siguientes sonAWSrecursos y aplicaciones de terceros que puede realizar una copia de seguridad yque puede restaurar utilizandoAWS Backup
Recurso admitido Tipo de recurso admitido
Amazon Elastic ComputeCloud (Amazon EC2)
Instancias de Amazon EC2 (excluyendoAMI respaldadas por la tienda)
Servicio de instantaacuteneas devolumen de Windows (VSS)
Aplicaciones compatibles con Windows VSS (incluidos Windows ServerMicrosoft SQL Server y Microsoft Exchange Server) en Amazon EC2
Amazon Simple StorageService (Amazon S3)
Datos de Amazon S3
Amazon Elastic Block Store(Amazon EBS)
Voluacutemenes de Amazon EBS
Amazon DynamoDB Tablas de Amazon DynamoDB
Amazon RelationalDatabase Service (AmazonRDS)
Instancias de base de datos Amazon RDS (incluidos todos los motores debase de datos
Amazon Aurora Cluacutesteres Aurora
Amazon Elastic File System(Amazon EFS)
Sistemas de archivos de Amazon EFS
FSx for Lustre FSx for Lustre file systems
FSx for Windows FileServer
Sistemas de archivos de FSx for Windows File Server
AWS Storage Gateway(Volume Gateway)
AWS Storage GatewayVoluacutemenes de
Amazon DocumentDB Cluacutesteres de Amazon DocumentDB
1
AWS Backup Guiacutea para desarrolladoresCaracteriacutesticas disponibles para
todos los recursos admitidos
Recurso admitido Tipo de recurso admitido
Amazon Neptune Cluacutesteres de Amazon Neptune
VMware Cloudtrade enAWS Maacutequinas virtuales VMware Cloudtrade enAWS
VMware Cloudtrade enAWSOutposts
Maacutequinas virtuales VMware Cloudtrade enAWS Outposts
Caracteriacutesticas disponibles para todos los recursosadmitidos
Para utilizar unAWS Backup debe ofrecerse para el recurso admitido yRegioacuten de AWS Utilice lassiguientes secciones y tablas para determinar la disponibilidad de las entidades
AWS Backupofrece las siguientes caracteriacutesticas para TODAS las caracteriacutesticas que admiteAWSserviciosy aplicaciones de terceros que admite
bull Programaciones automatizadas de backup y administracioacuten de retencioacutenbull Monitoreo centralizado de copiasbull Copias de seguridad incrementales excepto DynamoDB Aurora DocumentDB y Neptunebull AWS KMS-cifrado de respaldo integradobull Administracioacuten entre cuentas conAWS Organizationsbull Auditoriacuteas e informes de backup automatizados conAWS BackupAudit Managerbull Escritura una vez muchas lecturas (WORM) conAWS BackupBloqueo de almacenes de
Disponibilidad de caracteriacutesticas por recurso
AWSBackupescompatiblecon
Backupentreregiones
Backupentrecuentas
AWSBackupAuditManager
Backupincremental
Copia deseguridadcontinuay point-in-timerestore(PITR)
CompletoAWSBackupgestioacuten (p 7)
Ciclo devida alalmacenamientoen friacuteo
Restauracioacutena nivel deartiacuteculoDagger
EC2
S3 dagger
EBS
RDS
Aurora
EFS
FSx forLustre
2
AWS Backup Guiacutea para desarrolladoresDisponibilidad de caracteriacutesticas porRegioacuten de AWS
AWSBackupescompatiblecon
Backupentreregiones
Backupentrecuentas
AWSBackupAuditManager
Backupincremental
Copia deseguridadcontinuay point-in-timerestore(PITR)
CompletoAWSBackupgestioacuten (p 7)
Ciclo devida alalmacenamientoen friacuteo
Restauracioacutena nivel deartiacuteculoDagger
FSx forWindowsFileServer
Storage Gateway dagger
DocumentDB
Neptune
WindowsVSS
Maacutequinasvirtuales
DynamoDBsinAWSBackupcaracteriacutesticasavanzadas
DynamoDBconAWSBackupcaracteriacutesticasavanzadas
RDS Aurora DocumentDB y Neptune no admiten una sola accioacuten de copia que realice copias deseguridad entre regiones Y entre cuentas Puede elegir uno o la otra Tambieacuten puede utilizar unAWSLambdapara escuchar la finalizacioacuten de la primera copia realizar la segunda copia y a continuacioacuteneliminar la primera copia
daggerAWS BackupAudit Manager admite este recurso en todos los controles exceptoRecursos Backupprotegidos por un plan de backup (p 162)
Dagger El laquoelementoraquo de una restauracioacuten a nivel de elemento variacutea seguacuten el recurso admitido Por ejemplo unelemento del sistema de archivos es un archivo o directorio mientras que un elemento de S3 es un objetoS3 Un elemento de VMware es un disco Para obtener maacutes informacioacuten consulte laRestauracioacuten de unacopia de seguridad (p 110)para el recurso admitido
Disponibilidad de caracteriacutesticas porRegioacuten deAWS
AWS Backupestaacute disponible en todo lo siguienteRegiones de AWSAWS Backuplas caracteriacutesticas estaacutendisponibles en todas estas regiones a menos que se indique lo contrario en la siguiente tabla
3
AWS Backup Guiacutea para desarrolladoresDisponibilidad de caracteriacutesticas porRegioacuten de AWS
AWS Backupescompatible con
Backup entreregiones
Administracioacutenentre cuentas
Backup entrecuentas
AWS Backup AuditManager
South America(Satildeo Paulo)Region
Regioacuten Asia-Paciacutefico (Siacutedney)
Regioacuten Asia-Paciacutefico (Tokio)
Europe (Ireland)Region
Regioacuten del este deEE UU (Ohio)
Europe (London)Region
Regioacuten deloeste de EE UU(Oregon)
US West (NCalifornia) Region
Regioacuten Asia-Paciacutefico (Mumbai)
Regioacuten de Europa(Pariacutes)
Regioacuten Europa(Estocolmo)
Regioacuten Asia-Paciacutefico (Singapur)
Canada (Central)Region
Regioacuten Asia-Paciacutefico (Seuacutel)
Regioacuten del estede EE UU (NVirginia)
Europe (Frankfurt)Region
Regioacuten Asia-Paciacutefico (Yakarta)
Regioacuten China(Pekiacuten)
4
AWS Backup Guiacutea para desarrolladoresInformacioacuten general de caracteriacutesticas
AWS Backupescompatible con
Backup entreregiones
Administracioacutenentre cuentas
Backup entrecuentas
AWS Backup AuditManager
Regioacuten China(Ningxia)
Middle East(Bahrain) Region
Regioacuten AsiaPaciacutefico (HongKong)
Africa (CapeTown) Region
Europe (Milan)Region
Regioacuten Asia-Paciacutefico (Osaka)
AWS GovCloud(EE UU Oeste)
AWS GovCloud(EE UU Este)
AWS BackupEl soporte para Amazon FSx estaacute disponible en todas las regiones excepto la regioacuten Asia-Paciacutefico (Yakarta)
AWS Backupla compatibilidad con Storage Gateway estaacute disponible en todas las regiones excepto laregioacuten Asia-Paciacutefico (Osaka)
AWS Backupel soporte para Amazon S3 estaacute disponible en todas las regiones excepto la regioacuten deAmeacuterica del Sur (Satildeo Paulo) la regioacuten de Asia Paciacutefico (Yakarta) la regioacuten de China (Beijing) la regioacuten deChina (Ningxia)AWS GovCloud (EEUU-Oeste) yAWS GovCloud Regiones (EE UU Este)
AWS BackupEl soporte para VMware no estaacute disponible en China (Pekiacuten) o la regioacuten China (Ningxia)
Informacioacuten general de caracteriacutesticasAWS Backupproporciona muchas funciones y capacidades entre ellas
Administracioacuten centralizada de copias de seguridadAWS Backupcuenta con una consola centralizada de copias de seguridad un conjunto de API de copiade seguridad yAWS Command Line Interface(AWS CLI) para gestionar las copias de seguridad en todalaAWSservicios que utilizan sus aplicaciones Con AWS Backup puede administrar de forma centralizadalas poliacuteticas de copia de seguridad que se ajustan a sus requisitos A continuacioacuten puede aplicarlos asuAWSrecursos en todoAWSservicios que le permiten realizar una copia de seguridad de los datos de laaplicacioacuten de forma coherente y conforme a las normas La consola de copia de seguridad centralizadade AWS Backup ofrece una vista consolidada de las copias de seguridad y de los registros de actividadde copia de seguridad lo que facilita las tareas de auditoriacutea en esta aacuterea y garantiza la conformidadnormativa
5
AWS Backup Guiacutea para desarrolladoresCopias de seguridad seguacuten poliacuteticas
Copias de seguridad seguacuten poliacuteticasCon AWS Backup puede crear poliacuteticas de copia de seguridad lo que se conoce como planes de copiade seguridad Utilice estos planes de copia de seguridad para definir los requisitos de copia de seguridady a continuacioacuten apliacutequelos aAWSrecursos que desea proteger en toda laAWSServicios que utilicePuede crear distintos planes de copias de seguridad de forma que cada uno de ellos cumpla requisitosespeciacuteficos empresariales y de conformidad normativa Esto ayuda a garantizar que cadaAWSse realizauna copia de seguridad de recursos de acuerdo a sus requisitos Los planes de copias de seguridadfacilitan el cumplimiento de la estrategia de copias de seguridad en la organizacioacuten y en las aplicaciones demanera escalable
Para ver todas las opciones de configuracioacuten de los planes de backup consulteOpciones y configuracioacutendel plan de Backup (p 38)
Poliacuteticas de seguridad basadas en etiquetasPuede usarAWS Backuppara aplicar planes de respaldo a suAWSrecursos de una amplia variedadde formas incluido su etiquetado El etiquetado facilita la implementacioacuten de la estrategia de copia deseguridad en todas las aplicaciones y garantiza que todas lasAWSse realizan copias de seguridad y seprotegen los recursosAWSlas etiquetas son una excelente manera de organizar y clasificar susAWSdeAWS Integracioacuten conAWStags le permite aplicar raacutepidamente un plan de copia de seguridad a un grupodeAWSrecursos de modo que se realicen copias de seguridad de una manera coherente y que cumpla losrequisitos de conformidad
Para ver todas las formas en que puede asignar sus recursos a los planes de backup consulteAsignacioacutende recursos a un plan de copias de seguridad (p 44)
Poliacuteticas de administracioacuten del ciclo de vidaCon AWS Backup puede cumplir los requisitos de conformidad y al mismo tiempo reducir los costosde almacenamiento de copia de seguridad ya que las copias de seguridad se guardan en capas dealmacenamiento en friacuteo de bajo costo Puede configurar poliacuteticas de ciclo de vida que trasladaraacutenautomaacuteticamente copias de seguridad de un almacenamiento en caliente a otro en friacuteo en funcioacuten delprograma que defina
Para saber queacute recursos admiten el traslado al almacenamiento en friacuteo consulteDisponibilidad decaracteriacutesticas por recurso (p 2) La expresioacuten de almacenamiento en friacuteo se omite para otras copiasde seguridad
Backup entre regionesUso deAWS Backup puede copiar copias de seguridad a varios diferentesRegiones de AWSbajo demandao de forma automaacutetica como parte de un plan programado de copias de seguridad Las copias deseguridad entre regiones resultan especialmente uacutetiles si los requisitos de continuidad del negocio ode conformidad exigen que se almacenen copias de seguridad a una distancia miacutenima de los datos deproduccioacuten Para obtener maacutes informacioacuten consulteCreacioacuten de copias de seguridad en todosRegiones deAWS
Administracioacuten entre cuentas y copias de seguridadentre cuentasPuede usarAWS Backuppara administrar sus copias de seguridad en todosCuentas de AWSdentro desuAWS Organizationsestructura Con la administracioacuten entre cuentas puede utilizar automaacuteticamentepoliacuteticas de copia de seguridad para aplicar planes de copia de seguridad en toda laCuentas de
6
AWS Backup Guiacutea para desarrolladoresAuditoriacutea e informes conAWS BackupAudit Manager
AWSdentro de su organizacioacuten Esto hace que el cumplimiento de normas y la proteccioacuten de datossean eficientes de forma escalable y reduce el gasto operativo Tambieacuten ayuda a eliminar la duplicacioacutenmanual de planes de copias de seguridad en cuentas individuales Para obtener maacutes informacioacutenconsulteAdministracioacutenAWS Backuprecursos en variosCuentas de AWS
Tambieacuten puede copiar copias de seguridad a varias copias de seguridad diferentesCuentas de AWSdentrode suAWS OrganizationsEstructura de gestioacuten De esta forma puedes laquoadmitirraquo los backups en una solacuenta de repositorio y luego laquoextenderraquo las copias de seguridad para una mayor resiliencia Creacioacuten decopias de seguridad en todosCuentas de AWS
Para poder utilizar las caracteriacutesticas de administracioacuten entre cuentas y copias de seguridad entrecuentas debe tener configurada una estructura organizativa existente enAWS Organizations Unaunidad organizativa (OU) es un grupo de cuentas que se puede administrar como una sola entidad AWSOrganizations es una lista de cuentas que pueden agruparse en unidades organizativas y administrarsecomo una sola entidad
Auditoriacutea e informes conAWS BackupAudit ManagerAWS BackupAudit Manager le ayuda a simplificar el gobierno de datos y la gestioacuten del cumplimientode los respaldos en todos losAWSAWS Backup Audit Manager proporciona controles integrados ypersonalizables que puede alinear con los requisitos de la organizacioacuten Tambieacuten puede utilizar estoscontroles para realizar un seguimiento automaacutetico de sus actividades y recursos de copia de seguridad
AWS BackupAudit Manager le puede ayudar a localizar actividades y recursos especiacuteficos que auacuten nocumplen los controles definidos Tambieacuten genera informes diarios que puede utilizar para demostrarpruebas del cumplimiento de los controles a lo largo del tiempo
Para incluir el cumplimiento de la copia de seguridad junto con su postura general de cumplimiento puedeimportar automaacuteticamenteAWS BackupConclusiones de Audit ManagerAWS Audit Manager
Copias de seguridad incrementalesAWS Backupalmacena de forma eficiente sus copias de seguridad perioacutedicas de forma gradual La primeracopia de seguridad de unAWSresource realiza una copia de seguridad de una copia completa de los datosPara cada copia de seguridad incremental sucesiva solo los cambios en suAWSse realiza una copia deseguridad de los recursos Las copias de seguridad incrementales le permiten beneficiarse de la proteccioacutende datos de las copias de seguridad frecuentes al tiempo que minimizan los costes de almacenamiento
Para obtener una lista de los recursos que admiten copias de seguridad incrementalesconsulteDisponibilidad de caracteriacutesticas por recurso (p 2)
CompletoAWS BackupgestioacutenAlgunos tipos de recursos admiten completoAWS Backupadministracioacuten Las ventajas de la completaAWSBackupla administracioacuten incluye
bull Encriptacioacuten independienteAWS Backupcifra automaacuteticamente sus copias de seguridad con la claveKMS de suAWS Backupvault en lugar de utilizar la misma clave de cifrado que el recurso de origenEsto aumenta tus niveles de defensa Para obtener maacutes informacioacuten consulte Cifrado de copias deseguridad enAWS Backup (p 177)
bull awsbackupNombres de recursos de Amazon (ARN) Los ARN de Backup de seguridad comienzanporarnawsbackupen lugar dearnawssource-resource Esto le permite crear poliacuteticas deacceso que se aplican especiacuteficamente a las copias de seguridad y no a los recursos de origen Paraobtener maacutes informacioacuten consulte Control de acceso (p 183)
bull Facturacioacuten centralizada de copias de seguridad y etiquetas de asignacioacuten de costes de Cost ExplorerCargos porAWS Backup(incluido el almacenamiento las transferencias de datos las restauraciones y la
7
AWS Backup Guiacutea para desarrolladoresMonitorizacioacuten Backup la actividad de
eliminacioacuten anticipada) aparecen en laquoBackupraquo en suAmazon Web Servicesfactura en lugar de aparecerdebajo de cada recurso admitido Tambieacuten puede utilizar etiquetas de asignacioacuten de costes de CostExplorer para realizar un seguimiento y optimizar los costes de backup Para obtener maacutes informacioacutenconsulte Medicioacuten costes y facturacioacuten (p 16)
Para ver queacute tipos de recursos son aptos para el uso completoAWS BackupadministracioacutenconsulteDisponibilidad de caracteriacutesticas por recurso (p 2)
Monitorizacioacuten Backup la actividad deAWS Backupcuenta con un panel que simplifica la auditoriacutea de copias de seguridad y la actividad derestauracioacuten enAWSServicios de Basta con hacer unos pocos clics en la consola de AWS Backuppara ver el estado de los trabajos de copia de seguridad recientes Tambieacuten puede restaurar trabajosenAWSservicios para garantizar que suAWSlos recursos estaacuten debidamente protegidos
AWS Backupse integra con Amazon CloudWatch y Amazon EventBridge CloudWatch le permiterealizar un seguimiento de las meacutetricas y crear alarmas EventBridge le permite ver y supervisarAWSBackupraacutepidamente Para obtener maacutes informacioacuten consulteMonitoreoAWS Backupeventos medianteEventBridgeyMonitoreoAWS Backupmeacutetricas con CloudWatch
AWS Backupse integra conAWS CloudTrail CloudTrail le ofrece una vista consolidada de registros deactividad de copia de seguridad que hacen que sea raacutepido y sencillo auditar la forma en que se realizanlas copias de seguridad de los recursosAWS Backuptambieacuten se integra con Amazon Simple NotificationService (Amazon SNS) lo que le ofrece notificaciones sobre la actividad de copia de seguridad porejemplo cuando una copia de seguridad se ejecuta correctamente o se ha iniciado una restauracioacuten Paraobtener maacutes informacioacuten consulteRegistro deAWS BackupLlamada al API con CloudTrailyUsar AmazonSNS para realizar el seguimiento deAWS BackupEventos de
Proteja sus datos en boacutevedas de respaldoEl contenido de cadaAWS Backupla copia de seguridad es inmutable lo que significa que nadie puedealterar ese contenidoAWS Backupprotege auacuten maacutes las copias de seguridad en los depoacutesitos de respaldolo que los separa de forma segura de sus instancias de origen Por ejemplo el almaceacuten conservaraacute lascopias de seguridad de Amazon EC2 y Amazon EBS de acuerdo con la poliacutetica de ciclo de vida que elijaincluso si elimina la instancia de Amazon EC2 de origen y los voluacutemenes de Amazon EBS
Las caacutemaras de Backup de seguridad ofrecen poliacuteticas de cifrado y acceso basadas en recursos que lepermiten definir quieacuten tiene acceso a las copias de seguridad Puede definir poliacuteticas de acceso para unalmaceacuten de copias de seguridad que define quieacuten tiene acceso a las copias de seguridad dentro de esealmaceacuten y queacute acciones se les permite realizar Esto le ofrece una forma simple y segura de controlar elacceso a las copias de seguridad enAWSServicios de Para revisarAWSy poliacuteticas administradas por elcliente paraAWS Backup consultePoliacuteticas administradas deAWS Backup
Puede usarAWS BackupBloqueo de depoacutesito para evitar que cualquier persona (incluido usted) eliminelas copias de seguridad o modifique su periacuteodo de retencioacutenAWS Backup Vault Lock le ayuda a aplicarunescribir una vez leer muchos(WORM) y antildeade otra capa de defensa a tu defensa en profundidad Paraempezar consulteAWS BackupBloqueo de almacenes de
Support las obligaciones de conformidadAWS Backuple ayuda a cumplir sus obligaciones de cumplimiento globalAWS Backupse encuentra en elaacutembito de las siguientesAWSProgramas de conformidad
bull Alta FedRAMPbull GDPR
8
AWS Backup Guiacutea para desarrolladoresIntroduccioacuten
bull SOC 1 2 y 3bull PCIbull HIPAAbull y muchos maacutes
IntroduccioacutenPara obtener maacutes informacioacutenAWS Backup le recomendamos que empiece porIntroduccioacuten a AWSBackup (p 22)
9
AWS Backup Guiacutea para desarrolladoresTrabajar con soporteAWSServicios de
AWS Backup Coacutemo funcionaAWS Backupes un servicio de copia de seguridad completamente administrado que facilita lacentralizacioacuten y automatizacioacuten de la copia de seguridad de datos enAWSServicios de Con AWS Backuppuede crear poliacuteticas de copia de seguridad denominadas planes de copia de seguridad Puede utilizarestos planes para definir los requisitos de copia de seguridad como la frecuencia con la que se va arealizar la copia de seguridad de los datos y el tiempo durante el que se van a conservar esas copias deseguridad
AWS Backuple permite aplicar planes de respaldo a suAWSrecursos simplemente etiquetaacutendolosAWSBackupluego realiza copias de seguridad automaacuteticamente de suAWSrecursos seguacuten el plan de copia deseguridad definido
Las secciones siguientes describen coacutemo funciona AWS Backup sus detalles de implementacioacuten y lasconsideraciones de seguridad
Temasbull CoacutemoAWS Backupfunciona con soporteAWSServicios de (p 10)bull Medicioacuten costes y facturacioacuten (p 16)bull AWS Backupblogs viacutedeos tutoriales y otros recursos (p 17)
CoacutemoAWS Backupfunciona consoporteAWSServicios de
AlgunoAWS Backup-admitidoAWSlos servicios ofrecen sus propias funciones de copia de seguridadindependientes Esas caracteriacutesticas estaacuten disponibles independientemente de si utilizaAWS Backup Sinembargo las copias de seguridad de otrosAWSlos servicios create no estaacuten disponibles para el gobiernocentral a traveacutes deAWS Backup
Para configurarAWS Backuppara administrar de forma centralizada la proteccioacuten de datos de todossus servicios compatibles debe optar por administrar ese servicio conAWS Backup cree una copia deseguridad bajo demanda o programa copias de seguridad mediante un plan de backup y almacene suscopias de seguridad en boacutevedas de backup
Temasbull Optar por administrar servicios conAWS Backup (p 11)bull Trabajo con datos de Amazon S3 (p 11)bull Trabajo con maacutequinas virtuales VMware (p 11)bull Trabajo con Amazon DynamoDB (p 12)bull Trabajo con sistemas de archivos de Amazon FSx (p 12)bull Trabajo con Amazon EC2 (p 13)bull Trabajo con Amazon EFS (p 14)bull Trabajo con Amazon EBS (p 14)bull Trabajo con Amazon RDS y Aurora (p 14)
10
AWS Backup Guiacutea para desarrolladoresOptar por administrar servicios conAWS Backup
bull Uso de AWS Storage Gateway (p 15)bull Trabajo con Amazon DocumentDB (p 15)bull Trabajar con Amazon Neptune (p 15)bull CoacutemoAWSlos servicios respaldan sus propios recursos (p 15)
Optar por administrar servicios conAWS BackupCuando es nuevoAWSlos servicios estaacuten disponibles debe habilitarAWS Backuppara utilizar esosservicios Si intenta crear una copia de seguridad bajo demanda o con un plan de copia de seguridadutilizando recursos de un servicio que no estaacute habilitado apareceraacute un mensaje de error y el proceso no secompletaraacute
Note
Las opciones de activacioacuten de un servicio son especiacuteficas de la regioacuten Si cambias elRegioacuten deAWSque estaacute utilizando debe configurar de nuevo los servicios que utiliza conAWS Backup
Para configurar los servicios que se utilizan con AWS Backup
1 Abra el iconoAWS BackupConsola enhttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccione Settings (Configuracioacuten)3 En la paacutegina Activacioacuten del servicio elija Configurar recursos4 Utilice conmutadores para habilitar o deshabilitar los servicios que se utilizan con AWS Backup
Important
RDS Aurora Neptune y DocumentDB comparten el mismo nombre de recurso de Amazon(ARN) Optar por administrar uno de estos tipos de recursos conAWS Backupopta por todosellos al asignarlo a un plan de respaldo En cualquier caso te recomendamos que elijas todasellas para representar con precisioacuten tu estado de suscripcioacuten
5 Elija Confirm
Trabajo con datos de Amazon S3AWS Backupofrece copias de seguridad y restauracioacuten totalmente administradas para copias de seguridadde Amazon S3 Para obtener maacutes informacioacuten consulte Creacioacuten de copias de seguridad de S3 (p 73)
bull Coacutemo hacer copias de seguridad de los recursosIntroduccioacuten a AWS Backup (p 22)bull Coacutemo restaurar datos de Amazon S3 medianteAWS BackupRestauracioacuten de datos de S3 (p 111)
Para obtener informacioacuten detallada acerca de los datos de S3 consulte laDocumentacioacuten de Amazon S3
Trabajo con maacutequinas virtuales VMwareAWS Backupadmite proteccioacuten de datos centralizada y automatizada para maacutequinas virtuales (VM)VMware locales junto con maacutequinas virtuales de VMware Cloudtrade (VMC) enAWS Puede realizar copiasde seguridad desde sus maacutequinas virtuales locales y VMC enAWS Backup Luego puede restaurardesdeAWS Backupya sea en las instalaciones o en VMC
La puerta de enlace de respaldo se puede descargarAWS Backupsoftware que implementa en susmaacutequinas virtuales de VMware para conectarlas aAWS Backup La puerta de enlace se conecta a suservidor de administracioacuten de maacutequinas virtuales para descubrir maacutequinas virtuales descubrir sus
11
AWS Backup Guiacutea para desarrolladoresTrabajo con Amazon DynamoDB
maacutequinas virtuales cifrar datos y transferir datos de manera eficiente aAWS Backup El siguiente diagramailustra coacutemo se conecta Backup gateway a las maacutequinas virtuales
bull Coacutemo hacer copias de seguridad de los recursosCreacioacuten de copias de seguridad de maacutequinasvirtuales (p 78)
bull Coacutemo restaurar los recursos de Amazon FSxRestaurar una maacutequina virtual (p 113)
Trabajo con Amazon DynamoDBAWS Backupadmite copias de seguridad y restauracioacuten de tablas de Amazon DynamoDB DynamoDB esun servicio de bases de datos NoSQL totalmente administrado que proporciona un rendimiento raacutepido ypredecible asiacute como una perfecta escalabilidad
Desde su lanzamientoAWS Backupsiempre ha admitido DynamoDB A partir de noviembre de 2021AWSBackuptambieacuten introdujo funciones avanzadas para las copias de seguridad de DynamoDB Esasfunciones avanzadas incluyen copiar las copias de seguridad a traveacutes deRegiones de AWSy cuentasagrupacioacuten en niveles de copias de seguridad en almacenamiento en friacuteo y uso de etiquetas para laadministracioacuten de permisos y costos
NuevoAWS Backuplos clientes que se incorporen despueacutes de noviembre de 2021 tendraacuten habilitadas lasfunciones de backup avanzadas de DynamoDB de forma predeterminada
Recomendamos todos los existentesAWS Backuplos clientes habilitan funciones avanzadas paraDynamoDB No hay diferencia en los precios del almacenamiento de backup en caliente despueacutes dehabilitar las funciones avanzadas y puede ahorrar dinero organizando las copias de seguridad en elalmacenamiento en friacuteo y optimizando los costes mediante etiquetas de asignacioacuten de costes
Para obtener una lista completa de las funciones avanzadas y coacutemo habilitarlas consulteBackup avanzadode DynamoDB (p 90)
bull Coacutemo hacer copias de seguridad de los recursosIntroduccioacuten a AWS Backup (p 22)bull Coacutemo restaurar los recursos de DynamoDBRestauracioacuten de una tabla de Amazon DynamoDB (p 122)
Para obtener informacioacuten detallada acerca de DynamoDB consulteiquestQueacute es Amazon DynamoDBenlaGuiacutea para desarrolladores de Amazon DynamoDB
Trabajo con sistemas de archivos de Amazon FSxAWS Backupadmite la copia de seguridad y la restauracioacuten de sistemas de archivos de Amazon FSxAmazon FSx proporciona file systems de terceros totalmente administrados con la compatibilidad nativay los conjuntos de caracteriacutesticas para las cargas de trabajoAWS Backuputiliza la funcionalidad de copia
12
AWS Backup Guiacutea para desarrolladoresTrabajo con Amazon EC2
de seguridad integrada de Amazon FSx Asiacute que las copias de seguridad tomadas delAWS Backuptiene elmismo nivel de coherencia y rendimiento del sistema de archivos y las mismas opciones de restauracioacutenque las copias de seguridad que se realizan a traveacutes de la consola de Amazon FSx
Si usaAWS Backuppara administrar estas copias de seguridad obtiene funciones adicionales comoopciones de retencioacuten ilimitadas y la capacidad de crear copias de seguridad programadas con tantafrecuencia como cada hora AdemaacutesAWS Backupconserva las copias de seguridad incluso despueacutes deque se haya eliminado el sistema de archivos de origen Esto protege contra la eliminacioacuten accidental omalintencionada
UsarAWS Backuppara proteger los file systems de Amazon FSx si desea configurar poliacuteticas debackup y supervisar las tareas de backup desde una consola central de backup que tambieacuten ampliacutea lacompatibilidad con otrosAWSServicios de
bull Coacutemo hacer copias de seguridad de los recursosIntroduccioacuten a AWS Backup (p 22)bull Coacutemo restaurar los recursos de Amazon FSxRestauracioacuten de un sistema de archivos FSX (p 115)
Para obtener informacioacuten detallada acerca de los sistemas de archivos de Amazon FSx consultelaDocumentacioacuten de Amazon FSx
Trabajo con Amazon EC2Uso deAWS Backup puede programar o realizar trabajos de copia de seguridad bajo demanda queincluyan instancias EC2 completas y aplicaciones Windows que se ejecutan en Amazon EC2 juntocon los datos de configuracioacuten asociados Esto limita la necesidad de interactuar con el volumen dealmacenamiento (Amazon EBS) Del mismo modo puede restaurar una instancia de completa de AmazonEC2 desde un uacutenico punto de recuperacioacuten Un trabajo de copia de seguridad solo puede tener un recursoPor lo que puede tener un trabajo que realice una copia de seguridad de una instancia EC2 que incluiraacute elvolumen raiacutez todos los voluacutemenes de datos y las configuraciones de instancia asociadas
AWS Backupno reinicia instancias EC2 en ninguacuten momento
Copia de seguridad de los recursos de Amazon EC2
Al realizar copias de seguridad de una instancia de Amazon EC2AWS Backuptoma una instantaacuteneadel volumen de almacenamiento raiacutez de Amazon EBS las configuraciones de lanzamiento y todos losvoluacutemenes de EBS asociadosAWS Backupalmacena ciertos paraacutemetros de configuracioacuten de la instanciaEC2 como el tipo de instancia los grupos de seguridad Amazon VPC la configuracioacuten de monitoreo y lasetiquetas Los datos de copia de seguridad se almacenan como una imagen de maacutequina de Amazon EBS(AMI) respaldada por voluacutemenes de
Tambieacuten puede realizar copias de seguridad y restaurar las aplicaciones Microsoft Windows habilitadaspara VSS Puede programar copias de seguridad coherentes con las aplicaciones definir poliacuteticas deciclo de vida y realizar restauraciones coherentes como parte de un backup bajo demanda o de un plande backup programado Para obtener maacutes informacioacuten consulte Creacioacuten de copias de seguridad deWindows VSS (p 94)
AWS Backupno realiza copias de seguridad de lo siguiente
bull Configuracioacuten del acelerador de Elastic Inference si estaacute asociado a la instanciabull Los datos de usuario utilizados para lanzar la instancia
Note
En todos los tipos de instancias solo se admiten instancias EC2 respaldadas por Amazon EBSNo se admiten instancias de almacenamiento efiacutemero (es decir instancias con respaldo delalmaceacuten de instancias)
13
AWS Backup Guiacutea para desarrolladoresTrabajo con Amazon EFS
AWS Backuppuede cifrar instantaacuteneas de EBS asociadas con una copia de seguridad de Amazon EC2Esto es similar a coacutemo cifra las instantaacuteneas de EBSAWS Backuputiliza el mismo cifrado que se aplicaa los voluacutemenes de EBS subyacentes cuando se crea una instantaacutenea de la AMI de Amazon EC2 y losparaacutemetros de configuracioacuten de la instancia original se conservan en los metadatos de restauracioacuten
Una instantaacutenea obtiene su cifrado del volumen que se ha definido y el mismo cifrado se aplica a lasinstantaacuteneas correspondientes Las instantaacuteneas que EBS realiza de una AMI copiada siempre se cifranSi utiliza una clave de KMS durante la copia se aplicaraacute esta clave Si no utiliza una clave de KMS seaplicaraacute una clave de KMS predeterminada
bull Coacutemo hacer copias de seguridad de los recursosIntroduccioacuten a AWS Backup (p 22)bull Coacutemo restaurar recursos de Amazon EC2Restauracioacuten de una instancia de Amazon EC2 (p 128)
Para obtener informacioacuten detallada sobre Amazon EC2 consulteiquestQueacute es Amazon EC2en laGuiacutea delusuario de Amazon EC2 para instancias de Windows
Trabajo con Amazon EFSAWS Backupes compatible con Amazon Elastic File System (Amazon EFS)
bull Coacutemo hacer copias de seguridad de los recursosIntroduccioacuten a AWS Backup (p 22)bull Coacutemo restaurar los recursos de Amazon EFSRestauracioacuten de un sistema de archivos de Amazon
EFS (p 120)
Para obtener informacioacuten detallada sobre los sistemas de archivos de Amazon EFS consulteiquestQueacute esAmazon Elastic File Systemen laGuiacutea del usuario de Amazon Elastic File System
Trabajo con Amazon EBSAWS Backupes compatible con voluacutemenes Amazon Elastic Block Store (Amazon EBS)
bull Coacutemo hacer copias de seguridad de los recursosIntroduccioacuten a AWS Backup (p 22)bull Coacutemo restaurar voluacutemenes de Amazon EBSRestauracioacuten de un volumen de Amazon EBS (p 118)
Para obtener informacioacuten detallada sobre los voluacutemenes Amazon EBS consulteiquestQueacute es Amazon ElasticBlock Store (Amazon EBS)en laGuiacutea del usuario de Amazon EC2 para instancias de Linux
Para obtener maacutes informacioacuten consulte Creacioacuten de un volumen de Amazon EBS en la Guiacutea del usuariode Amazon EC2 para instancias de Linux
Trabajo con Amazon RDS y AuroraAWS Backupadmite motores de bases de datos de Amazon RDS y cluacutesteres Aurora
bull Coacutemo hacer copias de seguridad de los recursosIntroduccioacuten a AWS Backup (p 22)bull Coacutemo restaurar los recursos de Amazon RDSRestauracioacuten de una base de datos de RDS (p 124)bull Coacutemo restaurar cluacutesteres de AuroraRestaurar un cluacutester de Amazon Aurora (p 126)
Para obtener maacutes informacioacuten acerca de Amazon RDS consulteiquestQueacute es Amazon Relational DatabaseServiceen laGuiacutea del usuario de Amazon RDS
Para obtener informacioacuten detallada sobre Aurora consulteiquestQueacute es Amazon Auroraen laGuiacutea del usuariode Amazon Aurora
14
AWS Backup Guiacutea para desarrolladoresUso de AWS Storage Gateway
Note
Si inicia un trabajo de copia de seguridad desde la consola de Amazon RDS esto puede entraren conflicto con un trabajo de copia de seguridad de cluacutesteres de Aurora lo que provoca el errorEltrabajo Backup caducoacute antes de finalizar Si esto ocurre configure una ventana de copia deseguridad maacutes larga enAWS Backup
Uso de AWS Storage GatewayAWS Backupsoporta Storage Gateway Volume Tambieacuten puede restaurar instantaacuteneas de Amazon EBScomo voluacutemenes de Storage Gateway
bull Coacutemo hacer copias de seguridad de los recursosIntroduccioacuten a AWS Backup (p 22)bull Coacutemo restaurar los recursos de Storage GatewayRestauracioacuten del volumen de Storage
Gateway (p 130)
Trabajo con Amazon DocumentDBAWS Backupadmite cluacutesteres de Amazon DocumentDB
bull Coacutemo hacer copias de seguridad de los recursosIntroduccioacuten a AWS Backup (p 22)bull Coacutemo restaurar los recursos de Storage GatewayRestaurar un cluacutester de DocumentDB (p 131)
Trabajar con Amazon NeptuneAWS Backupes compatible con los cluacutesteres de Amazon Neptune
bull Coacutemo hacer copias de seguridad de los recursosIntroduccioacuten a AWS Backup (p 22)bull Coacutemo restaurar cluacutesteres de Amazon NeptuneRestauracioacuten de un cluacutester de Neptune (p 132)
CoacutemoAWSlos servicios respaldan sus propiosrecursosPuede consultar la documentacioacuten teacutecnica para obtener informacioacuten especiacuteficaAWSproceso de copia deseguridad y restauracioacuten del servicio especialmente cuando durante una restauracioacuten necesita configuraruna nueva instancia de eseAWSservicio A continuacioacuten se muestra una lista de documentos
bull Servicios relacionados con Amazon EC2bull Uso deAWS Backupcon Amazon EFSbull Copia de seguridad y restauracioacuten en diferido para DynamoDBbull Instantaacuteneas de Amazon EBSbull Copia de seguridad y restauracioacuten de instancias de base de datos de Amazon RDS
bull Informacioacuten general de copias de seguridad y restauracioacuten de un cluacutester de base de datos de Aurorabull Uso deAWS Backupcon FSx for Windows File Serverbull Uso deAWS Backupcon FSx for Lustrebull Copia de seguridad de los voluacutemenes en AWS Storage Gatewaybull Copia de seguridad y restauracioacuten en Amazon DocumentDBbull Copia de seguridad y restauracioacuten de un cluacutester de Amazon Neptune
15
AWS Backup Guiacutea para desarrolladoresMedicioacuten costes y facturacioacuten
Medicioacuten costes y facturacioacutenPrecios de AWS BackupActualAWS Backuplos precios estaacuten disponibles enAWS Backupde IPAM
Important
Para evitar cargos adicionales configure su poliacutetica de retencioacuten con una duracioacuten dealmacenamiento en caliente deal menos una semanaPor ejemplo supongamos que realiza copias de seguridad diarias y las conserva durante undiacutea Ademaacutes supongamos que los recursos protegidos son tan grandes que lleva todo el diacuteacompletar la copia de seguridadAWS Backupimplementa el periacuteodo de retencioacuten de un diacuteay elimina la copia de seguridad del almacenamiento en caliente cuando finaliza el trabajo debackup Al diacutea siguienteAWS Backupno puede crear una copia de seguridad incrementalporque no tiene copia de seguridad en almacenamiento en caliente Dado que este periacuteodo deretencioacuten no siguioacute las praacutecticas recomendadas corre el riesgo y los gastos de crear una copia deseguridad completa todos los diacuteasPiacutedale a su gestor teacutecnico de cuentas o arquitecto de soluciones orientacioacuten sobre su caso deuso
AWS BackupfacturacioacutenCuando un tipo de recurso admite completoAWS Backupadministracioacuten cargos porAWS Backup(incluidoel almacenamiento las transferencias de datos las restauraciones y la eliminacioacuten anticipada) apareceen la seccioacuten laquoBackupraquo de suAmazon Web Servicesfactura Para obtener una lista de los servicioscompatibles con todos los servicios compatibles conAWS Backupmanagement consulte la seccioacutenCompletaAWS Backupseccioacuten de gestioacuten en elDisponibilidad de caracteriacutesticas por recurso (p 2)mesa
Cuando un tipo de recurso no admite completoAWS Backupadministracioacuten algunos de susAWSBackupactividad como los costes de almacenamiento de sus copias de seguridad podriacutean ser facturadasy facturadas por los respectivosAWSservicio
Etiquetas de asignacioacuten de costosPuede utilizar las etiquetas de asignacioacuten de costos para realizar un seguimiento y optimizarAWSBackupcostes en un nivel detallado y ver y filtrar esas etiquetas medianteAWS Cost Explorer siempre queel tipo de recurso admitaAWS Backupadministracioacuten Para obtener una lista de estos tipos de recursosconsulte la seccioacuten CompletaAWS Backupseccioacuten de gestioacuten en elDisponibilidad de caracteriacutesticas porrecurso (p 2)mesa
Para utilizar las etiquetas de asignacioacuten de costos consulteAutomatizacioacuten de los backups y optimizacioacutende los costes de backup para Amazon EFS medianteAWS BackupyUso de etiquetas de asignacioacuten decostos
AWS BackupPrecios de Audit ManagerAWS BackupAudit Manager cobra por el uso en funcioacuten del nuacutemero de evaluaciones de control Unaevaluacioacuten de control es la evaluacioacuten de un recurso contra un control Los cargos de evaluacioacuten decontrol aparecen en suAWS Backupfactura Para conocer los precios actuales de la evaluacioacuten de controlconsulteAWS Backupde IPAM
Para utilizarAWS BackupControles de Audit Manager debe habilitarAWS Configgrabacioacuten para realizar unseguimiento de la actividad de backupAWS Configcargos por cada elemento de configuracioacuten registrado y
16
AWS Backup Guiacutea para desarrolladoresBlogs viacutedeos tutoriales y otros recursos
estos cargos aparecen en tuAWS Configfactura Para obtener informacioacuten sobre los precios registrados delartiacuteculo de configuracioacuten actual consulteAWS Configde IPAM
AWS Backupblogs viacutedeos tutoriales y otrosrecursos
Para obtener maacutes informacioacuten sobre AWS Backup consulte lo siguiente
bull Obtenga cuentas cruzadas diarias agregadas en varias cuentas y regionesAWS Backupinformes ConWali Akbari y Sabith Venkitacalapathy (febrero de 2022)
bull Automatice la visibilidad de los resultados de backup medianteAWS BackupyAWS Security Hub ConKanishk Mahajan (enero de 2022)
bull Las 10 praacutecticas recomendadas de seguridad principales para proteger copias de seguridad enAWSCon Ibukun Oyewumi (enero de 2022)
bull Optimizacioacuten de SAS Grid enAWScon FSx for Lustre (y optimizacioacuten de la recuperacioacuten ante desastresmedianteAWS Backup) Con Matt Saeger y Shea Lutton (enero de 2022)
bull Centralizacioacuten de la proteccioacuten de datos y el cumplimiento de normas en Amazon Neptune conAWSBackup Con Brian OKeefe (noviembre de 2021)
bull Gestione copias de seguridad y restauracioacuten de Amazon DocumentDB (compatible con MongoDB)conAWS Backup Con Karthik Vijayraghavan (noviembre de 2021)
bull Simplifique la auditoriacutea de sus poliacuteticas de proteccioacuten de datos conAWS BackupAudit Manager ConJordan Bjorkman y Harshitha Putta (noviembre de 2021)
bull Mejore la postura de seguridad de sus copias de seguridad conAWS BackupBloqueo de almacenes deCon Rolland Miller (octubre de 2021)
bull Coacutemo conservar las etiquetas de recursos enAWS Backuptrabajos de restauracioacuten Con IbukunOyewumi Amee Shah y Sabith Venkitachalapathy (septiembre de 2021)
bull Administracioacuten del acceso a las copias de seguridad mediante poliacuteticas de control de servicios conAWSBackup Con Sabith Venkitacalapathy e Ibukun Oyewumi (agosto de 2021)
bull Automatice el backup centralizado a escala en todos losAWSservicios utilizandoAWS Backup ConIbukun Oyewumi y Sabith Venkitacalapathy (julio de 2021)
bull Blog Coacutemo simplificar la copia de seguridad de Microsoft SQL Server medianteAWS Backupy VSS ConSiavash Irani y Sepehr Samiei (julio de 2021)
bull Automatice la validacioacuten de la recuperacioacuten de datos conAWS Backup Con Mahanth Jayadeva (junio de2021)
bull Configuracioacuten de notificaciones para supervisarAWS Backupjobs Con Virgil Ennes (junio de 2021)bull Automatizacioacuten de los backups y optimizacioacuten de los costes de backup para Amazon EFS medianteAWS
Backup Con Prachi Gupta y Rohit Verma (junio de 2021)bull Administrar los costos de backup de Amazon EFSAWS Backupcompatibilidad con las etiquetas de
asignacioacuten de costos Con Aditya Maruvada (mayo de 2021)bull Cree y comparta copias de seguridad cifradas entre cuentas y regiones medianteAWS Backup Con
Prachi Gupta (mayo de 2021)bull AWS Backupha sido aprobado por FedRAMP High para satisfacer sus necesidades de cumplimiento y
proteccioacuten de datos Con Andy Grimes (mayo de 2021)bull ZS Associates mejora la eficiencia del backup conAWS Backup Con Mitesh Naik Hiranand Mulchandani
y Sushant Jadhav (mayo de 2021)bull Tutorial Copia de seguridad y restauracioacuten de Amazon EBS utilizandoAWS Backup Con Fathima Kamal
(abril de 2021)bull Viacutedeos de tutorial de Administracioacuten de copias de seguridad entre regiones Con David DeLuca (abril de
2021)
17
AWS Backup Guiacutea para desarrolladoresBlogs viacutedeos tutoriales y otros recursos
bull Eliminacioacuten de variosAWS Backuppuntos de recuperacioacuten medianteAWSTools for PowerShell ConSherif Talaat (abril de 2021)
bull Copias de seguridad entre regiones y cuentas cruzadas para Amazon FSx utilizandoAWS Backup ConAdam Hunter y Fathima Kamal (abril de 2021)
bull Amazon CloudWatch Eventos y meacutetricas deAWS Backup Con Rolland Miller (marzo de 2021)bull Tutorial Backup y restauracioacuten de Amazon Relational Database Service (RDS) utilizandoAWS Backup
Con Fathima Kamal (marzo de 2021)bull Recuperacioacuten puntual y backup continuo para Amazon RDS conAWS Backup Con Kelly Griffin (marzo
de 2021)bull AutomatizarAWS BackupconAWSService Catalog con John Husemoller (enero de 2021)bull Recuperacioacuten segura de datos con copia de seguridad entre cuentas y copia entre regiones
medianteAWS Backup Con Cher Simon (enero de 2021)bull AWSResumen reInvent Proteccioacuten de datos y cumplimiento deAWS Backup Con Nancy Wang
(diciembre de 2020)bull AWS Backupproporciona proteccioacuten de datos centralizada en toda suAWSrecursos Con Nancy Wang
(noviembre de 2020)bull Charla teacutecnica Proteccioacuten de datos a escala conAWS Backup Con Kareem Behairy (septiembre de
2020)bull Administracioacuten centralizada entre cuentas con copia entre regiones medianteAWS Backup Con Cher
Simon (septiembre de 2020)bull Viacutedeos de tutorial de Administracioacuten de copias de seguridad a escala en suAWS OrganizationsconAWS
Backup Con Ildar Sharafeev (julio de 2020)bull Administracioacuten de copias de seguridad a escala en suAWS OrganizationsconAWS Backup Con Nancy
Wang Avi Drabkin Ganesh Sundaresan y Vikas Shah (junio de 2020)bull Recuperar archivos y carpetas de Amazon EFS conAWS Backup Con Abrar Hussain y Gurudath Pai
(mayo de 2020)bull Programacioacuten de copias de seguridad automatizadas mediante Amazon EFS yAWS Backup Con Rob
Barnes (diciembre de 2019)bull Grabacioacuten reInventAWSreInvent 2019 Inmersioacuten en profundidadAWS Backupft Rackspace Con
Nancy Wang y Jason Pavao (diciembre de 2019)bull Proteccioacuten de sus datos conAWS Backup Con Anthony Fiore (julio de 2019)bull Viacutedeos de marketing PresentacioacutenAWS Backup Ene de 2019bull Video Introduccioacuten a AWS Backup conAWSTraining and Certification
18
AWS Backup Guiacutea para desarrolladoresRegistrarse en AWS
Configuracioacuten deAWSpor primera vezAntes de usar AWS Backup por primera vez realice las siguientes tareas
1 Registrarse en AWS (p 19)2 Creacioacuten de un usuario de IAM (p 19)3 Crear un rol de IAM (p 21)
Registrarse en AWSAl inscribirse en Amazon Web Services (AWS) suCuenta de AWSse inscribe automaacuteticamente en todoslos servicios deAWS incluidosAWS Backup Solo se le cobraraacute por los servicios que utilice
Para obtener maacutes informacioacuten acerca deAWS BackupLas tarifas de uso de consulte laAWS BackupPaacuteginade precios
Si ya dispone de una Cuenta de AWS pase a la siguiente tarea Si no dispone de una cuenta de AWSutilice el siguiente procedimiento para crear una
Para crear un Cuenta de AWS
1 Abra httpsportalawsamazoncombillingsignup2 Siga las instrucciones en liacutenea
Parte del procedimiento de inscripcioacuten consiste en recibir una llamada telefoacutenica e indicar un coacutedigo deverificacioacuten en el teclado del teleacutefono
Anote suCuenta de AWSnuacutemero porque lo necesitaraacute en la siguiente tarea
Creacioacuten de un usuario de IAMServicios enAWS como por ejemploAWS Backup requiere que proporcione las credencialescuando obtenga acceso a ellas para que puedan determinar si tiene permisos de acceso a susrecursosAWSrecomienda que no utilice elCuenta de AWSusuario root para realizar solicitudes En sulugar cree un usuario de IAM y conceacutedale derechos de acceso completos Estos usuarios se denominanusuarios administradores Puede utilizar las credenciales del usuario administrador en lugar de laCuentade AWScredenciales de usuario root para interactuar conAWSy realizar tareas tales como crear unbucket crear usuarios y concederles permisos Para obtener maacutes informacioacuten consulteCuenta deAWSDiablas credenciales de usuario raiacutez y las credenciales de usuario de IAMen laAWSReferenciageneral deyPraacutecticas recomendadas de IAMen laIAM User Guide
Si se ha inscrito en AWS pero no ha creado un usuario de IAM puede crear uno en la consola de IAM
Para crearse usted mismo un usuario administrador y agregarlo a un grupo de administradores(consola)
1 Inicie sesioacuten en la consola de IAM como el propietario de la cuenta para ello elija Root user (Usuarioraiacutez) e ingrese el email de su Cuenta de AWS En la siguiente paacutegina escriba su contrasentildea
19
AWS Backup Guiacutea para desarrolladoresCreacioacuten de un usuario de IAM
Note
Le recomendamos que siga la praacutectica recomendada de utilizar el usuario de IAMAdministrator como se indica a continuacioacuten y guardar de forma segura las credencialesdel usuario raiacutez Inicie sesioacuten como usuario raiacutez uacutenicamente para realizar algunas tareas deadministracioacuten de servicios y de cuentas
2 En el panel de navegacioacuten elija Usuarios y a continuacioacuten elija Agregar usuarios3 En User name (Nombre de usuario) escriba Administrator4 Seleccione la casilla de verificacioacuten situada junto a AWS Management Console access (Acceso a la
consola) A continuacioacuten seleccione Custom password (Contrasentildea personalizada) y luego escriba lanueva contrasentildea en el cuadro de texto
5 (Opcional) De forma predeterminada AWS requiere al nuevo usuario que cree una nueva contrasentildeala primera vez que inicia sesioacuten Puede quitar la marca de seleccioacuten de la casilla de verificacioacutensituada junto a User must create a new password at next sign-in (El usuario debe crear una nuevacontrasentildea en el siguiente inicio de sesioacuten) para permitir al nuevo usuario restablecer su contrasentildeadespueacutes de iniciar sesioacuten
6 Seleccione Next (Siguiente) Permisos7 En Set permissions (Establecer permisos) elija Add user to group (Antildeadir usuario a grupo)8 Elija Create group (Crear grupo)9 En el cuadro de diaacutelogo Create group (Crear grupo) en Group name (Nombre del grupo) escriba
Administrators10 Elija Filter policies (Filtrar poliacuteticas) y a continuacioacuten seleccione AWS managed - job function
(Funcioacuten de trabajo administrada por AWS) para filtrar el contenido de la tabla11 En la lista de poliacuteticas active la casilla de verificacioacuten AdministratorAccess A continuacioacuten elija
Create group (Crear grupo)
Note
Debe activar el acceso de usuarios y roles de IAM a Facturacioacuten para poder utilizar lospermisos AdministratorAccess para acceder a la consola de AWS Billing and CostManagement Para ello siga las instrucciones que se indican en el paso 1 del tutorial sobrecoacutemo delegar el acceso a la consola de facturacioacuten
12 Retroceda a la lista de grupos y active la casilla de verificacioacuten del nuevo grupo Elija Refresh si esnecesario para ver el grupo en la lista
13 Seleccione Next (Siguiente) Tags (Etiquetas)14 (Opcional) Antildeadir metadatos al rol asociando las etiquetas como pares de clave-valor Para obtener
maacutes informacioacuten sobre el uso de etiquetas en IAM consulte Etiquetado de entidades de IAM en laguiacutea del usuario de IAM
15 Seleccione Next (Siguiente) Review (Revisar)Para ver la lista de suscripciones a grupos que se van aantildeadir al nuevo usuario Cuando esteacute listo para continuar elija Create user (Crear usuario)
Puede usar este mismo proceso para crear maacutes grupos y usuarios y para otorgar a los usuarios accesoa los recursos de la Cuenta de AWS Para obtener informacioacuten acerca de coacutemo usar las poliacuteticas querestringen los permisos de los usuarios a recursos de AWS especiacuteficos consulte Administracioacuten deaccesos y Ejemplos de poliacuteticas
Para iniciar sesioacuten como un nuevo usuario de IAM cierre la sesioacuten en laAWS Management ConsoleA continuacioacuten utilice la siguiente URL dondetu_aws_account_ides suCuenta de AWSnuacutemero singuiones (por ejemplo si lasCuenta de AWSnuacutemero es1234-5678-9012 suCuenta de AWSIDde123456789012)
httpsyour_aws_account_idsigninawsamazoncomconsole
20
AWS Backup Guiacutea para desarrolladoresCrear un rol de IAM
Escriba el nombre y la contrasentildea del usuario de IAM que acaba de crear Cuando haya iniciado sesioacuten enla barra de navegacioacuten se mostraraacute su_nombre_de_usuariosu_id_de_cuenta_de_aws
Si no desea que la direccioacuten URL de la paacutegina de inicio de sesioacuten contenga laCuenta de AWSID puedescrear un alias de cuenta En el panel de IAM haga clic enCrear un alias de cuentae introduzca un aliascomo el nombre de su empresa Para iniciar sesioacuten despueacutes de crear un alias de cuenta use la siguientedireccioacuten URL
httpsyour_account_aliassigninawsamazoncomconsole
Para comprobar el enlace de inicio de sesioacuten de los usuarios de IAM de su cuenta abra la consola de IAMy comprueacutebelo enCuenta de AWSAliasen el panel
Crear un rol de IAMPuede utilizar la consola de IAM para crear un rol de IAM que concederaacuteAWS Backuppermisos paraacceder a los recursos admitidos Despueacutes de crear el rol de IAM podraacute crear y asociar poliacuteticas al rol
Para crear un rol de IAM con la consola
1 Inicie sesioacuten enAWSManagement Console y abra laEn la consola de IAM2 En la consola de IAM elijaRoles deen el panel de navegacioacuten y seleccioneCree un rol3 ElegirAWSRoles de servicio dey luego seleccioneSelectparaAWS Backup Seleccione Next
(Siguiente) Permisos4 En la paacuteginaAdjuntar poliacuteticas de permisospaacutegina comprueba
ambosAWSBackupServiceRolePolicyForBackupyAWSBackupServiceRolePolicyForRestores EstosAWSconcesioacuten de poliacuteticasadministradasAWS Backuppermiso para hacer copias de seguridad y restaurar todos loscompatiblesAWSde AWS Para obtener maacutes informacioacuten sobre las poliacuteticas administradas y verejemplos consultePoliacuteticas administradas de
A continuacioacuten elija Next (Siguiente) Tags (Etiquetas)5 Seleccione Next (Siguiente) Consulte6 Para Role Name (Nombre de rol) escriba un nombre que describa el objetivo de este rol Los nombres
de rol deben ser uacutenicos en su Cuenta de AWS Dado que varias entidades pueden hacer referencia alrol no puede editar el nombre del rol despueacutes de crearlo
Elija Create Role (Crear rol)7 En la paacutegina Roles elija el rol que ha creado para abrir su paacutegina de detalles
21
AWS Backup Guiacutea para desarrolladoresRequisitos previos
Introduccioacuten a AWS BackupEn este tutorial se muestran los pasos geneacutericos para utilizarAWS Backupcaracteriacutesticas y funcionalidadAl igual que con cualquier parte de esta documentacioacuten teacutecnica debe seguir junto con elAWSManagementConsole en la otra ventana
Tambieacuten puedes aprender a usarAWS Backupcon un servicio especiacutefico leyendo estos tutoriales
bull Amazon Relational Database Service (Amazon RDS) Backup y restauracioacuten medianteAWS Backupbull Tutorial Copia de seguridad y restauracioacuten de Amazon EBS utilizandoAWS Backupbull Copia de seguridad entre regiones y entre cuentas de Amazon FSx utilizandoAWS Backup
Temasbull Requisitos previos (p 22)bull Introduccioacuten al 1 Optar por el servicio (p 23)bull Introduccioacuten al 2 Crear una copia de seguridad bajo demanda (p 24)bull Introduccioacuten al 3 Crear una copia de seguridad programada (p 25)bull Introduccioacuten al 4 Crear copias de seguridad automaacuteticas de Amazon EFS (p 28)bull Introduccioacuten al 5 Ver los trabajos de backup y los puntos de recuperacioacuten (p 29)bull Introduccioacuten al 6 Restaurar una copia de seguridad (p 30)bull Introduccioacuten al 7 Creacioacuten de un informe de auditoriacutea (p 31)bull Introduccioacuten al 8 Limpiar recursos (p 33)
Requisitos previosAntes de comenzar aseguacuterese de que dispone de lo siguiente
bull Una Cuenta de AWS Para obtener maacutes informacioacuten consulte Configuracioacuten deAWSpor primeravez (p 19)
bull Al menos un recurso admitido porAWS Backupbull Debe estar familiarizado con elAWSservicios y recursos de los que estaacute realizando una copia de
seguridad Consulte la lista deadmitidasAWSrecursos y aplicaciones de terceros
Cuando es nuevoAWSlos servicios estaacuten disponibles habilitaAWS Backuppara utilizar esos servicios
Para configurar laAWSservicios para usar conAWS Backup
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola de enhttpsconsoleawsamazoncombackup
2 En el panel de navegacioacuten seleccione Settings (Configuracioacuten)3 En la paacutegina Activacioacuten del servicio elija Configurar recursos4 En la paacuteginaConfigurar recursos utilice conmutadores para habilitar o deshabilitar los servicios que
se utilizan conAWS Backup Cuando los servicios esteacuten configurados elija Confirmar Aseguacuterese deque elAWSel servicio en el que estaacutes optando estaacute disponible en tuRegioacuten de AWS Para obtenerinformacioacuten acerca de las regiones admitidas consulteCuotas y puntos de enlace de serviciosenlaAWSReferencia general de
22
AWS Backup Guiacutea para desarrolladoresIntroduccioacuten al 1 Optar por el servicio
Note
Si configura copias de seguridad automaacuteticas despueacutes de habilitar Amazon EFS paraAWSBackup las copias de seguridad automaacuteticas continuaraacuten incluso si se excluye odeshabilita Amazon EFS paraAWS Backup Para obtener maacutes informacioacuten consulteIntroduccioacuten al 4 Crear copias de seguridad automaacuteticas de Amazon EFS (p 28) Paradeshabilitar las copias de seguridad automaacuteticas utilice la consola o la API de AmazonEFS
bull Aseguacuterese de que los recursos de los que estaacute respaldando esteacuten todos igualesRegioacuten de AWS
Para completar este tutorial puede utilizar suCuenta de AWSusuario root para iniciar sesioacuten en elAWSManagement Console Sin embargoAWS Identity and Access Management(IAM) recomienda que noutilice elCuenta de AWSusuario raiacutez En su lugar cree un administrador en su cuenta y utilice esascredenciales para administrar los recursos de su cuenta Para obtener maacutes informacioacuten consulteConfiguracioacuten deAWSpor primera vez (p 19)
LaAWS BackupLa consola proporciona diferentes opciones para realizar copias de seguridad de losrecursos de Puede crear una copia de seguridad bajo demanda programar y configurar coacutemo deseaque se haga una copia de seguridad del recurso o configurar los recursos para que se realicen copias deseguridad automaacuteticamente cuando se cree el recurso
Introduccioacuten al 1 Optar por el servicioPara utilizarAWS Backuppara proteger a algunosAWSservicios debe darse de alta de forma afirmativaPor ejemplo debe darse de alta para tenerAWS Backupadministrar las AMI de Amazon EC2 y lasinstantaacuteneas de Amazon EBS Las opciones de suscripcioacuten se aplican a la cuenta especiacutefica yRegioacuten deAWS por lo que es posible que tenga que suscribirse a varias regiones utilizando la misma cuenta
ComoAWS Backupsoporta cada vez maacutesAWSservicios y aplicaciones de terceros es posible que debavolver a visitar este paso para optar por los recursos recieacuten admitidos
Si no optas por participarAWS Backupno rige las copias de seguridad que realizas en tuAWSentorno fueradeAWS Backup
Para optar por medianteAWS BackupPara proteger todos los tipos de recursos admitidos
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola de enhttpsconsoleawsamazoncombackup
2 En el panel de navegacioacuten izquierdo elija Configuracioacuten3 UNDEROptar por el servicio eligeConfigurar recursos4 Optar por todosAWS Backup-admitidoRecursosmoviendo todos los controles hacia la derecha5 Elija Confirm
Pasos siguientesPara crear una copia de seguridad bajo demanda utilizandoAWS Backup proceda aIntroduccioacuten al 2Crear una copia de seguridad bajo demanda (p 24)
23
AWS Backup Guiacutea para desarrolladoresIntroduccioacuten al 2 Crear una copia
de seguridad bajo demanda
Introduccioacuten al 2 Crear una copia de seguridadbajo demanda
En la consola de AWS Backup la paacutegina Protected resources (Recursos protegidos) enumera los recursosde los que AWS Backup ha realizado una copia de seguridad al menos una vez Si estaacute utilizandoAWSBackupPor primera vez no hay ninguacuten recurso como voluacutemenes de Amazon EBS o bases de datos deAmazon RDS incluidos en esta paacutegina Esto es asiacute incluso si dicho recurso se asignoacute a un plan de copiasde seguridad y dicho plan no ha ejecutado ninguacuten trabajo de copias de seguridad programadas al menosuna vez
En este paso va a crear una copia de seguridad bajo demanda de uno de los recursos A continuacioacutenconsulte este recurso que se indica en la paacutegina Protected resources (Recursos protegidos)
Para crear una copia de seguridad bajo demanda
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola de enhttpsconsoleawsamazoncombackup
2 En el panel de navegacioacuten seleccioneRecursos protegidos y luegoCrear copia de seguridad bajodemanda
3 En la paacuteginaCrear copia de seguridad bajo demanda elija el tipo de recurso del que desea realizaruna copia de seguridad por ejemplo elijaDynamoDBpara tablas de Amazon DynamoDB
4 Elija el nombre o el ID del recurso que desea proteger Aseguacuterese de que el recurso que eligioacute sea elque desea
Note
Para Amazon FSx for Lustre se admiten los tipos de implementacioacuten Persistent yPersistent_2
5 Aseguacuterese de que la opcioacuten Create backup now (Crear copia de seguridad ahora) esteacute seleccionadaDe esta manera se inicia una copia de seguridad de inmediato y le permite ver antes los recursosguardados en la paacutegina Protected resources (Recursos protegidos)
6 Especifique una transicioacuten a un valor de almacenamiento en friacuteo (si procede) y un valor de caducidad
Note
bull Para ver la lista de recursos que puede pasar al almacenamiento en friacuteo consulte laseccioacuten laquoCiclo de vida a almacenamiento en friacuteoraquo delDisponibilidad de caracteriacutesticas porrecurso (p 2)TABLE Todos los demaacutes tipos de recursos se guardan en almacenamientoen caliente e ignoran la transicioacuten a la expresioacuten de almacenamiento en friacuteoLaCaducarvalue es vaacutelido para todos los tipos de recursos
bull Cuando las copias de seguridad caducan y se marcan para eliminarlas como parte desu poliacutetica de ciclo de vidaAWS Backupelimina las copias de seguridad en un puntoelegido aleatoriamente durante las 8 horas siguientes Esta ventana ayuda a garantizar unrendimiento coherente
7 Elija un almaceacuten de copias de seguridad existente Al elegir Create new backup vault (Crear nuevoalmaceacuten de copias de seguridad) se abre una nueva paacutegina para crear un almaceacuten y a continuacioacutenvuelve a la paacutegina Create on-demand backup (Crear copia de seguridad bajo demanda) cuandotermine
8 En IAM role (Rol de IAM) elija Default role (Rol predeterminado)
Note
Si el rol predeterminado de AWS Backup no estaacute presente en la cuenta se crearaacute unoautomaacuteticamente con los permisos adecuados
24
AWS Backup Guiacutea para desarrolladoresPasos siguientes
9 Si desea asignar una o varias etiquetas a su copia de seguridad bajo demanda introduzca una key(clave) y un value (valor) opcional y elija Add tag (Antildeadir etiqueta)
Note
bull Para los recursos de Amazon EC2AWS Backupcopia automaacuteticamente las etiquetas derecursos individuales y de grupo existentes ademaacutes de las etiquetas que agregue a estacopia de seguridad Para obtener maacutes informacioacuten consulteCopia de etiquetas en copiasde seguridad (p 95)
bull Al crear un plan de copia de seguridad basado en etiquetas si elige otro rol que no seael rol predeterminado aseguacuterese de que tiene los permisos necesarios para realizar unacopia de seguridad de todos los recursos etiquetados AWS Backup intenta procesar todoslos recursos con las etiquetas seleccionadas Si se encuentra un recurso para el que notiene permiso de acceso se produciraacute un error en el plan de copia de seguridad
10 Elija Create on-demand backup (Crear copia de seguridad bajo demanda) Esto le lleva a la paacuteginaJobs (Trabajos) donde veraacute una lista de trabajos
11 Si el tipo de recurso es EC2 elConfiguracioacuten avanzada de copias de seguridadapareceraacute la seccioacutenElegirWindows VSSsi la instancia de EC2 ejecuta Microsoft Windows Esto le permite realizar copiasde seguridad de Windows VSS coherentes con las aplicaciones
Note
AWS Backupactualmente admite copias de seguridad coherentes con las aplicacionesde los recursos que se ejecutan solo en Amazon EC2 No todos los tipos de instancias oaplicaciones son compatibles con las copias de seguridad de Windows VSS Para obtenermaacutes informacioacuten consulte Creacioacuten de copias de seguridad de Windows VSS (p 94)
12 Elija el ID de trabajo de copia de seguridad que corresponda al recurso del que desea realizar la copiade seguridad para ver los detalles de ese trabajo
Pasos siguientesPara automatizar la actividad de backup proceda aIntroduccioacuten al 3 Crear una copia de seguridadprogramada (p 25)
Introduccioacuten al 3 Crear una copia de seguridadprogramada
En este paso del tutorial de AWS Backup va a crear un plan de copias de seguridad y a asignarlerecursos Despueacutes crearaacute un almaceacuten de copias de seguridad
Antes de comenzar aseguacuterese de que se cumplen los requisitos previos necesarios Para obtener maacutesinformacioacuten consulte Introduccioacuten a AWS Backup (p 22)
Temasbull Paso 1 Cree un plan de copia de seguridad basado en otro existente (p 26)bull Paso 2 Asignar recursos a un plan de copia de seguridad (p 26)bull Paso 3 Creacioacuten de un almaceacuten de copias de seguridad (p 27)bull Pasos siguientes (p 28)
25
AWS Backup Guiacutea para desarrolladoresPaso 1 Cree un plan de copia de
seguridad basado en otro existente
Paso 1 Cree un plan de copia de seguridad basadoen otro existenteUn plan de copias de seguridad es una expresioacuten de la poliacutetica que define cuaacutendo y coacutemo desea realizaruna copia de seguridad de suAWSrecursos como tablas de Amazon DynamoDB o sistemas de archivosAmazon Elastic File System (Amazon EFS) Asigne recursos a planes de copias de seguridad y AWSBackup realizaraacute automaacuteticamente las copias de seguridad de dichos recursos y las conservaraacute deacuerdo con el plan de copia de seguridad Para obtener maacutes informacioacuten consulte Administracioacuten decopias de seguridad mediante planes de backup (p 36)
Hay dos formas de crear un nuevo plan de copia de seguridad Puede crear uno desde cero o crear unobasado en un plan de copias de seguridad existente En este ejemplo se utiliza la consola de AWS Backuppara crear un plan de copia de seguridad modificando uno existente
Para crear un plan de copia de seguridad a partir de uno existente
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola de enhttpsconsoleawsamazoncombackup
2 En el panel de control elija Administrar planes de Backup En el panel de navegacioacutenseleccionePlanes de copia de seguridady eligeCreacioacuten de un plan Backup
3 ElegirComience con plantilla elija un plan de la lista (por ejemploDaily-Monthly-1yr-Retention)e introduzca un nombre en elNombre del plan de Backup
Note
Si intenta crear un plan de copia de seguridad ideacutentico a uno existente apareceraacute un errorAlreadyExistsException
4 En la paacutegina de resumen del plan elija la regla de copia de seguridad que desee y elijaEditar5 Revise y seleccione los valores que desea para la regla Por ejemplo puede ampliar el periodo de
retencioacuten de la copia de seguridad en la regla Monthly (Mensual) a tres antildeos en lugar de un antildeo Sisu plan incluye copias de seguridad de Amazon EFS puede configurar poliacuteticas de ciclo de vida quetransfieren automaacuteticamente estas copias de seguridad de un almacenamiento en caliente a otro enfriacuteo en funcioacuten del programa que defina
6 Para el almaceacuten de copias de seguridad elijaPredeterminadoo eligeCreacioacuten de un nuevo almaceacutenBackup de seguridadpara crear un nuevo almaceacuten
7 (Opcional) - elija unRegioacuten de AWSde la lista enDestination region (Regioacuten de destino)para copiar lacopia de seguridad en una regioacuten diferente Para antildeadir maacutes regiones elijaAntildeadir copia
8 Cuando haya terminado de editar la regla elijaGuardar regla Backup
En la paacutegina Resumen elija Asignar recursos para prepararse para la siguiente seccioacuten
Paso 2 Asignar recursos a un plan de copia deseguridadDespueacutes de crear un plan de copia de seguridad debe asignar suAWSrecursos para ese plan de copiasde seguridad Para obtener maacutes informacioacuten acerca de coacutemo asignar recursos consulteAsignacioacuten derecursos a un plan de copias de seguridad (p 44)
Si auacuten no tiene existenteAWSrecursos que desea asignar a un plan de copias de seguridad cree algunosrecursos nuevos que utilizar para este ejercicio Cree uno o dos recursos utilizandoadmitidasAWSrecursosy aplicaciones de terceros
26
AWS Backup Guiacutea para desarrolladoresPaso 3 Creacioacuten de un almaceacuten de copias de seguridad
Para asignar recursos a un plan de copias de seguridad
1 Los pasos anteriores deberiacutean haberle llevado alAsignacioacuten de recursos(Se ha creado el certificado)2 Escriba unNombre de asignacioacuten de recursos3 Para el rol de IAM elijaRol predeterminado Si elige otro rol debe tener permisos para hacer una
copia de seguridad de todos los recursos asignados4 En el navegadorAsignacioacuten de recursosseccioacuten elijaIncluir todos los tipos de recursos UNATipo de
recurso dees unAWS Backup-admitidoAWSservicio o aplicacioacuten de terceros Este plan de copia deseguridad ahora protegeraacute todos los tipos de recursos que ha optado para proteger medianteAWSBackup
5 ElegirAsignacioacuten de recursos
Vuelve al plan de respaldogtResumen(Se ha creado el certificado) ElegirCreacioacuten de un plan decopiaspara implementar su primer plan de copia de seguridad
Paso 3 Creacioacuten de un almaceacuten de copias deseguridadEn lugar de utilizar el almaceacuten de copias de seguridad predeterminado que se crea automaacuteticamente enla consola de AWS Backup puede crear almacenes de copia de seguridad especiacuteficos para guardar yorganizar grupos de copias de seguridad en el mismo almaceacuten
Para obtener maacutes informacioacuten acerca de los almacenes de copia de seguridad consulte Utilizacioacuten dealmacenes de copias de seguridad (p 57)
Para crear un almaceacuten de copias de seguridad
1 En la consola de AWS Backup en el panel de navegacioacuten elija Backup vaults (Almacenes de copia deseguridad)
Note
Si el panel de navegacioacuten no es visible en el lado izquierdo puede abrirlo eligiendo el iconode menuacute en la esquina superior izquierda de la consola de AWS Backup
2 Seleccione Create backup vault (Crear almaceacuten de copias de seguridad)3 Escriba un nombre para su almaceacuten de copias de seguridad Puede asignar un nombre a su almaceacuten
para reflejar lo que almacenaraacute en eacutel o para facilitar la buacutesqueda de las copias de seguridad quenecesite Por ejemplo podriacutea denominarlo FinancialBackups
4 Seleccione unaAWS Key Management Service(AWS KMS) clave Puede utilizar una clave que yahaya creado o la opcioacuten predeterminadaAWS BackupClaves KMS
Note
LaAWS KMSclave que se especifica aquiacute solo se aplica a copias de seguridad de serviciosque admitenAWS Backupcifrado independiente Para ver la lista de tipos de recursoscompatiblesAWS Backupencriptacioacuten independiente consulte la seccioacuten laquoCompletoAWSBackupmanagementraquo de laDisponibilidad de caracteriacutesticas por recurso (p 2)TABLE
5 Opcionalmente antildeada etiquetas que le ayudaraacuten a buscar e identificar el almaceacuten de copias deseguridad Por ejemplo podriacutea antildeadir una etiqueta BackupTypeFinancial
6 Elija Crear almaceacuten de Backup7 En el panel de navegacioacuten elija Backup vaults (Almacenes de copias de seguridad) y verifique que se
ha antildeadido el almaceacuten de copias de seguridad
27
AWS Backup Guiacutea para desarrolladoresPasos siguientes
Note
Ahora puede editar una regla de uno de los planes para que las copias de seguridad creadas poresa regla se guarden en el almaceacuten que acaba de crear
Pasos siguientesPara respaldar especiacuteficamente los sistemas de archivos de Amazon EFS proceda aIntroduccioacuten al 4Crear copias de seguridad automaacuteticas de Amazon EFS (p 28)
Introduccioacuten al 4 Crear copias de seguridadautomaacuteticas de Amazon EFS
Al crear un sistema de archivos Amazon Elastic File System (Amazon EFS) mediante la consola deAmazon EFS las copias de seguridad automaacuteticas se activaraacuten de forma predeterminada Si desea haceruna copia de seguridad automaacutetica de un sistema de archivos Amazon EFS existente puede hacerlomediante la consola la API o la CLI de Amazon EFS
Para hacer una copia de seguridad automaacutetica de un sistema de archivos Amazon EFS existentemediante la consola
1 Abra la consola de Amazon EFS enhttpsconsoleawsamazoncomefs2 En la paacuteginaSistemas de archivos elija un sistema de archivos para activar las copias de seguridad
automaacuteticas3 ElegirEditaren laGeneralpanel de configuracioacuten4 Para activar las copias de seguridad automaacuteticas seleccioneHabilitar copias de seguridad
automaacuteticas
La configuracioacuten predeterminada del plan de copia de seguridad esdaily backups 35-dayretention La ventana de copia de seguridad predeterminada (periacuteodo de tiempo en que se ejecutaraacute lacopia de seguridad) estaacute establecido para que comience a las 5 a m UTC (hora universal coordinada) ydure 8 horas
Note
El almaceacuten de backup automaacutetico de Amazon EFSawsefsautomatic-backup-vaultestaacutereservado solo para esas copias de seguridad automaacuteticas Si lo utiliza como destino para otrosplanes de backup recibiraacute un error de laquoprivilegios insuficientesraquo
AWS Backupcrea un rol vinculado a servicios en nombre de usted en su cuenta Este rol de dispone delos permisos de necesarios para realizar copias de seguridad de Amazon EFS Para obtener informacioacutendetallada acerca de los roles vinculados a servicios consulteUso de roles vinculados a servicios de AWSBackup (p 267)
Para step-by-step instrucciones sobre coacutemo activar o desactivar las copias de seguridad automaacuteticasmediante la consola la API o la CLI de Amazon EFS consulteCopias de seguridad automaacuteticasenlaAmazon Elastic File System
Pasos siguientesPara ver las copias de seguridad que ha creado proceda aIntroduccioacuten al 5 Ver los trabajos de backup ylos puntos de recuperacioacuten (p 29)
28
AWS Backup Guiacutea para desarrolladoresIntroduccioacuten al 5 Ver los trabajos debackup y los puntos de recuperacioacuten
Introduccioacuten al 5 Ver los trabajos de backup y lospuntos de recuperacioacuten
conAWS Backup puede ver el estado y otros detalles de la actividad de copias de seguridad yrestauracioacuten en elAWSservicios que utilice
En el panel de AWS Backup puede administrar planes de copias de seguridad crear copias de seguridadbajo demanda restaurar copias de seguridad y ver el estado de los trabajos de copia de seguridad yrestauracioacuten
Temasbull Visualice el estado de los trabajos de backup (p 29)bull Ver todas las copias de seguridad de un almaceacuten (p 29)bull Ver detalles de los recursos protegidos (p 30)bull Pasos siguientes (p 30)
Visualice el estado de los trabajos de backupUtilice el panel de AWS Backup para ver raacutepidamente el estado de la actividad de copia de seguridad yrestauracioacuten
Para ver el estado del trabajo de copia de seguridad
1 Abra el iconoAWS BackupConsola de enhttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten elija Dashboard (Panel)3 Para ver el estado de los trabajos de copia de seguridad seleccione Backup jobs details (Detalles de
trabajos de copia de seguridad) Esto le llevaraacute a la paacutegina Trabajos de copia de seguridad dondeencontraraacute tablas con trabajos de copia de seguridad y trabajos de restauracioacuten
4 Puede filtrar los trabajos que aparecen por periodo de tiempo Por ejemplo puede filtrar los trabajoscreados en las uacuteltimas 24 horas la uacuteltima semana o los uacuteltimos 30 diacuteas Tambieacuten puede definir elnuacutemero de trabajos que mostrar por paacutegina seleccionando el icono de engranaje
Ver todas las copias de seguridad de un almaceacutenSiga estos pasos para ver las copias de seguridad que se han creado en un almaceacuten especificado en AWSBackup
Para ver todas las copias de seguridad de un almaceacuten
1 En la consola de AWS Backup en el panel de navegacioacuten elija Backup vaults (Almacenes de copia deseguridad)
2 Elija el almaceacuten que utilizoacute al crear una copia de seguridad bajo demanda o programada y vea todaslas copias de seguridad que se crearon en este almaceacuten
Note
Cada copia de seguridad tiene unEstado que suele serCompleted Si por alguna razoacutenAWSBackupno puede eliminar una copia de seguridad seguacuten su configuracioacuten de ciclo de vida marcaesta copia de seguridad comoCaducado Se le facturaraacute el almacenamiento queCaducadolascopias de seguridad consumen y deben eliminarlas
29
AWS Backup Guiacutea para desarrolladoresVer detalles de los recursos protegidos
Ver detalles de los recursos protegidosEn la paacutegina Protected resources (Recursos protegidos) puede explorar detalles de los recursos de losque se hace una copia de seguridad en AWS Backup
Para ver los recursos protegidos
1 En la consola de AWS Backup en el panel de navegacioacuten elija Protected resources (Recursosprotegidos)
2 Ver elAWSrecursos de los que se estaacute realizando una copia de seguridad Elija un recurso en la listapara explorar las copias de seguridad de dicho recurso
Pasos siguientesPara restaurar un punto de recuperacioacuten que ha visto proceda aIntroduccioacuten al 6 Restaurar una copia deseguridad (p 30)
Introduccioacuten al 6 Restaurar una copia de seguridadDespueacutes de haber realizado la copia de seguridad de un recurso al menos una vez se considera protegidoy estaacute disponible para su restauracioacuten mediante AWS Backup Siga estos pasos para restaurar un recursoutilizando la consola de AWS Backup
Para obtener informacioacuten acerca de los paraacutemetros de restauracioacuten de servicios especiacuteficos o larestauracioacuten de una copia de seguridad con la AWS CLI o la API de AWS Backup consulte Restaurar unacopia de seguridad
Para restaurar un recurso
1 Abra el iconoAWS BackupConsola de enhttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten elija Recursos protegidos y el ID del recurso que desee restaurar3 Apareceraacute una lista con los puntos de recuperacioacuten incluido el tipo de recurso por ID de recurso Elija
un recurso para abrir la paacutegina Detalles del recurso4 Para restaurar un recurso en el panel Copias de seguridad active el botoacuten de opcioacuten situado junto al
ID del punto de recuperacioacuten del recurso En la esquina superior derecha del panel elija Restaurar5 Especifique los paraacutemetros de restauracioacuten Los paraacutemetros de restauracioacuten que aparecen son
especiacuteficos del tipo de recurso seleccionado
Note
Si solo mantiene una copia de seguridad uacutenicamente podraacute restaurar el estado del sistemade archivos al momento en que realizoacute la copia de seguridad No podraacute restaurar copias deseguridad incrementales anteriores
Para obtener instrucciones acerca de coacutemo restaurar recursos especiacuteficos consulteRestauracioacuten deuna copia de seguridad
6 En Rol de restauracioacuten elija Rol predeterminado
Note
Si el rol predeterminado de AWS Backup no estaacute presente en la cuenta se crearaacute unoautomaacuteticamente con los permisos adecuados
7 Seleccione Restore backup (Restaurar backup)
30
AWS Backup Guiacutea para desarrolladoresPasos siguientes
Apareceraacute el panel Trabajos de restauracioacuten En la parte superior de la paacutegina apareceraacute un mensajecon informacioacuten sobre el trabajo de restauracioacuten
Note
Cuando realiza una restauracioacuten para restaurar elementos especiacuteficos dentro de una instanciade Amazon EFS puede restaurar esos elementos en un sistema de archivos nuevo o en unoexistente Si restaura los elementos en un sistema de archivos existenteAWS Backupcrea unnuevo directorio Amazon EFS fuera del directorio raiacutez para incluir los elementos La jerarquiacuteacompleta de los elementos especificados se conserva en el directorio de recuperacioacuten Porejemplo si el directorio A contiene los subdirectorios B C y D AWS Backup mantiene la mismaestructura jeraacuterquica cuando se recuperan A B C y DIndependientemente de si realiza una restauracioacuten parcial de Amazon EFS en un sistema dearchivos existente o en otro nuevo cada intento de restauracioacuten crearaacute un nuevo directorio derecuperacioacuten fuera del directorio raiacutez que contendraacute los archivos restaurados Si intenta realizarvarias restauraciones de la misma ruta es posible que existan varios directorios que contenganlos elementos restaurados
Para restaurar una instancia de Amazon EFS
Si va a restaurar una instancia de Amazon EFS puede realizar unRestauracioacuten completa que restauratodo el sistema de archivos Tambieacuten puede restaurar archivos y directorios especiacuteficos mediante unarestauracioacuten de nivel de elemento Para obtener informacioacuten acerca de coacutemo restaurar otros tipos derecursos consulteRestauracioacuten de una copia de seguridad
Note
Para restaurar una instancia de Amazon EFS debe laquoPermitirraquobackupstartrestorejob
Para obtener informacioacuten detallada acerca de coacutemo restaurar una copia de seguridadconsulteRestauracioacuten de una copia de seguridad (p 110)
Pasos siguientesconAWS BackupAudit Manager puede auditar la actividad y los recursos de backup Tambieacuten puede crearinformes que puede utilizar como prueba de los trabajos de copia de seguridad restauracioacuten y copia Paracrear un informe consulteIntroduccioacuten al 7 Creacioacuten de un informe de auditoriacutea (p 31)
Introduccioacuten al 7 Creacioacuten de un informe deauditoriacutea
EnIntroduccioacuten al 5 Ver los trabajos de backup y los puntos de recuperacioacuten (p 29) observoacute suactividad de copia de seguridad en elAWS Backup SalpicaderoAlmaceacuten de copias de seguridadyRecursos protegidosvistas Sin embargo estas vistas son dinaacutemicas y se actualizaraacuten seguacuten cuaacutendo lasvisite Estas vistas no son necesariamente la mejor prueba del cumplimiento continuo de los requisitos ycontroles de proteccioacuten de datos de la organizacioacuten a lo largo del tiempo
En este paso crearaacute un informe de trabajos de copia de seguridad bajo demanda medianteAWSBackupAudit Manager
AWS BackupAudit Manager entrega una variedad de informes de auditoriacutea en CSV JSON o ambosformatos diariamente y bajo demanda a su bucket de Amazon S3 Puede auditar el cumplimiento de laactividad y los recursos de backup con una serie de controles personalizables Puede recibir informessobre los trabajos de copia de seguridad copia y restauracioacuten El informe de trabajos de copia deseguridad es una prueba de que se han realizado sus trabajos de backup
31
AWS Backup Guiacutea para desarrolladoresIntroduccioacuten al 7 Creacioacuten de un informe de auditoriacutea
A continuacioacuten se muestra un ejemplo de plan de copia de seguridad
reportItems [ reportTimePeriod 2021-07-14T000000Z - 2021-07-15T000000Z accountId 112233445566 region us-west-2 backupJobId FCCB040A-9426-2A49-2EA9-5EAFFAC00000 jobStatus COMPLETED resourceType EC2 resourceArn arnawsec2us-west-2112233445566instancei-0bc877aee77800000 backupPlanArn arnawsbackupus-west-2112233445566backup-plan349f2247-b489-4301-83ac-4b7dd7200000 backupRuleId ab88bbf8-ff4e-4f1b-92e7-e13d3e6abcde creationDate 2021-07-14T235347229Z completionDate 2021-07-15T001607282Z recoveryPointArn arnawsec2us-west-2imageami-030cafb98e5aabcde jobRunTime 002220 backupSizeInBytes 8589934592 backupVaultName Default backupVaultArn arnawsbackupus-west-2112233445566backup-vaultDefault iamRoleArn arnawsiam112233445566roleservice-roleAWSBackupDefaultServiceRole ]
Para crear un informe de copia de seguridad (incluido un informe de copia de seguridad bajo demanda)primero crea un plan de informes para automatizar los informes y entregarlos a un bucket de Amazon S3
Un plan de informes requiere que tengas un depoacutesito de Amazon S3 para recibir los informes Paraobtener instrucciones acerca de coacutemo configurar un nuevo bucket de S3 consultePaso 1 Cree su primerbucket de S3en laAmazon Simple Storage Service usuario Guide
Para crear un plan de informes
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola de enhttpsconsoleawsamazoncombackup
2 En el panel de navegacioacuten izquierdo seleccioneInformes de3 ElegirCrear un plan de informes4 SelectInforme de trabajos de copia dede la lista desplegable5 ParaNombre del plan de informes introduzcaTestBackupJobReport6 ParaFormato de archivo elija ambosCSVyJSON7 ParaNombre del bucket de S3 seleccione el destino de sus informes en la lista desplegable8 ElegirCrear un plan de informes
A continuacioacuten debe permitir que su depoacutesito de S3 reciba el informe deAWS BackupAWS Backup AuditManager genera automaacuteticamente una poliacutetica de acceso de S3 para usted
Para ver y aplicar esta poliacutetica de acceso
1 En el panel de navegacioacuten izquierdo seleccioneInformes de2 UNDERNombre del plan de informes elija el nombre del plan de informes (TestBackupJobReport)3 Elija Edit (Editar)4 ElegirVer poliacutetica de acceso para bucket de S35 ElegirPermisos de copia
32
AWS Backup Guiacutea para desarrolladoresPasos siguientes
6 ElegirEditar poliacutetica de bucketpara editar la poliacutetica del bucket de S3 de destino para permitirle recibirlos informes de trabajos de respaldo
7 Copie o agregue los permisos a la poliacutetica de bucket de S3 de destino
A continuacioacuten cree su primer informe de trabajo de copia de seguridad
Para crear un informe de copia de seguridad bajo demanda
1 En el panel de navegacioacuten izquierdo seleccioneInformes de2 UNDERNombre del plan de informes elija el nombre del plan de informes (TestBackupJobReport)3 ElegirCreacioacuten de un informe bajo demanda
Por uacuteltimo consulta tu informe
Para ver el informe
1 En el panel de navegacioacuten izquierdo seleccioneInformes de2 UNDERNombre del plan de informes elija el nombre del plan de informes (TestBackupJobReport)3 En el navegadorDenunciar trabajosseccioacuten elija laEnlace de S3 Si lo hace le llevaraacute a su bucket de
S3 de destino4 Elija Download (Descargar)5 Abra el informe utilizando el programa que utiliza para trabajar con archivos CSV o JSON
Pasos siguientesPara limpiar los recursos de introduccioacuten y evitar cargos no deseados proceda aIntroduccioacuten al 8 Limpiarrecursos (p 33)
Introduccioacuten al 8 Limpiar recursosDespueacutes de llevar a cabo todas las tareas en Introduccioacuten a AWS Backup (p 22) es posible que deseelimpiar lo que ha creado con el fin de evitar incurrir en cargos innecesarios
Temasbull Paso 1 Eliminar restauradoAWSrecursos (p 33)bull Paso 2 Eliminar el plan de copias de seguridad (p 34)bull Paso 3 Eliminacioacuten de los puntos de recuperacioacuten (p 34)bull Paso 4 Eliminacioacuten del almaceacuten de copias de seguridad (p 35)bull Paso 5 Eliminar el plan de informes (p 35)bull Paso 6 Eliminar los informes (p 35)
Paso 1 Eliminar restauradoAWSrecursosPara eliminarAWSrecursos restaurados desde un punto de recuperacioacuten como voluacutemenes de AmazonElastic Block Store (Amazon EBS) o tablas de Amazon DynamoDB utiliza la consola de ese servicioPor ejemplo para eliminar un sistema de archivos Amazon Elastic File System (Amazon EFS) utiliceelConsola de Amazon EFS
33
AWS Backup Guiacutea para desarrolladoresPaso 2 Eliminar el plan de copias de seguridad
Note
Esta informacioacuten se refiere a los recursos restaurados no a los puntos de recuperacioacutenguardados en un almaceacuten de copias de seguridad
Paso 2 Eliminar el plan de copias de seguridadSi no desea crear copias de seguridad programadas debe eliminar los planes de copias de seguridadAntes de poder eliminar un plan de copia de seguridad debe eliminar todas las asignaciones de recursosde ese plan de copia de seguridad
Siga estos pasos para eliminar un plan de copias de seguridad
Para eliminar un plan de copia de seguridad
1 Abra el iconoAWS BackupConsola de enhttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccione Backup plans (Planes de copias de seguridad)3 En la paacutegina Backup plans (Planes de copias de seguridad) elija el plan de copias de seguridad que
desea eliminar Esto le lleva a la paacutegina de detalles de dicha copia de seguridad4 Para eliminar las asignaciones de recursos para el plan elija el botoacuten de radio situado junto al nombre
de la asignacioacuten y a continuacioacuten elija Delete (Eliminar)5 Para eliminar el plan de copias de seguridad elija Delete (Eliminar) en la esquina superior derecha de
la paacutegina6 En la paacutegina de confirmacioacuten introduzca el nombre del plan y elija Delete plan (Eliminar plan)
Paso 3 Eliminacioacuten de los puntos de recuperacioacutenA continuacioacuten puede eliminar los puntos de recuperacioacuten que se encuentran en el almaceacuten de copia deseguridad
Para eliminar los puntos de recuperacioacuten
1 En la consola de AWS Backup en el panel de navegacioacuten elija Backup vaults (Almacenes de copia deseguridad)
2 En la paacutegina Backup vaults (Almacenes de copias de seguridad) elija el almaceacuten de copias deseguridad donde almacenoacute las copias de seguridad
3 Compruebe el punto de recuperacioacuten y elijaBorrar4 Si va a eliminar maacutes de un punto de recuperacioacuten siga estos pasos
a Si la lista contiene una copia de seguridad continua elija si desea conservar o eliminar los datosde copia de seguridad continua
b Para eliminar todos los puntos de recuperacioacuten enumerados escribadeletey luego elijaEliminarpuntos de recuperacioacuten
Manteacuten abierta la pestantildea del navegador hasta que veas el banner verde de eacutexito en la partesuperior de la paacutegina Al cerrar esta pestantildea antes de tiempo se finalizaraacute el proceso deeliminacioacuten y podriacutea dejar atraacutes algunos de los puntos de recuperacioacuten que desea eliminar Paraobtener maacutes informacioacuten consulteEliminacioacuten de las copias de seguridad
34
AWS Backup Guiacutea para desarrolladoresPaso 4 Eliminacioacuten del almaceacuten de copias de seguridad
Paso 4 Eliminacioacuten del almaceacuten de copias deseguridadNo puede eliminar el almaceacuten de copias de seguridad predeterminado de AWS Backup Sin embargo si hacreado un almaceacuten de copias de seguridad distinto vaciacutee el almaceacuten de copias de seguridad eliminandolas copias de seguridad A continuacioacuten seleccione el almaceacuten de copias de seguridad y elija Delete(Eliminar)
Paso 5 Eliminar el plan de informesEl plan de informes enviacutea automaacuteticamente un nuevo informe diariamente Para evitarlo elimine el plan deinformes
Para eliminar el plan de informes
1 En la paacuteginaAWS BackupEn el panel de navegacioacuten seleccioneInformes de2 UNDERNombre del plan de informes elija el nombre del plan de informes3 Elija Eliminar (Delete)4 Ingrese el nombre del plan de informes y elijaEliminar un plan de informes
Paso 6 Eliminar los informesPuede eliminar los informes siguiendo las instrucciones deEliminacioacuten de un solo objetopara cada unode sus informes Si ya no necesita el depoacutesito S3 de destino despueacutes de eliminar todos los objetos delbucket puede eliminarlo siguiendo las instrucciones deEliminar un bucket
35
AWS Backup Guiacutea para desarrolladoresCrear un plan de copia de seguridad
Administracioacuten de copias deseguridad mediante planes debackup
EnAWS Backup unplan de backupes una expresioacuten de la poliacutetica que define cuaacutendo y coacutemo desearealizar una copia de seguridad de suAWSrecursos como las tablas de Amazon DynamoDB o los sistemasde archivos Amazon Elastic File System (Amazon EFS) Puede asignar recursos a planes de copiasde seguridad y AWS Backup realizaraacute automaacuteticamente las copias de seguridad de dichos recursos ylas conservaraacute de acuerdo con el plan de copias de seguridad Puede crear varios planes de copia deseguridad si tiene cargas de trabajo con requisitos de copia de seguridad diferentes
AWS Backupalmacena de forma eficiente sus copias de seguridad perioacutedicas de forma gradual La primeracopia de seguridad de unAWSresource realiza una copia de seguridad de una copia de seguridad desus datos Para cada copia de seguridad incremental sucesiva solo los cambios en suAWSse realizauna copia de seguridad de los recursos Las copias de seguridad incrementales le permiten beneficiarsede la proteccioacuten de datos de las copias de seguridad frecuentes al tiempo que minimizan los costes dealmacenamiento
AWS Backuptambieacuten administra sin problemas su cadena de backup lo que le permite restauraren cualquier momento Esto incluye despueacutes de que el ciclo de vida del plan de backup elimineautomaacuteticamente la uacutenica copia de seguridad completa porque ha superado el periacuteodo de retencioacuten quedefinioacute
En las secciones siguientes se dan los conceptos baacutesicos para administrar la estrategia de copia deseguridad en AWS Backup
Temasbull Crear un plan de copia de seguridad (p 36)bull Asignacioacuten de recursos a un plan de copias de seguridad (p 44)bull Eliminacioacuten de un plan de copia de seguridad (p 55)bull Actualizacioacuten de un plan de copia de seguridad (p 55)
Crear un plan de copia de seguridadPuede crear un plan de copias de seguridad utilizando laAWS Backupconsola de API CLI SDK o unAWSCloudFormationplantilla
Temasbull Creacioacuten de planes de copia de seguridad mediante elAWS Backupconsola (p 37)bull Creacioacuten de planes de copia de seguridad mediante un documento JSON y elAWS
BackupCLI (p 37)bull Opciones y configuracioacuten del plan de Backup (p 38)
36
AWS Backup Guiacutea para desarrolladoresCreacioacuten de planes de copia de seguridad
mediante elAWS Backupconsola
bull AWS CloudFormationplantillas de planes de copias de seguridad (p 41)
Creacioacuten de planes de copia de seguridad medianteelAWS BackupconsolaAWS Backupofrece diferentes formas de empezar utilizandoAWS BackupConsola de
bull Comience desde un plan existente puede crear un nuevo plan de backup basado en las configuracionesde un plan existente Planes existentes proporcionados porAWS Backupse basan en las praacutecticasrecomendadas y en las configuraciones de poliacuteticas de copia de seguridad comunes Cuando seleccioneun plan de copia de seguridad existente las configuraciones de dicho plan de copia de seguridad serellenan automaacuteticamente para el nuevo plan de copias de seguridad Luego podraacute cambiar cualquierconfiguracioacuten en funcioacuten de sus necesidades de copias de seguridad
Para step-by-step instrucciones consultePaso 1 Cree un plan de copia de seguridad basado en otroexistente (p 26)en laIntroduccioacutenseccioacuten
bull Crear un plan nuevo desde cero puede crear un plan de copia de seguridad nuevo y especifique cadauno de los detalles de la configuracioacuten de copia de seguridad descritos en las siguientes seccionesPuede elegir entre las configuraciones predeterminadas recomendadas
Si intenta crear un plan de copia de seguridad ideacutentico a uno existente apareceraacute un errorAlreadyExistsException
Creacioacuten de planes de copia de seguridad medianteun documento JSON y elAWS BackupCLITambieacuten puede definir su plan de copia de seguridad en un documento JSON y proporcionarlo medianteelAWS BackupConsola de oAWS CLI El siguiente documento JSON contiene un plan de copia deseguridad de ejemplo que crea copias de seguridad cada hora Elimina automaacuteticamente una copia deseguridad despueacutes de conservarla durante un antildeo
BackupPlan BackupPlanNametest-plan Rules[ RuleNametest-rule TargetBackupVaultNametest-vault ScheduleExpressioncron(15 ) StartWindowMinutes60 CompletionWindowMinutes600 Lifecycle DeleteAfterDays365 ]
Suponiendo que almacene el documento JSON anterior comotest-backup-planjson Puede utilizarel siguiente comando de la CLI para crearlo enAWS Backup
aws backup create-backup-plan --cli-input-json filePATH-TO-FILEtest-backup-planjson
37
AWS Backup Guiacutea para desarrolladoresOpciones y configuracioacuten del plan de Backup
Opciones y configuracioacuten del plan de BackupAl definir un plan de copias de seguridad en la consola de AWS Backup configure las siguientes opciones
Nombre del plan de BackupDebe proporcionar un nombre uacutenico de plan de copias de seguridad
Si elige un nombre ideacutentico al nombre de un plan existente apareceraacute un mensaje de error
Reglas de copia de seguridadLos planes de copias de seguridad se componen de una o maacutes reglas de copia de seguridad Para antildeadirreglas de copia de seguridad a un plan de respaldo o para editar las reglas existentes en un plan de copiade seguridad
1 Desde lasAWS Backup en el panel de navegacioacuten izquierdo elijaPlanes de copia de seguridad2 UNDERNombre del plan de Backup seleccione un plan de copia de seguridad3 En elReglas de copia de seguridadseccioacuten
bull Para antildeadir una regla de copia de seguridad elijaAgregar regla de copia de seguridadbull Para editar una regla de copia de seguridad existente seleccione una regla y a continuacioacuten
elijaEditar
Note
Si tiene un plan de copia de seguridad con varias reglas si el plazo de las dos reglas sesuperponeAWS Backupoptimiza la copia de seguridad y realiza una copia de seguridad de laregla con el mayor tiempo de retencioacuten La optimizacioacuten tiene en cuenta la ventana de iniciocompleta no solo cuando se realiza la copia de seguridad diaria
Cada regla de copia de seguridad consta de los siguientes elementos
Nombre de la regla de copia
Los nombres de la regla de copia de seguridad distinguen mayuacutesculas de minuacutesculas Deben contener de1 a 50 caracteres alfanumeacutericos o guiones
Backup frequency (Frecuencia de copia de seguridad)
La frecuencia de copia de seguridad determina la frecuencia con la queAWS Backupcrea una copiade seguridad de instantaacuteneas Con la consola puede elegir una frecuencia de cada hora 12 horasdiaria semanal o mensual Tambieacuten puede crear una expresioacuten cron que cree copias de seguridad deinstantaacuteneas con tanta frecuencia como por hora Uso deAWS BackupCLI puede programar copias deseguridad de instantaacuteneas con tanta frecuencia como por hora
Si selecciona semanalmente puede especificar queacute diacuteas de la semana desea que se lleven a cabo lascopias de seguridad Si selecciona mensual puede elegir un diacutea determinado del mes
Tambieacuten puede consultar elHabilitar copias de seguridad continuas para los recursos compatiblescasilla deverificacioacuten para crear un point-in-time regla de copia de seguridad continua habilitada para restore (PITR)A diferencia de las copias de seguridad de instantaacuteneas las copias de seguridad continuas le permitenrealizar point-in-time restaura Para obtener maacutes informacioacuten sobre las copias de seguridad continuasconsulteRecuperacioacuten a un momento dado
38
AWS Backup Guiacutea para desarrolladoresOpciones y configuracioacuten del plan de Backup
Backup window
Los periodos de copia de seguridad constan de la hora de comienzo del periodo de copia de seguridad yde la duracioacuten del periodo indicada en horas Los trabajos de copia de seguridad comienzan dentro de esteperiodo Si no estaacute seguro de queacute periodo de copia de seguridad utilizar puede optar por usar el periodode copia de seguridad predeterminado que AWS Backup recomienda El periodo de copia de seguridadpredeterminado estaacute establecido para que comience a las 5 a m UTC (hora universal coordinada) y dure8 horas
Note
Puede personalizar la frecuencia de las copias de seguridad y la hora de inicio del periodo decopia de seguridad mediante una expresioacuten cron Para ver los seis campos deAWSexpresionescron consulteProgramar expresiones para reglasen laAmazon CloudWatch Guiacutea del usuariode eventos Dos ejemplos deAWSLas expresiones cron son15 (haga una copia deseguridad cada hora a los 15 minutos despueacutes de la hora) y0 12 (haga una copia deseguridad todos los diacuteas a las 12 del mediodiacutea UTC) Para ver una tabla de ejemplos haga clic enel enlace anterior y desplaacutecese hacia abajo por la paacuteginaAWS Backupevaluacutea las expresiones cron entre las 0000 y las 2359 UTC Si crea una regla decopia de seguridad para laquocada 12 horasraquo pero proporciona una hora de inicio posterior a las1159 solo se ejecutaraacute una vez al diacutea
Note
En generalAWSlos servicios de bases de datos no pueden iniciar las copias de seguridad 1hora antes o durante su periacuteodo de mantenimiento y Amazon FSx no puede iniciar las copias deseguridad 4 horas antes o durante su periacuteodo de mantenimiento o ventana de copia de seguridadautomaacutetica Las copias de seguridad de instantaacuteneas programadas durante esos tiempos fallaraacutenUna excepcioacuten al optar por medianteAWS Backuptanto para copias de seguridad instantaacuteneascomo para copias de seguridad continuas de un servicio compatible ya no tiene que preocuparsepor esas ventanas porqueAWS Backuplos programareacute para ti ConsulteRecuperacioacuten a unmomento dadopara obtener una lista de servicios compatibles e instrucciones sobre coacutemoutilizarAWS Backuppara realizar copias de seguridad continuas
Superposicioacuten de reglas de copia de seguridad
En ocasiones un plan de copia de seguridad puede contener varias reglas superpuestas Cuando sesuperponen las ventanas de inicio de diferentes reglasAWS Backupconserva la copia de seguridad seguacutenla regla con un periacuteodo de retencioacuten maacutes largo Por ejemplo considere un plan de copia de seguridad condos reglas
1 Backup cada hora con una ventana de inicio de 1 hora y conserve durante 1 diacutea2 Realice Backup cada 12 horas con un periacuteodo de inicio de 8 horas y conserve durante 1 semana
Despueacutes de 24 horas la segunda regla crea dos copias de seguridad (porque tiene un periacuteodo deretencioacuten maacutes largo) La primera regla crea ocho copias de seguridad (porque la ventana de inicio de 8horas de la segunda regla impidioacute que se ejecutaran maacutes copias de seguridad por hora) En concreto
Durante esta ventana de inicio Esta regla crea 1 Backup
De medianoche a 800 am 12 horas
8 a 9 Por hora
9 a 10 Por hora
10 a 11 Por hora
39
AWS Backup Guiacutea para desarrolladoresOpciones y configuracioacuten del plan de Backup
Durante esta ventana de inicio Esta regla crea 1 Backup
11 a mediodiacutea Por hora
Del mediodiacutea a las 2000 12 horas
8 a 9 Por hora
9 a 10 Por hora
10 a 11 Por hora
11 hasta medianoche Por hora
Ciclo de vida
El ciclo de vida define el momento en que se migra una copia de seguridad al almacenamiento en friacuteoy cuaacutendo dicho recurso vence AWS Backup migra y da por vencidas automaacuteticamente las copias deseguridad en funcioacuten del ciclo de vida que se defina
Si quieres que tus copias de seguridad sean incrementales debes tener al menos una copia de seguridaden caliente Dado que cada copia de seguridad en almacenamiento en friacuteo es una copia de seguridadcompletaAWS Backuprecomienda configurar la configuracioacuten del ciclo de vida para que no mueva la copiade seguridad al almacenamiento en friacuteo hasta al menos 8 diacuteas transcurridos
Si configura su ciclo de vida para que se realice una copia de seguridad en friacuteo despueacutes de 1 diacutea cada unade esas copias de seguridad seraacute una copia de seguridad completa Esto podriacutea ser menos rentable queuna transferencia menos regular a almacenamiento en friacuteo
Las copias de seguridad que se han migrado al almacenamiento en friacuteo deben permanecer en eacutel duranteun miacutenimo de 90 diacuteas Por lo tanto en la consola el valor de laquoretencioacutenraquo debe tener 90 diacuteas maacutes que elvalor de laquotransicioacuten a friacuteo after daysraquo (nuacutemero de diacuteas tras los cuales migraraacute a friacuteo) El valor de transitionto cold after days (nuacutemero de diacuteas tras los cuales migraraacute a almacenamiento en friacuteo) no puede modificarseuna vez que una copia de seguridad se ha migrado al almacenamiento en friacuteo
Note
bull Para ver la lista de recursos que puede pasar al almacenamiento en friacuteo consulte laseccioacuten laquoCiclo de vida a almacenamiento en friacuteoraquo delDisponibilidad de caracteriacutesticas porrecurso (p 2)mesa de La expresioacuten de almacenamiento en friacuteo se ignora para otros recursos
bull Cuando las copias de seguridad llegan al final de su ciclo de vida y se marcan para sueliminacioacuten como parte de su poliacutetica de ciclo de vidaAWS Backupelimina las copias deseguridad en un punto elegido aleatoriamente durante las 8 horas siguientes Este plazo de 8horas ayuda a garantizar un rendimiento uniforme para la eliminacioacuten
Almaceacuten de copias de seguridad
Un almaceacuten de copias de seguridad es un contenedor que sirve para organizar sus copias de seguridadLas copias de seguridad creadas por una regla de copia de seguridad se organizan en el almaceacuten de copiade seguridad que especifique en la regla de copia de seguridad Puede utilizar los almacenes de copiasde seguridad para establecer la clave de cifrado de AWS Key Management Service (AWS KMS) que seutiliza para cifrar las copias de seguridad del almaceacuten de copias de seguridad y para controlar el acceso alas copias de seguridad de dicho almaceacuten Puede antildeadir tambieacuten etiquetas a los almacenes de copias deseguridad para organizarlos Si no desea utilizar el almaceacuten predeterminado puede crear el suyo propioPara step-by-step instrucciones para crear un almaceacuten de copias de seguridad consultePaso 3 Creacioacutende un almaceacuten de copias de seguridad (p 27)
40
AWS Backup Guiacutea para desarrolladoresAWS CloudFormationplantillas de
planes de copias de seguridad
Realizar copias entre regiones
Como parte de su plan de copias de seguridad puede crear opcionalmente una copia de seguridad enotraRegioacuten de AWS Para obtener maacutes informacioacuten acerca de las copias de seguridad consulteCreacioacutende copias de seguridad en todosRegiones de AWS
Cuando defina una reacuteplica de una copia de seguridad tendraacute que establecer las siguientes opciones
Regioacuten de destino
Regioacuten de destino de la copia de seguridad
(Configuracioacuten avanzada) Almaceacuten de Backup
Almaceacuten de copia de seguridad de destino de la copia
(Configuracioacuten avanzada) Rol de IAM
El rol de IAM queAWS Backuputiliza al crear la copia Ademaacutes el rol tambieacuten deben tener AWS Backupincluido como entidad de confianza lo que permite a AWS Backup adoptar el rol Si elige Predeterminadoy el rol predeterminado de AWS Backup no estaacute presente en su cuenta se crearaacute un rol con los permisosapropiados
(Configuracioacuten avanzada) Ciclo de vida
Especifica cuaacutendo se va a migrar la copia de seguridad al almacenamiento en friacuteo y cuaacutendo va a caducar(eliminarse) Las copias de seguridad que se han migrado al almacenamiento en friacuteo deben permanecer eneacutel durante un miacutenimo de 90 diacuteas Una vez que la copia ha migrado al almacenamiento en friacuteo no se puedemodificar este valor
Vencimiento especifica el nuacutemero de diacuteas que deben transcurrir desde la creacioacuten hasta que se elimina lacopia Este valor debe ser 90 diacuteas superior al valor de Transferir al almacenamiento en friacuteo
Etiquetas antildeadidas a los puntos de recuperacioacuten
Las etiquetas que enumere aquiacute se antildeaden automaacuteticamente a las copias de seguridad cuando se crean
Etiquetas antildeadidas a los planes de respaldoEstas etiquetas estaacuten asociadas con el propio plan de copias de seguridad para ayudarle a organizar yrealizar un seguimiento de su plan de copias de seguridad
Configuracioacuten avanzada de copias de seguridadPermite realizar copias de seguridad coherentes con aplicaciones de terceros que se ejecutan eninstancias Amazon EC2 En la actualidadAWS Backupadmite copias de seguridad de WindowsVSSAWS Backupexcluye tipos de instancias de Amazon EC2 especiacuteficas de las copias de seguridad deWindows VSS Para obtener maacutes informacioacuten consulte Creacioacuten de copias de seguridad de WindowsVSS (p 94)
AWS CloudFormationplantillas de planes de copias deseguridadProporcionamos dos muestrasAWS CloudFormationplantillas para su referencia La primera plantilla creaun plan de copia de seguridad sencillo La segunda plantilla permite realizar copias de seguridad de VSSen un plan de backup
41
AWS Backup Guiacutea para desarrolladoresAWS CloudFormationplantillas de
planes de copias de seguridad
Note
Si estaacute utilizando el rol de servicio predeterminado reemplaceRol deservicioconAWSBackupServiceRolePolicyForBackup
Description backup plan template to back up all resources daily at 5am UTC and tag all recovery points with backupdaily
Resources KMSKey Type AWSKMSKey Properties Description Encryption key for daily EnableKeyRotation True Enabled True KeyPolicy Version 2012-10-17 Statement - Effect Allow Principal AWS FnSub arn$AWSPartitioniam$AWSAccountIdroot Action - kms Resource
BackupVaultWithDailyBackups Type AWSBackupBackupVault Properties BackupVaultName BackupVaultWithDailyBackups EncryptionKeyArn GetAtt KMSKeyArn
BackupPlanWithDailyBackups Type AWSBackupBackupPlan Properties BackupPlan BackupPlanName BackupPlanWithDailyBackups BackupPlanRule - RuleName RuleForDailyBackups TargetBackupVault Ref BackupVaultWithDailyBackups ScheduleExpression cron(0 5 )
DependsOn BackupVaultWithDailyBackups DDBTableWithDailyBackupTag Type AWSDynamoDBTable Properties TableName TestTable AttributeDefinitions - AttributeName Album AttributeType S KeySchema - AttributeName Album KeyType HASH ProvisionedThroughput ReadCapacityUnits 5 WriteCapacityUnits 5 Tags - Key backup Value daily
BackupRole Type AWSIAMRole Properties AssumeRolePolicyDocument Version 2012-10-17
42
AWS Backup Guiacutea para desarrolladoresAWS CloudFormationplantillas de
planes de copias de seguridad
Statement - Effect Allow Principal Service - backupamazonawscom Action - stsAssumeRole ManagedPolicyArns - arnawsiamawspolicyservice-roleservice-role
TagBasedBackupSelection Type AWSBackupBackupSelection Properties BackupSelection SelectionName TagBasedBackupSelection IamRoleArn GetAtt BackupRoleArn ListOfTags - ConditionType STRINGEQUALS ConditionKey backup ConditionValue daily BackupPlanId Ref BackupPlanWithDailyBackups DependsOn BackupPlanWithDailyBackups
Description backup plan template to enable Windows VSS and add backup rule to take backup of assigned resources daily at 5am UTC
Resources KMSKey Type AWSKMSKey Properties Description Encryption key for daily EnableKeyRotation True Enabled True KeyPolicy Version 2012-10-17 Statement - Effect Allow Principal AWS FnSub arn$AWSPartitioniam$AWSAccountIdroot Action - kms Resource
BackupVaultWithDailyBackups Type AWSBackupBackupVault Properties BackupVaultName BackupVaultWithDailyBackups EncryptionKeyArn GetAtt KMSKeyArn
BackupPlanWithDailyBackups Type AWSBackupBackupPlan Properties BackupPlan BackupPlanName BackupPlanWithDailyBackups AdvancedBackupSettings - ResourceType EC2 BackupOptions WindowsVSS enabled BackupPlanRule - RuleName RuleForDailyBackups TargetBackupVault Ref BackupVaultWithDailyBackups ScheduleExpression cron(0 5 )
43
AWS Backup Guiacutea para desarrolladoresAsignacioacuten de recursos
DependsOn BackupVaultWithDailyBackups
Asignacioacuten de recursos a un plan de copias deseguridad
La asignacioacuten de recursos especifica queacute recursosAWS Backupprotegeraacute utilizando su plan de copia deseguridadAWS Backupproporciona una configuracioacuten predeterminada sencilla y controles detallados paraasignar recursos a su plan de copia de seguridad Cada vez que se ejecuta su plan de copia de seguridadescanea suCuenta de AWSpara todos los recursos que coinciden con los criterios de asignacioacuten derecursos Este nivel de automatizacioacuten le permite definir el plan de backup y la asignacioacuten de recursosexactamente una vezAWS Backupabstrae el trabajo de buscar y hacer copias de seguridad de nuevosrecursos que se ajusten a la asignacioacuten de recursos definida anteriormente
Puedes asignar cualquierAWS Backup-tipos de recursos admitidos por los que ha optadoAWS Backupparaadministrar Para obtener instrucciones sobre coacutemo optar por para obtener maacutesAWS Backup-tipos derecursos admitidos consulteIntroduccioacuten 1 Realizacioacuten del servicio
La asignacioacuten de recursos puede incluir (o excluir)Tipos de recurso deyrecursos
bull UNATipo de recurso deincluye todas las instancias o recursos de unAWS Backup-admitidoAWSservicioo aplicacioacuten de terceros Por ejemplo el tipo de recurso DynamoDB hace referencia a todas las tablasde DynamoDB
bull UNArecursoes una uacutenica instancia de un tipo de recurso como una de las tablas de DynamoDB Puedeespecificar un recurso utilizando su exclusivoID de recurso de
Puede refinar auacuten maacutes la asignacioacuten de recursos mediante etiquetas y operadores condicionales
Temasbull Asignacioacuten de recursos mediante la consola (p 44)bull Asignacioacuten de recursos mediante programacioacuten (p 46)bull Asignacioacuten de recursos medianteAWS CloudFormation (p 52)bull Cuotas de asignacioacuten de recursos (p 55)
Asignacioacuten de recursos mediante la consolaPara navegar a laAsignacioacuten de recursospage
1 Abra el iconoAWS BackupConsola de enhttpsconsoleawsamazoncombackup2 ElegirPlanes de copia de seguridad3 ElegirCreacioacuten de un plan Backup4 Seleccione cualquier plantilla en elElija una plantillalista desplegable y a continuacioacuten eligeCrear un
plan5 Escriba unNombre del plan de Backup6 ElegirCrear un plan7 ElegirAsignacioacuten de recursos
Para comenzar la asignacioacuten de recursos en elGeneralseccioacuten
1 Escriba unNombre de asignacioacuten de recursos
44
AWS Backup Guiacutea para desarrolladoresAsignacioacuten de recursos mediante la consola
2 Elija el iconoRol predeterminadooElija un rol de IAM
Note
Si elige un rol de IAM compruebe que tiene permiso para hacer una copia de seguridad detodos los recursos que va a asignar Si el rol encuentra un recurso en el que no tiene permisopara realizar copias de seguridad el plan de copias de seguridad fallaraacute
Para asignar los recursos en elAsignacioacuten de recursos elija una de las dos opciones enDefinir seleccioacutende recursos
bull Incluir todos los tipos de recursos Esta opcioacuten configura su plan de copia de seguridad para protegertodo lo actual y futureAWS Backup-recursos admitidos asignados a su plan de copia de seguridadUtilice esta opcioacuten para proteger de forma raacutepida y sencilla su estado de datos
Al elegir esta opcioacuten puede opcionalmenteRefinar la seleccioacuten mediante etiquetases el paso siguientebull Incluir tipos de recursos especiacuteficos Al elegir esta opcioacuten debeSeleccionar tipos de recursos
especiacuteficoscon los siguientes pasos1 Uso deSeleccione los tipos de recursosmenuacute desplegable asigne uno o varios tipos de recursos
Important
RDS Aurora Neptune y DocumentDB comparten el mismo Nombre de recurso de Amazon(ARN) Optar por administrar uno de estos tipos de recursos conAWS Backupopta portodos ellos al asignarlo a un plan de respaldo Para refinar la seleccioacuten utilice etiquetas yoperadores condicionales
Una vez que haya terminadoAWS Backuppresenta la lista de los tipos de recursos que haseleccionado y su configuracioacuten predeterminada que consiste en proteger todos los recursos de cadatipo de recurso seleccionado
2 Opcionalmente si desea excluir recursos especiacuteficos de un tipo de recurso que ha seleccionado
1 UsarElija los recursosmenuacute desplegable y anule la seleccioacuten de la opcioacuten predeterminada2 Seleccione los recursos especiacuteficos que desea asignar a su plan de copias de seguridad
3 Opcionalmente puedeExcluir identificadores de recursos especiacuteficos de los tipos de recursosseleccionados Utilice esta opcioacuten si desea excluir uno o varios recursos de muchos porque hacerlopodriacutea ser maacutes raacutepido que seleccionar muchos recursos durante el paso anterior Debe incluir untipo de recurso antes de excluir recursos de ese tipo de recurso Excluya un ID de recurso con lossiguientes pasos
1 UNDERExcluir identificadores de recursos especiacuteficos de los tipos de recursos seleccionadoselija uno o varios tipos de recursos que incluyoacute conSeleccione los tipos de recursos
2 Para cada tipo de recurso utilice laElija los recursosmenuacute desplegable para seleccionar uno ovarios recursos que se van a excluir
Ademaacutes de las elecciones anteriores puede realizar selecciones auacuten maacutes detalladas utilizando la opcioacutenopcionalRefinar la seleccioacuten mediante etiquetascaracteriacutestica Esta funcioacuten le permite refinar la seleccioacutenactual para incluir un subconjunto de recursos mediante etiquetas
Las etiquetas son pares de clave-valor que puede asignar a recursos especiacuteficos para ayudarle aidentificar organizar y filtrar los recursos Las etiquetas distinguen entre mayuacutesculas y minuacutesculas Paraobtener maacutes informacioacuten consulte Etiquetado de los recursos de AWS en la Referencia general de AWS
Cuando refinas tu seleccioacuten utilizando dos o maacutes etiquetas el efecto es una condicioacuten AND Por ejemplosi refinas tu seleccioacuten utilizando dos etiquetasenv prodyrole application solo asigna recursoscon AMBAS etiquetas a su plan de copia de seguridad
45
AWS Backup Guiacutea para desarrolladoresAsignacioacuten de recursos mediante programacioacuten
Para refinar la seleccioacuten mediante etiquetas
1 UNDERRefinar la seleccioacuten mediante etiquetas elige unClavede la lista desplegable2 Seleccione unCondicioacuten del valorde la lista desplegable
bull Valorhace referencia a la siguiente entrada el valor de su par de clave-valorbull Condicioacutenpuede serEqualsContainsBegins with o bienEnds with o su inversoDoes notequalDoes not containDoes not begin with o bienDoes not end with
3 Seleccione unValorde la lista desplegable4 Para refinar maacutes con otra etiqueta elijaAntildeada etiqueta
Asignacioacuten de recursos mediante programacioacutenPuede definir una asignacioacuten de recursos en un documento JSON Esta asignacioacuten de recursos de ejemploasigna todas las instancias de Amazon EC2 al plan de backupID DE PLAN DE COPIA DE SEGURIDAD
BackupPlanIdBACKUP-PLAN-ID BackupSelection SelectionNameresources-list-selection IamRoleArnarnawsiamACCOUNT-IDroleIAM-ROLE-ARN Resources[ arnawsec2instance ]
Suponiendo que este JSON se almacene comobackup-selectionjson puede asignar estos recursosa su plan de backup mediante el siguiente comando de la CLI
aws backup create-backup-selection --cli-input-json filePATH-TO-FILEbackup-selectionjson
En la tabla siguiente se enumeran varias asignaciones de recursos de ejemplo junto con el documentoJSON correspondiente que realiza la asignacioacuten mediante elAWS BackupAPI CLI o SDK Para facilitarla lectura de esta tabla los ejemplos omiten los camposBackupPlanIdSelectionNameyIamRoleArn El comodiacutenrepresenta cero o maacutes caracteres que no son de espacios en blanco
Asignacioacuten de recursos JSON
Seleccione todos los recursos de mi cuenta BackupSelection Resources[ ]
Seleccione todos los recursos de mi cuenta peroexcluya los voluacutemenes de EBS
BackupSelection Resources[ ] NotResources[ arnawsec2volume
46
AWS Backup Guiacutea para desarrolladoresAsignacioacuten de recursos mediante programacioacuten
Asignacioacuten de recursos JSON ]
Seleccione todos los recursos etiquetadosconbackuptrueen mi cuenta pero excluyelos voluacutemenes de EBS
BackupSelection Resources[ ] NotResources[ arnawsec2volume ] Conditions StringEquals[ ConditionKeyawsResourceTagbackup ConditionValuetrue ]
47
AWS Backup Guiacutea para desarrolladoresAsignacioacuten de recursos mediante programacioacuten
Asignacioacuten de recursos JSON
Seleccionar todos los voluacutemenesde EBS e instancias de base dedatos de RDS etiquetadas conambosbackuptrueystageprod
BackupSelection Resources[ arnawsec2volume arnawsrdsdb ] Conditions StringEquals[ ConditionKeyawsResourceTagbackup ConditionValuetrue ConditionKeyawsResourceTagstage ConditionValueprod ]
Note
La aritmeacutetica booleana es similara la de las poliacuteticas de IAM conlas deResourcescombinadosutilizando un quiroacutefano booleano y losdeConditionscombinado con un ANDbooleano
Note
LaResourcesexpresioacutenarnawsrdsdbsoloselecciona instancias de base dedatos de RDS porque no hay recursosAurora Neptune o DocumentDBcorrespondientes
48
AWS Backup Guiacutea para desarrolladoresAsignacioacuten de recursos mediante programacioacuten
Asignacioacuten de recursos JSON
Seleccione todos los voluacutemenes de EBS y recursosRDS Aurora Neptune y DocumentDB etiquetadosconbackuptruepero nostagetest
BackupSelection Resources[ arnawsec2volume arnawsrdsdb ] Conditions StringEquals[ ConditionKeyawsResourceTagbackup ConditionValuetrue ] StringNotEquals[ ConditionKeyawsResourceTagstage ConditionValuetest ]
Seleccione todos los recursos etiquetadosconkey1y un valor que comienzaporincludepero no conkey2y valor quecontiene la palabraexclude
BackupSelection Resources[ ] Conditions StringLike[ ConditionKeyawsResourceTagkey1 ConditionValueinclude ] StringNotLike[ ConditionKeyawsResourceTagkey2 ConditionValueexclude ]
Puede utilizar el caraacutecter comodiacuten al principio alfinal y al centro de una cadena Observe el uso delcaraacutecter comodiacuten () enincludeyexcludeenel ejemplo anterior Tambieacuten puede utilizarel caraacutecter comodiacuten en medio de unacadena tal y como se muestra en el ejemploanteriorarnawsrdsdb
49
AWS Backup Guiacutea para desarrolladoresAsignacioacuten de recursos mediante programacioacuten
Asignacioacuten de recursos JSON
Seleccione todos los recursos etiquetadosconbackuptrueexcepto sistemas dearchivos FSx y recursos RDS Aurora Neptune yDocumentDB
BackupSelection Resources[ ] NotResources[ arnawsfsx arnawsrds ] Conditions StringEquals[ ConditionKeyawsResourceTagbackup ConditionValuetrue ]
Elementos deNotResourcesse combinanutilizando el OR booleano
Seleccionar todos los recursos etiquetados conuna etiquetabackupy cualquier valor
BackupSelection Resources[ ] Conditions StringLike[ ConditionKeyawsResourceTagbackup ConditionValue ]
50
AWS Backup Guiacutea para desarrolladoresAsignacioacuten de recursos mediante programacioacuten
Asignacioacuten de recursos JSON
Seleccione todos los sistemas de archivosFSx el cluacutester Auroramy-aurora-cluster y todos los recursos etiquetadosconbackuptrue excepto los recursosetiquetados constagetest
BackupSelection Resources[ arnawsfsx arnawsrdsclustermy-aurora-cluster ] ListOfTags[ ConditionTypeStringEquals ConditionKeybackup ConditionValuetrue ] Conditions StringNotEquals[ ConditionKeyawsResourceTagstage ConditionValuetest ]
51
AWS Backup Guiacutea para desarrolladoresAsignacioacuten de recursos medianteAWS CloudFormation
Asignacioacuten de recursos JSON
Seleccionar todos los recursos etiquetadoscon etiquetabackuptrueexceptopara los voluacutemenes EBS etiquetadosconstagetest
Utilice dos comandos de CLI para crear dosselecciones y seleccionar este grupo de recursosLa primera seleccioacuten se aplica a todos los recursosexcepto a los voluacutemenes de EBS La segundaseleccioacuten se aplica a los voluacutemenes de EBS
BackupSelection Resources[ ] NotResources[ arnawsec2volume ] Conditions StringEquals[ ConditionKeyawsResourceTagbackup ConditionValuetrue ]
BackupSelection Resources[ arnawsec2volume ] Conditions StringEquals[ ConditionKeyawsResourceTagbackup ConditionValuetrue ] StringNotEquals[ ConditionKeyawsResourceTagstage ConditionValuetest ]
Asignacioacuten de recursos medianteAWSCloudFormationEste end-to-end AWS CloudFormationcrea una asignacioacuten de recursos un plan de respaldo y un depoacutesitode respaldo de destino
52
AWS Backup Guiacutea para desarrolladoresAsignacioacuten de recursos medianteAWS CloudFormation
bull Un almaceacuten de copias de seguridad denominadoCloud Formation Test BackupVaultbull Un plan de copia de seguridad denominadoPlan de copia de seguridad de pruebas deCloud Formation Este plan se ejecutaraacute dos contiene dos reglas de backup las cuales toman copiasde seguridad diariamente a las 12 del mediodiacutea UTC y las conservan durante 210 diacuteas
bull Seleccioacuten de recursos denominadaNombre de seleccioacuten de copia de seguridadbull bull La asignacioacuten de recursos realiza una copia de seguridad de los siguientes recursos
bull Cualquier recurso etiquetado con el par clave-valorbackupplandsi-sandbox-dailybull Cualquier recurso etiquetado con el valorprodo valores que empiezan porprod
bull La asignacioacuten de recursos no realiza copias de seguridad de los siguientes recursosbull Cualquier cluacutester de RDS Aurora Neptune o DocumentDBbull Cualquier recurso etiquetado con el valortesto valores que empiezan portest
Description Template that creates Backup Selection and its dependenciesParameters BackupVaultName Type String Default CloudFormationTestBackupVault BackupPlanName Type String Default CloudFormationTestBackupPlan BackupSelectionName Type String Default CloudFormationTestBackupSelection BackupPlanTagValue Type String Default test-value-1 RuleName1 Type String Default TestRule1 RuleName2 Type String Default TestRule2 ScheduleExpression Type String Default cron(0 12 ) StartWindowMinutes Type Number Default 60 CompletionWindowMinutes Type Number Default 120 RecoveryPointTagValue Type String Default test-recovery-point-value MoveToColdStorageAfterDays Type Number Default 120 DeleteAfterDays Type Number Default 210Resources CloudFormationTestBackupVault Type AWSBackupBackupVault Properties BackupVaultName Ref BackupVaultName BasicBackupPlan Type AWSBackupBackupPlan Properties BackupPlan BackupPlanName Ref BackupPlanName
53
AWS Backup Guiacutea para desarrolladoresAsignacioacuten de recursos medianteAWS CloudFormation
BackupPlanRule - RuleName Ref RuleName1 TargetBackupVault Ref BackupVaultName ScheduleExpression Ref ScheduleExpression StartWindowMinutes Ref StartWindowMinutes CompletionWindowMinutes Ref CompletionWindowMinutes RecoveryPointTags test-recovery-point-key-1 Ref RecoveryPointTagValue Lifecycle MoveToColdStorageAfterDays Ref MoveToColdStorageAfterDays DeleteAfterDays Ref DeleteAfterDays - RuleName Ref RuleName2 TargetBackupVault Ref BackupVaultName ScheduleExpression Ref ScheduleExpression StartWindowMinutes Ref StartWindowMinutes CompletionWindowMinutes Ref CompletionWindowMinutes RecoveryPointTags test-recovery-point-key-1 Ref RecoveryPointTagValue Lifecycle MoveToColdStorageAfterDays Ref MoveToColdStorageAfterDays DeleteAfterDays Ref DeleteAfterDays BackupPlanTags test-key-1 Ref BackupPlanTagValue DependsOn CloudFormationTestBackupVault TestRole Type AWSIAMRole Properties AssumeRolePolicyDocument Version 2012-10-17 Statement - Effect Allow Principal Service - backupamazonawscom Action - stsAssumeRole ManagedPolicyArns - Sub arn$AWSPartitioniamawspolicyservice-roleAWSBackupServiceRolePolicyForBackup BasicBackupSelection Type AWSBackupBackupSelection Properties BackupPlanId Ref BasicBackupPlan BackupSelection SelectionName Ref BackupSelectionName IamRoleArn GetAtt TestRoleArn ListOfTags - ConditionType STRINGEQUALS ConditionKey backupplan ConditionValue dsi-sandbox-daily NotResources - arnawsrdscluster Conditions StringEquals - ConditionKey awsResourceTagpath ConditionValue prod StringNotEquals - ConditionKey awsResourceTagpath ConditionValue test StringLike - ConditionKey awsResourceTagpath ConditionValue prod StringNotLike - ConditionKey awsResourceTagpath
54
AWS Backup Guiacutea para desarrolladoresCuotas de asignacioacuten de recursos
ConditionValue test
Cuotas de asignacioacuten de recursosLas siguientes cuotas se aplican a una uacutenica asignacioacuten de recursos
bull 500 nombres de recursos de Amazon (ARN) sin comodinesbull 30 ARN con expresiones comodiacutenbull 30 condicionesbull 30 etiquetas por asignacioacuten de recursos (y un nuacutemero ilimitado de recursos por etiqueta)
Eliminacioacuten de un plan de copia de seguridadPuede eliminar un plan de copias de seguridad solo despueacutes de haber eliminado todas las selecciones derecursos asociadas La eliminacioacuten de un plan de copias de seguridad elimina la versioacuten actual del planLas versiones actual y anterior si las hay existen todaviacutea pero ya no se incluyen en la consola en Backupplans (Planes de copias de seguridad)
Note
Cuando se elimina un plan de copia de seguridad las copias de seguridad existentes no seeliminan Para eliminar las copias de seguridad existentes elimiacutenelas del almaceacuten de copias deseguridad con los pasos deEliminacioacuten de copias de seguridad
Para eliminar un plan de copias de seguridad con la consola de AWS Backup
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola de enhttpsconsoleawsamazoncombackup
2 En el panel de navegacioacuten de la izquierda seleccione Backup plans (Planes de copia de seguridad)3 Elija el plan de copias de seguridad en la lista4 Seleccione las asignaciones de recursos que estaacuten asociadas al plan de copia de seguridad5 Elija Eliminar (Delete)
Actualizacioacuten de un plan de copia de seguridadDespueacutes de crear un plan de copia de seguridad puede editar el plan por ejemplo puede agregaretiquetas o agregar editar o eliminar reglas de copia de seguridad Los cambios que realice en un plan decopias de seguridad no tienen ninguacuten efecto sobre las copias de seguridad existentes creadas por el plande copia de seguridad Los cambios se aplican uacutenicamente a las copias de seguridad que se crean en elfuturo
Por ejemplo cuando se actualiza el periacuteodo de retencioacuten en una regla de copia de seguridad el periacuteodo deretencioacuten de las copias de seguridad creadas antes de la actualizacioacuten sigue siendo el mismo Las copiasde seguridad que cree dicha regla en el futuro muestran el periodo de retencioacuten actualizado
Para editar un plan de copias de seguridad con la consola de AWS Backup
1 Abra el iconoAWS BackupConsola de enhttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccione Backup plans (Planes de copias de seguridad)3 Elija una regla de copias de seguridad y elija Edit (Editar)
55
AWS Backup Guiacutea para desarrolladoresActualizacioacuten de un plan de copia de seguridad
4 En la regla de copias de seguridad cambie la configuracioacuten que desee y a continuacioacuten elija Save(Guardar)
56
AWS Backup Guiacutea para desarrolladoresCreacioacuten de un almaceacuten de copias de seguridad
Utilizacioacuten de almacenes de copiasde seguridad
EnAWS Backup unAlmacenes de copias de seguridades un contenedor que almacena y organiza lascopias de seguridad
Al crear un almaceacuten de copias de seguridad debe especificar laAWS Key Management Service(AWSKMS) clave de cifrado que cifra algunas de las copias de seguridad colocadas en este almaceacuten El cifradode otras copias de seguridad se administra por su origenAWSServicios de Para obtener maacutes informacioacutenacerca del cifrado de consulte el graacutefico enCifrado de copias de seguridad enAWS
Tu cuenta siempre tendraacute un depoacutesito de respaldo predeterminado Si necesita claves de cifrado o poliacuteticasde acceso diferentes para diferentes grupos de copias de seguridad puede crear varios almacenes decopias de seguridad
En esta seccioacuten se proporciona informacioacuten general sobre coacutemo administrar los almacenes de copia deseguridad en AWS Backup
Temasbull Creacioacuten de un almaceacuten de copias de seguridad (p 57)bull Configuracioacuten de poliacuteticas de acceso en boacutevedas de backup (p 58)bull Bloqueo de almacenes de AWS Backup (p 61)bull Eliminacioacuten de un almaceacuten de copias de seguridad (p 65)
Creacioacuten de un almaceacuten de copias de seguridadDebe crear al menos un depoacutesito antes de crear un plan de copia de seguridad o iniciar un trabajo de copiade seguridad
Cuando utilices por primera vez elAWS BackupConsola de enRegioacuten de AWS la consola creaautomaacuteticamente un depoacutesito predeterminado
Sin embargo si utilizasAWS Backupa traveacutes deAWS CLIAWSSDK de oAWS CloudFormation no se creaun depoacutesito predeterminado Debe crear su propia almaceacuten
UnCuenta de AWSpuede crear hasta 100 almacenes de copias de seguridad porRegioacuten de AWS
Creacioacuten de un almaceacuten de copias de seguridad(consola)Para step-by-step instrucciones para crear un almaceacuten de copias de seguridad conAWS BackupConsolade consultePaso 3 Creacioacuten de un almaceacuten de copias de seguridad (p 27)en la Guiacutea de introduccioacuten
Creacioacuten de un almaceacuten de copias de seguridad(mediante programacioacuten)Los siguientes ejemplos deAWS Command Line Interfacecrea un almaceacuten de copias de seguridad
57
AWS Backup Guiacutea para desarrolladoresNombre del almaceacuten de Backup de seguridad
aws backup create-backup-vault --backup-vault-name test-vault
Tambieacuten puede especificar las siguientes configuraciones para un almaceacuten de copias de seguridad
Nombre del almaceacuten de Backup de seguridadLos nombres de los almacenes de copia de seguridad distinguen entre mayuacutesculas y minuacutesculas Debencontener de 2 a 50 caracteres alfanumeacutericos guiones o guiones bajos
AWS KMSClave de cifrado deLaAWS KMSLa clave de cifrado protege sus copias de seguridad en este almaceacuten de copias de seguridadPor defectoAWS Backupcrea una clave KMS con el aliasawsbackuppara ti Puede elegir dicha clave oelegir cualquier otra clave de su cuenta
Puede crear una clave de cifrado siguiendo laCreacioacuten de clavesProcedimiento en elAWS KeyManagement ServiceGuiacutea para desarrolladores
Despueacutes de crear un almaceacuten de copias de seguridad y configurar elAWS KMSclave de cifrado ya nopuede editar la clave de ese almaceacuten de copias de seguridad
La clave de cifrado que se especifica en un almaceacuten de AWS Backup se aplica a las copias de seguridadde determinados tipos de recursos Para obtener maacutes informacioacuten acerca del cifrado de copias deseguridad consulte Cifrado de copias de seguridad enAWS Backup (p 177) en la seccioacuten SeguridadLas copias de seguridad de los demaacutes tipos de recursos se realizan con la clave que se usa para cifrar elrecurso de origen
Etiquetas del almaceacuten de Backup de seguridadEstas etiquetas estaacuten asociadas al almaceacuten de copias de seguridad para ayudarle a organizar y realizar unseguimiento de sus almacenes de copias de seguridad
Configuracioacuten de poliacuteticas de acceso en boacutevedasde backup
conAWS Backup puede asignar poliacuteticas a almacenes de copias de seguridad y a los recursos quecontienen La asignacioacuten de poliacuteticas le permite hacer cosas como conceder acceso a los usuarios paracrear planes de copia de seguridad y copias de seguridad bajo demanda pero limitar su capacidad deeliminar puntos de recuperacioacuten una vez creados
Para obtener informacioacuten acerca del uso de poliacuteticas para conceder o restringir el acceso a los recursosconsultePoliacuteticas basadas en identidad y poliacuteticas basadas en recursosen laIAM User Guide Tambieacutenpuede controlar el acceso a utilizando etiquetas
Puede utilizar las poliacuteticas de ejemplo siguientes como guiacutea para limitar el acceso a los recursos cuandotrabaja con almacenes de AWS Backup
Note
A diferencia de otras poliacuteticas basadas en IAMAWS Backuplas poliacuteticas de acceso no admiten uncomodiacuten en elActionClave
58
AWS Backup Guiacutea para desarrolladoresDenegar el acceso a un tipo de
recurso en un almaceacuten de backup
Para obtener una lista de nombres de recursos de Amazon (ARN) que puede utilizar para identificar puntosde recuperacioacuten para diferentes tipos de recursos consulte AWS BackupARN de recurso (p 184) de losARN de puntos de recuperacioacuten especiacuteficos de recursos
Note
Las poliacuteticas de acceso al almaceacuten solo controlan el acceso de los usuarios aAWS BackupAPITambieacuten se puede obtener acceso a algunos tipos de copias de seguridad como las instantaacuteneasde Amazon Elastic Block Store (Amazon EBS) y las instantaacuteneas de Amazon Relational DatabaseService (Amazon RDS) a traveacutes de las API de dichos servicios Puede crear poliacuteticas de accesoindependientes en IAM que controlan el acceso a esas API para controlar plenamente el acceso aesos tipos de copias de seguridadIndependientemente de laAWS Backuppoliacutetica de acceso de vaultAWS Backuprechazaraacutecualquier solicitud de una cuenta que sea distinta de la cuenta del recurso al que se hacereferencia
Temasbull Denegar el acceso a un tipo de recurso en un almaceacuten de backup (p 59)bull Denegar acceso a un almaceacuten de copias de seguridad (p 59)bull Denegar el acceso para eliminar puntos de recuperacioacuten en un almaceacuten de backup (p 60)
Denegar el acceso a un tipo de recurso en un almaceacutende backupEsta poliacutetica deniega el acceso a las operaciones de API especificadas para todas las instantaacuteneas deAmazon EBS en un almaceacuten de copias de seguridad
Version 2012-10-17 Statement [ Sid statement ID Effect Deny Principal AWS arnawsiamAccount IDroleMyRole Action [ backupUpdateRecoveryPointLifecycle backupDescribeRecoveryPoint backupDeleteRecoveryPoint backupGetRecoveryPointRestoreMetadata backupStartRestoreJob ] Resource [arnawsec2Regionsnapshot] ]
Denegar acceso a un almaceacuten de copias de seguridadEsta poliacutetica deniega el acceso a las operaciones de API especificadas dirigidas a un almaceacuten de copiasde seguridad
Version 2012-10-17 Statement [
59
AWS Backup Guiacutea para desarrolladoresDenegar el acceso para eliminar puntos
de recuperacioacuten en un almaceacuten de backup
Sid statement ID Effect Deny Principal AWS arnawsiamAccount IDroleMyRole Action [ backupDescribeBackupVault backupDeleteBackupVault backupPutBackupVaultAccessPolicy backupDeleteBackupVaultAccessPolicy backupGetBackupVaultAccessPolicy backupStartBackupJob backupGetBackupVaultNotifications backupPutBackupVaultNotifications backupDeleteBackupVaultNotifications backupListRecoveryPointsByBackupVault ] Resource arnawsbackupRegionAccount IDbackup-vaultbackup vault name ]
Denegar el acceso para eliminar puntos derecuperacioacuten en un almaceacuten de backupEl acceso a los almacenes y la capacidad de eliminar puntos de recuperacioacuten almacenados en ellos sedeterminaraacute en funcioacuten del acceso que conceda a los usuarios
Siga estos pasos para crear una poliacutetica de acceso basada en recursos en un almaceacuten de copias deseguridad que impida la eliminacioacuten de todas las copias de seguridad del almaceacuten
Para crear una poliacutetica de acceso basada en recursos en un almaceacuten de copias de seguridad
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola de enhttpsconsoleawsamazoncombackup
2 En el panel de navegacioacuten de la izquierda elija Backup vaults (Almacenes de copias de seguridad)3 Elija un almaceacuten de copias de seguridad en la lista4 En la seccioacuten Access policy (Poliacutetica de acceso) pegue el siguiente ejemplo de JSON Esta
poliacutetica impide que cualquier persona que no sea la entidad principal elimine un punto derecuperacioacuten en el almaceacuten de copias de seguridad de destino ReemplazarID de declaracioacutenyawsuserId(Rolemi rol) con valores para su entorno
Version 2012-10-17 Statement [ Sid statement ID Effect Deny Principal Action backupDeleteRecoveryPoint Resource Condition StringNotEquals awsuserId [ AAAAAAAAAAAAAAAAAAAAA BBBBBBBBBBBBBBBBBBBBBB 112233445566 ]
60
AWS Backup Guiacutea para desarrolladoresBloqueo de almacenes de AWS Backup
]
Para permitir la lista de identidades de IAM mediante su ARN utilice elawsPrincipalArnclave decondicioacuten global en el siguiente ejemplo
Version 2012-10-17 Statement [ Sid statement ID Effect Deny Principal Action backupDeleteRecoveryPoint Resource Condition ArnNotEquals awsPrincipalArn [ arnawsiam112233445566rolemys3role arnawsiam112233445566usershaheer 112233445566 ] ]
Para obtener informacioacuten acerca de coacutemo obtener un ID uacutenico para una entidad de IAMconsulteObtener el identificador uacutenicoen laIAM User Guide
Si desea limitarlo a tipos de recursos especiacuteficos en lugar deResource puede incluirexpliacutecitamente los tipos de puntos de recuperacioacuten que se van a denegar Por ejemplo parainstantaacuteneas de Amazon EBS cambie el tipo de recurso a lo siguiente
Resource [arnawsec2Regionsnapshot]
5 Elija Asociar poliacutetica
Bloqueo de almacenes de AWS BackupNote
AWS BackupVault Lock auacuten no ha recibido una evaluacioacuten de terceros para SEC 17a-4 (f) yCFTCNo confundasAWS BackupRealizacioacuten del bloqueo de almacenesS3 Glacier Flexible Retrievalque es una caracteriacutestica distinta para otroAWSservicio de
AWS BackupEl bloqueo de almacenesescribir una vez leer muchos(WORM) para todas las copias deseguridad que almacena y crea en un almaceacuten de copias de seguridad
conAWS BackupBloqueo de almacenes de puede agregar una capa de defensa adicional que protege lascopias de seguridad (puntos de recuperacioacuten) en sus almacenes de copias de seguridad de involuntarias omalintencionadas
bull Eliminar operaciones y
61
AWS Backup Guiacutea para desarrolladoresRealizacioacuten del bloqueo de almacenes
bull Actualizaciones que acortan o modifican de otro modo su periacuteodo de retencioacuten
AWS BackupVault Lock le ayuda a aplicar los periacuteodos de retencioacuten y evitar que los usuarios privilegiadoseliminen anticipadamente (incluido elCuenta de AWSusuario raiacutez) y cumplir las poliacuteticas y procedimientosde proteccioacuten de datos de su organizacioacuten
Note
Puede configurarAWS BackupRealizacioacuten del bloqueo de almacenesAWS BackupAPI CLI oSDK Actualmente no puede configurarAWS BackupRealizacioacuten del bloqueo de almacenesAWSBackupconsola de Important
AWS BackupEl bloqueo de almacenes surtiraacute efecto de inmediato Te da unperiacuteodo miacutenimo dereflexioacuten de tres diacuteas (72 horas)para eliminar o actualizar su configuracioacuten antes de que bloqueepermanentemente el almaceacuten Si lo desea puede ampliar la duracioacuten de este periodo de reflexioacutenUtilice este periacuteodo de enfriamiento para probarAWS BackupBloqueo del depoacutesito contra cargasde trabajo y casos de usoDespueacutes de que finalice el periacuteodo de reflexioacuten ni usted niAWS Supportpuede eliminar omodificar de otro modoAWS BackupBloqueo de boacuteveda o el contenido de la boacuteveda bloqueada
Temasbull Realizacioacuten del bloqueo de almacenes (p 62)bull Revisioacuten de un almaceacuten de copias de seguridad para suAWS BackupConfiguracioacuten del bloqueo del
almaceacuten (p 63)bull Eliminacioacuten deAWS BackupRealizacioacuten del bloqueo del almaceacuten durante el periodo de
reflexioacuten (p 64)bull Cierre de unCuenta de AWScon boacuteveda cerrada (p 64)bull Lograr defensa en profundidad conAWS BackupRealizacioacuten del bloqueo de almacenesAWS
Backupcaracteriacutesticas de seguridad (p 64)
Realizacioacuten del bloqueo de almacenesPara configurarAWS BackupRealizacioacuten del bloqueo dealmacenesPutBackupVaultLockConfigurationcomo este ejemplo de CLI
aws backup put-backup-vault-lock-configuration --backup-vault-name my_vault_to_lock --changeable-for-days 3 --min-retention-days 7 --max-retention-days 30
Puede configurar cuatro opciones
1 BackupVaultName(obligatorio)
El nombre de la boacuteveda que se va a bloquear2 ChangeableForDays (opcional)
El periacuteodo de reflexioacuten en diacuteas anterioresAWS BackupNo se puede eliminar el bloqueo del depoacutesitoPor ejemplo establezcaChangeableForDayshasta el 30 del 1 de enero de 2022 a las 20h UTCestableceraacute la fecha de bloqueo para el 31 de enero de 2022 a las 8pm UTC
Debe establecerseChangeableForDaysa 3 o mayor porqueAWS Backupaplica un periacuteodo de reflexioacutenmiacutenimo de 72 horas antes deAWS BackupEl bloqueo de la boacuteveda entra en vigor y se vuelve inmutable
62
AWS Backup Guiacutea para desarrolladoresRevisioacuten de un almaceacuten de copias de seguridad para
suAWS BackupConfiguracioacuten del bloqueo del almaceacuten
Antes de la fecha de bloqueo puedes borrarAWS BackupBloqueo de boacuteveda desde la boacutevedamedianteDeleteBackupVaultLockConfigurationo cambie elAWS BackupConfiguracioacuten delbloqueo del almaceacuten mediantePutBackupVaultLockConfiguration Una vez y despueacutes de la fechade bloqueoAWS BackupEl Bloqueo de almacenes de se vuelve inmutable y no se puede cambiar nieliminar
Si no se especifica puedeutilizarDeleteBackupVaultLockConfigurationoPutBackupVaultLockConfigurationencualquier momento
3 MaxRetentionDays (opcional)
El periacuteodo maacuteximo de retencioacuten en el que el depoacutesito conserva sus puntos de recuperacioacuten Estaconfiguracioacuten puede resultar uacutetil si por ejemplo debe destruir ciertos datos despueacutes de conservarlosdurante cuatro antildeos (1460 diacuteas)
Si no se especificaAWS BackupVault Lock no impondraacute un periacuteodo de retencioacuten maacuteximo
Si se especifica los trabajos de copia de seguridad y copia en este almaceacuten con periodos de retencioacutendel ciclo de vida superiores al periacuteodo de retencioacuten maacuteximo fallaraacuten Puntos de recuperacioacuten yaguardados en la boacuteveda antes deAWS BackupEl bloqueo de boacuteveda no se ve afectado El periacuteodo deretencioacuten maacuteximo maacutes largo que puede especificar es de 36500 diacuteas (aproximadamente 100 antildeos)
4 MinRetentionDays (opcional)
El periacuteodo miacutenimo de retencioacuten en el que la boacuteveda conserva sus puntos de recuperacioacuten Estaconfiguracioacuten puede resultar uacutetil si por ejemplo debe conservar ciertos datos durante al menos sieteantildeos (2555 diacuteas)
Si no se especificaAWS BackupVault Lock no impondraacute un periacuteodo de retencioacuten miacutenimo
Si se especifica los trabajos de copia de seguridad y copia en este almaceacuten con periodos de retencioacutendel ciclo de vida maacutes cortos que el periacuteodo de retencioacuten miacutenimo fallaraacuten Puntos de recuperacioacuten yaguardados en la boacuteveda antes deAWS BackupEl bloqueo de boacuteveda no se ve afectado El periacuteodo deretencioacuten miacutenimo maacutes corto que puede especificar es de 1 diacutea
Revisioacuten de un almaceacuten de copias de seguridad parasuAWS BackupConfiguracioacuten del bloqueo del almaceacutenPuedes revisarAWS BackupEstado del bloqueo de la boacuteveda en cualquier momentollamandoDescribeBackupVaultoListBackupVaults
Para determinar si ha solicitadoAWS BackupBloqueo de boacuteveda a un almaceacuten de respaldollameDescribeBackupVaulty verifiqueLockedpropiedad SiLockedtrue al igual que en elsiguiente ejemplo ha aplicadoAWS BackupRealizacioacuten del bloqueo del almaceacuten de copias de seguridad
BackupVaultName my_vault_to_lock BackupVaultArn arnawsbackupus-east-1555500000000backup-vaultmy_vault_to_lock EncryptionKeyArn arnawskmsus-east-1555500000000key00000000-1111-2222-3333-000000000000 CreationDate 2021-09-24T122543030000-0700 CreatorRequestId ac6ce255-0456-4f84-bbc4-eec919f50709 NumberOfRecoveryPoints 1 Locked true MinRetentionDays 7 MaxRetentionDays 30
63
AWS Backup Guiacutea para desarrolladoresEliminacioacuten deAWS BackupRealizacioacuten del bloqueo
del almaceacuten durante el periodo de reflexioacuten
LockDate 2021-09-30T101238089000-0700
El resultado anterior confirma las siguientes opciones
1 Lockedes un booleano que indica si ha solicitadoAWS BackupBloqueo de boacuteveda a este depoacutesitode respaldoTruesignifica queAWS BackupEl bloqueo del depoacutesito hace que las operacionesde eliminacioacuten o actualizacioacuten de los puntos de recuperacioacuten almacenados en el depoacutesito fallen(independientemente de si auacuten se encuentra en el periacuteodo de reflexioacuten)
2 LockDatees la fecha y hora UTC en que finaliza el periacuteodo de reflexioacuten Transcurrido este tiempono podraacutes eliminar ni cambiar tuAWS BackupBloqueo de boacuteveda en esta boacuteveda Utilice cualquierconvertidor de tiempo disponible puacuteblicamente para convertir esta cadena a su hora local
3 MaxRetentionDaysyMinRetentionDaysse han descrito anteriormente
SiLockedfalse al igual que en el siguiente ejemplo no ha aplicado el bloqueo del depoacutesito (ni lo haeliminado)
BackupVaultName my_vault_to_lock BackupVaultArn arnawsbackupus-east-1555500000000backup-vaultmy_vault_to_lock EncryptionKeyArn arnawskmsus-east-1555500000000key00000000-1111-2222-3333-000000000000 CreationDate 2021-09-24T122543030000-0700 CreatorRequestId ac6ce255-0456-4f84-bbc4-eec919f50709 NumberOfRecoveryPoints 3 Locked false
Eliminacioacuten deAWS BackupRealizacioacuten del bloqueodel almaceacuten durante el periodo de reflexioacutenPara eliminar laAWS BackupBloqueo de boacuteveda durante el periacuteodo de reflexioacuten (y antes de suLockDate)utilizarDeleteBackupVaultLockConfigurationcomo este ejemplo de CLI
aws backup delete-backup-vault-lock-configuration --backup-vault-name my_vault_to_lock
Cierre de unCuenta de AWScon boacuteveda cerradaCuando cierras unCuenta de AWSque contiene un almaceacuten de copias de seguridadAWSyAWSBackupsuspende su cuenta durante 90 diacuteas con sus copias de seguridad intactas Si no vuelves a abrirtu cuenta durante esos 90 diacuteasAWSelimina el contenido del almaceacuten de copias de seguridad incluso siutilizasteAWS BackupCerradura de almacenes de
Lograr defensa en profundidad conAWSBackupRealizacioacuten del bloqueo de almacenesAWSBackupcaracteriacutesticas de seguridadAWS BackupEl Bloqueo de almacenes de agrega una capa de seguridad adicional a la defensa de laproteccioacuten de datos en profundidad Las capas adicionales que puedes usar para reforzar tu postura deseguridad incluyen
64
AWS Backup Guiacutea para desarrolladoresEliminacioacuten de un almaceacuten de copias de seguridad
bull AWS Backupen siacute mismo dado que el contenido de sus puntos de recuperacioacuten es inmutablebull Cifrado para sus puntos de recuperacioacutenbull AWS Backuppoliacuteticas de acceso a depoacutesitos y puntos de recuperacioacuten que le permiten conceder o
denegar permisos a nivel de almaceacutenbull AWS BackupPraacutecticas recomendadas de seguridad de incluida su biblioteca depoliacuteticas administradas
por el clienteque le permiten conceder o denegar permisos de copia de seguridad y restauracioacutenmedianteAWSservicio admitido y
bull AWS BackupAudit Manager que le permite automatizar las comprobaciones de cumplimiento de suscopias de seguridad contrauna lista de controlesdefines
Eliminacioacuten de un almaceacuten de copias de seguridadNote
No se pueden eliminar dos boacutevedas de respaldo elAWS Backupalmaceacuten de copias de seguridadpredeterminado y depoacutesito de respaldo automaacutetico de Amazon EFSCuando se elimina un almaceacuten de copias de seguridad actualice los planes de copias deseguridad para que apunten a nuevos almacenes de copias de seguridad Un plan de copias deseguridad que apunte a un almaceacuten de copias de seguridad eliminado provocaraacute un error en lacreacioacuten de la copia de seguridad
Para protegerse contra la eliminacioacuten masiva accidental o malintencionada puede eliminar un almaceacuten decopias de seguridad enAWS Backupsolo despueacutes de eliminar (o ciclos de vida de su plan de backup) todoslos puntos de recuperacioacuten de su almaceacuten de copias de seguridad Para eliminar manualmente todos lospuntos de recuperacioacuten consulte la seccioacuten deLimpiar recursos
Para eliminar un almaceacuten de copias de seguridad utilizando la consola de AWS Backup
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola de enhttpsconsoleawsamazoncombackup
2 En el panel de navegacioacuten elija Backup vaults (Almacenes de copia de seguridad)3 Elija el almaceacuten de copias de seguridad que desee eliminar4 Elija y elimine cualquier copia de seguridad asociada al almaceacuten de copias de seguridad5 Elimine el almaceacuten de copias de seguridad seleccionandoBorrar(en la esquina superior derecha)
65
AWS Backup Guiacutea para desarrolladoresCreacioacuten de una copia de seguridad
Trabajo con copias de seguridadUna copia de seguridad opunto de recuperacioacuten representa el contenido de un recurso por ejemploun volumen de Amazon Elastic Block Store (Amazon EBS) o una tabla de Amazon DynamoDB en unmomento especiacutefico Punto de recuperacioacuten es un teacutermino que generalmente hace referencia a lasdistintas copias de seguridad enAWSservicios como instantaacuteneas de Amazon EBS y copias de seguridadde DynamoDB Los teacuterminos punto de recuperacioacuten y copia de seguridad se utilizan indistintamente
AWS Backupguarda puntos de recuperacioacuten en boacutevedas de copia de seguridad que puede organizaren funcioacuten de sus necesidades empresariales Por ejemplo puede guardar un conjunto de recursos quecontengan informacioacuten financiera para el ejercicio de 2020 Si tiene que recuperar un recurso puedeutilizar la consola de AWS Backup o bien la AWS Command Line Interface (AWS CLI) para encontrar yrecuperar el recurso que necesita
Cada punto de recuperacioacuten tiene un identificador uacutenico El ID uacutenico se encuentra al final del nombrede recurso de Amazon (ARN) del punto de recuperacioacuten Para ver ejemplos de ARN de puntos derecuperacioacuten e identificadores uacutenicos consulte la tabla deRecursos y operaciones (p 183)
Important
Para evitar cargos adicionales configure su poliacutetica de retencioacuten con una duracioacuten dealmacenamiento en caliente deal menos una semana Para obtener maacutes informacioacuten consulteMedicioacuten costes y facturacioacuten (p 16)
Las siguientes secciones proporcionan informacioacuten general acerca de las tareas de administracioacuten baacutesicasde copia de seguridad en AWS Backup
Temasbull Creacioacuten de una copia de seguridad (p 66)bull Copia de un backup (p 96)bull Visualizacioacuten de una lista de copias de seguridad (p 107)bull Edicioacuten de una copia de seguridad (p 108)bull Eliminacioacuten de copias de seguridad (p 109)bull Restauracioacuten de una copia de seguridad (p 110)
Creacioacuten de una copia de seguridadconAWS Backup puede crear copias de seguridad de forma automaacutetica utilizando planes de copia deseguridad o de forma manual iniciando una copia de seguridad bajo demanda
Creacioacuten de copias de seguridad automaacuteticasCuando se crean copias de seguridad automaacuteticamente mediante planes de copias de seguridad seconfiguran con la configuracioacuten del ciclo de vida que se define en el plan de copias de seguridad Estaacutenorganizadas en el almaceacuten de copias de seguridad especificado en el plan de copia de seguridadAdemaacutes a estas copias de seguridad se les asignaraacuten las etiquetas que se indiquen en el plan Paraobtener maacutes informacioacuten sobre los planes de copia de seguridad consulte Administracioacuten de copias deseguridad mediante planes de backup (p 36)
Creacioacuten de copias de seguridad bajo demandaAl crear una copia de seguridad bajo demanda puede configurar esta configuracioacuten para la copia deseguridad que se estaacute creando Cuando se crea una copia de seguridad de forma automaacutetica o manual
66
AWS Backup Guiacutea para desarrolladoresEstados de trabajos de copia de seguridad
se inicia un trabajo de copia de seguridad Para obtener informacioacuten sobre coacutemo crear una copia deseguridad bajo demanda consulteCreacioacuten de un backup bajo demanda (p 68)
Estados de trabajos de copia de seguridadCada trabajo de copia de seguridad tiene un identificador uacutenico Por ejemploD48D8717-0C9D-72DF-1F56-14E703BF2345
Puede ver el estado de un trabajo de copia de seguridad en la paacutegina Jobs (Trabajos) de la consola deAWS Backup Los estados del trabajo de Backup de seguridad sonpendienterunningabortadocompletedyerror
Coacutemo funcionan las copias de seguridadincrementalesMuchos recursos admiten copias de seguridad incrementales conAWS Backup Hay una lista completadisponible en la seccioacuten de copias de seguridad incrementales delDisponibilidad de caracteriacutesticas porrecurso (p 2)table
Aunque cada copia de seguridad despueacutes de la primera es incremental (lo que significa que solo capturalos cambios de la copia de seguridad anterior) todas las copias de seguridad se realizan conAWSBackupconservar los datos de referencia necesarios para permitir una restauracioacuten completa Esto escierto incluso si la copia de seguridad original (completa) ha llegado al final de su ciclo de vida y se haeliminado
Por ejemplo si se eliminoacute la copia de seguridad del diacutea 1 (completa) debido a una poliacutetica de ciclo de vidade 3 diacuteas podraacute realizar una restauracioacuten completa con las copias de seguridad de los diacuteas 2 y 3AWSBackupmantiene los datos de referencia necesarios desde el primer diacutea para hacerlo
Acceso a los recursos de origenAWS Backupnecesita acceso a los recursos de origen para respaldarlos Por ejemplo
bull Para hacer una copia de seguridad de una instancia de Amazon EC2 la instancia puedeestar en elrunningostoppedestado pero no elterminatedestado Esto se debe a queunrunningostoppedinstancia puede comunicarse conAWS Backup pero unterminatedinstancia nopuede
bull Para hacer una copia de seguridad de una maacutequina virtual su hipervisor debe tener el estado de puertade enlace de respaldoONLINE Para obtener maacutes informacioacuten consulteDescripcioacuten del estado delhipervisor
bull Para hacer copias de seguridad de una base de datos de Amazon RDS Amazon Aurora o cluacutester deAmazon DocumentDB esos recursos deben tener el estadoAVAILABLE
bull Para crear una copia de seguridad de Amazon Elastic File System (Amazon EFS) debe tener elestadoAVAILABLE
bull Para hacer una copia de seguridad de un sistema de archivos de Amazon FSx debe tener elestadoAVAILABLE Si el estado esUPDATING la solicitud de copia de seguridad se pone en cola hastaque el sistema de archivos se convierte enAVAILABLE
AWS Backupconserva las copias de seguridad creadas anteriormente de manera coherente con la poliacuteticadel ciclo de vida independientemente del estado del recurso de origen
Temasbull Creacioacuten de un backup bajo demanda (p 68)
67
AWS Backup Guiacutea para desarrolladoresCopias de seguridad bajo demanda
bull Restauracioacuten a un momento determinado mediante recuperacioacuten a un momento dado (p 69)bull Creacioacuten de copias de seguridad de S3 (p 73)bull Creacioacuten de copias de seguridad de maacutequinas virtuales (p 78)bull Backup avanzado de DynamoDB (p 90)bull Creacioacuten de copias de seguridad de Windows VSS (p 94)bull Creacioacuten de copias de seguridad coherentes frente a bloqueos en varios voluacutemenes de Amazon
EBS (p 95)bull Copia de etiquetas en las copias de seguridad (p 95)bull Detener un trabajo de copia de seguridad (p 96)
Creacioacuten de un backup bajo demandaEn la consola de AWS Backup la paacutegina Protected resources (Recursos protegidos) enumera los recursosde los que AWS Backup ha realizado una copia de seguridad al menos una vez Si estaacutes usandoAWSBackupPor primera vez no hay ninguacuten recurso (por ejemplo voluacutemenes de Amazon EBS o bases de datosde Amazon RDS) indicadas en esta paacutegina No apareceraacuten aunque haya asignado un recurso a un plan decopias de seguridad si dicho plan no ha ejecutado un trabajo de copia de seguridad programado al menosuna vez
Para crear una copia de seguridad bajo demanda
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel elija Create an on-demand backup (Crear una copia de seguridad bajo demanda) O bien
en el panel de navegacioacuten elija Protected resources (Recursos protegidos) y a continuacioacuten Createan on-demand backup (Crear una copia de seguridad bajo demanda)
3 En la paacuteginaCrear copia de seguridad bajo demanda elija el tipo de recurso del que desea crear unacopia de seguridad por ejemplo elijaDynamoDBpara tablas de Amazon DynamoDB
4 Elija el nombre o el ID del recurso que desea proteger por ejemplo VideoMetadataTable5 Aseguacuterese de que la opcioacuten Create backup now (Crear copia de seguridad ahora) esteacute seleccionada
De esta manera se inicia una copia de seguridad de inmediato y le permite ver antes los recursosguardados en la paacutegina Protected resources (Recursos protegidos)
6 Solo recursos que tienen la funcioacutenTransicioacuten al almacenamiento en friacuteopodraacute tener un valor deentrada de lo contrario este campo estaacute marcadoNDporque el tipo de recurso no se puede guardaren almacenamiento en friacuteo Consulte lasCiclo de vida al almacenamiento en friacuteocolumna de latablaDisponibilidad de caracteriacutesticas por recursopara determinar si el recurso es apto
Si utiliza Amazon EFS elija el valor deseado para especificar cuaacutendo se ha de transferir esta copia deseguridad al almacenamiento en friacuteo
7 Elija un valor para Expire (Vencimiento)
Note
Cuando las copias de seguridad caducan y se marcan para eliminarlas como parte desu poliacutetica de ciclo de vidaAWS Backupelimina las copias de seguridad en un puntoelegido aleatoriamente durante las 8 horas siguientes Esta ventana ayuda a garantizar unrendimiento coherente
8 Elija un almaceacuten de copias de seguridad existente o cree uno nuevo Al elegir Create new Backupvault (Crear nuevo almaceacuten de copias de seguridad) se abre una nueva paacutegina para crear unalmaceacuten y a continuacioacuten vuelve a la paacutegina Create on-demand backup (Crear copia de seguridadbajo demanda) cuando termine
9 En Rol de IAM elija Rol predeterminado o el rol que quiera usar
68
AWS Backup Guiacutea para desarrolladoresRecuperacioacuten a un momento dado
Note
Si el rol predeterminado de AWS Backup no estaacute presente en la cuenta se crearaacute unoautomaacuteticamente con los permisos adecuados
10 Si desea asignar una o varias etiquetas a la copia de seguridad bajo demanda escriba una clave y unvalor opcional y elija Agregar etiqueta
Note
Para los recursos de Amazon EC2AWS Backupcopia automaacuteticamente las etiquetas derecursos individuales y de grupo existentes ademaacutes de las etiquetas que agregue en estepaso
11 Si el recurso del que desea realizar una copia de seguridad estaacute ejecutando una instancia de AmazonEC2 elijaWindows VSSen laConfiguracioacuten avanzadaseccioacuten Esto le permite realizar copias deseguridad del servicio Volume Shadow Copy Service (VSS) coherentes con la aplicacioacuten
Note
AWS Backuptoma las copias de seguridad de EC2 con laquosin reinicioraquo como comportamientopredeterminadoAWS Backupactualmente admite recursos que se ejecutan en Amazon EC2y no se admiten ciertos tipos de instancias Para obtener maacutes informacioacuten consulte Creacioacutende copias de seguridad de Windows VSS (p 94)
12 Elija Create on-demand backup (Crear copia de seguridad bajo demanda) Esto le lleva alTrabajosdonde puede ver una lista de trabajos
13 Elija el iconoID de trabajo de backuppara el recurso del que desea realizar la copia de seguridad En lapaacutegina de detalles del trabajo situacuteese sobre Estado para ver los detalles del estado del trabajo
Restauracioacuten a un momento determinado medianterecuperacioacuten a un momento dadoAWS Backupadmite copias de seguridad continuas y point-in-time recovery (PITR) ademaacutes de copiasde seguridad de instantaacuteneas Con copias de seguridad continuas puede restaurar suAWS Backup-compatible con el recurso rebobinado a un tiempo especiacutefico que elijas dentro de 1 segundo de laprecisioacuten (se remonta un maacuteximo de 35 diacuteas) Compaacuteralo con las copias de seguridad de instantaacuteneasque solo puedes realizar con la misma frecuencia que cada hora Tambieacuten puede almacenar copias deseguridad de instantaacuteneas durante un maacuteximo de 100 antildeos Dado que las copias de seguridad continuasy de instantaacuteneas ofrecen distintas ventajas le recomendamos que proteja sus recursos con reglas debackup continuo y de instantaacuteneas
La copia de seguridad continua funciona creando primero una copia de seguridad completa del recursoy a continuacioacuten realiza copias de seguridad constantemente de los registros de transacciones de losrecursos La restauracioacuten de PITR funciona accediendo a la copia de seguridad completa y reproduciendoel registro de transacciones en el momento en que lo indiquesAWS Backuppara recuperarse
Puede habilitar copias de seguridad continuas cuando cree un plan de copia de seguridad enAWSBackupUso de laAWS Backupconsola o API
Para habilitar copias de seguridad continuas mediante la consola
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola dehttpsconsoleawsamazoncombackup
2 En el panel de navegacioacuten seleccionePlanes de copia de seguridady luego elijaCrear plan Backup3 UNDERReglas de copia de seguridad eligeAgregar regla Backup4 En el navegadorConfiguracioacuten de reglas de backupseccioacuten seleccioneHabilitar copias de seguridad
continuas para los recursos compatibles
69
AWS Backup Guiacutea para desarrolladoresRecuperacioacuten a un momento dado
Servicios y aplicaciones compatibles para point-in-timeRecuperacioacutenAWS Backupadmite copias de seguridad continuas y point-in-time recuperacioacuten de los siguientes serviciosy aplicaciones
bull Simple Storage Service (Amazon S3)bull Amazon RDS
En esta seccioacuten se describen las ventajas limitaciones y mejores praacutecticas especiacuteficas de los recursospara utilizar PITR enAWS Backup
Amazon RDSAmazon RDS llama a sus copias de seguridad continuas laquocopias de seguridad automatizadasraquoAWSBackup llama a las copias de seguridad continuas de Amazon RDS laquocopias de seguridad continuasraquo
Si usaAWS Backuptanto para instantaacuteneas de Amazon RDS como para copias de seguridadcontinuasAWS Backupprogramaraacute de forma inteligente sus ventanas de backup junto con la ventanade mantenimiento de Amazon RDS para evitar conflictos Ya no tiene que programar manualmente unaventana de copia de seguridad horas antes de otra
Note
AWS Backupactualmente no admite copias de seguridad continuas de Amazon AuroraAWSBackupadmite instantaacuteneas de Aurora
No puede controlar la ventana de copia de seguridad automatizada de Amazon RDS Esto se debe aqueAWS Backuplo programa de forma inteligente para ti
Cuando cambias el periacuteodo de retencioacuten de PITRAWS BackupCallsModifyDBInstancey aplica esecambio de inmediato Si tiene otras actualizaciones de configuracioacuten pendientes del proacuteximo periacuteodo demantenimiento al cambiar el periacuteodo de retencioacuten de PITR tambieacuten se aplicaraacuten esas actualizacionesde configuracioacuten inmediatamente Para obtener maacutes informacioacuten consulteModifyDBInstanceenlaReferencia de la API de Amazon Relational Database Service
Puede realizar un point-in-time recuperacioacuten utilizando cualquiera de los dosAWS Backupo Amazon RDSParaAWS Backupinstrucciones de consola consulteRestauracioacuten de una base de datos de Amazon RDSPara obtener instrucciones de Amazon RDS consulteRestauracioacuten de una instancia de base de datos aun momento especificadoen laAmazon RDS User Guide
Tenga en cuenta lo siguiente cuando realice una point-in-time recuperacioacuten de
bull Restauracioacuten de actividad recientemdash Es posible que no puedas restaurar los 5 minutos de actividad maacutesrecientes debido a coacutemo Amazon RDS gestiona sus registros de transacciones
bull Creacioacuten de copias de seguridad continuas de Amazon RDSmdash No puede crear copias de copias deseguridad continuas de Amazon RDS porqueAWS Backuppara Amazon RDS no permite copiar registrosde transacciones ElAWS Backupcrea una instantaacutenea y la copia con la frecuencia especificada en elplan de copia de seguridad
Para obtener informacioacuten general sobre coacutemo trabajar con Amazon RDS consulte laAmazon RDS UserGuide
Administracioacuten de la configuracioacuten de backup continuo
Despueacutes de aplicar unAWS Backupregla de copia de seguridad continua en una instancia de AmazonRDS no puede crear ni modificar la configuracioacuten de copia de seguridad continua de esa instancia enAmazon RDS Esta limitacioacuten existe para evitar conflictos
70
AWS Backup Guiacutea para desarrolladoresRecuperacioacuten a un momento dado
Para ver la copia de seguridad continua en Amazon RDS abra laConsola de Amazon RDSy eligeCopiasde seguridad automatizadasen el menuacute de la izquierda
Para realizar la transicioacuten del control del backup continuo de esa instancia de Amazon RDS de nuevo aAmazon RDS puede utilizar elAWS BackupConsolaAWS CLIo API
Para realizar la transicioacuten del control de backup continuo a Amazon RDS mediante elAWSBackupconsola
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccione Backup plans (Planes de copias de seguridad)3 Elimine todos los planes de backup de Amazon RDS con una copia de seguridad continua que
protege ese recurso4 Elija Almacenes de Backup Elimine el punto de recuperacioacuten de backup continuo del almaceacuten
de copias de seguridad O bien espere a que transcurra su periacuteodo de retencioacuten causandoAWSBackuppara eliminar automaacuteticamente el punto de recuperacioacuten
Despueacutes de completar estos pasosAWS Backuppasaraacute el control continuo de backup de su recurso aAmazon RDS
Para realizar la transicioacuten del control de backup continuo a Amazon RDS mediante elAWSBackupAPI o CLI
bull Llame a laDisassociateRecoveryPointOperacioacuten de la API
Para obtener maacutes informacioacuten consultePunto de recuperacioacuten de disociacioacuten
Permisos de IAM requeridos para las copias de seguridad continuas de Amazon RDS
bull Para utilizarAWS Backuppara configurar copias de seguridad continuas para la base de datos deAmazon RDS compruebe que el permiso de la APIrdsModifyDBInstanceexiste en el rol de IAMdefinido por la configuracioacuten del plan de backup Para restaurar las copias de seguridad continuasde Amazon RDS debe agregar el permisordsRestoreDBInstanceToPointInTimeal rol de IAMque ha enviado para el trabajo de restauracioacuten Puede utilizar elAWS Backup default servicerolepara realizar copias de seguridad y restauraciones
bull Para describir el rango de tiempos disponibles para point-in-time recuperacioacuten deAWSBackupCallsrdsDescribeDBInstanceAutomatedBackupsAPI En el navegadorAWSBackupConsola debe tenerrdsDescribeDBInstanceAutomatedBackupsPermiso deAPI en tuAWS Identity and Access Managementpoliacutetica administrada (IAM) Puede utilizarelAWSBackupFullAccessoAWSBackupOperatorAccesspoliacuteticas administradas Ambas poliacuteticastienen todos los permisos necesarios Para obtener maacutes informacioacuten consulte Poliacuteticas administradas de
Trabajo con backups continuosBuacutesqueda de una copia de seguridad continua
Puede utilizar elAWS Backupconsola para encontrar la copia de seguridad continua
Para buscar una copia de seguridad continua mediante elAWS Backupconsola
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccioneAlmacenes de copias de seguridady a continuacioacuten elija su
almaceacuten de copias de seguridad en la lista
71
AWS Backup Guiacutea para desarrolladoresRecuperacioacuten a un momento dado
3 En el navegadorCopias de seguridad deen la seccioacuten deTipo Backupcolumna ordenarporContinuoPuntos de recuperacioacuten Tambieacuten puedes ordenar porID de punto de recuperacioacutenpara elprefijocontinuo
Restauracioacuten de una copia de seguridad continua
Para restaurar una copia de seguridad continua mediante elAWS Backupconsola
bull Durante el proceso de restauracioacuten de PITR elAWS Backupconsola muestra unTiempo derestauracioacutenseccioacuten En esta seccioacuten realice una de las siguientes operacionesbull Elija restaurar a laUacuteltima hora restaurablebull ElegirEspecificar fecha y horapara introducir su propia fecha y hora dentro del periacuteodo de
retencioacuten
Para restaurar una copia de seguridad continua mediante elAWS BackupAPI
bull Llame a laStartRestoreJobOperacioacuten de la API conRestoreTimeparaacutemetro como en el siguienteejemplo
ldquoRestoreTimerdquordquo2011-09-07T234500Zrdquo
Debes expresarRestoreTimeen Tiempo universal coordinado (UTC) Para obtener maacutes informacioacutenconsulteTiempo de restauracioacuten
Detencioacuten de las copias de seguridad continuasSi desea detener las copias de seguridad continuas debe eliminar la regla de backup continuo del plande backup Si en cambio solo elimina un punto de recuperacioacuten de backup continuo del almaceacuten debackup el plan de backup seguiraacute ejecutando la regla de backup continuo creando un nuevo punto derecuperacioacuten
Sin embargo incluso despueacutes de eliminar la regla de copia de seguridad continuaAWS Backuprecuerda elperiacuteodo de retencioacuten de la regla de copia de seguridad eliminada Eliminaraacute automaacuteticamente el punto derecuperacioacuten continua de la copia de seguridad del almaceacuten de copias de seguridad en funcioacuten del periacuteodode retencioacuten especificado
Realizacioacuten de copias de seguridad continuasSi una regla de copia de seguridad continua especifica tambieacuten una copia multicuenta o entreregionesAWS Backuptoma una instantaacutenea de la copia de seguridad continua copia esa instantaacutenea enel almaceacuten de destino y a continuacioacuten elimina la instantaacutenea de origen Para obtener maacutes informacioacutensobre coacutemo copiar los puntos de recuperacioacuten entre cuentas y regiones consulteCopia de una copia deseguridad
AWS Backupno admite copias bajo demanda de copias de seguridad continuasAWS Backupno admitecopias de copias de seguridad continuas de Amazon RDS porque Amazon RDS no permite copias de susregistros de transacciones
Cambio del periodo de retencioacutenPuede usarAWS Backuppara aumentar o disminuir el periacuteodo de retencioacuten de la regla de backup continuoexistente El periacuteodo miacutenimo de retencioacuten es de un diacutea El periacuteodo maacuteximo de retencioacuten es de 35 diacuteas
Si aumenta el periacuteodo de retencioacuten el efecto es inmediato Si disminuye el periacuteodo de retencioacutenAWSBackupesperaraacute hasta que transcurra el tiempo suficiente antes de aplicar el cambio para protegerlo
72
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de S3
contra la peacuterdida de datos Por ejemplo si disminuye el periacuteodo de retencioacuten de 35 diacuteas a 20 diacuteasAWSBackupcontinuaraacute conservando 35 diacuteas de respaldo continuo hasta que hayan transcurrido 15 diacuteas Estedisentildeo protege los uacuteltimos 15 diacuteas de copias de seguridad en el momento de realizar el cambio
Eliminacioacuten de la uacutenica regla de backup continuo de un plan de backupCuando crea un plan de copia de seguridad con una regla de copia de seguridad continua y acontinuacioacuten elimina esa reglaAWS Backuprecuerda el periacuteodo de retencioacuten de la regla eliminadaEliminaraacute la copia de seguridad continua de su almaceacuten de copias de seguridad cuando transcurra elperiacuteodo de retencioacuten
Copias de seguridad continuas superpuestas en el mismo recursoEn general debe proteger cada recurso sin maacutes de una regla de copia de seguridad continua Esto sedebe a que las copias de seguridad continuas adicionales son redundantes Sin embargo a medida queaumenta el estado de backup es posible que varios planes de backup reglas y boacutevedas se superponganen un uacutenico recursoAWS Backupmaneja estas superposiciones de la siguiente manera
Si incluye el mismo recurso en maacutes de un plan de backup con una regla de backup continuaAWSBackupsolo crearaacute una copia de seguridad continua para el primer plan de backup que evaluacutee Crearaacutecopias de seguridad de instantaacuteneas para todos los demaacutes planes de backup
Si incluye varias reglas de copia de seguridad continua en un uacutenico plan de copia de seguridad
bull Si las reglas apuntan a la misma boacuteveda de respaldoAWS Backupsolo crea una copia de seguridadcontinua de la regla con el periacuteodo de retencioacuten maacutes largo No tiene en cuenta todas las demaacutes reglas
bull Si las reglas apuntan a diferentes boacutevedas de respaldoAWS Backuprechaza el plan por no ser vaacutelido
Consideraciones sobre la recuperacioacuten a un momento dadoTenga en cuenta las siguientes consideraciones sobre point-in-time recuperacioacuten de
bull Respaldo automaacutetico a instantaacuteneasmdash SiAWS Backupno puede realizar una copia de seguridadcontinua intenta realizar uninstantaacuteneaen lugar de de
bull Sin soporte para copias de seguridad continuas bajo demandamdashAWS Backupno admite el backupcontinuo bajo demanda porque el backup bajo demanda registra un momento dado mientras que losregistros de backup continuo cambian durante un periacuteodo de tiempo
bull Sin soporte para transicioacuten a almacenamiento en friacuteomdash Las copias de seguridad continuas no admiten latransicioacuten al almacenamiento en friacuteo porque la transicioacuten a friacuteo requiere un periacuteodo de transicioacuten miacutenimode 90 diacuteas mientras que las copias de seguridad continuas tienen un periacuteodo de retencioacuten maacuteximo de35 diacuteas
Creacioacuten de copias de seguridad de S3Note
AWS Backuppara S3 auacuten no estaacute disponible en la regioacuten Ameacuterica del Sur (Satildeo Paulo) la regioacutenAsia Paciacutefico (Yakarta) la regioacuten China (Pekiacuten) la regioacuten China (Ningxia)AWS GovCloud(EEUU-Oeste) yAWS GovCloud Regiones (EE UU Este)
AWS Backupadmite copias de seguridad y restauracioacuten centralizadas de aplicaciones que almacenandatos en S3 solo o junto con otrosAWSservicios para base de datos almacenamiento y coacutemputo Puedeutilizar una uacutenica poliacutetica de copia de seguridad enAWS Backuppara automatizar de forma centralizada lacreacioacuten de copias de seguridad de los datos de la aplicacioacutenAWS Backuporganiza automaacuteticamente lascopias de seguridad en diferentesAWSservicios y aplicaciones de terceros en una ubicacioacuten centralizaday cifrada (conocida comoAlmaceacuten de copias de seguridad) para que pueda gestionar las copias de
73
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de S3
seguridad de toda la aplicacioacuten a traveacutes de una experiencia centralizada Para S3 puede crear copias deseguridad continuas y restaurar los datos de la aplicacioacuten almacenados en S3 y restaurar las copias deseguridad en un point-in-time con un solo clic
conAWS Backup puede crear los siguientes tipos de copias de seguridad de los buckets de S3 incluidosdatos de objeto etiquetas listas de control de acceso (ACL) y metadatos definidos por el usuario
bull Backups continuos lo que permite restaurar a cualquier momento de los uacuteltimos 35 diacuteasbull Respaldos perioacutedicos que le permiten conservar los datos durante el tiempo especificado incluso
indefinidamente Puede programar copias de seguridad perioacutedicas en frecuencias como 1 hora 12horas 1 diacutea 1 semana o 1 mesAWS Backuprealiza copias de seguridad perioacutedicas durante la ventanade copia de seguridad definida en suun plan de copias
Las copias de seguridad continuas son uacutetiles para deshacer eliminaciones accidentales mientras quelas copias de seguridad perioacutedicas le ayudan a satisfacer sus necesidades de retencioacuten de datos a largoplazo
Note
Solo puede habilitar copias de seguridad continuas para los buckets de S3 en 1 plan de backupAl habilitar copias de seguridad continuas en varios planes de backup se produciraacuten errores en eltrabajo de backup de los backups continuos duplicados
Para ambos tipos de backup la primera copia de seguridad es una copia de seguridad completa mientrasque los backups posteriores son incrementales a nivel de objeto Por ejemplo si se produce un cambio de1 kB en el objeto de 1 GB la posterior copia de seguridad crearaacute un nuevo objeto de 1 GB en el almaceacutende copias de seguridad
Note
Debeshabilitar Control de versiones de S3 en su bucket de S3utilizarAWS Backuppara AmazonS3 Hemos mantenido este requisito previo porque enAWSrecomendamos el versionado de S3como praacutectica recomendada para la proteccioacuten de datosLe recomendamos que utiliceestablecer un periacuteodo de caducidad del ciclo de vidapara lasversiones de S3 No configurar un periacuteodo de caducidad del ciclo de vida podriacutea aumentar loscostos de S3 porqueAWS Backuprealiza copias de seguridad y almacena todas las versiones nocaducadas de los datos de S3 Para obtener maacutes informacioacuten sobre la creacioacuten de poliacuteticas deciclo de vida de S3 siga las instruccionesen esta paacutegina
Clases de almacenamiento de S3 compatibles
AWS Backuple permite realizar copias de seguridad de los datos de S3 almacenados en lo siguienteClasesde almacenamiento de S3
bull S3 Standardbull Acceso poco frecuente (IA) al estaacutendar de S3bull Zona uacutenica de S3bull S3 One Zone-IAbull S3 Glacier Instant Retrievalbull S3 Intelligent-Tiering (S3 INT)
Limitaciones deAWS Backuppara Amazon S3
AWS BackupEl soporte para S3 tiene las siguientes limitaciones
74
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de S3
bull Compatibilidad con metadatos de objetos limitados AWS Backuppermite hacer copias de seguridadde los datos de S3 junto con los siguientes metadatos etiquetas listas de control de acceso (ACL)metadatos definidos por el usuario fecha de creacioacuten original e ID de versioacuten Le permite restaurar todoslos datos y metadatos respaldados excepto la fecha de creacioacuten original el ID de versioacuten la clase dealmacenamiento y la etiqueta electroacutenica
bull Transicioacuten en friacuteo AWS Backupla poliacutetica de administracioacuten del ciclo de vida le permite definir elcronograma de caducidad del backup pero no se admite la transicioacuten en friacuteo de los backups de S3
bull Limitaciones de tamantildeo de Backup AWS Backuppara Amazon S3 le permite realizar copias de seguridady restaurar automaacuteticamente buckets de S3 de hasta 1 PB de tamantildeo y que contengan menos de 24millones de objetos
bull No se admiten copias de seguridad de buckets de S3 con muchas versiones del mismo objeto que secrearon en el mismo segundo
bull Para copias de seguridad perioacutedicasAWS Backuphace todo lo posible por realizar un seguimiento detodos los cambios en los metadatos de objetos Sin embargo si actualiza una etiqueta o una ACL variasveces en un minutoAWS Backuppodriacutea no capturar todos los estados intermedios
bull AWS Backupno realiza una copia de seguridadCifrado por SSE-CobjetosAWS Backuptampoco hacecopias de seguridad de las configuraciones de bucket incluidas la poliacutetica de bucket la configuracioacuten elnombre o el punto de acceso
bull Si crea una copia de seguridad de un objeto S3 Intelligent Tier (INT) el objeto de origen se traslada a unnivel de almacenamiento maacutes caro que su nivel de almacenamiento actual
bull No es compatible con copias de seguridad de S3 enAWS Outposts
Configuracioacuten de permisos de una sola vezPara empezar a utilizarAWS Backupcompatible con S3 debe realizar la siguiente configuracioacuten poruacutenica vez Durante esta configuracioacuten antildeadiraacute nuevas poliacuteticas de IAM a unAWS Backup-rol de IAMadministrado Al hacerlo este rol permite crear copias de seguridad de S3 Use el procedimiento siguientepara llevar a cabo esta configuracioacuten
Para configurar los permisos de
1 Inicie sesioacuten en la AWS Management Console y abra la consola de IAM en httpsconsoleawsamazoncomiam
2 En el menuacute de navegacioacuten izquierdo elijaRoles de3 En la barra de buacutesqueda escribaAWSBackupDefaultServiceRole Elija
AWSBackupDefaultServiceRole
Note
NOTA SiAWSBackupDefaultServiceRoleno existe puede que esteacute usandoAWSBackuppor primera vez con una nueva cuenta Debe crear ese rol utilizando elAWSBackupConsola antes de poder continuar con el resto de los pasos Para crear el rol siga elprocedimiento descrito enCreacioacuten de laAWS BackupRol predeterminado Despueacutes de crearla funcioacuten vuelva a este paso
4 En el navegadorPermisospestantildea elijaCrear poliacutetica insertadadesde lasAgregar permisosmenuacutedesplegable
5 Seleccione la pestantildea JSON6 Copie y pegue el siguiente coacutedigo en el editor JSON
Version2012-10-17 Statement[ SidS3BucketBackupPermissions
75
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de S3
Action[ s3GetInventoryConfiguration s3PutInventoryConfiguration s3ListBucketVersions s3ListBucket s3GetBucketVersioning s3GetBucketNotification s3PutBucketNotification s3GetBucketLocation s3GetBucketTagging ] EffectAllow Resource[ arnawss3 ] SidS3ObjectBackupPermissions Action[ s3GetObjectAcl s3GetObject s3GetObjectVersionTagging s3GetObjectVersionAcl s3GetObjectTagging s3GetObjectVersion ] EffectAllow Resource[ arnawss3 ] SidS3GlobalPermissions Action[ s3ListAllMyBuckets ] EffectAllow Resource[ ] SidKMSBackupPermissions Action[ kmsDecrypt kmsDescribeKey ] EffectAllow Resource Condition StringLike kmsViaServices3amazonawscom SidEventsPermissions Action[ eventsDescribeRule eventsEnableRule eventsPutRule eventsDeleteRule eventsPutTargets eventsRemoveTargets eventsListTargetsByRule eventsDisableRule
76
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de S3
] EffectAllow ResourcearnawseventsruleAwsBackupManagedRule SidEventsMetricsGlobalPermissions Action[ cloudwatchGetMetricData eventsListRules ] EffectAllow Resource ]
7 Elija Review Policy (Revisar la poliacutetica)8 En Name (Nombre) escriba s3-backup-policy9 Elija Create Policy (Crear poliacutetica)10 En el navegadorPermisospestantildea elijaCrear poliacutetica insertadadesde lasAgregar permisosmenuacute
desplegable (por segunda vez)11 Seleccione la pestantildea JSON12 Copie y pegue el siguiente coacutedigo JSON
Version2012-10-17 Statement[ SidS3BucketRestorePermissions Action[ s3CreateBucket s3ListBucketVersions s3ListBucket s3GetBucketVersioning s3GetBucketLocation s3PutBucketVersioning ] EffectAllow Resource[ arnawss3 ] SidS3ObjectRestorePermissions Action[ s3GetObject s3GetObjectVersion s3DeleteObject s3PutObjectVersionAcl s3GetObjectVersionAcl s3GetObjectTagging s3PutObjectTagging s3GetObjectAcl s3PutObjectAcl s3PutObject s3ListMultipartUploadParts ] EffectAllow Resource[ arnawss3 ]
77
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
SidS3KMSPermissions Action[ kmsDecrypt kmsDescribeKey kmsGenerateDataKey ] EffectAllow Resource Condition StringLike kmsViaServices3amazonawscom ]
13 Elija Review Policy (Revisar la poliacutetica)14 En Name (Nombre) escriba s3-restore-policy15 Elija Create Policy (Crear poliacutetica)
Despueacutes de agregar estos permisos puede crear copias de seguridad y restauraciones de datos de S3
Copia de seguridad de los datos de S3Usas lo mismo familiarAWS Backupflujos de trabajo para hacer copias de seguridad de los datos de S3junto con otras bases de datos almacenamiento y recursos informaacuteticos Para obtener instruccionesconsulte Introduccioacuten a AWS Backup (p 22)
Restauracioacuten de copias de seguridad de S3Puede restaurar los datos de S3 de los que ha realizado una copia de seguridad medianteAWS Backupala clase S3 Standard Storage Puede restaurar los datos de S3 en un bucket existente incluido eldepoacutesito original Durante la restauracioacuten tambieacuten puede crear un nuevo bucket de S3 como destino derestauracioacuten Puede restaurar las copias de seguridad de S3 solo a la mismaRegioacuten de AWSdonde seencuentra la copia de seguridad
Puede restaurar todo el bucket de S3 carpetas u objetos dentro del bucketAWS Backuprestaura la versioacutenactual de ese objeto
Para restaurar los datos de S3 medianteAWS Backup consulteRestauracioacuten de datos de S3 (p 111)
Creacioacuten de copias de seguridad de maacutequinasvirtualesAWS Backupadmite proteccioacuten de datos centralizada y automatizada para maacutequinas virtuales (VM)VMware locales junto con maacutequinas virtuales de VMware Cloudtrade (VMC) enAWSy VMware Cloudtrade(VMC) enAWS Outposts Puede realizar copias de seguridad desde sus maacutequinas virtuales locales y deVMC enAWS Backup A continuacioacuten puede restaurar desdeAWS Backupa maacutequinas virtuales localesmaacutequinas virtuales de la VMC o la VMC enAWS Outposts
AWS Backuptambieacuten le proporciona una gestioacuten completaAWS-capacidades nativas de administracioacuten debackup de VM como deteccioacuten de VM programacioacuten de copias de seguridad administracioacuten de retencioacutennivel de almacenamiento de bajo costo copia entre regiones y cuentas cruzadas soporte paraAWSBackupBloqueo de almacenes yAWS BackupAudit Manager cifrado independiente de los datos de origeny poliacuteticas de acceso de backup Para obtener una lista completa de las funciones y detalles de consulteelDisponibilidad de caracteriacutesticas por recurso (p 2)table
78
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
Puede usarAWS Backuppara proteger sus maacutequinas virtuales enVMware Cloudtrade enAWS OutpostsAWSBackupalmacena las copias de seguridad de VM en elRegioacuten de AWSen la que estaacute su VMwareCloudtradeAWS Outpostsestaacute conectado Puede usarAWS Backuppara proteger VMware Cloudtrade enAWSBackupVM cuando utiliza VMware Cloudtrade enAWS Outpostspara satisfacer sus necesidades de bajalatencia y procesamiento de datos local para los datos de sus aplicaciones En funcioacuten de los requisitosde residencia de datos puede elegirAWS Backuppara almacenar copias de seguridad de los datos de laaplicacioacuten en el padreRegioacuten de AWSa la que tuAWS Outpostsestaacute conectado
Las maacutequinas virtuales compatiblesAWS Backuppuede hacer copias de seguridad y restaurar las siguientes maacutequinas virtuales VM VMwareESXi 67 y 70 que se ejecutan en almacenes de datos NFS VMFS y VSAN en las instalaciones y en VMCenAWS AdemaacutesAWS Backupadmite los modos de transporte SCSI Hot-Add y Network Block DeviceSecure Sockets Layer (NBDSSL) para copiar datos de maacutequinas virtuales de origen aAWSpara VMwarelocal Para proteger las maacutequinas virtuales en VMware Cloud onAWSAWS Backupadmite el modo Hot-AddAWS Backupsolo admite maacutequinas virtuales administradas por VMware vCenterAWS Backupadmitetamantildeos de disco virtual de VM que son muacuteltiplo de 512 KiB
AWS Backupno admite discos RDM (asignacioacuten de discos sin procesar) ni controladores NVMe ni susdiscos
Nota No se admiten maacutequinas virtuales con modos de disco independiente persistente y no persistenteindependiente
coherencia del BackupAWS Backup de forma predeterminada captura copias de seguridad coherentes con las aplicaciones delas maacutequinas virtuales mediante la configuracioacuten de quiescencia de VMware Tools de la maacutequina virtualLas copias de seguridad son coherentes con las aplicaciones si sus aplicaciones son compatibles conVMware Tools Si la capacidad de inactividad no estaacute disponibleAWS Backupcaptura copias de seguridadcoherentes con errores Valide que sus copias de seguridad satisfagan las necesidades de su organizacioacutenprobando sus restauraciones
BackupLa puerta de enlace de respaldo se puede descargarAWS Backupsoftware que implementa en suinfraestructura de VMware para conectar sus maacutequinas virtuales de VMware aAWS Backup La puertade enlace se conecta a su servidor de administracioacuten de maacutequinas virtuales para descubrir maacutequinasvirtuales descubrir sus maacutequinas virtuales cifrar datos y transferir datos de manera eficiente aAWSBackup En el siguiente diagrama se ilustra coacutemo la gateway de Backup de seguridad se conecta a susVM
Para descargar el software de puerta de enlace de copia de seguridad siga el procedimiento paraTrabajarcon gateways (p 83)
79
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
La puerta de enlace de Backup viene con su propia API que se mantiene por separado de laAWSBackupAPI Para ver una lista de las acciones de la API de gateway de Backup de seguridadconsulteAcciones de gateway de backup Para ver una lista de los tipos de datos de API de gateway deBackup de seguridad consulteTipos de datos de gateway de Backup
Configure su infraestructura para utilizar la puerta de enlace derespaldoLa puerta de enlace de Backup requiere las siguientes configuraciones de red cortafuegos y hardwarepara hacer copias de seguridad y restaurar las maacutequinas virtuales
Configuracioacuten de red
La puerta de enlace de Backup de seguridad requiere que determinados puertos esteacuten permitidos parafuncionar Permita los siguientes puertos
1 TCP 443 Salientebull Origen Backup gatewaybull Destino AWSbull Uso Permite que Backup gateway se comunique conAWS
2 TCP 80 Entrantebull Origen El host que utiliza para conectarse alAWS Management Consolebull Destino Backup gatewaybull Uso Los sistemas locales lo utilizan para obtener la clave de activacioacuten de puerta de enlace de
backup El puerto 80 solo se utiliza durante la activacioacuten de la puerta de enlace de BackupAWSBackupno requiere que el puerto 80 sea accesible puacuteblicamente El nivel de acceso exigido al puerto80 depende de la configuracioacuten de la red Si activa la puerta de enlace desde elAWS ManagementConsole el host desde el que se conecta a la consola debe tener acceso al puerto 80 de gateway
3 UDP 53 salientebull Origen Backupbull Destino Servidor DNS (Domain Name Service)bull Uso Permite que Backup gateway se comunique con el DNS
4 TCP 22 Salientebull Origen Backupbull Destino AWS Supportbull Uso PermiteAWS SupportPara tener acceso a la gateway y ayudarle con los problemas No necesita
abrir este puerto para el funcionamiento normal de la gateway pero debe abrirlo para la solucioacuten deproblemas
5 UDP 123 Salientebull Origen Cliente NTPbull Destino Servidor NTPbull Uso Lo utilizan los sistemas locales para sincronizar la hora de la maacutequina virtual con la hora del
host6 TCP 443 Saliente
bull Origen Backup gatewaybull Destino VMware vCenterbull Uso Permite que Backup gateway se comunique con VMware vCenter
7 TCP 443 Salientebull Origen Backup gatewaybull Destino Hosts ESXi
80
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
bull Uso Permite que Backup gateway se comunique con hosts ESXi8 TCP 902 Saliente
bull Origen Backup gatewaybull Destino Hosts VMware ESXibull Uso Se utiliza para la transferencia de datos mediante la puerta de enlace de respaldo
Configuracioacuten del firewall
La gateway de Backup de seguridad necesita obtener acceso a los siguientes puntos de enlace de serviciopara comunicarse conAmazon Web Services Si utiliza un firewall o un router para filtrar o limitar el traacuteficode red debe configurarlos para dar permiso a los puntos de enlace de servicio para dar permiso aAWSNo se admite el uso de un proxy HTTP entre la puerta de enlace de Backup de seguridad y los puntos deservicio
proxy-appbackup-gatewayregionamazonawscom443dp-1backup-gatewayregionamazonawscom443anon-cpbackup-gatewayregionamazonawscom443client-cpbackup-gatewayregionamazonawscom443
Necesidades de hardware
Debe poder dedicar los siguientes recursos miacutenimos a un host de maacutequina virtual para la puerta de enlacede Backup
bull 4 procesadores virtualesbull 8 GiB de RAM reservada
Permisos de VMware
En esta seccioacuten se enumeran los permisos miacutenimos de VMware necesarios para utilizar Backup gatewayEstos permisos son necesarios para que Backup gateway descubra haga copias de seguridad yrestauracioacuten de maacutequinas virtuales
Para utilizar la puerta de enlace de Backup de seguridad cree un usuario dedicado con los siguientespermisos Se enumeran en funcioacuten de la jerarquiacutea de permisos de VMware
Global
bull Deshabilitar meacutetodosbull Habilitar meacutetodosbull Licenciasbull Evento de registrobull Administrar atributos personalizadosbull Establecer atributos personalizados
Etiquetado de vSphere
bull Asignar o cancelar la asignacioacuten de etiqueta vSphere
DataStore
bull Asignacioacuten de espacio
81
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
bull Examinar almaceacuten de datosbull Configurar almaceacuten de datos (para el almaceacuten de datos de vSAN)bull Operaciones de archivos de bajo nivelbull Actualizacioacuten de archivos de maacutequina virtual
Host
bull Configuracioacutenbull Configuracioacuten avanzadabull Configuracioacuten de particiones de almacenamiento
Carpeta
bull Create Folder
Red
bull Asignar red
DvPort Group
bull Createbull Eliminar
Recurso
bull Asignacioacuten de maacutequina virtual a fondo de recursos
Maacutequina virtual
bull Cambio de configuracioacutenbull Adquire lease de discobull Agregar disco existentebull Add New Disco nuevobull Configuracioacuten avanzadabull Cambiar la configuracioacuten del bull Configuracioacuten del dispositivo sin formatobull Modificar la configuracioacuten del dispositivobull Elimina el discobull Establecer anotacioacutenbull Alternar seguimiento de cambios de disco
bull Editar inventariobull Creacioacuten a partir de existentebull Crear nuevobull Registrarbull Removebull Anular registro
bull Interaccioacuten
82
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
bull Apagadobull Encendido
bull Aprovisioningbull Permiso de acceso al discobull Permitir acceso al disco de solo lecturabull Permitir descarga de maacutequinas virtuales
bull Administracioacuten de instantaacuteneasbull Crear una instantaacuteneabull Eliminar instantaacuteneabull Revert to snapshot
Trabajar con gatewaysPara realizar copias de seguridad y restaurar las maacutequinas virtuales (VM) medianteAWS Backup primerodebe instalar una gateway de Backup Una puerta de enlace es un software en forma de plantilla OVF(formato de virtualizacioacuten abierta) que se conectaAmazon Web ServicesBackup de seguridad en elhipervisor lo que le permite detectar automaacuteticamente las maacutequinas virtuales y le permite realizar copiasde seguridad y restaurarlas
Una uacutenica puerta de enlace puede ejecutar hasta 4 trabajos de copia de seguridad o restauracioacuten a la vezPara ejecutar maacutes de 4 trabajos a la vez cree maacutes puertas de enlace y asoacutecielas a su hipervisor
Creacioacuten de una gateway
Para crear una puerta de enlace
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten izquierdo en elRecursos externosseccioacuten elijaGateways de3 Elija Create gateway (Crear gateway)4 En el navegadorConfigurar gateway siga las instrucciones para descargar e implementar la plantilla
OVF5 En el navegadorConfiguracioacuten de pasarelaseccioacuten escriba unNombre de pasarela6 En el navegadorConexioacuten de gateway escriba en la seccioacutendireccioacuten IPde la puerta de enlace
Para encontrar esta direccioacuten IP inicie sesioacuten en la consola local de la gateway con VMware ESXi yobtenga la direccioacuten IP de la parte superior de la paacutegina de la consola
Para obtener instrucciones consulte el procedimiento en elAWS Storage GatewayGuiacutea del usuario de7 Opcional en elEtiquetas de pasarela puede asignar etiquetas a la puerta de enlace
seleccionandoAntildeadir nueva etiqueta8 ElegirCrear gateway que le llevaraacute a la paacutegina de detalles de la gateway
Edicioacuten o eliminacioacuten de una gateway
Para editar o eliminar una gateway
1 En el panel de navegacioacuten izquierdo en elRecursos externosseccioacuten elijaGateways de2 En el navegadorGateways de elija una gateway por suNombre de pasarela3 Para editar el nombre de la puerta de enlace elijaEditar4 Para eliminar la puerta de enlace elijaBorrary despueacutesEliminar puerta de enlace
83
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
No se puede reactivar una puerta de enlace eliminada Si desea conectarse de nuevo al hipervisorsiga el procedimiento enCreacioacuten de una gateway (p 83)
5 Para conectarse a un hipervisor en elHipervisor conectadoseccioacuten elijaConectar
Cada puerta de enlace se conecta a un uacutenico hipervisor Sin embargo puede conectar varias puertasde enlace al mismo hipervisor para aumentar el ancho de banda entre ellas maacutes allaacute del de la primerapuerta de enlace
6 Para asignar editar o administrar etiquetas en elEtiquetasseccioacuten elijaAdministrar etiquetas
Pasos siguientes
Para conectar un hipervisor a su gateway consulteTrabajo con hipervisores (p 84)
Trabajo con hipervisoresDespueacutes de que terminesCreacioacuten de una gateway (p 83) puedes conectarlo a un hipervisor parahabilitarAWS Backuppara trabajar con las maacutequinas virtuales administradas por ese hipervisor Porejemplo el hipervisor para maacutequinas virtuales de VMware es VMware vCenter Server Aseguacuterese de queel hipervisor esteacute configurado con elpermisos necesarios paraAWS Backup
Adicioacuten de un hipervisor
Para antildeadir un hipervisor
1 En el panel de navegacioacuten izquierdo en elRecursos externosseccioacuten elijaHypervisor2 ElegirIncorporacioacuten de hipervisor3 En el navegadorConfiguracioacuten de hipervisorseccioacuten escriba unNombre del hipervisor4 ParaHost de vCenter server utilice el menuacute desplegable para seleccionar unadireccioacuten
IPoFQDN(nombre de dominio completo) Escriba el valor correspondiente5 PermitirAWS Backuppara descubrir las maacutequinas virtuales en el hipervisor introduzca lasUsername
(Nombre de usuario)yContrasentildea6 Cifrar la contrasentildea Puede especificar este cifrado seleccionando una clave KMS administrada por
servicios especiacutefica o una clave KMS administrada por el cliente mediante el menuacute desplegableo elijaCrear clave KMS Si no selecciona una clave especiacuteficaAWS Backupcifraraacute su contrasentildeautilizando una clave propiedad del servicio
7 En el navegadorConexioacuten de una gateway utilice la lista desplegable para especificar queacute puerta deenlace se va a conectar al hipervisor
8 ElegirComprobacioacuten de la conexioacuten de gatewaypara verificar tus entradas anteriores9 Opcional en elEtiquetas de hypervisor puede asignar etiquetas al hipervisor seleccionandoAntildeadir
nueva etiqueta10 ElegirIncorporacioacuten de hipervisor que le lleva a su paacutegina de detalles
Visualizacioacuten de maacutequinas virtuales administradas por un hipervisor
Para ver maacutequinas virtuales en un hipervisor
1 En el panel de navegacioacuten izquierdo en elRecursos externosseccioacuten elijaHypervisor2 En el navegadorHypervisor elija un hipervisor por suNombre del hipervisorpara ir a la paacutegina de
detalles3 En la seccioacuten deResumen de hipervisor elige elMaacutequinas virtualestabulador4 En el navegadorde maacutequinas virtuales conectadas una lista de maacutequinas virtuales se rellena
automaacuteticamente
84
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
Visualizacioacuten de puertas de enlace conectadas a un hipervisor
Para ver las puertas de enlace conectadas al hipervisor
1 Elija el iconoGateways detabulador2 En el navegadorGateways conectados una lista de puertas de enlace se rellena automaacuteticamente
Conexioacuten de un hipervisor a puertas de enlace adicionalesLas velocidades de backup y restauracioacuten pueden verse limitadas por el ancho de banda de la conexioacutenentre la puerta de enlace y el hipervisor Puede aumentar estas velocidades conectando una o variaspuertas de enlace adicionales al hipervisor Puede hacerlo en laGateways conectadosseccioacuten de lasiguiente manera
1 Elija Connect (Conectar)2 Seleccione otra gateway utilizando el menuacute desplegable O bien elijaCrear gatewaypara crear una
nueva puerta de enlace3 Elija Connect (Conectar)
Edicioacuten de una configuracioacuten de hipervisorSi no utiliza elComprobacioacuten de la conexioacuten de gateway puede agregar un hipervisor con un nombre deusuario o contrasentildea incorrectos En ese caso el estado de conexioacuten del hipervisor siempre esPendingAlternativamente puede rotar el nombre de usuario o la contrasentildea para acceder al hipervisor Actualiceesta informacioacuten mediante el procedimiento siguiente
Para editar el nombre de usuario o la contrasentildea para conectarse a un hipervisor ya agregado
1 En el panel de navegacioacuten izquierdo en elRecursos externosseccioacuten elijaHypervisor2 En el navegadorHypervisor elija un hipervisor por suNombre del hipervisorpara ir a la paacutegina de
detalles3 Elija Edit (Editar)4 Introduzca el hipervisorUsername (Nombre de usuario)yContrasentildea
Eliminacioacuten de una configuracioacuten de hipervisorSi necesita quitar un hipervisor ya agregado o cambiar su nombre direccioacuten IP o FQDN elimine laconfiguracioacuten del hipervisor y agregue otro Esta operacioacuten de eliminacioacuten se aplica a la configuracioacuten paraconectarse al hipervisor No elimina el hipervisor
Para eliminar la configuracioacuten para conectarse a un hipervisor ya agregado
1 En el panel de navegacioacuten izquierdo en elRecursos externosseccioacuten elijaHypervisor2 En el navegadorHypervisor elija un hipervisor por suNombre del hipervisorpara ir a la paacutegina de
detalles3 ElegirRemovey despueacutesEliminar hipervisor4 Opcional sustituya la configuracioacuten del hipervisor eliminado mediante el procedimiento paraAdicioacuten de
un hipervisor (p 84)
Descripcioacuten del estado del hipervisorA continuacioacuten se describen cada uno de los posibles estados del hipervisor y si procede los pasos decorreccioacuten LaONLINEstatus es el estado normal del hipervisor El estado de un hipervisor debe tener
85
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
este estado la totalidad o la mayor parte del tiempo que se esteacute usando para la copia de seguridad y larecuperacioacuten de las VM administradas por el hipervisor
Estados de hipervisor
Estado Significado y remediacioacuten
ONLINE Ha agregado un hipervisor aAWS Backupasociado a ella una puerta de enlace y puedeconectarse con esa puerta de enlace a traveacutesde la red para realizar copias de seguridad yrecuperacioacuten de maacutequinas virtuales administradaspor el hipervisor
Puedes realizarcopias de seguridad programadasy bajo demandade esas maacutequinas virtuales encualquier momento
PENDING Ha agregado un hipervisor aAWS Backuppero
bull No estaacute asociado a ninguna puerta de enlace obull Estaacute asociado a una o varias puertas de enlace
pero todas esas puertas de enlace se haneliminado o no estaacuten activas de otro modo
Para cambiar el estado de un hipervisordesdePENDINGaONLINEcrear una puerta deenlaceyconectar el hipervisor a esa puerta deenlace
OFFLINE Ha agregado un hipervisor aAWS Backupy loasocioacute a una puerta de enlace pero la puerta deenlace no puede conectarse al hipervisor a traveacutesde la red
Para cambiar el estado de un hipervisordesdeOFFLINEaONLINE verifique la exactitud desuconfiguracioacuten de red
Si el problema persiste compruebe que ladireccioacuten IP o el nombre de dominio completo delhipervisor sean correctos Si son incorrectosvuelvaa agregar el hipervisor utilizando la informacioacutencorrecta y pruebe la conexioacuten de la puerta deenlace
ERROR Ha agregado un hipervisor aAWS Backupy loasocioacute a una puerta de enlace pero la puerta deenlace no puede comunicarse con el hipervisor
Para cambiar el estado de un hipervisordesdeERRORaONLINE compruebe que el nombrede usuario y la contrasentildea del hipervisor seancorrectos Si son incorrectoseditar la configuracioacutendel hipervisor
Pasos siguientes
86
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
Para hacer copias de seguridad de maacutequinas virtuales en el hipervisor consulteCopia de seguridad demaacutequinas virtuales (p 87)
Copia de seguridad de maacutequinas virtualesDespueacutesAdicioacuten de un hipervisor (p 84) Backup gateway enumera automaacuteticamente las maacutequinasvirtuales Puede ver sus maacutequinas virtuales eligiendo cualquiera de lasHypervisoroMaacutequinas virtualesEn elpanel de navegacioacuten izquierdo
bull ElegirHypervisorpara ver solo las maacutequinas virtuales administradas por un hipervisor especiacutefico Conesta vista puede trabajar con una maacutequina virtual a la vez
bull ElegirMaacutequinas virtualespara ver todas las maacutequinas virtuales de todos los hipervisores que haagregado a suCuenta de AWS Con esta vista puede trabajar con algunas o todas sus maacutequinasvirtuales en varios hipervisores
Independientemente de la vista que elija para realizar una operacioacuten de copia de seguridad en unamaacutequina virtual especiacutefica elija suNombre de la maacutequina virtualpara abrir su paacutegina de detalles La paacuteginade detalles de la maacutequina virtual es el punto de partida de los siguientes procedimientos
Creacioacuten de una copia de seguridad bajo demanda de una maacutequina virtual
Unbajo demandaLa copia de seguridad es una copia de seguridad completa y uacutenica que iniciamanualmente Puede utilizar copias de seguridad bajo demanda para probarAWS Backupcapacidades decopia de seguridad y restauracioacuten
Para crear una copia de seguridad bajo demanda de una maacutequina virtual
1 Elija Create on-demand backup (Crear copia de seguridad bajo demanda)2 Configuracioacuten del backup bajo demanda3 Elija Create on-demand backup (Crear copia de seguridad bajo demanda)4 Comprueba cuaacutendo tu trabajo de copia de seguridad tiene el estadoCompleted En el menuacute de
navegacioacuten izquierdo elijaTrabajos5 Elija el iconoID de Job de backuppara ver la informacioacuten del trabajo de copia de seguridad como
laTamantildeo Backupy el tiempo transcurrido entre elFecha de creacioacutenyFecha de finalizacioacuten
Automatizacioacuten de copias de seguridad de maacutequinas virtuales mediante laasignacioacuten de recursos a un plan de copia de seguridad
UNAun plan de copiases una poliacutetica de proteccioacuten de datos definida por el usuario que automatiza laproteccioacuten de datos en muchosAWSservicios y aplicaciones de terceros En primer lugar cree su plan debackup especificando su frecuencia de backup periacuteodo de retencioacuten poliacutetica de ciclo de vida y muchasotras opciones Para crear un plan de copias de seguridad consulte Tutorial de introduccioacuten
Despueacutes de crear el plan de copia de seguridad asignasAWS Backup-recursos compatibles incluidasmaacutequinas virtuales para ese plan de backupAWS BackupOffermuchas formas de asignar recursosincluida la asignacioacuten de todos los recursos de su cuenta incluidos o excluidos recursos especiacuteficosindividuales o agregar recursos con determinadas etiquetas
Ademaacutes de sus funciones de asignacioacuten de recursos existentesAWS Backupsoporte para maacutequinasvirtuales presenta varias caracteriacutesticas nuevas que le ayudan a asignar raacutepidamente maacutequinas virtuales alos planes de backup Desde lasMaacutequinas virtuales puede asignar etiquetas a varias maacutequinas virtuales outilizar la nuevaAsignar recursos para planificarcaracteriacutestica Utilice estas caracteriacutesticas para asignar lasmaacutequinas virtuales ya descubiertas porAWS Backupgateway de
87
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
Si preveacute descubrir y asignar maacutequinas virtuales adicionales en el future y desea automatizar el paso deasignacioacuten de recursos para incluir esas maacutequinas virtuales future utilice la nuevaCrear asignacioacuten degrupocaracteriacutestica
Asignacioacuten de maacutequinas virtuales mediante etiquetas
Puede asignar las maacutequinas virtuales detectadas actualmente porAWS Backup junto con otrosAWSBackuprecursos asignaacutendoles una etiqueta que ya ha asignado a uno de sus planes de backup existentesTambieacuten puede crear unnuevo plan de copia de seguridady un nuevoasignacioacuten de recursos basada enetiquetas Los planes de Backup comprueban los recursos recieacuten asignados cada vez que ejecutan untrabajo de copia de seguridad
Para etiquetar varias maacutequinas virtuales con la misma etiqueta
1 En el panel de navegacioacuten izquierdo elijaMaacutequinas virtuales2 Seleccione la casilla de verificacioacuten situada al lado deNombre de la maacutequina virtualpara elegir todas
sus maacutequinas virtuales Si lo desea seleccione la casilla de verificacioacuten situada junto a los nombres deVM que desee etiquetar
3 Elija Add tags (Antildeadir etiquetas)4 Escriba una etiquetaClave5 Recomendado escriba una etiquetaValor6 Elija Confirm
Asignacioacuten de maacutequinas virtuales mediante la funcioacuten Asignar recursos al plan
Puede asignar maacutequinas virtuales detectadas actualmente porAWS Backupa un plan de copias deseguridad existente o nuevo mediante elAsignar recursos para planificarcaracteriacutestica
Para asignar maacutequinas virtuales mediante la funcioacuten Asignar recursos al plan
1 En el panel de navegacioacuten izquierdo elijaMaacutequinas virtuales2 Seleccione la casilla de verificacioacuten situada al lado deNombre de la maacutequina virtualpara elegir todas
sus maacutequinas virtuales Tambieacuten puede seleccionar la casilla de verificacioacuten situada junto a variosnombres de VM para asignarlos al mismo plan de copia de seguridad
3 ElegirAsignacionesy despueacutesAsignar recursos para planificar4 Escriba unNombre de asignacioacuten de recursos5 Elija una asignacioacuten de recursosRol de IAMpara crear copias de seguridad y administrar puntos
de recuperacioacuten Si no tiene una funcioacuten especiacutefica de IAM que utilizar le recomendamos queRolpredeterminadoque tiene los permisos correctos
6 En el navegadorPlan de copias de seguridad elija una existentePlan de copias de seguridadde lalista desplegable O bien elijaCrear plan de copias de seguridadPara crear un nuevo plan de copia deseguridad
7 ElegirAsignacioacuten de recursos8 Opcional Verifique que sus maacutequinas virtuales esteacuten asignadas a un plan de copia de seguridad
eligiendoVer plan Backup Luego en elAsignaciones de recursos elija la asignacioacuten derecursosNombre
Asignacioacuten de maacutequinas virtuales mediante la funcioacuten Crear asignacioacuten de grupo
A diferencia de las dos funciones de asignacioacuten de recursos anteriores para maacutequinas virtuales elCrearasignacioacuten de grupono solo asigna maacutequinas virtuales descubiertas actualmente porAWS Backup sinotambieacuten maacutequinas virtuales descubiertas en el future en una carpeta o hipervisor que defina
88
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de maacutequinas virtuales
Ademaacutes no necesita seleccionar ninguna casilla de verificacioacuten para utilizar elCrear asignacioacuten degrupocaracteriacutestica
Para asignar maacutequinas virtuales mediante la funcioacuten Asignar recursos al plan
1 En el panel de navegacioacuten izquierdo elijaMaacutequinas virtuales2 ElegirAsignacionesy despueacutesCrear asignacioacuten de grupo3 Escriba unNombre de asignacioacuten de recursos4 Elija una asignacioacuten de recursosRol de IAMpara crear copias de seguridad y administrar puntos
de recuperacioacuten Si no tiene una funcioacuten especiacutefica de IAM que utilizar le recomendamos queRolpredeterminadoque tiene los permisos correctos
5 En el navegadorGrupo de recursos seleccione laTipo de grupomenuacute desplegable Tus opcionessonCarpetaoHypervisor
a ElegirCarpetapara asignar todas las maacutequinas virtuales de una carpeta de un hipervisorSeleccione una carpetaGroup name como por ejemplodatacentervm utilizando el menuacutedesplegable Tambieacuten puede elegir incluirSubcarpetas
Note
Para realizar asignaciones basadas en carpetas durante el proceso dedescubrimientoAWS Backupetiqueta maacutequinas virtuales con la carpeta en la que lasencuentra durante el proceso de deteccioacuten Si posteriormente mueve una maacutequinavirtual a otra carpetaAWS Backupno se puede actualizar la etiqueta por ti debidoaAWSpraacutecticas recomendadas para el etiquetado Este meacutetodo de asignacioacuten podriacutea darlugar a seguir realizando copias de seguridad de las maacutequinas virtuales que ha sacadode la carpeta asignada
b ElegirHypervisorpara asignar todas las maacutequinas virtuales administradas por un hipervisorSeleccione un ID de hipervisorGroup nameutilizando el menuacute desplegable
6 En el navegadorPlan de copias de seguridad elija una existentePlan de copias de seguridadde lalista desplegable O bien elijaCrear plan de copias de seguridadPara crear un nuevo plan de copia deseguridad
7 ElegirCrear asignacioacuten de grupo8 Opcional verifique que sus maacutequinas virtuales esteacuten asignadas a un plan de copia de seguridad
seleccionandoVer plan Backup En el navegadorAsignaciones de recursos elija la asignacioacuten derecursosNombre
Pasos siguientes
Para restaurar una maacutequina virtual consulteRestaurar una maacutequina virtual (p 113)
Informacioacuten sobre componentes de origen de terceros para lapuerta de enlace de respaldoEn esta seccioacuten encontraraacute informacioacuten sobre las herramientas y licencias de terceros de las que dependela funcionalidad de gateway de Backup de seguridad
El coacutedigo fuente de algunos componentes de software de origen de terceros que se incluyen con elsoftware de gateway de Backup de seguridad estaacute disponible para su descarga en las siguientesubicaciones
bull Para gateways implementadas en VMware ESXi descarguesourcestag
Este producto incluye software desarrollado por el proyecto OpenSSL para su uso en OpenSSL Toolkit(httpwwwopensslorg)
89
AWS Backup Guiacutea para desarrolladoresBackup avanzado de DynamoDB
Este producto incluye software desarrollado por VMwarereg vSphere Software Development Kit (httpswwwvmwarecom)
Para obtener las licencias pertinentes para todas las herramientas de terceros dependientesconsulteLicencias de terceros
Componentes de coacutedigo abierto paraAWSDispositivoSe utilizan varias herramientas y licencias de terceros para ofrecer funcionalidad para Backup gateway
Utilice los siguientes enlaces para descargar el coacutedigo fuente de algunos componentes de software decoacutedigo abierto que se incluyen conAWSSoftware para dispositivos
bull Para gateways implementadas en VMware ESXi descargue sourcestar
Este producto incluye software desarrollado por el proyecto OpenSSL para su uso en OpenSSL Toolkit(httpwwwopensslorg) Para obtener las licencias pertinentes para todas las herramientas de tercerosdependientes consulteLicencias de terceros
Backup avanzado de DynamoDBAWS Backupadmite funciones avanzadas adicionales para sus necesidades de proteccioacuten de datosde Amazon DynamoDB Despueacutes de habilitarAWS Backupfunciones avanzadas en tuRegioacuten de AWSdesbloquea las siguientes caracteriacutesticas para todas las nuevas copias de seguridad de tablas deDynamoDB que cree
bull Ahorro de costes y optimizacioacutenbull Organizacioacuten de copias de seguridad en niveles en almacenamiento en friacuteoPara reducir los costos de
almacenamientobull Etiquetado de asignacioacuten de costes para usar con Cost Explorer
bull Continuidad del negociobull Copia entre regionesbull Copias entre cuentas
bull Seguridadbull Almacenar copias de seguridad en cifradoAWS Backupalmacenes que puedes asegurar conAWS
BackupBloqueo de almacenes deAWS BackupPoliacuteticas de yclaves de cifradobull Las copias de seguridad heredan etiquetas de sus tablas de DynamoDB de origen lo que le permite
utilizar esas etiquetas para establecer permisos ypoliacuteticas de control de servicios (SCP)
Nuevos clientes que se incorporan aAWS Backupdespueacutes de noviembre de 2021 han habilitado lasfunciones avanzadas de backup de DynamoDB de forma predeterminada Especiacuteficamente las funcionesavanzadas de backup de DynamoDB estaacuten habilitadas de forma predeterminada para los clientes que nohan creado un almaceacuten de copias de seguridad antes del 21 de noviembre de 2021
Recomendamos todos los existentesAWS Backuplos clientes habilitan funciones avanzadas paraDynamoDB No hay diferencia en los precios del almacenamiento de backup en caliente despueacutes dehabilitar funciones avanzadas Puede ahorrar dinero organizando copias de seguridad en niveles enalmacenamiento en friacuteo y optimizando los costes mediante etiquetas de asignacioacuten de costes Tambieacutenpuedes empezar a aprovecharAWS Backupcaracteriacutesticas de seguridad y continuidad del negocio
Note
Si utiliza un rol o una poliacutetica personalizados en lugar deAWS Backupdel rol de serviciopredeterminado debe agregar o utilizar las siguientes poliacuteticas de permisos (o agregar suspermisos equivalentes) a su rol personalizado
90
AWS Backup Guiacutea para desarrolladoresBackup avanzado de DynamoDB
bull AWSBackupServiceRolePolicyForBackuppara realizar copias de seguridad avanzadas deDynamoDB
bull AWSBackupServiceRolePolicyForRestorespara restaurar copias de seguridadavanzadas de DynamoDB
Para obtener maacutes informacioacutenAWS-poliacuteticas gestionadas y vea ejemplos de poliacuteticasadministradas por el cliente consultePoliacuteticas administradas de AWS Backup (p 190)
Temasbull Habilitacioacuten del backup avanzado de DynamoDB mediante la consola (p 91)bull Habilitacioacuten de backup avanzado de DynamoDB mediante programacioacuten (p 91)bull Edicioacuten de una copia de seguridad avanzada de DynamoDB (p 92)bull Restauracioacuten de una copia de seguridad avanzada de DynamoDB (p 93)bull Eliminacioacuten de una copia de seguridad avanzada de DynamoDB (p 93)bull Otros beneficios de fullAWS Backupadministracioacuten cuando habilita la copia de seguridad avanzada de
DynamoDB (p 93)
Habilitacioacuten del backup avanzado de DynamoDB mediante laconsolaPuedes habilitarAWS Backupfunciones avanzadas para copias de seguridad de DynamoDB medianteelAWS Backupo consola de DynamoDB
Para habilitar las funciones avanzadas de backup de DynamoDB desde elAWS BackupConsolade
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el menuacute de navegacioacuten izquierdo elijaConfiguracioacuten3 En elServicios de compatiblesseccioacuten verifique queDynamoDBesEnabled (Habilitado)
Si no lo es elijaInscripcioacuteny habilita DynamoDB comoAWS Backupservicio de compatible4 En elFunciones avanzadas para copias de seguridad de DynamoDBseccioacuten elijaHabilitar5 Elija Enable features (Habilitar caracteriacutesticas)
Obtenga informacioacuten sobre coacutemo habilitarAWS Backupfunciones avanzadas mediante la consola deDynamoDB consulteHabilitacioacutenAWS BackupCaracteriacutesticas deen laGuiacutea del usuario de AmazonDynamoDB
Habilitacioacuten de backup avanzado de DynamoDB medianteprogramacioacutenTambieacuten puede habilitarAWS Backupfunciones avanzadas para copias de seguridad de DynamoDBmediante elAWS Command Line Interface(CLI) Habilita las copias de seguridad avanzadas de DynamoDBcuando establece los dos valores siguientes entrue
Para habilitar mediante programacioacutenAWS Backupfunciones avanzadas para copias de seguridadde DynamoDB
1 Comprueba si ya has habilitadoAWS Backupfunciones avanzadas para DynamoDB mediante elsiguiente comando
91
AWS Backup Guiacutea para desarrolladoresBackup avanzado de DynamoDB
$ aws backup describe-region-settings
SiDynamoDBtruebajoambosResourceTypeManagementPreferenceyResourceTypeOptInPreference ya hahabilitado la copia de seguridad avanzada de DynamoDB
Si al igual que el siguiente resultado tiene al menos una instancia deDynamoDBfalse auacuten no hahabilitado la copia de seguridad avanzada de DynamoDB continuacutee en el paso siguiente
ResourceTypeManagementPreference DynamoDBfalse EFStrue ResourceTypeOptInPreference Auroratrue DocumentDBfalse DynamoDBfalse EBStrue EC2true EFStrue FSxtrue Neptunefalse RDStrue Storage Gatewaytrue
2 Utilice lo siguienteUpdateRegionSettingsoperacioacuten para configurarambosResourceTypeManagementPreferenceyResourceTypeOptInPreferenceaDynamoDBtrue
aws backup update-region-settings --resource-type-opt-in-preference DynamoDB=true --resource-type-management-preference DynamoDB=true
Edicioacuten de una copia de seguridad avanzada de DynamoDBCuando crea una copia de seguridad de DynamoDB despueacutes de habilitarAWS Backupfuncionesavanzadas puedes usarAWS Backupa
bull Copiar una copia de seguridad entre regionesbull Copiar una copia de seguridad entre cuentasbull Cambiar cuandoAWS Backupcapas de una copia de seguridad en almacenamiento en friacuteobull Etiqueta la copia de seguridad
Para utilizar esas funciones avanzadas en una copia de seguridad existente consulteEdicioacuten de una copiade seguridad
Si maacutes tarde deshabilitasAWS Backupfunciones avanzadas para DynamoDB puede seguir realizandoesas operaciones en las copias de seguridad de DynamoDB que creoacute durante el periacuteodo de tiempo en quehabilitoacute las funciones avanzadas
92
AWS Backup Guiacutea para desarrolladoresBackup avanzado de DynamoDB
Restauracioacuten de una copia de seguridad avanzada deDynamoDBPuede restaurar las copias de seguridad de DynamoDB realizadas conAWS Backupfunciones avanzadashabilitadas de la misma manera que restaura las copias de seguridad de DynamoDB realizadas antes dehabilitarAWS Backupcaracteriacutesticas avanzadas Puede realizar una restauracioacuten utilizando cualquiera delos dosAWS Backupo DynamoDB
Puede especificar coacutemo cifrar la tabla recieacuten restaurada con las siguientes opciones
bull Al restaurar en la misma regioacuten que la tabla original puede especificar opcionalmente una clavede cifrado para la tabla restaurada Si no especifica una clave de cifradoAWS Backupcifraraacuteautomaacuteticamente la tabla restaurada utilizando la misma clave que cifroacute la tabla original
bull Al restaurar en una regioacuten distinta a la tabla original debe especificar una clave de cifrado
Para restaurar medianteAWS Backup consulteRestauracioacuten de una tabla de AmazonDynamoDB (p 122)
Para restaurar mediante DynamoDB consulteRestauracioacuten de una tabla de DynamoDB a partir de unacopia de seguridaden laGuiacutea del usuario de Amazon DynamoDB
Eliminacioacuten de una copia de seguridad avanzada de DynamoDBNo se pueden eliminar las copias de seguridad creadas con estas funciones avanzadas de DynamoDBSe debe utilizarAWS Backupeliminar copias de seguridad para mantener la coherencia global a lo largo desuAWSentorno de
Para eliminar una copia de seguridad de DynamoDB consulteEliminacioacuten de copias deseguridad (p 109)
Otros beneficios de fullAWS Backupadministracioacuten cuandohabilita la copia de seguridad avanzada de DynamoDBCuando habilitasAWS Backupfunciones avanzadas para DynamoDB proporciona una administracioacutencompleta de sus copias de seguridad de DynamoDB aAWS Backup Al hacerlo se obtienen los siguientesbeneficios adicionales
Cifrado
AWS Backupcifra automaacuteticamente las copias de seguridad con la clave KMS de su destinoAWSBackupalmaceacuten Anteriormente se cifraban utilizando el mismo meacutetodo de cifrado de la tabla DynamoDBde origen Esto aumenta el nuacutemero de defensas que puedes usar para proteger tus datos Para obtenermaacutes informacioacuten consulte Cifrado de copias de seguridad enAWS Backup (p 177)
nombre de recurso de Amazon (ARN)
El espacio de nombres de servicio de cada ARN de backup esawsbackup Anteriormente el espaciode nombres del servicio eradynamodb Dicho de otro modo el principio de cada ARN cambiaraacutedearnawsdynamodbaarnawsbackup ConsulteFormato de ARNen laAWSReferencia generaldepara obtener maacutes informacioacuten
Con este cambio usted o su administrador de copias de seguridad pueden crear poliacuteticas de accesopara las copias de seguridad mediante elawsbackupespacio de nombres de servicio que ahora seaplica a las copias de seguridad de DynamoDB creadas despueacutes de habilitar las funciones avanzadas
93
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad de Windows VSS
Mediante el uso de laawsbackupespacio de nombres de servicio tambieacuten puede aplicar poliacuteticas a otrascopias de seguridad realizadas porAWS Backup Para obtener maacutes informacioacuten consulte Control deacceso (p 183)
Ubicacioacuten de los cargos en el extracto de facturacioacuten
Los cargos por las copias de seguridad (incluido el almacenamiento las transferencias de datos lasrestauraciones y la eliminacioacuten anticipada) aparecen en laquoBackupraquo en suAWSfactura Anteriormente loscargos apareciacutean en laquoDynamoDBraquo en su factura
Este cambio garantiza que puedas usarAWS Backupfacturacioacuten para supervisar de forma centralizadalos costos de las copias de seguridad Para obtener maacutes informacioacuten consulte Medicioacuten costes yfacturacioacuten (p 16)
Creacioacuten de copias de seguridad de Windows VSSconAWS Backup puede realizar copias de seguridad y restaurar aplicaciones de Windows habilitadaspara VSS (Volume Shadow Copy Service) que se ejecutan en instancias de Amazon EC2 Si la aplicacioacutentiene un escritor VSS registrado con Windows VSS entoncesAWS Backupcrea una instantaacutenea que seraacutecoherente para esa aplicacioacuten Puede realizar restauraciones coherentes mientras utiliza el mismo serviciode backup administrado que se utiliza para proteger a otrosAWSde AWS Con las copias de seguridadde Windows coherentes con las aplicaciones en EC2 obtiene la misma configuracioacuten de coherencia yconocimiento de las aplicaciones que las herramientas de backup tradicionales
Note
AWS Backupactualmente solo admite copias de seguridad coherentes con las aplicaciones de losrecursos que se ejecutan en Amazon EC2 No todos los tipos de instancias o aplicaciones soncompatibles con las copias de seguridad de Windows VSS
Para obtener maacutes informacioacuten consulteCreacioacuten de una instantaacutenea coherente con la aplicacioacuten de VSSenlaGuiacutea del usuario de Amazon EC2 para instancias de Windows
Para realizar copias de seguridad y restaurar los recursos de Windows habilitados para VSS que ejecutanAmazon EC2 siga estos pasos
bull Complete las tareas de requisitos previos requeridas Para obtener instrucciones consulteAntes decomenzaren laGuiacutea del usuario de Amazon EC2 para instancias de Windows
bull Descargue instale y configure el agente de VSS enAWS Systems Manager Este paso es necesarioPara obtener instrucciones consulteActualizacioacuten del agente de SSM utilizando Run CommandenlaAWSGuiacutea del usuario de Systems Manager
bull Agregue una poliacutetica de IAM al rol de IAM y adjunte el rol a la instancia de Amazon EC2 antes de realizarla copia de seguridad de Windows VSS (Volume Shadow Copy Service) Para obtener instruccionesconsulteCrear un rol de IAM para instantaacuteneas compatibles con VSSen laGuiacutea del usuario de AmazonEC2 para instancias de Windows Para obtener un ejemplo de la poliacutetica de IAM consultePoliacuteticasadministradas (p 190)
bull Habilitar VSS enAWS Backup
Para habilitar la copia de seguridad de Windows VSS enAWS Backup
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de control elija el tipo de copia de seguridad que desee crearCree una copia de
seguridad bajo demandaoGestionar planes Backup Proporcione la informacioacuten necesaria para sutipo de copia de seguridad
3 Cuando vaya a asignar recursos elijaEC2 Actualmente la copia de seguridad de Windows VSSsolo se admite para instancias EC2
94
AWS Backup Guiacutea para desarrolladoresCreacioacuten de copias de seguridad coherentes frentea bloqueos en varios voluacutemenes de Amazon EBS
4 En el navegadorConfiguracioacuten avanzadaseccioacuten elijaWindows VSS Esto le permite realizar copiasde seguridad de Windows VSS coherentes con las aplicaciones
5 Cree su copia de seguridad
Instancias de Amazon EC2 no compatiblesLos siguientes tipos de instancias de Amazon EC2 no se admiten para las copias de seguridad deWindows habilitadas para VSS porque son instancias pequentildeas y es posible que no se realicencorrectamente la copia de seguridad
bull t3nanobull t3microbull t3ananobull t3amicrobull t2nanobull t2micro
Creacioacuten de copias de seguridad coherentes frente abloqueos en varios voluacutemenes de Amazon EBSPor defectoAWS Backupcrea copias de seguridad coherentes con errores de voluacutemenes de AmazonEBS que estaacuten adjuntados a una instancia de Amazon EC2 La coherencia de fallos significa que lasinstantaacuteneas de cada volumen de Amazon EBS adjunto a la misma instancia de Amazon EC2 se tomanexactamente en el mismo momento Ya no tiene que detener las instancias ni coordinar entre variosvoluacutemenes de Amazon EBS para garantizar la coherencia de errores del estado de la aplicacioacuten
Dado que las instantaacuteneas coherentes frente a bloqueos en varios voluacutemenes son predeterminadasAWSBackupfuncionalidad no necesita hacer nada diferente para usar esta funcioacuten Puede crear copias deseguridad de los voluacutemenes de Amazon EBS utilizando alguno de los procedimientos siguientes
bull Cree una copia de seguridad bajo demandabull Crear una copia de seguridad programada
Para restaurar los voluacutemenes de Amazon EBS siga los pasos deRestauracioacuten de un volumen de AmazonEBS
Copia de etiquetas en las copias de seguridadEn generalAWS Backupcopia etiquetas de los recursos que protege en suPuntos de recuperacioacuten Nocopia etiquetas de tus puntos de recuperacioacuten en turecursos restaurados
Por ejemplo cuando realiza una copia de seguridad de un volumen de Amazon EC2AWS Backupcopiasus etiquetas de recursos individuales y de grupo en la instantaacutenea resultante con sujecioacuten a lo siguiente
bull Para obtener una lista de permisos especiacuteficos de recursos que son necesarios para guardar etiquetasde metadatos en copias de seguridad consultePermisos necesarios para asignar etiquetas a copias deseguridad (p 187)
bull Las etiquetas asociadas originalmente a un recurso y las etiquetas asignadas durante la copia deseguridad se asignan a los puntos de recuperacioacuten guardados en un almaceacuten de copias de seguridad
95
AWS Backup Guiacutea para desarrolladoresDetener un trabajo de copia de seguridad
hasta un maacuteximo de 50 (esto esAWSlimitacioacuten) Las etiquetas asignadas durante la copia de seguridadtienen prioridad y ambos conjuntos de etiquetas se copian en orden alfabeacutetico
bull DynamoDB no admite la asignacioacuten de etiquetas a copias de seguridad a menos que activeprimeroBackup avanzado de DynamoDB (p 90)
bull Los voluacutemenes de Amazon EBS que se adjuntan a instancias de Amazon EC2 son recursos anidadosLas etiquetas de los voluacutemenes de Amazon EBS que se adjuntan a las instancias de Amazon EC2 sonetiquetas anidadasAWS Backupintenta copiar etiquetas anidadas pero si no tiene eacutexito crea una copiade seguridad sin ellas e informaEstado Completed
bull Cuando una copia de seguridad de Amazon EC2 crea un punto de recuperacioacuten de imaacutegenes y unconjunto de instantaacuteneasAWS Backupcopia las etiquetas en la AMI de obtenidaAWS Backuptambieacutenintenta copiar las etiquetas de los voluacutemenes asociados a la instancia de Amazon EC2 a lasinstantaacuteneas resultantes
Si copia la copia de seguridad en otroRegioacuten de AWSAWS Backupcopiaraacute todas las etiquetas de la copiade seguridad original en el destinoRegioacuten de AWS
Detener un trabajo de copia de seguridadPuede detener un trabajo de copia de seguridad en AWS Backup despueacutes de que se haya iniciado Alhacerlo la copia de seguridad no se crea y el registro del trabajo de copia de seguridad se conserva con elestado aborted (anulado)
Para detener un trabajo de copia de seguridad utilizando elAWS Backupconsola
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola dehttpsconsoleawsamazoncombackup
2 En el panel de navegacioacuten de la izquierda elija Jobs (Trabajos)3 Elija el trabajo de copia de seguridad que desea detener4 En el panel de detalles del trabajo de copia de seguridad elija Stop (Detener)
Copia de un backupPuede copiar copias de seguridad en variosCuentas de AWSoRegiones de AWSbajo demanda o deforma automaacutetica como parte de un plan programado Tambieacuten puede automatizar una secuencia decopias entre cuentas y regiones para la mayoriacutea de los recursos compatibles excepto Amazon RDSy Aurora Para las instantaacuteneas de Amazon RDS y AuroraAWS Backupsolo es compatible con laautomatizacioacutentampocoentre cuentasoCopias entre regiones debido a coacutemo estos servicios crean susclaves de cifrado
Las copias conservan su configuracioacuten de origen incluidas las fechas de creacioacuten y las fechas decaducidad a menos que especifique lo contrario La fecha de caducidad del origen y la copia hacenreferencia a la fecha de creacioacuten del origen no a la fecha de creacioacuten de la copia
NOTA La configuracioacuten de origen anula la configuracioacuten de caducidad de su copia incluso si la copia estaacuteconfigurada para no caducar nunca una copia configurada para no caducar nunca conservaraacute la fecha decaducidad de su origen
Si desea que las copias de seguridad nunca venzan configure las copias de seguridad de origen para quenunca venzan o especifique que la copia venza 100 antildeos despueacutes de su creacioacuten
Temasbull Creacioacuten de copias de seguridad en todosRegiones de AWS (p 97)
96
AWS Backup Guiacutea para desarrolladoresBackup entre regiones
bull Creacioacuten de copias de seguridad en todosAWScuentas (p 99)
Creacioacuten de copias de seguridad en todosRegionesde AWSUso deAWS Backup puede copiar copias de seguridad en variosRegiones de AWSbajo demanda o deforma automaacutetica como parte de un plan programado La replicacioacuten entre regiones resulta especialmenteuacutetil si hay requisitos de continuidad del negocio o de conformidad que exigen que las copias de seguridaddeben almacenarse a una distancia miacutenima de los datos de produccioacuten Para ver un tutorial en viacutedeoconsulteAdministracioacuten de copias de seguridad entre regiones
Al copiar una copia de seguridad en un nuevoRegioacuten de AWSpor primera vezAWS Backupcopia la copiade seguridad en su totalidad En general si un servicio admite copias de seguridad incrementales lassiguientes copias de seguridad en el mismoRegioacuten de AWSseraacute incrementalAWS Backupvolveraacute a cifrarsu copia utilizando la clave administrada por el cliente de su almaceacuten de destino
Una excepcioacuten es Amazon EBSque declara laquosi se cambia el estado de cifrado de una instantaacuteneadurante una operacioacuten de copia se traduce en una copia completa (no incremental)raquo
MaacutesAWS Backup-compatibles con los recursos compatibles con la copia de seguridad entre regionesPara obtener informacioacuten detallada consulte la seccioacuten deDisponibilidad de caracteriacutesticas porrecurso (p 2)table
MaacutesAWSLas regiones admiten copias de seguridad entre regiones Para obtener informacioacuten detalladaconsulte la seccioacuten deDisponibilidad de caracteriacutesticas porRegioacuten de AWS (p 3)table
Realizar copias de seguridad entre regiones bajo demandaPara replicar una copia de seguridad existente bajo demanda
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 Elija Almacenes de Backup3 Elija el almaceacuten que contiene el punto de recuperacioacuten que desee copiar4 En el navegadorCopias de seguridad de seleccione un punto de recuperacioacuten para copiar5 Uso deActionsbotoacuten desplegable eligeCopia6 Escriba los siguientes valores
Copiar en destino
Elija el destinoRegioacuten de AWSpara la copia Puede agregar una nueva regla a cada copia que serealice en un nuevo destino
Almaceacuten Backup de seguridad de
Elija el almaceacuten de copia de seguridad de destino de la copiaTransicioacuten al almacenamiento en friacuteo
Elija cuaacutendo desea transferir la copia de seguridad al almacenamiento en friacuteo Las copias deseguridad que se han migrado al almacenamiento en friacuteo deben permanecer en eacutel durante unmiacutenimo de 90 diacuteas Este valor no se puede modificar una vez que la copia se ha migrado alalmacenamiento en friacuteo
Para ver la lista de recursos que puede pasar al almacenamiento en friacuteo consulte laseccioacuten laquoCiclo de vida a almacenamiento en friacuteoraquo delDisponibilidad de caracteriacutesticas porrecurso (p 2)table La expresioacuten de almacenamiento en friacuteo se ignora para otros recursos
97
AWS Backup Guiacutea para desarrolladoresBackup entre regiones
Periodo de retencioacuten
Elija especifica el nuacutemero de diacuteas que deben transcurrir desde la creacioacuten hasta que se eliminala copia Este valor debe ser 90 diacuteas superior al valor de Transferir al almacenamiento en friacuteoLaSiempreperiodo de retencioacuten conserva su copia indefinidamente
Rol de IAM
Elija el rol de IAM queAWS BackupSe utilizaraacute al crear la copia Ademaacutes el rol tambieacuten debentener AWS Backup incluido como entidad de confianza lo que permite a AWS Backup adoptar elrol Si elige el rol predeterminado de AWS Backup y dicho rol no estaacute presente en la cuenta secrearaacute uno automaacuteticamente con los permisos adecuados
7 Elija Copy
Programacioacuten de la copia de seguridad entre regionesPuede utilizar un plan de backup programado para copiar copias de seguridad enRegiones de AWS
Para copiar una copia de seguridad mediante un plan de backup programado
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 EnMi cuenta eligePlanes de copia de seguridady luego elijaCrear plan Backup3 En la paacuteginaCrear plan Backuppaacutegina elijaConstruye un nuevo plan4 ParaNombre del plan de Backup introduzca un nombre para su plan de copia de seguridad5 En el navegadorConfiguracioacuten de reglas de backup agregue una regla de copia de seguridad que
defina una programacioacuten una ventana de copia de seguridad y las reglas del ciclo de vida Puedeagregar maacutes reglas de copia de seguridad maacutes adelante
a ParaNombre de la regla de backup escriba un nombre para la reglab ParaAlmaceacuten de copias de seguridad elija un almaceacuten de la lista Los puntos de recuperacioacuten de
esta copia de seguridad se guardaraacuten en este almaceacuten Puede crear un nuevo almaceacuten de copiasde seguridad
c ParaBackup frequency (Frecuencia de copia de seguridad) elige con queacute frecuencia quieresrealizar copias de seguridad
d Para los servicios compatibles con PITR si quieres esta funcioacuten eligeHabilitar copias deseguridad continuas para point-in-time recuperacioacuten (PITR) Para obtener una lista de losservicios que admiten PITR consulte la seccioacuten delDisponibilidad de caracteriacutesticas porrecurso (p 2)table
e ParaBackup window eligeUtilizar valores predeterminados de la ventana de respaldo-recomendado Puede personalizar el periodo de copia de seguridad
f ParaCopiar en destino Elija el destinoRegioacuten de AWSpara su copia de seguridad La copia deseguridad se copiaraacute en esta regioacuten Puede agregar una nueva regla a cada copia que se realiceen un nuevo destino A continuacioacuten especifique los siguientes valores
Copiar en la boacuteveda de otra cuenta
No cambies esta opcioacuten Para obtener maacutes informacioacuten sobre la copia entre cuentasconsulteCreacioacuten de copias de seguridad en todosCuentas de AWS
Almaceacuten Backup de seguridad de
Elija el almaceacuten de copias de seguridad en la regioacuten de destino dondeAWS Backupcopiaraacute sucopia de seguridad
98
AWS Backup Guiacutea para desarrolladoresBackup entre cuentas
Si desea crear un nuevo almaceacuten de copias de seguridad para copia entre regioneselijaCreacioacuten de un nuevo almaceacuten Backup de seguridad Escriba la informacioacuten en elasistente A continuacioacuten eligeCrear almaceacuten Backup de seguridad
6 ElegirCrear un plan
Creacioacuten de copias de seguridad entodosAWScuentasUso deAWS Backup puedes hacer copias de seguridad en variosCuentas de AWSbajo demanda o deforma automaacutetica como parte de un plan programado Utilice una copia de seguridad multicuenta si deseacopiar de forma segura sus copias de seguridad en uno o maacutesCuentas de AWSen su organizacioacuten pormotivos operativos o de seguridad Si la copia de seguridad original se elimina accidentalmente puedecopiar la copia de seguridad de su cuenta de destino a su cuenta de origen y a continuacioacuten iniciar larestauracioacuten Para poder hacerlo debe tener dos cuentas que pertenezcan a la misma organizacioacutenen elAWS Organizationsservicioservicio Para obtener maacutes informacioacuten consulteTutorial Creacioacuten yconfiguracioacuten de una organizacioacutenen laGuiacutea del usuario de Organizations
En tu cuenta de destino debes crear un depoacutesito de respaldo A continuacioacuten asigna una claveadministrada por el cliente para cifrar las copias de seguridad en la cuenta de destino y una poliacutetica deacceso basada en recursos para permitirAWS Backuppara acceder a los recursos que quieres copiarEn la cuenta de origen si sus recursos estaacuten cifrados con una clave administrada por el cliente debecompartir esta clave administrada por el cliente con la cuenta de destino A continuacioacuten puede crearun plan de respaldo y elegir una cuenta de destino que forme parte de su unidad organizativa enAWSOrganizations
MaacutesAWS Backup-los recursos compatibles admiten copias de seguridad entre cuentas Para obtenerinformacioacuten detallada consulte la seccioacuten deDisponibilidad de caracteriacutesticas por recurso (p 2)table
MaacutesAWSLas regiones admiten copias de seguridad entre cuentas Para obtener informacioacuten detalladaconsulte la seccioacuten deDisponibilidad de caracteriacutesticas porRegioacuten de AWS (p 3)table
Configuracioacuten del backup entre cuentasiquestQueacute necesita para crear copias de seguridad entre cuentas
bull Una cuenta de origen
La cuenta de origen es la cuenta en la que la produccioacutenAWSlos recursos y las copias de seguridadprincipales residen
El usuario de la cuenta de origen inicia la operacioacuten de copia de seguridad entre cuentas El usuarioo la funcioacuten de la cuenta de origen deben tener los permisos de API adecuados para iniciar laoperacioacuten Los permisos apropiados podriacutean ser elAWSpoliacutetica administradaAWSBackupFullAccessque permite acceso completo aAWS Backupoperaciones o una poliacutetica administrada por el clientecomoec2ModifySnapshotAttribute Para obtener maacutes informacioacuten acerca de ambos tipos depoliacuteticas consulteAWS BackupPoliacuteticas administradas de
bull Una cuenta de destino
La cuenta de destino es la cuenta en la que desea conservar una copia de su copia de seguridad Puedeelegir maacutes de una cuenta de destino La cuenta de destino debe estar en la misma organizacioacuten que lacuenta de origen enAWS Organizations
Debe laquoPermitirraquo la poliacutetica de accesobackupCopyIntoBackupVaultpara su almaceacuten de copiasde seguridad de destino La ausencia de esta poliacutetica denegaraacute los intentos de copiar en la cuenta dedestino
99
AWS Backup Guiacutea para desarrolladoresBackup entre cuentas
bull Una cuenta de administracioacuten enAWS Organizations
La cuenta de administracioacuten es la cuenta principal de su organizacioacuten tal como se define enAWSOrganizations que utiliza para administrar copias de seguridad entre cuentas en suCuentas de AWSPara utilizar copias de seguridad entre cuentas debe habilitar tambieacuten la confianza del servicio Despueacutesde habilitar la confianza del servicio puede utilizar cualquier cuenta de la organizacioacuten como cuenta dedestino Desde su cuenta de destino puede elegir queacute boacutevedas utilizar para realizar copias de seguridadentre cuentas
bull Habilitar copia de seguridad multicuenta en elAWS Backupconsola
Para obtener informacioacuten acerca de la seguridad consulteConsideraciones de seguridad para el backupentre cuentas (p 106)
Para utilizar la copia de seguridad multicuenta debe habilitar la funcioacuten de copia de seguridad multicuentaA continuacioacuten debe laquoPermitirraquo la poliacutetica de accesobackupCopyIntoBackupVaulten su almaceacuten decopias de seguridad de destino
Para habilitar la copia de seguridad entre cuentas
1 Inicie sesioacuten enAWSUso de lasAWS Organizationscredenciales de cuentas de administracioacuten Lacopia de seguridad multicuenta solo se puede habilitar o deshabilitar mediante estas credenciales
2 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup3 EnMi cuenta eligeConfiguracioacuten4 ParaBackup entre cuentas eligeHabilitar5 EnAlmacenes de copias de seguridad elige tu boacuteveda de destino6 En el navegadorPoliacutetica de accesoseccioacuten laquoPermitirraquobackupCopyIntoBackupVault Para ver
un ejemplo seleccioneAntildeada permisosy luegoPermitir el acceso a un almaceacuten Backup de seguridaddesde la organizacioacuten
7 Ahora cualquier cuenta de su organizacioacuten puede compartir el contenido de su almaceacuten de copiasde seguridad con cualquier otra cuenta de su organizacioacuten Para obtener maacutes informacioacuten consulteCompartir un almaceacuten de copias de seguridad con otroAWScuenta (p 103) Para limitar queacute cuentaspueden recibir el contenido de los depoacutesitos de respaldo de otras cuentas consulteConfiguracioacuten detu cuenta como cuenta de destino (p 105)
Programacioacuten de copias de seguridad entre cuentasPuede utilizar un plan de backup programado para copiar copias de seguridad enCuentas de AWS
Para copiar una copia de seguridad mediante un plan de backup programado
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 EnMi cuenta eligePlanes de copia de seguridady luego elijaCrear plan Backup3 En la paacuteginaCrear plan Backuppaacutegina elijaConstruye un nuevo plan4 ParaNombre del plan de Backup introduzca un nombre para su plan de copia de seguridad5 En el navegadorConfiguracioacuten de reglas de backup agregue una regla de copia de seguridad que
defina una programacioacuten una ventana de copia de seguridad y las reglas del ciclo de vida Puedeagregar maacutes reglas de copia de seguridad maacutes adelante
ParaNombre de la regla escriba un nombre para la regla6 En el navegadorScheduleseccioacuten enFrecuencia elija la frecuencia con la que desea que se realice la
copia de seguridad7 ParaBackup window eligeUtilizacioacuten predeterminada de la ventana de copia de
seguridad(recomendado) Puede personalizar el periodo de copia de seguridad
100
AWS Backup Guiacutea para desarrolladoresBackup entre cuentas
8 ParaAlmaceacuten de copias de seguridad elija un almaceacuten de la lista Los puntos de recuperacioacuten deesta copia de seguridad se guardaraacuten en este almaceacuten Puede crear un nuevo almaceacuten de copias deseguridad
9 En el navegadorGenerar copia - opcional introduzca los siguientes valores
Regioacuten de destino
Elija el destinoRegioacuten de AWSpara su copia de seguridad La copia de seguridad se copiaraacute enesta regioacuten Puede agregar una nueva regla a cada copia que se realice en un nuevo destino
Copiar en la boacuteveda de otra cuenta
Alterna para elegir esta opcioacuten La opcioacuten se vuelve azul cuando se selecciona LaARN dealmaceacuten externoapareceraacute la opcioacuten
ARN de almaceacuten externo
Escriba el nombre de recurso de Amazon (ARN) de la cuenta de destino El ARN es una cadenaque contiene el ID de cuenta y suRegioacuten de AWSAWS Backupcopiaraacute la copia de seguridad enla boacuteveda de la cuenta de destino LaDestination region (Regioacuten de destino)la lista se actualizaautomaacuteticamente en la regioacuten en el ARN del almaceacuten externo
ParaPermitir acceso al almaceacuten de Backup de seguridad eligePermitir A continuacioacuteneligePermitiren el asistente que se abre
AWS Backupnecesita permisos para acceder a la cuenta externa para copiar la copia deseguridad al valor especificado El asistente muestra la siguiente directiva de ejemplo queproporciona este acceso
Version 2012-10-17 Statement [ Sid Allow account to copy into backup vault Effect Allow Action backupCopyIntoBackupVault Resource Principal AWS arnawsiamaccount-idroot ]
Transicioacuten al almacenamiento en friacuteo
Elija cuaacutendo desea transferir la reacuteplica de la copia de seguridad al almacenamiento en friacuteoy cuaacutendo va a caducar (se va a eliminar) Las copias de seguridad que se han migrado alalmacenamiento en friacuteo deben permanecer en eacutel durante un miacutenimo de 90 diacuteas Este valor no sepuede modificar una vez que la copia se ha migrado al almacenamiento en friacuteo
Para ver la lista de recursos que puede pasar al almacenamiento en friacuteo consulte laseccioacuten laquoCiclo de vida a almacenamiento en friacuteoraquo delDisponibilidad de caracteriacutesticas porrecurso (p 2)table La expresioacuten de almacenamiento en friacuteo se ignora para otros recursos
Vencimiento especifica el nuacutemero de diacuteas que deben transcurrir desde la creacioacuten hasta que seelimina la copia Este valor debe ser 90 diacuteas superior al valor de Transferir al almacenamiento enfriacuteo
101
AWS Backup Guiacutea para desarrolladoresBackup entre cuentas
Note
Cuando las copias de seguridad caducan y se marcan para eliminarlas como parte desu poliacutetica de ciclo de vidaAWS Backupelimina las copias de seguridad en un puntoelegido aleatoriamente durante las 8 horas siguientes Esta ventana ayuda a garantizarun rendimiento coherente
10 ElegirEtiquetas antildeadidas a los puntos de recuperacioacutenpara antildeadir etiquetas a los puntos derecuperacioacuten
11 ParaConfiguracioacuten avanzada de copias de seguridad eligeWindows VSSpara habilitar instantaacuteneascon reconocimiento de aplicaciones para el software de terceros seleccionado que se ejecuta en EC2
12 ElegirCrear un plan
Realizar copias de seguridad multicuenta bajo demandaPuede copiar una copia de seguridad a otroCuenta de AWSbajo demanda
Para copiar una copia de seguridad bajo demanda
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 ParaMi cuenta eligeAlmaceacuten de copias de seguridadpara ver todas las boacutevedas de respaldo en la
lista Puede filtrar por el nombre o etiqueta del almaceacuten de copias de seguridad3 Elija el iconoID de punto de recuperacioacutende la copia de seguridad que desea copiar4 Elija Copy5 AmpliarDetalles del Backuppara ver informacioacuten sobre el punto de recuperacioacuten que estaacute copiando6 En el navegadorConfiguracioacuten de copia elija una opcioacuten de laDestination region (Regioacuten de
destino)lista7 ElegirCopiar en la boacuteveda de otra cuenta La opcioacuten se vuelve azul cuando se selecciona8 Escriba el nombre de recurso de Amazon (ARN) de la cuenta de destino El ARN es una cadena que
contiene el ID de cuenta y suRegioacuten de AWSAWS Backupcopiaraacute la copia de seguridad en la boacutevedade la cuenta de destino LaDestination region (Regioacuten de destino)la lista se actualiza automaacuteticamenteen la regioacuten en el ARN del almaceacuten externo
9 ParaPermitir acceso al almaceacuten de Backup de seguridad eligePermitir A continuacioacuten eligePermitirenel asistente que se abre
Para crear la copiaAWS Backupnecesita permisos para acceder a la cuenta de origen El asistentemuestra un ejemplo de poliacutetica que proporciona este acceso Esta poliacutetica se muestra a continuacioacuten
Version 2012-10-17 Statement [ Sid Allow account to copy into backup vault Effect Allow Action backupCopyIntoBackupVault Resource Principal AWS arnawsiamaccount-idroot ]
10 ParaTransicioacuten al almacenamiento en friacuteo elija cuaacutendo va a pasar la copia de seguridad alalmacenamiento en friacuteo y cuaacutendo va a caducar (eliminarse) Las copias de seguridad que se han
102
AWS Backup Guiacutea para desarrolladoresBackup entre cuentas
migrado al almacenamiento en friacuteo deben permanecer en eacutel durante un miacutenimo de 90 diacuteas Este valorno se puede modificar una vez que la copia se ha migrado al almacenamiento en friacuteo
Para ver la lista de recursos que puede pasar al almacenamiento en friacuteo consulte la seccioacuten laquoCiclode vida a almacenamiento en friacuteoraquo delDisponibilidad de caracteriacutesticas por recurso (p 2)table Laexpresioacuten de almacenamiento en friacuteo se ignora para otros recursos
Vencimiento especifica el nuacutemero de diacuteas que deben transcurrir desde la creacioacuten hasta que seelimina la copia Este valor debe ser 90 diacuteas superior al valor de Transferir al almacenamiento en friacuteo
11 ParaRol de IAM especifique el rol de IAM (como el rol predeterminado) que tiene los permisos paraque la copia de seguridad esteacute disponible para copiar El acto de copiar lo realiza la funcioacuten vinculadaal servicio de su cuenta de destino
12 Elija Copy Seguacuten el tamantildeo del recurso que esteacute copiando este proceso puede tardar variashoras en completarse Cuando finalice el trabajo de copia veraacute la copia en elTrabajos de copiaenlaTrabajosmenuacute
Restauracioacuten de una copia de seguridad desde unoCuenta deAWSa otroAWS Backupno admite la recuperacioacuten de recursos de unoCuenta de AWSa otro Sin embargo puedescopiar una copia de seguridad de una cuenta a otra cuenta y luego restaurarla en esa cuenta Por ejemplono puedes restaurar una copia de seguridad de la cuenta A a la cuenta B pero puedes copiar una copia deseguridad de la cuenta A a la cuenta B y a continuacioacuten restaurarla en la cuenta B
La restauracioacuten de una copia de seguridad de una cuenta a otra es un proceso de dos pasos
Para restaurar una copia de seguridad de una cuenta de a otra
1 Copiar la copia de seguridad desde el origenCuenta de AWSa la cuenta a la que desearestaurar Para obtener instrucciones consulte Creacioacuten de copias de seguridad entodosAWScuentas (p 99)
2 Utilice las instrucciones correspondientes a su recurso para restaurar la copia de seguridad
Compartir un almaceacuten de copias de seguridad conotroAWScuentaAWS Backuple permite compartir un almaceacuten de copias de seguridad con una o varias cuentas o con todala organizacioacuten enAWS Organizations Puede compartir un almaceacuten de copias de seguridad de destino conun origenAWSCuenta usuario o rol de IAM
Para compartir un depoacutesito Backup de destino
1 ElegirAWS Backupy luego elijaAlmacenes de copias de seguridad2 Elija el nombre del almaceacuten de copias de seguridad que desee compartir3 En el navegadorPoliacutetica de acceso elija elAntildeada permisosDropdown4 ElegirPermitir el acceso a nivel de cuenta a un almaceacuten Backup de seguridad O bien puede optar por
permitir el acceso a nivel de organizacioacuten o rol5 Introduzca laAccountIDde la cuenta que te gustariacutea compartir con esta boacuteveda de respaldo de destino6 ElegirPoliacutetica de guardado
Puede utilizar las poliacuteticas de IAM para compartir su almaceacuten de copias de seguridad
103
AWS Backup Guiacutea para desarrolladoresBackup entre cuentas
bull Compartir un almaceacuten de copias de seguridad de destino con unCuenta de AWSo Rol de IAM (p 104)bull Compartir un almaceacuten de respaldo de destino en una unidad organizativa enAWS
Organizations (p 104)bull Compartir un almaceacuten de copias de seguridad de destino con una organizacioacuten enAWS
Organizations (p 104)
Compartir un almaceacuten de copias de seguridad de destino con unCuenta de AWSo Rol de IAM
La siguiente poliacutetica comparte un almaceacuten de copias de seguridad con nuacutemero decuenta4444555566666y el rol de IAMSomeRoleen el nuacutemero de cuenta111122223333
Version2012-10-17 Statement[ EffectAllow Principal AWS[ arnawsiam444455556666root arnawsiam111122223333roleSomeRole ] ActionbackupCopyIntoBackupVault Resource ]
Compartir un almaceacuten de respaldo de destino en una unidad organizativa enAWS Organizations
La siguiente poliacutetica comparte un almaceacuten de copias de seguridad con unidades organizativas mediantesuPrincipalOrgPaths
Version2012-10-17 Statement[ EffectAllow Principal ActionbackupCopyIntoBackupVault Resource Condition ForAnyValueStringLike awsPrincipalOrgPaths[ o-a1b2c3d4e5r-f6g7h8i9j0exampleou-def0-awsbbbbb o-a1b2c3d4e5r-f6g7h8i9j0exampleou-def0-awsbbbbbou-jkl0-awsddddd ] ]
Compartir un almaceacuten de copias de seguridad de destino con una organizacioacuten enAWS Organizations
La siguiente poliacutetica comparte un almaceacuten de copias de seguridad con la organizacioacutenconPrincipalOrgID laquoo-a1b2c3d4e5
104
AWS Backup Guiacutea para desarrolladoresBackup entre cuentas
Version2012-10-17 Statement[ EffectAllow Principal ActionbackupCopyIntoBackupVault Resource Condition StringEquals awsPrincipalOrgID[ o-a1b2c3d4e5 ] ]
Configuracioacuten de tu cuenta como cuenta de destinoCuando habilitas por primera vez las copias de seguridad entre cuentas mediante tuAWSOrganizationscuenta de administracioacuten cualquier usuario de una cuenta de miembro puede configurarsu cuenta para que sea una cuenta de destino Recomendamos configurar una o varias de lassiguientes poliacuteticas de control de servicios (SCP) enAWS Organizationspara limitar sus cuentas dedestino Para obtener maacutes informacioacuten acerca de coacutemo adjuntar poliacuteticas de control de servicios aAWSOrganizationsnodos consulteAsociar y desasociar poliacuteticas de control de servicios
bull Limitar cuentas de destino mediante etiquetas (p 105)bull Limitar cuentas de destino mediante nuacutemeros de cuenta y nombres de almaceacuten (p 105)bull Limitar cuentas de destino mediante unidades organizativas enAWS Organizations (p 106)
Limitar cuentas de destino mediante etiquetas
Cuando se adjunta a unAWS Organizationsroot OU o cuenta individual esta poliacutetica limita las copiasde los destinos de esa raiacutez OU o cuenta solo a aquellas cuentas con boacutevedas de respaldo que hasetiquetadoDestinationBackupVault El permisobackupCopyIntoBackupVaultcontrola coacutemose comporta un almaceacuten de copias de seguridad y en este caso queacute boacutevedas de respaldo de destinoson vaacutelidas Utilice esta poliacutetica junto con la etiqueta correspondiente aplicada a las boacutevedas de destinoaprobadas para controlar los destinos de las copias multicuentas solo a cuentas aprobadas y boacutevedas derespaldo
Version2012-10-17 Statement[ EffectDeny ActionbackupCopyIntoBackupVault Resource Condition Null awsResourceTagDestinationBackupVaulttrue ]
Limitar cuentas de destino mediante nuacutemeros de cuenta y nombres de almaceacuten
105
AWS Backup Guiacutea para desarrolladoresBackup entre cuentas
Cuando se adjunta a unAWS Organizationsroot OU o cuenta individual esta poliacutetica limita lascopias que se originan de esa raiacutez unidad organizativa o cuenta a solo dos cuentas de destino ElpermisobackupCopyFromBackupVaultcontrola coacutemo se comporta un punto de recuperacioacuten delalmaceacuten de backup y en este caso los destinos en los que puede copiar ese punto de recuperacioacuten Elalmaceacuten de origen solo permitiraacute copias en la primera cuenta de destino (112233445566) si uno o variosnombres de almaceacuten de respaldo de destino comienzan porcab- El almaceacuten de origen solo permitiraacutecopias en la segunda cuenta de destino (123456789012) si el destino es el uacutenico almaceacuten de respaldodenominadofort-knox
Version2012-10-17 Statement[ EffectDeny ActionbackupCopyFromBackupVault Resourcearnawsec2snapshot Condition ForAllValuesArnNotLike backupCopyTargets[ arnawsbackup112233445566backup-vaultcab- arnawsbackupus-west-1123456789012backup-vaultfort-knox ] ]
Limitar cuentas de destino mediante unidades organizativas enAWS Organizations
Cuando se adjunta a unAWS Organizationsroot u OU que contiene su cuenta de origen o cuando seadjunta a su cuenta de origen la siguiente poliacutetica limita las cuentas de destino a esas cuentas dentro delas dos unidades organizativas especificadas
Version2012-10-17 Statement[ EffectDeny ActionbackupCopyFromBackupVault Resource Condition ForAllValuesStringNotLike backupCopyTargetOrgPaths[ o-a1b2c3d4e5r-f6g7h8i9j0exampleou-def0-awsbbbbb o-a1b2c3d4e5r-f6g7h8i9j0exampleou-def0-awsbbbbbou-jkl0-awsddddd ] ]
Consideraciones de seguridad para el backup entre cuentasTenga en cuenta lo siguiente cuando utilice copias de seguridad entre cuentas enAWS Backup
bull El depoacutesito de destino no puede ser el depoacutesito predeterminado Esto se debe a que el depoacutesitopredeterminado estaacute cifrado con una clave que no se puede compartir con otras cuentas
bull Es posible que las copias de seguridad entre cuentas se sigan ejecutando hasta 15 minutos despueacutesde deshabilitar la copia de seguridad entre cuentas Esto se debe a una eventual coherencia y podriacutea
106
AWS Backup Guiacutea para desarrolladoresVisualizacioacuten de una lista de copias de seguridad
provocar que algunos trabajos entre cuentas se inicien o finalicen incluso despueacutes de deshabilitar lacopia de seguridad entre cuentas
bull Si la cuenta de destino sale de la organizacioacuten en una fecha posterior esa cuenta conservaraacute lascopias de seguridad Para evitar posibles fugas de datos otorgue un permiso de denegacioacuten enelorganizationsLeaveOrganizationpermiso en una poliacutetica de control de servicios (SCP) adjuntaa la cuenta de destino Para obtener informacioacuten detallada sobre las SCP consulteEliminacioacuten de unacuenta miembro de la organizacioacutenen laGuiacutea del usuario de Organizations
bull Si elimina un rol de trabajo de copia durante una copia multicuentaAWS Backupno puede dejar decompartir instantaacuteneas de la cuenta de origen cuando finaliza el trabajo de copia En este caso eltrabajo de copia de seguridad finaliza pero el estado del trabajo de copia aparece comoNo se pudodejar de compartir la instantaacutenea
Visualizacioacuten de una lista de copias de seguridadPuede ver una lista de sus copias de seguridad utilizando laAWS Backupconsola o medianteprogramacioacuten
Temasbull Listar copias de seguridad por recurso protegido en la consola (p 107)bull Listado de copias de seguridad por almaceacuten de copias de seguridad en la consola (p 107)bull Lista de copias de seguridad mediante programacioacuten (p 108)
Listar copias de seguridad por recurso protegido en laconsolaSiga estos pasos para ver una lista de las copias de seguridad de un recurso concreto en la consola deAWS Backup
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola dehttpsconsoleawsamazoncombackup
2 En el panel de navegacioacuten elija Protected resources (Recursos protegidos)3 Elija un recurso protegido en la lista para ver la lista de copias de seguridad Solo los recursos de
los que AWS Backup ha realizado una copia de seguridad figuran en Protected resources (Recursosprotegidos)
Puede ver todas las copias de seguridad del recurso incluso los que no ha creado AWS Backup Desdeesta vista tambieacuten puede elegir una copia de seguridad y restaurarla
Listado de copias de seguridad por almaceacuten de copiasde seguridad en la consolaSiga estos pasos para ver una lista de copias de seguridad organizadas en un almaceacuten de copias deseguridad
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten elija Backup vaults (Almacenes de copia de seguridad)3 En la seccioacuten Backups (Copias de seguridad) vea la lista de todas las copias de seguridad
organizadas en este almaceacuten de copias de seguridad En esta vista puede ordenar las copias de
107
AWS Backup Guiacutea para desarrolladoresLista de copias de seguridad mediante programacioacuten
seguridad por cualquiera de los encabezados de columna (incluido el estado) asiacute como seleccionaruna copia de seguridad para restaurarla editarla o eliminarla
Lista de copias de seguridad mediante programacioacutenPuede listar las copias de seguridad mediante programacioacuten mediantelaListRecoveryPointOperaciones de la API
bull ListRecoveryPointsByBackupVault
bull ListRecoveryPointsByResource
Por ejemplo lo siguienteAWS Command Line Interface(AWS CLI) enumera todas sus copias de seguridadcon elEXPIREDestado
aws backup list-recovery-points-by-backup-vault --backup-vault-name sample-vault --query RecoveryPoints[Status == `EXPIRED`]
Edicioacuten de una copia de seguridadDespueacutes de crear una copia de seguridad mediante AWS Backup puede cambiar el ciclo de vida o lasetiquetas de la copia de seguridad El ciclo de vida define el momento en que se migra una copia deseguridad al almacenamiento en friacuteo y cuaacutendo dicho recurso vence AWS Backup migra y da por vencidasautomaacuteticamente las copias de seguridad en funcioacuten del ciclo de vida que se defina
Para ver la lista de recursos que puede pasar al almacenamiento en friacuteo consulte la seccioacuten laquoCiclo de vidaa almacenamiento en friacuteoraquo delDisponibilidad de caracteriacutesticas por recurso (p 2)table La expresioacuten dealmacenamiento en friacuteo se ignora para otros recursos
Note
Edicioacuten de las etiquetas de una copia de seguridad medianteAWS Backupsolo se admite paracopias de seguridad de sistemas de archivos de Amazon Elastic File System (Amazon EFS)Todaviacutea puede editar las etiquetas de las copias de seguridad de otros servicios utilizando laconsola del servicio o la API
Las copias de seguridad que se han migrado al almacenamiento en friacuteo deben permanecer en eacutel duranteun miacutenimo de 90 diacuteas Por lo tanto el valor de laquoretencioacutenraquo debe tener 90 diacuteas maacutes que el valor delaquotransition to cold after daysraquo (nuacutemero de diacuteas tras los cuales migraraacute a almacenamiento Al actualizar laconfiguracioacuten de ldquotransition to cold after daysrdquo (nuacutemero de diacuteas tras los cuales migraraacute a almacenamientoen friacuteo) el valor debe tener como miacutenimo la edad de la copia de seguridad maacutes un diacutea El valor detransition to cold after days (nuacutemero de diacuteas tras los cuales migraraacute a almacenamiento en friacuteo) no puedecambiarse una vez que se ha migrado una copia de seguridad al almacenamiento en friacuteo
A continuacioacuten se muestra un ejemplo de coacutemo actualizar el ciclo de vida de una copia de seguridad
Para editar el ciclo de vida de una copia de seguridad
1 Inicie sesioacuten enAWS Management Consoley abra elAWS BackupConsola dehttpsconsoleawsamazoncombackup
2 En el panel de navegacioacuten elija Backup vaults (Almacenes de copia de seguridad)3 En la seccioacuten Backups (Copias de seguridad) elija una copia de seguridad
108
AWS Backup Guiacutea para desarrolladoresEliminacioacuten de copias de seguridad
4 En la paacutegina de detalles de copia de seguridad elija Edit (Editar)5 Configure los ajustes del ciclo de vida y a continuacioacuten seleccione Save (Guardar)
Eliminacioacuten de copias de seguridadLe recomendamos que utiliceAWS Backuppara eliminar automaacuteticamente las copias de seguridad queya no necesita configurando su ciclo de vida al crear el plan de backup Por ejemplo si configura elciclo de vida de su plan de backup para conservar los puntos de recuperacioacuten durante un antildeoAWSBackupeliminaraacute automaacuteticamente el 1 de enero de 2022 los puntos de recuperacioacuten que creoacute el 1 deenero de 2021 o en el plazo de varias horas a partir del 1 de enero de 2021 (AWS Backupaleatorizasus eliminaciones en un plazo de 8 horas tras la expiracioacuten del punto de recuperacioacuten para mantener elrendimiento) Para obtener maacutes informacioacuten sobre coacutemo configurar la poliacutetica de retencioacuten del ciclo devida consulteCrear un plan de copia de seguridad
Sin embargo es recomendable que elimine manualmente uno o varios puntos de recuperacioacuten Porejemplo
bull TieneEXPIREDPuntos de recuperacioacuten Estos son puntos de recuperacioacutenAWS Backupno se ha podidoeliminar automaacuteticamente porque ha eliminado o modificado la poliacutetica de IAM original que utilizoacute paracrear el plan de copia de seguridad CuandoAWS Backupintentoacute eliminarlos careciacutea de permiso parahacerlo
Warning
Seguiraacutes almacenando puntos de recuperacioacuten caducados en tu cuenta Esto podriacutea aumentarlos costos de almacenamiento de informacioacuten
Despueacutes del 6 de agosto de 2021AWS Backupmostraraacute el punto de recuperacioacuten objetivocomoCaducadoen su almaceacuten de copias de seguridad Puedes pasar el ratoacuten sobre elrojoCaducadoestado de un mensaje de estado emergente que explica por queacute no se pudo eliminar lacopia de seguridad Tambieacuten puede elegirRefresh (Actualizar)para recibir la informacioacuten maacutes reciente
bull Ya no desea que un plan de copia de seguridad funcione de la forma en que lo configuroacute Laactualizacioacuten del plan de backup afecta a los future puntos de recuperacioacuten que crearaacute pero no afectaal punto de recuperacioacuten que ya ha creado Para obtener maacutes informacioacuten consulteActualizacioacuten de unplan de copia de seguridad
bull Debe limpiarlo despueacutes de terminar una prueba o tutorial
Eliminacioacuten manual de las copias de seguridadPara eliminar manualmente los puntos de recuperacioacuten
1 En el navegadorAWS Backup en el panel de navegacioacuten elijaAlmacenes de copias de seguridad2 En la paacutegina Backup vaults (Almacenes de copias de seguridad) elija el almaceacuten de copias de
seguridad donde almacenoacute las copias de seguridad3 Elija un punto de recuperacioacuten elija elActionsdesplegable la opcioacuten elegirBorrar4 1 Si la lista contiene una copia de seguridad continua elija una de las siguientes opciones Cada
backup continuo tiene un uacutenico punto de recuperacioacutenbull Eliminar permanentemente mis datos de copia de seguridadoEliminar punto de recuperacioacuten Al
seleccionar una de estas opciones detiene las future copias de seguridad continuas y tambieacutenelimina los datos de backup continuo existentes
bull Mantener mis datos de respaldo continuosoDesasociar punto de recuperacioacuten Al seleccionar unade estas opciones se detienen las future copias de seguridad continuas pero conservan los datosde backup continuo existentes hasta que caduquen seguacuten lo definido por el periacuteodo de retencioacuten
109
AWS Backup Guiacutea para desarrolladoresSolucioacuten de problemas de eliminaciones manuales
2 Para eliminar todos los puntos de recuperacioacuten enumerados escriba delete y a continuacioacutenelijaEliminar puntos de recuperacioacuten
3 AWS Backupcomienza a enviar los puntos de recuperacioacuten para su eliminacioacuten y muestra una barrade progreso Manteacuten abierta la pestantildea del navegador y no te alejes de esta paacutegina durante elproceso de enviacuteo
4 Al final del proceso de presentacioacutenAWS Backupte presenta un estado en el banner El estadopuede serbull Enviado correctamente Puede elegir paraVer el progresosobre el estado de eliminacioacuten de cada
punto de recuperacioacutenbull Error al enviar Puede elegir paraVer el progresosobre el estado de eliminacioacuten de cada punto de
recuperacioacuten oIntente de nuevocon tu enviacuteobull Resultado mixto en el que algunos puntos de recuperacioacuten se enviaron correctamente mientras
que otros puntos de recuperacioacuten no se han enviado5 Si eligeVer el progreso puede revisar elEstado de eliminacioacutende cada copia de seguridad Si el
estado de eliminacioacuten esFailed (Error)oCaducado puede hacer clic en ese estado para ver elmotivo Tambieacuten puede elegirReintento de eliminacioacuten con errores
Solucioacuten de problemas de eliminaciones manualesEn raras situacionesAWS Backuppodriacutea no completar la solicitud de eliminacioacutenAWS Backupusa el rolvinculado al servicioAWSServiceRoleForBackuppara realizar eliminaciones
Si la solicitud de eliminacioacuten falla compruebe que el rol de IAM tenga permiso para crear roles vinculadosa servicios Concretamente verifique que su rol de IAM tenga eliamCreateServiceLinkedRoleactionSi no lo hace agregue este permiso a su rol vinculado a servicios siguiendo los pasos dePermisos deroles vinculados a serviciosen laAWS Identity and Access ManagementGuiacutea del usuario de Agregar estepermiso permiteAWS Backuppara realizar eliminaciones manuales
Si despueacutes de confirmar que su rol de IAM tiene eliamCreateServiceLinkedRoleaccioacuten tus puntosde recuperacioacuten siguen estancados en elDELETINGestado es probable que estemos investigando tuproblema Realice la eliminacioacuten manual con los pasos siguientes
1 Configura un recordatorio para volver en 2 o 3 diacuteas2 Despueacutes de 2 a 3 diacuteas compruebe recientementeEXPIREDpuntos de eliminacioacuten que son el resultado
de la primera operacioacuten de eliminacioacuten manual3 Elimina manualmente esosEXPIREDPuntos de recuperacioacuten
Restauracioacuten de una copia de seguridadNote
AWS Backuphacenocopiar etiquetas de forma nativa durante los trabajos de restauracioacuten Paraobtener una arquitectura basada en eventos que copiaraacute etiquetas durante los trabajos derestauracioacuten consulteCoacutemo conservar las etiquetas de recursos enAWS BackupTrabajos derestauracioacuten
Restauraciones no destructivasCuando utilizaAWS Backuppara restaurar una copia de seguridad crea un nuevo recurso con la copia deseguridad que estaacute restaurando Esto es para proteger los recursos existentes para evitar que la actividadde restauracioacuten destruya
110
AWS Backup Guiacutea para desarrolladoresCoacutemo restaurar
Coacutemo restaurarPara obtener instrucciones de restauracioacuten de la consola y enlaces a la documentacioacuten de cadaAWSBackup-compatible con consulte los enlaces de la parte inferior de esta paacutegina
Para restaurar una copia de seguridad mediante programacioacuten utilicelaStartRestoreJob (p 482)Operacioacuten de la API
Los valores de configuracioacuten (laquorestore metadatosraquo) que necesita para restaurar el recurso variacutean enfuncioacuten del recurso que desee restaurar Para obtener los metadatos de configuracioacuten con que se creoacutela copia de seguridad puede llamar aGetRecoveryPointRestoreMetadata (p 418) Los ejemplos demetadatos de restauracioacuten tambieacuten estaacuten disponibles en los enlaces de la parte inferior de esta paacutegina
La restauracioacuten del almacenamiento en friacuteo suele tardar 4 horas maacutes que la restauracioacuten delalmacenamiento en caliente
Para cada restauracioacuten se crea un trabajo de restauracioacuten con un ID de trabajo uacutenico porejemplo1323657E-2AA4-1D94-2C48-5D7A423E7394
Restaurar los estados de los trabajosPuede ver el estado de un trabajo de restauracioacuten en laTrabajosLa paacutegina de laAWS Backupconsola de Los estados de trabajo de restauracioacuten sonpendienterunningcompletedabortado yerror
Temasbull Restauracioacuten de datos de S3 (p 111)bull Restaurar una maacutequina virtual (p 113)bull Restauracioacuten de un sistema de archivos FSX (p 115)bull Restauracioacuten de un volumen de Amazon EBS (p 118)bull Restauracioacuten de un sistema de archivos de Amazon EFS (p 120)bull Restauracioacuten de una tabla de Amazon DynamoDB (p 122)bull Restauracioacuten de una base de datos de RDS (p 124)bull Restaurar un cluacutester de Amazon Aurora (p 126)bull Restauracioacuten de una instancia de Amazon EC2 (p 128)bull Restauracioacuten del volumen de Storage Gateway (p 130)bull Restaurar un cluacutester de DocumentDB (p 131)bull Restauracioacuten de un cluacutester de Neptune (p 132)
Restauracioacuten de datos de S3Puede restaurar los datos de S3 de los que ha realizado una copia de seguridad medianteAWS Backupala clase de almacenamiento S3 Estaacutendar Puede restaurar todos los objetos de un depoacutesito u objetosespeciacuteficos Puede restaurarlos en un depoacutesito existente o nuevo
Si restaura objetos especiacuteficos puede restaurar la versioacuten actual de un objeto
UsarAWS Backupconsola para restaurar puntos de recuperacioacutende Amazon S3Para restaurar los datos de Amazon S3 mediante elAWS BackupConsola de
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup
111
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de datos de S3
2 En el panel de navegacioacuten seleccioneRecursos protegidosy seleccione el ID de recurso de AmazonS3 que desee restaurar
3 En la paacuteginaDetalles del recurso veraacute una lista de puntos de recuperacioacuten para el ID de recursoseleccionado Para restaurar un recurso
a En el navegadorCopias de seguridad de elija el ID del punto de recuperacioacuten del recursob En la esquina superior derecha del panel elija Restaurar
(Alternativamente puede ir al almaceacuten de copias de seguridad buscar el punto de recuperacioacuten ya continuacioacuten hacer clic enActionsa continuacioacuten clickRestaurar)
4 Si va a restaurar una copia de seguridad continua en elTiempo de restauracioacuten seleccione cualquierade las opciones
a Acepte el valor predeterminado para restaurar en elUacuteltima hora restaurableb Especificar fecha y horapara restaurar
5 En el navegadorConfiguracioacutenpanel especifique si deseaRestaurar depoacutesito completoorealiceRestauracioacuten a nivel de elemento
a Si eligeRestauracioacuten a nivel de elemento restaura hasta 5 elementos (objetos S3) por trabajo derestauracioacuten especificando losURI DEque identifica de forma uacutenica ese objeto
(Para obtener maacutes informacioacuten acerca de los URI de bucket de S3 consulteMeacutetodos paraacceder a un bucketen laGuiacutea del usuario de Amazon Simple Storage Service)
b ElegirAntildeadir artiacuteculopara especificar otro elemento para restaurar6 Elija suDestino de restauracioacuten Usted puedeRestaurar en bucket de origenUtilizar depoacutesito existente
o bienCrear nuevo bucket
Note
El depoacutesito de destino de restauracioacuten debe tener activado el control de versionesAWSBackuple notifica si el depoacutesito seleccionado no cumple este requisito
a Si eligeUtilizar depoacutesito existente seleccione el depoacutesito de S3 de destino en el menuacutedesplegable que muestra todos los depoacutesitos existentes dentro de su actualAWSRegioacuten
b Si eligeCrear nuevo bucket escriba en elNombre del bucket nuevo El nuevo bucket comienza sinacceso puacuteblico y habilitado el versionado de S3 Puede modificar esta configuracioacuten despueacutes decrear el depoacutesito en S3
7 Dispone de opciones adicionales para elegir suCifrado de objetos restaur Usarclaves de cifradooriginales(predeterminado)Clave Amazon S3 (SEE-S3) o bienAWS Key Management Serviceclave(SEE-KMS)
a Si eligeUtilizar claves de cifrado originales (predeterminadas)pero el objeto original no estabacifrado el objeto restaurado tambieacuten quedaraacute sin cifrar
b Si eligeClave Amazon S3 (SEE-S3) no es necesario que especifique las demaacutes opcionesc Si eligeAWS Key Management Serviceclave (SEE-KMS) puede tomar las siguientes
opcionesClave administrada por AWS(awss3)Elige entre tusAWS KMSClaves de obienEntrarAWS KMSARN de clave
i Si eligeClave administrada por AWS(awss3) no es necesario que especifique las demaacutesopciones
ii SiElige entre tusAWS KMSClaves de seleccione unAWS KMSEn el menuacute desplegable Obien elijaCrear clave
iii SiEntrarAWS KMSARN de clave escriba el ARN en el cuadro de texto O bien elijaCrearclave
112
AWS Backup Guiacutea para desarrolladoresRestaurar una maacutequina virtual
8 En el panel Restore role (Restaurar rol) elija el rol de IAM que AWS Backup asumiraacute para estarestauracioacuten
9 Seleccione Restore backup (Restaurar backup) Apareceraacute el panel Trabajos de restauracioacuten En laparte superior de la paacutegina apareceraacute un mensaje con informacioacuten sobre el trabajo de restauracioacuten
Limitaciones
AWS Backupcrea una copia de seguridad de todas las versiones de S3 pero restaura solo la uacuteltimaversioacuten de la pila de versiones en cualquier momento
Consideraciones
El trabajo de restauracioacuten fallaraacute si las listas de control de acceso (ACL) estaacuten habilitadas en el bucket deS3 de origen pero estaacuten deshabilitadas en el bucket de S3 de destino Las ACL deben estar habilitadas enel bucket de destino Los buckets de S3 creados a traveacutes delAWS BackupLas ACL estaacuten deshabilitadasde forma predeterminada Para habilitar las ACL siga las instrucciones que se indican enPaacuteginaConfiguracioacuten de la ACL
Las restauraciones de objetos se omiten si el depoacutesito de origen tiene un objeto con el mismo nombre o IDde versioacuten
UsarAWS BackupAPI CLI o SDK para restaurar puntos derecuperacioacuten de Amazon S3Use StartRestoreJob Puede especificar los siguientes metadatos durante las restauraciones deAmazon S3
Mandatory metadataDestinationBucketName The destination bucket for your restoreItemsToRestore A list of up to five paths of individual objects to restoreNewBucket Boolean to indicate whether to create a new bucketEncrypted Boolean to indicate whether to encrypt the restored dataCreationToken An idempotency tokenEncryptionType The type of encryption to encrypt your restored objects Options are original (same encryption as the original object) SSE-S3 or SSE-KMS)RestoreTime The restore time (only valid for continuous recovery points where it is required in format 2021-11-27T033027Z) Optional metadataKMSKey Specifies the SEE-KMS key to use Only needed if encryption is SSE-KMS
Restaurar una maacutequina virtualUsarAWS Backupconsola para restaurar puntos de recuperacioacutende maacutequinas virtualesPuede restaurar una maacutequina virtual desde varias ubicaciones en el panel de navegacioacuten izquierdodelAWS BackupConsola de
bull ElegirHypervisorpara ver los puntos de recuperacioacuten de maacutequinas virtuales gestionadas por unhipervisor conectado aAWS Backup
bull ElegirMaacutequinas virtualespara ver los puntos de recuperacioacuten de maacutequinas virtuales en todos loshipervisores conectados aAWS Backup
113
AWS Backup Guiacutea para desarrolladoresRestaurar una maacutequina virtual
bull ElegirAlmacenes de copias de seguridadpara ver los puntos de recuperacioacuten almacenados en undeterminadoAWS Backupalmaceacuten
bull ElegirRecursos protegidospara ver los puntos de recuperacioacuten en todos losAWS Backuprecursosprotegidos
Si necesita restaurar una maacutequina virtual que ya no tiene conexioacuten con la puerta de enlace de BackupelijaAlmacenes de copias de seguridadoRecursos protegidosPara localizar el punto de recuperacioacuten
AWS Backuplas restauraciones de maacutequinas virtuales no son destructivas Esto significa queAWSBackupno sobrescribe las maacutequinas virtuales existentes durante una restauracioacuten En cambio se restauramediante la implementacioacuten de una nueva maacutequina virtual
La maacutequina virtual restaurada se inicia en la infraestructura en modo de apagado
Para restaurar una maacutequina virtual en VMware VMware Cloud onAWSy VMware Cloud onAWSOutposts
1 En el navegadorHypervisoroMaacutequinas virtualesvistas elija la opcioacutenNombre de la maacutequina virtualpararestaurar En el navegadorRecursos protegidosview elija la maacutequina virtualID de recursopararestaurar
2 Elija el botoacuten radial junto alID de punto de recuperacioacutenpara restaurar3 Elija Restore (Restaurar)4 Elija el iconoTipo de restauracioacuten
a Restauracioacuten completarestaura todos los discos de la maacutequina virtualb Restauracioacuten a nivel de discorestaura una seleccioacuten definida por el usuario de uno o varios
discos Use el menuacute desplegable para seleccionar los discos que desea restaurar5 Elija el iconoUbicacioacuten de restauracioacuten Las opciones sonVMwareVMware Cloud onAWS yVMware
Cloud onAWS Outposts6 Si realiza una restauracioacuten completa vaya al siguiente paso Si estaacute realizando una restauracioacuten a
nivel de disco apareceraacute un menuacute desplegable enDiscos de maacutequinas virtuales Elija uno o variosvoluacutemenes de arranque que desea restaurar
7 Select unHypervisordel menuacute desplegable para administrar la maacutequina virtual restaurada8 Para la maacutequina virtual restaurada utilice las praacutecticas recomendadas de la maacutequina virtual de su
organizacioacuten para especificar sus
a Nombreb Camino(tales comodatacentervm)c Nombre del recurso informaacutetico(como VMHost o Cluster)
Si un host forma parte de un cluacutester no se puede restaurar en el host sino solo en el cluacutester dadod Almaceacuten de datos
9 ParaRol de restauracioacutenseleccione la opcioacutenRol predeterminado(recomendado) oElija un rol deIAMutilizando el menuacute desplegable
10 Seleccione Restore backup (Restaurar backup)11 Opcional Comprueba cuaacutendo el trabajo de restauracioacuten tiene el estadoCompleted En el menuacute de
navegacioacuten izquierdo elijaTrabajos
Para restaurar una maacutequina virtual en Amazon EBS
1 En el navegadorHypervisoroMaacutequinas virtualesvistas elija la opcioacutenNombre de la maacutequina virtualpararestaurar En el navegadorRecursos protegidosview elija la maacutequina virtualID de recursopararestaurar
114
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de un sistema de archivos FSX
2 Elija el botoacuten radial junto alID de punto de recuperacioacutenpara restaurar3 Elija Restore (Restaurar)4 Elija el iconoTipo de restauracioacuten
bull Restauracioacuten de discosrestaura una seleccioacuten definida por el usuario de un disco Use el menuacutedesplegable para seleccionar el disco que desea restaurar
5 Elija el iconoUbicacioacuten de restauracioacutencomoAmazon EBS6 En elDisco de maacutequina virtualmenuacute desplegable elija el volumen de arranque que desee restaurar7 UNDERTipo de volumen de EBS elija el tipo de volumen8 Elige tu zona de disponibilidad9 Cifrado (opcional) Marque la casilla si decide cifrar el volumen de EBS10 Seleccione la clave de KMS en el menuacute desplegable11 ParaRol de restauracioacutenseleccione la opcioacutenRol predeterminado(recomendado) oElija un rol de
IAMutilizando el menuacute desplegable12 Seleccione Restore backup (Restaurar backup)13 Opcional Comprueba cuaacutendo el trabajo de restauracioacuten tiene el estadoCompleted En el menuacute de
navegacioacuten izquierdo elijaTrabajos14 Opcional VisitaiquestCoacutemo puedo crear un volumen loacutegico de LVM en un volumen completo de Amazon
EBSpara obtener maacutes informacioacuten sobre coacutemo montar voluacutemenes administrados y acceder a losdatos en el volumen de Amazon EBS restaurado
UsarAWS BackupAPI CLI o SDK para restaurar puntos derecuperacioacuten de maacutequinas virtualesUse StartRestoreJob
Puede especificar los siguientes metadatos durante cualquier restauracioacuten de maacutequina virtual
RestoreToVMwareHypervisorArnarnawsbackup-gatewayus-east-1209870788375hypervisorhype-9B1AB1F1VMNamenameVMPathLabstervmComputeResourceNameClusterVMDatastorevsanDatastoreDisksToRestore[DiskId2000LabelHard disk 1]vmIdvm-101
Restauracioacuten de un sistema de archivos FSXLas opciones de restauracioacuten que estaacuten disponibles cuando se utilizaAWS Backuppara restaurar los filesystems de Amazon FSx son los mismos que utilizar la copia de seguridad nativa de Amazon FSx Puedeutilizar el punto de recuperacioacuten de una copia de seguridad para crear un nuevo sistema de archivos yrestaurar un point-in-time instantaacutenea de otro sistema de archivos
Al restaurar file systems de Amazon FSxAWS Backupcrea un nuevo sistema de archivos y lo rellena conlos datos Esto es similar al modo en que Amazon FSx nativo realiza copias de seguridad y restaura lossistemas de archivos Restaurar una copia de seguridad en un nuevo sistema de archivos lleva el mismotiempo que crear un nuevo sistema de archivos Los datos restaurados desde la copia de seguridad secargan de forma lenta en el sistema de archivos Por lo tanto es posible que experimente una latencialigeramente superior durante el proceso
Note
No se puede restaurar en un sistema de archivos Amazon FSx existente y no puede restaurararchivos o carpetas individuales
115
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de un sistema de archivos FSX
AWS Backuplos depoacutesitos que contienen puntos de recuperacioacuten de los sistemas de archivosAmazon FSx estaacuten visibles fuera deAWS Backup Puede restaurar los puntos de recuperacioacutenmediante Amazon FSx pero no puede eliminarlos
Puede ver las copias de seguridad creadas por la funcionalidad de copia de seguridad automaacuteticaintegrada de Amazon FSx desde elAWS Backupconsola de Tambieacuten puede recuperar estas copias deseguridad medianteAWS Backup Sin embargo no puede eliminar estas copias de seguridad ni cambiarlas programaciones automaacuteticas de copias de seguridad de sus sistemas de archivos Amazon FSxmedianteAWS Backup
Puede restaurar las copias de seguridad creadas porAWS BackupUso de laAWS Backupconsola APIoAWS CLI En esta seccioacuten se muestra coacutemo utilizar elAWS Backupconsola para restaurar los sistemas dearchivos de Amazon FSx
UsarAWS Backupconsola para restaurar puntos de recuperacioacutende Amazon FSxRestauracioacuten de un sistema de archivos FSx for Windows File Server
Para restaurar un sistema de archivos FSx for Windows File Server
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccioneRecursos protegidosy a continuacioacuten elija el ID de recurso de
Amazon FSx que desee restaurar3 En la paacutegina Resource details (Detalles del recurso) se muestra una lista de puntos de recuperacioacuten
para el ID de recurso seleccionado Elija el ID de punto de recuperacioacuten del recurso4 En la esquina superior derecha del panel elijaRestaurarpara abrirRestauracioacuten de una copia de
seguridad(Se ha creado el certificado)5 En el navegadorDetalles del sistema de archivos el ID de la copia de seguridad se muestra enID
Backup y el tipo de sistema de archivos se muestra enTipo de sistema de archivos Puede restaurarFSx for Windows File Server y FSx para sistemas de archivos Lustre
6 (Opcional) Escriba un nombre para el sistema de archivos7 ParaTipo de implementacioacuten acepte el valor predeterminado No se puede cambiar el tipo de
implementacioacuten de un sistema de archivos durante la restauracioacuten8 Elija el iconoStorage typepara usar Si la capacidad de almacenamiento de tu sistema de archivos es
inferior a 2000 GiB no puedes usar elHDDTipo de almacenamiento de9 ParaCapacidad de rendimiento eligeCapacidad de produccioacuten recomendadapara utilizar la velocidad
recomendada de 16 MB por segundo (MBps) o elegirEspecificar la capacidad de rendimientoeintroduzca una nueva tarifa
10 En el navegadorRedes y seguridad proporcione la informacioacuten requerida11 Si va a restaurar un sistema de archivos FSx for Windows File Server proporcione elautenticacioacuten de
Windowsinformacioacuten utilizada para acceder al sistema de archivos o crear uno nuevoNote
Al restaurar una copia de seguridad no se puede cambiar el tipo de Active Directory en elsistema de archivos
Para obtener maacutes informacioacuten acerca de Microsoft Active Directory consulteTrabajo con ActiveDirectory en Amazon FSx for Windows File Serveren laGuiacutea del usuario de Amazon FSx for WindowsFile Server
12 (Opcional) En elBackup y mantenimiento proporcione la informacioacuten para establecer las preferenciasde copia de seguridad
13 En el navegadorRol de restauracioacuten elija el rol de IAM queAWS Backuputilizaraacute para crear yadministrar las copias de seguridad en su nombre Le recomendamos que elija elRol predeterminado
116
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de un sistema de archivos FSX
Si no hay un rol predeterminado se crearaacute uno automaacuteticamente con los permisos adecuadosTambieacuten puede proporcionar su propio rol de IAM
14 Verifica todas tus entradas y eligeRestauracioacuten del Backup
Restauracioacuten de un sistema de archivos de Amazon FSx for Lustre
AWS Backupadmite sistemas de archivos Amazon FSx for Lustre que tienen un tipo de implementacioacuten dealmacenamiento persistente y no estaacuten vinculados a un repositorio de datos como Amazon S3
Para restaurar un sistema de archivos de Amazon FSx for Lustre
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccioneRecursos protegidosy a continuacioacuten elija el ID de recurso de
Amazon FSx que desee restaurar3 En la paacutegina Resource details (Detalles del recurso) se muestra una lista de puntos de recuperacioacuten
para el ID de recurso seleccionado Elija el ID de punto de recuperacioacuten del recurso4 En la esquina superior derecha del panel elijaRestaurarpara abrirRestaurar la copia de seguridad en
un nuevo sistema(Se ha creado el certificado)5 En el navegadorConfiguracioacuten el ID de la copia de seguridad se muestra enID Backup y el tipo de
sistema de archivos se muestra enTipo de sistema de archivos Tipo de sistema de archivosdeberiacuteaserLustre
6 (Opcional) Escriba un nombre para el sistema de archivos7 Seleccione unTipo de implementacioacutenAWS Backupsolo admite el tipo de implementacioacuten persistente
No se puede cambiar el tipo de implementacioacuten de un sistema de archivos durante la restauracioacuten
El tipo de implementacioacuten persistente es para almacenamiento a largo plazo Para obtener informacioacutendetallada sobre las opciones de implementacioacuten de FSx for Lustre consulteUso de las opcionesde implementacioacuten disponibles para Amazon FSx for Lustre File Systemsen laGuiacutea del usuario deAmazon FSx for Lustre
8 Elija el iconoRendimiento por unidad de almacenamientoque desea que utilice9 Especifique elCapacidad de almacenamientopara usar Introduce una capacidad entre 32 GiB y
64436 GiB10 En el navegadorRedes y seguridad proporcione la informacioacuten requerida11 Si va a restaurar un sistema de archivos FSx for Windows File Server proporcione elautenticacioacuten de
Windowsinformacioacuten que se utiliza para obtener acceso al sistema de archivos o crear uno nuevo
Para obtener informacioacuten detallada sobre Microsoft Active Directory consulteTrabajo con ActiveDirectory en Amazon FSx for Windows File Serveren laGuiacutea del usuario de Amazon FSx for WindowsFile Server
12 (Opcional) En elBackup y mantenimiento proporcione la informacioacuten para establecer las preferenciasde copia de seguridad
13 En el navegadorRol de restauracioacuten elija el rol de IAM queAWS Backuputilizaraacute para crear yadministrar las copias de seguridad en su nombre Le recomendamos que elija elRol predeterminadoSi no hay un rol predeterminado se crearaacute uno automaacuteticamente con los permisos adecuadosTambieacuten puede proporcionar su rol de IAM
14 Verifica todas tus entradas y eligeRestauracioacuten del Backup
UsarAWS BackupAPI CLI o SDK para restaurar puntos derecuperacioacuten de Amazon FSxPara restaurar Amazon FSx mediante la API o la CLI utiliceStartRestoreJob Puede especificar lossiguientes metadatos durante cualquier restauracioacuten de Amazon FSx
117
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de un volumen de Amazon EBS
FileSystemIdFileSystemTypeStorageCapacityStorageTypeVpcIdKmsKeyIdSecurityGroupIdsSubnetIdsDeploymentTypeWeeklyMaintenanceStartTimeDailyAutomaticBackupStartTimeAutomaticBackupRetentionDaysCopyTagsToBackupsWindowsConfigurationLustreConfiguration
Metadatos de restauracioacuten de FSx for Windows File Server
Puede especificar los siguientes metadatos durante una restauracioacuten FSx for Windows File Server
ThroughputCapacityPreferredSubnetIdActiveDirectoryId
Metadatos de restauracioacuten de FSx for Lustre
Puede especificar los siguientes metadatos durante una restauracioacuten de FSx for Lustre
PerUnitStorageThroughputDriveCacheType
Ejemplo de comando de restauracioacuten de la CLI
aws backup start-restore-job --recovery-point-arn arnawsfsxus-west-21234backupbackup-1234 --iam-role-arn arnawsiam1234roleRole --resource-type FSx --region us-west-2 --metadata SubnetIds=[subnet-1234subnet-5678]StorageType=HDDSecurityGroupIds=[sg-bb5efdc4sg-0faa52]WindowsConfiguration=DeploymentType MULTI_AZ_1PreferredSubnetId subnet-1234ThroughputCapacity 32
Ejemplo de metadatos de restauracioacuten
restoreMetadata StorageTypeSSDKmsKeyIdarnawskmsus-east-1123456789012key123456a-123b-123c-defg-1h2i2345678StorageCapacity1200VpcIdvpc-0ab0979fa431ad326FileSystemTypeLUSTRELustreConfigurationWeeklyMaintenanceStartTime41030DeploymentTypePERSISTENT_1PerUnitStorageThroughput50CopyTagsToBackupstrueFileSystemIdfs-0ca11fb3d218a35c2SubnetIds[subnet-0e66e94eb43235351]
Restauracioacuten de un volumen de Amazon EBSAl restaurar una instantaacutenea de Amazon Elastic Block Store (Amazon EBS)AWS Backupcrea un nuevovolumen de Amazon EBS que puede adjuntar a la instancia de Amazon EC2
Puede elegir entre restaurar la instantaacutenea como un volumen de EBS o como unAWS StorageGatewayvolumen
118
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de un volumen de Amazon EBS
UsarAWS Backupconsola para restaurar puntos de recuperacioacutende Amazon EBSPara restaurar un volumen de Amazon EBS
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccioneRecursos protegidosy a continuacioacuten seleccione el ID del
recurso de EBS que desee restaurar3 En la paacutegina Resource details (Detalles del recurso) se muestra una lista de puntos de recuperacioacuten
para el ID de recurso seleccionado Para restaurar un recurso en el panel Copias de seguridad activeel botoacuten de opcioacuten situado junto al ID del punto de recuperacioacuten del recurso En la esquina superiorderecha del panel elija Restaurar
4 Especifique los paraacutemetros de restauracioacuten del recurso Los paraacutemetros de restauracioacuten establecidosson especiacuteficos del tipo de recurso seleccionado
ParaTipo de recurso elige elAWSrecurso que crear al restaurar esta copia de seguridad5 Si elige EBS volume (Volumen de EBS) proporcione los valores de Volume type (Tipo de volumen) y
Size (GiB) (Tamantildeo [GiB]) y seleccione una zona de disponibilidad
Si eligevolumen Storage Gateway elige unPortalen un estado accesible Elige tambieacuten tuNombre dedestino iSCSI
bull ParaVolumen almacenadopuertas de enlace elija unID de discobull ParaVolumen en cacheacutegateways elija una capacidad que sea al menos tan grande como el recurso
protegido6 ParaRol de restauracioacuten elija el rol de IAM queAWS Backupasumiraacute para esta restauracioacuten
Note
Si el archivo deAWS Backupel rol predeterminado de no estaacute presente en la cuenta unRolpredeterminadose crearaacute automaacuteticamente con los permisos adecuados Puede eliminar esterol predeterminado o dejarlo inutilizable
7 Seleccione Restore backup (Restaurar backup)
Apareceraacute el panel Trabajos de restauracioacuten En la parte superior de la paacutegina apareceraacute un mensajecon informacioacuten sobre el trabajo de restauracioacuten
UsarAWS BackupAPI CLI o SDK para restaurar puntos derecuperacioacuten de Amazon EBSPara restaurar Amazon EBS mediante la API o la CLI utiliceStartRestoreJob Puede especificar lossiguientes metadatos durante cualquier restauracioacuten de Amazon EBS
volumeIdencryptedkmsKeyavailabilityZone
Ejemplo
restoreMetadata encryptedfalsevolumeIdvol-04cc95f3490b5ceeaavailabilityZonenull
119
AWS Backup Guiacutea para desarrolladoresRestaurar un sistema de archivos de EFS
Restauracioacuten de un sistema de archivos de AmazonEFSSi va a restaurar una instancia de Amazon Elastic File System (Amazon EFS) puede realizar unarestauracioacuten completa o una restauracioacuten de nivel de elemento
Restauracioacuten completa
Cuando se realiza una restauracioacuten completa se restaura todo el sistema de archivos
AWS Backupno admite restauraciones destructivas con Amazon EFS Una restauracioacuten destructiva seproduce cuando un sistema de archivos restaurado elimina o sobrescribe el sistema de archivos de origeno existente En lugar de estoAWS Backuprestaura el sistema de archivos en un directorio de recuperacioacutenfuera del directorio raiacutez
Restauracioacuten a nivel de elemento
Cuando se realiza una restauracioacuten a nivel de elemento AWS Backup restaura un archivo o directorioespeciacutefico Debe especificar la ruta relativa asociada al punto de montaje Por ejemplo si el sistema dearchivos estaacute montado en userhomemynameefs y la ruta de archivo es userhomemynameefsfile1 escriba file1 Las etiquetas distinguen entre mayuacutesculas y minuacutesculas No se admitencaracteres comodiacuten ni cadenas de expresiones regulares
Puede restaurar esos elementos en un sistema de archivos nuevo o existente En cualquier casoAWSBackupcrea un nuevo directorio de Amazon EFS (aws-backup-restore_datetime) fuera del directorioraiacutez para contener los elementos La jerarquiacutea completa de los elementos especificados se conserva enel directorio de recuperacioacuten Por ejemplo si el directorio A contiene los subdirectorios B C y D AWSBackup mantiene la misma estructura jeraacuterquica cuando se recuperan A B C y D Independientementede si realiza una restauracioacuten de nivel de elemento de Amazon EFS en un sistema de archivos existente oen un sistema de archivos nuevo cada intento de restauracioacuten crearaacute un nuevo directorio de recuperacioacutenfuera del directorio raiacutez que contendraacute los archivos restaurados Si intenta realizar varias restauraciones dela misma ruta es posible que existan varios directorios que contengan los elementos restaurados
Note
Si solo mantiene una copia de seguridad semanal solo podraacute restaurar el estado del sistemade archivos al momento en que realizoacute la copia de seguridad No podraacute restaurar copias deseguridad incrementales anteriores
UsarAWS Backupconsola para restaurar un punto derecuperacioacuten de Amazon EFSPara restaurar un sistema de archivos de Amazon EFS
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 El almaceacuten de copias de seguridad de EFS recibe la poliacutetica de accesoDeny
backupStartRestoreJobtras la creacioacuten Si va a restaurar el almaceacuten de copias de seguridad porprimera vez debe cambiar la poliacutetica de acceso de la siguiente manera
a Elija Almacenes de Backupb Elija el almaceacuten de backup que contiene el punto de recuperacioacuten que desea restaurarc Desplaacutecese hacia abajo hasta la caja fuertePoliacutetica de accesod Si estaacute presente suprimirbackupStartRestoreJobdesde lasStatement Haz esto
eligiendoEditar eliminarbackupStartRestoreJob luego eligiendoPoliacutetica de guardado
120
AWS Backup Guiacutea para desarrolladoresRestaurar un sistema de archivos de EFS
3 En el panel de navegacioacuten seleccioneRecursos protegidosy el ID del sistema de archivos de EFS quedesea restaurar
4 En la paacuteginaDetalles del recurso se muestra una lista de puntos de recuperacioacuten para el ID delsistema de archivos seleccionado Para restaurar un sistema de archivos en elCopias de seguridadde elija el botoacuten de opcioacuten situado al lado del ID del punto de recuperacioacuten del sistema de archivosEn la esquina superior derecha del panel elija Restaurar
5 Especifique los paraacutemetros de restauracioacuten del sistema de archivos Los paraacutemetros de restauracioacutenestablecidos son especiacuteficos del tipo de recurso seleccionado
Puede realizar una restauracioacuten completa que restaura todo el sistema de archivos Tambieacuten puederestaurar archivos y directorios especiacuteficos mediante una restauracioacuten de nivel de elemento
bull Elija el iconoRestauracioacuten completaopcioacuten para restaurar el sistema de archivos en su totalidadincluidas todas las carpetas y archivos de nivel raiacutez
bull Elija la opcioacuten Restaurar a nivel de elemento para restaurar un archivo o directorio especiacuteficoPuede seleccionar y restaurar hasta cinco artiacuteculos en su Amazon EFS
Para restaurar un archivo o directorio concretos debe especificar la ruta relativa relacionadacon el punto de montaje Por ejemplo si el sistema de archivos estaacute montado en userhomemynameefs y la ruta de archivo es userhomemynameefsfile1 escriba file1 Las rutasdistinguen entre mayuacutesculas y minuacutesculas y no pueden contener caracteres especiales caracterescomodiacuten ni cadenas de expresiones regulares1 En el cuadro de texto Ruta de elemento escriba la ruta de acceso del archivo o la carpeta2 Elija Agregar elemento para agregar otros archivos o directorios Puede seleccionar y restaurar
hasta cinco elementos en su sistema de archivos de EFS6 En Restore location (Ubicacioacuten de la restauracioacuten)
bull ElegirRestaurar en directorio en el sistema de archivos de origensi desea restaurar el sistema dearchivos de origen
bull ElegirRestaurar un nuevo sistema de archivossi desea restaurar a otro sistema de archivos7 ParaTipo de sistema de archivos
bull (Recomendado) Elijaregionalsi quieres restaurar tu sistema de archivos en variosAWSZonas dedisponibilidad
bull ElegirUacutenico zonasi desea restaurar el sistema de archivos en una uacutenica zona de disponibilidadLuego en elZona de disponibilidaddesplegable elige el destino de tu restauracioacuten
Para obtener maacutes informacioacuten consulteAdministracioacuten de clases de almacenamiento de AmazonEFSen laGuiacutea del usuario de Amazon EFS
8 ParaRendimiento
bull Si eligioacute realizar unaregionalrestore elija cualquiera de los dos(Recomendado) Fines generalesoESmaacutex
bull Si eligioacute realizar unaUacutenico zonarestore debes elegir(Recomendado) Fines generales Lasrestauraciones de One Zone no admitenES maacutex
9 ParaEnable encryption
bull Elija Habilitar el cifrado si desea cifrar el sistema de archivos Los ID de clave y los alias deKMS aparecen en la lista despueacutes de que se hayan creado mediante elAWS Key ManagementService(AWS KMS) Consola de
bull En el navegadorClave KMScuadro de texto elija la clave que desee utilizar de la lista10 ParaRol de restauracioacuten elija el rol de IAM queAWS Backupasumiraacute para esta restauracioacuten
121
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de una tabla de DynamoDB
Note
Si el archivo deAWS Backupel rol predeterminado de no estaacute presente en la cuenta unRolpredeterminadose crearaacute automaacuteticamente con los permisos adecuados Puede eliminar esterol predeterminado o dejarlo inutilizable
11 Seleccione Restore backup (Restaurar backup)
Apareceraacute el panel Trabajos de restauracioacuten En la parte superior de la paacutegina apareceraacute un mensajecon informacioacuten sobre el trabajo de restauracioacuten
Note
Si solo mantiene una copia de seguridad semanal solo podraacute restaurar el estado del sistemade archivos al momento en que realizoacute la copia de seguridad No podraacute restaurar copias deseguridad incrementales anteriores
UsarAWS BackupAPI CLI o SDK para restaurar puntos derecuperacioacuten de Amazon EFSUse StartRestoreJob Cuando restaure una instancia de Amazon EFS puede restaurar un sistemade archivos completo o archivos y directorios especiacuteficos Para restaurar los recursos de Amazon EFSnecesita la siguiente informacioacuten
bull file-system-idmdash El ID del sistema de archivos de Amazon EFS del que realiza una copia deseguridadAWS Backup Devuelta por GetRecoveryPointRestoreMetadata
bull Encryptedmdash Un valor booleano que si es verdadero especifica que el sistema de archivos estaacutecifrado Si se especifica KmsKeyId Encrypted se debe configurar en true
bull KmsKeyIdmdash Especifica elAWS KMSclave que se utiliza para cifrar el sistema de archivos restauradobull PerformanceMode especifica el modo de rendimiento del sistema de archivosbull CreationTokenmdash Valor suministrado por el usuario que garantiza la singularidad (idempotencia) de la
solicitudbull newFileSystem valor booleano que si es verdadero especifica que el punto de recuperacioacuten se ha
restaurado en un nuevo sistema de archivos de Amazon EFSbull ItemsToRestore mdash Matriz de hasta cinco cadenas donde cada cadena es una ruta de archivo
UsarItemsToRestorepara restaurar archivos o directorios especiacuteficos en lugar de restaurar todo elsistema de archivos Este paraacutemetro es opcional
Para obtener maacutes informacioacuten acerca de los valores de configuracioacuten de Amazon EFS consultecreate-filesystem
Restauracioacuten de una tabla de Amazon DynamoDBUsarAWS Backupconsola para restaurar puntos de recuperacioacutende DynamoDBPara restaurar una tabla de DynamoDB
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccioneRecursos protegidosy el ID del recurso de DynamoDB que
desea restaurar
122
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de una tabla de DynamoDB
3 En la paacutegina Resource details (Detalles del recurso) se muestra una lista de puntos de recuperacioacutenpara el ID de recurso seleccionado Para restaurar un recurso en el panel Copias de seguridad activeel botoacuten de opcioacuten situado junto al ID del punto de recuperacioacuten del recurso En la esquina superiorderecha del panel elija Restaurar
4 En Settings (Configuracioacuten) en el campo de texto New table name (Nuevo nombre de tabla) escribaun nuevo nombre de tabla
5 ParaRol de restauracioacuten elija el rol de IAM queAWS Backupasumiraacute para esta restauracioacuten6 ParaConfiguracioacuten de cifrado
a Si DynamoDB administra la copia de seguridad (su ARN comienzaconarnawsdyanmodb)AWS Backupcifra la tabla restaurada mediante unAWSllave depropiedad
Para elegir una clave diferente para cifrar la tabla restaurada puede utilizar laAWS Backup Iniciaroperacioacuten de RestoreJobo realice la restauracioacuten desde elConsola DynamoDB
b Si la copia de seguridad es compatible con todoAWS Backupadministracioacuten (su ARN comienzaconarnawsbackup) puede elegir cualquiera de las siguientes opciones de cifrado paraproteger la tabla restaurada
bull (Predeterminado) Clave KMS propiedad de Dynamodb (sin cargo adicional por cifrado)bull Clave KMS administrada por DynamoDB (se aplican cargos KMS)bull Clave KMS administrada por el cliente (se aplican cargos KMS)
Las claves laquopropiedad de DynamoDBraquo y laquoadministradas por DynamoDBraquo son las mismasqueraquoAWS-propiedadraquo yraquoAWSclaves laquogestionadasraquo respectivamente Para obtener maacutesinformacioacuten consulteCifrado en reposo Coacutemo funcionaen laGuiacutea para desarrolladores deAmazon DynamoDB
Para obtener maacutes informacioacuten acerca de la completaAWS Backupadministracioacuten consulteBackupavanzado de DynamoDB (p 90)
Note
La siguiente guiacutea se aplica solo si restaura una copia de seguridad copiada Y desea cifrar latabla restaurada con la misma clave que utilizoacute para cifrar la tabla originalAl restaurar una copia de seguridad entre regiones para cifrar la tabla restaurada utilizandola misma clave que utilizoacute para cifrar la tabla original la clave debe ser una clave de variasregionesAWS-propiedad de yAWSLas claves administradas no son claves de variasregiones Para obtener maacutes informacioacuten consulteClaves de varias regionesen laAWS KeyManagement ServiceGuiacutea para desarrolladoresAl restaurar una copia de seguridad multicuenta para cifrar la tabla restaurada utilizandola misma clave que usoacute para cifrar la tabla original debe compartir la clave de la cuentade origen con la cuenta de destinoAWS-propiedad de yAWS-las claves administradas nose pueden compartir entre cuentas Para obtener maacutes informacioacuten consultePermitir a losusuarios de otras cuentas utilizar una clave KMSen laAWS Key Management ServiceGuiacuteapara desarrolladores
7 Seleccione Restore backup (Restaurar backup)
Apareceraacute el panel Trabajos de restauracioacuten En la parte superior de la paacutegina apareceraacute un mensajecon informacioacuten sobre el trabajo de restauracioacuten
123
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de una base de datos de RDS
UsarAWS BackupAPI CLI o SDK para restaurar puntos derecuperacioacuten de DynamoDBUse StartRestoreJob Puede especificar los siguientes metadatos durante cualquier restauracioacuten deDynamoDB
originalTableNamebackupNamebackupArnprimaryPartitionKeysortKeyprovisionedRcuprovisionedWcuencryptionTypekmsMasterKeyArnautoScalingstreamsecondaryIndiciesindexNameindexTypeprojectedAttributestargetTableName
A continuacioacuten se muestra un ejemplo delrestoreMetadataargumento paraunStartRestoreJobfuncionamiento en la CLI
restoreMetadata provisionedWriteCapacityUnits0autoScalingDisabledencryptionTypeDefaultkmsMasterKeyArnNot ApplicableprovisionedReadCapacityUnits0secondaryIndices[]backupArnarnawsdynamodbus-east-1234567890123tablesimcher-loadtest-ScenariosTable-C4B1NQ3B92DUbackup01616319501023-bc657c53sortKey-streamDisabledtargetTableNamenulloriginalTableNamesimcher-loadtest-ScenariosTable-C4B1NQ3B92DUbackupNamesimcher-loadtest-ScenariosTable-C4B1NQ3B92DU-AwsBackup-2021-03-21T091500Z-D2A6E00C-F3F8-AD99-A47D-8AA26EA38F01primaryPartitionKeytestId
En el ejemplo anterior se cifra la tabla restaurada mediante unAWSllave de propiedad La partede los metadatos de restauracioacuten que especifica el cifrado mediante elAWS-clave propiedadesencryptionTypeDefaultkmsMasterKeyArnNot Applicable
Para cifrar la tabla restaurada mediante unAWS-management key especifique los siguientes metadatos derestauracioacutenencryptionTypeKMSkeyArnNot Applicable
Para cifrar la tabla restaurada mediante una clave administrada por el cliente especifique los siguientesmetadatos de restauracioacutenencryptionTypeKMSkeyArnarnawskmsus-west-2111122223333key1234abcd-12ab-34cd-56ef-1234567890ab
Restauracioacuten de una base de datos de RDSLa restauracioacuten de una base de datos de Amazon RDS requiere especificar varias opciones derestauracioacuten Para obtener maacutes informacioacuten acerca de estas opciones consulteCopia de seguridad yrestauracioacuten de una instancia de base de datos de Amazon RDSen laAmazon RDS User Guide
UsarAWS Backupconsola para restaurar puntos de recuperacioacutende Amazon RDS1 Abra el iconoAWS BackupConsola de enhttpsconsoleawsamazoncombackup
124
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de una base de datos de RDS
2 En el panel de navegacioacuten seleccioneRecursos protegidosy el ID del recurso de Amazon RDS quedesea restaurar
3 En la paacutegina Resource details (Detalles del recurso) se muestra una lista de puntos de recuperacioacutenpara el ID de recurso seleccionado Para restaurar un recurso en el panel Copias de seguridad activeel botoacuten de opcioacuten situado junto al ID del punto de recuperacioacuten del recurso En la esquina superiorderecha del panel elija Restaurar
4 En el panel Instance specifications (Especificaciones de la instancia) acepte los valorespredeterminados o especifique las opciones de configuracioacuten de DB engine (Motor de base de datos)License Model (Modelo de licencias) DB instance class (Clase de instancia de base de datos) Multi-AZ y Storage type (Tipo de almacenamiento) Por ejemplo si desea una instancia de base de datos enespera especifiqueMulti-AZ
5 En el navegadorConfiguracioacuten escriba un nombre que sea uacutenico para todas las instancias de basede datos pertenecientes a suCuenta de AWSen la regioacuten actual de El identificador de instancias debases de datos no distingue entre mayuacutesculas y minuacutesculas pero se almacena con todas las letras enminuacutesculas (como en mydbinstance) Este campo es obligatorio
6 En el panel Network amp Security (Red y seguridad) acepte los valores predeterminados o especifiquelas opciones de configuracioacuten de Virtual Private Cloud (VPN) (Nube virtual privada [VPN]) Subnetgroup (Grupo de subredes) Public Accessibility (Accesibilidad puacuteblica) (normalmente Yes [Siacute]) yAvailability zone (Zona de disponibilidad)
7 En el panel Database options (Opciones de base de datos) acepte los valores predeterminados oespecifique las opciones de configuracioacuten de Database port (Puerto de base de datos) DB parametergroup (Grupo de paraacutemetros de base de datos) Option Group (Grupo de opciones) Copy tags tosnapshots (Copiar etiquetas en instantaacuteneas) e IAM DB Authentication Enabled (Autenticacioacuten debase de datos de IAM habilitada)
8 En el navegadorCriptografiacutea acepte los valores predeterminados o especifique las opcionesdeCriptografiacuteayClave KMSConfiguracioacuten del
9 En el navegadorLog exports (Exportaciones de registros) elija los tipos de registro que desea publicaren Amazon CloudWatch Registros El rol de IAM ya se ha definido
10 En el panel Maintenance (Mantenimiento) acepte el valor predeterminado o especifique la opcioacuten deAuto minor version upgrade (Actualizacioacuten automaacutetica de versiones secundarias)
11 En el panel Restore role (Restaurar rol) elija el rol de IAM que AWS Backup asumiraacute para estarestauracioacuten
12 Una vez que se hayan especificado todos los ajustes elija Restore backup (Restaurar copia deseguridad)
Apareceraacute el panel Trabajos de restauracioacuten En la parte superior de la paacutegina apareceraacute un mensajecon informacioacuten sobre el trabajo de restauracioacuten
UsarAWS BackupAPI CLI o SDK para restaurar puntos derecuperacioacuten de Amazon RDSUse StartRestoreJob Puede especificar los siguientes metadatos durante las restauraciones deAmazon RDS
String dBInstanceIdentifierString engineString licenseModelString dBInstanceClassString availabilityZoneBoolean multiAZBoolean publiclyAccessibleString storageTypeInteger portInteger iops
125
AWS Backup Guiacutea para desarrolladoresRestaurar un cluacutester de Aurora
Boolean autoMinorVersionUpgradeString dBParameterGroupNameString optionGroupNameListltStringgt vpcSecurityGroupIdsString dBSubnetGroupNameBoolean enableIAMDatabaseAuthenticationBoolean deletionProtectionString dBNameString tdeCredentialArnString domainString domainIAMRoleNameBoolean copyTagsToSnapshotListltStringgt enableCloudwatchLogsExportsListltProcessorFeaturegt processorFeatures
Ejemplo
restoreMetadata LicenseModelpostgresql-licenseStorageTypegp2DBInstanceClassdbt2smallPort0AvailabilityZoneus-east-1dOptionGroupNamedefaultpostgres-12ProcessorFeatures[]AutoMinorVersionUpgradetrueDBSubnetGroupNamedefaultDeletionProtectionfalseDBInstanceIdentifiercryo-instance-ec2-user-tlrq1DBParameterGroupNamedefaultpostgres12VpcSecurityGroupIds[sg-3ba6747b]EnableIAMDatabaseAuthenticationfalseCopyTagsToSnapshotfalsePubliclyAccessiblefalseMultiAZfalseEnginepostgresEnableCloudwatchLogsExports[]
Restaurar un cluacutester de Amazon AuroraUsarAWS Backupconsola para restaurar puntos de recuperacioacutende AuroraAWS Backuprestaura el cluacutester de Aurora no crea ni adjunta una instancia de Amazon RDS al cluacutesterEn los siguientes pasos crearaacute y adjuntaraacute una instancia de Amazon RDS al cluacutester Aurora restauradomediante la CLI
La restauracioacuten de un cluacutester de Aurora requiere que especifique varias opciones de restauracioacutenPara obtener informacioacuten sobre estas opciones consulteInformacioacuten general de copias de seguridad yrestauracioacuten de un cluacutester de base de datos de Auroraen laGuiacutea del usuario de Amazon Aurora
Para restaurar un cluacutester de Amazon Aurora
1 Abra el iconoAWS BackupConsola de enhttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccioneRecursos protegidosy el ID del recurso de Aurora que desea
restaurar3 En la paacutegina Resource details (Detalles del recurso) se muestra una lista de puntos de recuperacioacuten
para el ID de recurso seleccionado Para restaurar un recurso en el panel Copias de seguridad activeel botoacuten de opcioacuten situado junto al ID del punto de recuperacioacuten del recurso En la esquina superiorderecha del panel elija Restaurar
4 En el panel Instance specifications (Especificaciones de la instancia) acepte los valorespredeterminados o especifique las opciones de configuracioacuten de DB engine (Motor de base de datos)DB engine version (Versioacuten del motor de base de datos) y Capacity type (Tipo de capacidad)
Note
Si se selecciona el tipo de capacidad Serverless (Sin servidor) apareceraacute el panel Capacitysettings (Ajustes de capacidad) Especifique las opciones de configuracioacuten de Minimum
126
AWS Backup Guiacutea para desarrolladoresRestaurar un cluacutester de Aurora
Aurora capacity unit (Unidad miacutenima de capacidad de Aurora) y Maximum Aurora capacityunit (Unidad maacutexima de capacidad de Aurora) o elija diferentes opciones en la seccioacutenAdditional scaling configuration (Configuracioacuten de escalado adicional)
5 En el navegadorConfiguracioacuten escriba un nombre que sea uacutenico para todas las instancias de cluacutesterde base de datos pertenecientes a suCuenta de AWSen la regioacuten actual de El identificador de cluacutesterde bases de datos no distingue entre mayuacutesculas y minuacutesculas pero se almacena con todas las letrasen minuacutesculas (como en mydbclusterinstance) Este campo es obligatorio
6 En el navegadorRed y seguridad acepte los valores predeterminados o especifique las opcionesdeVirtual Private Cloud (VPC)Subnet group yAvailability zoneConfiguracioacuten del
7 En el panel Database options (Opciones de base de datos) acepte los valores predeterminados oespecifique las opciones de configuracioacuten de Database port (Puerto de base de datos) DB clusterparameter group (Grupo de paraacutemetros de cluacutester de base de datos) e IAM DB Authentication Enabled(Autenticacioacuten de base de datos de IAM habilitada)
8 En el panel Backup (Copia de seguridad) acepte el valor predeterminado o especifique la opcioacuten deconfiguracioacuten de Copy tags to snapshots (Copiar etiquetas en instantaacuteneas)
9 En el panel Backtrack (Rastreo) acepte el valor predeterminado o especifique las opciones deconfiguracioacuten de Enable Backtrack (Habilitar rastreo) o Disable Backtrack (Deshabilitar rastreo)
10 En el panel Encryption (Cifrado) acepte el valor predeterminado o especifique las opciones deconfiguracioacuten de Enable encryption (Habilitar cifrado) o Disable encryption (Deshabilitar cifrado)
11 En el navegadorLog exports (Exportaciones de registros) elija los tipos de registro que desea publicaren Amazon CloudWatch Registros El rol de IAM ya se ha definido
12 En el panel Restore role (Restaurar rol) elija el rol de IAM que AWS Backup asumiraacute para estarestauracioacuten
13 Despueacutes de especificar todos los ajustes elija Restore backup (Restaurar copia de seguridad)
Apareceraacute el panel Trabajos de restauracioacuten En la parte superior de la paacutegina apareceraacute un mensajecon informacioacuten sobre el trabajo de restauracioacuten
14 Una vez finalizada la restauracioacuten adjunte el cluacutester Aurora restaurado a una instancia de AmazonRDS
Uso de la AWS CLI
bull Para Linux macOS o Unix
aws rds create-db-instance --db-instance-identifier sample-instance --db-cluster-identifier sample-cluster --engine aurora-mysql --db-instance-class dbr4large
bull Para Windows
aws rds create-db-instance --db-instance-identifier sample-instance ^ --db-cluster-identifier sample-cluster --engine aurora-mysql --db-instance-class dbr4large
UsarAWS BackupAPI CLI o SDK para restaurar puntos derecuperacioacuten de AuroraUse StartRestoreJob Puede especificar los siguientes metadatos durante las restauraciones deAurora
ListltStringgt availabilityZonesLong backtrackWindowBoolean copyTagsToSnapshot
127
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de una instancia EC2
String databaseNameString dbClusterIdentifierString dbClusterParameterGroupNameString dbSubnetGroupNameListltStringgt enableCloudwatchLogsExportsBoolean enableIAMDatabaseAuthenticationString engineString engineModeString engineVersionString kmsKeyIdInteger portString optionGroupNameScalingConfiguration scalingConfigurationListltStringgt vpcSecurityGroupIds
Ejemplo
restoreMetadataEngineVersion5610aKmsKeyIdarnawskmsus-east-1234567890123key45678901-ab23-4567-8cd9-012d345e6f7EngineModeserverlessAvailabilityZones[us-east-1bus-east-1eus-east-1c]Port3306DatabaseNameDBSubnetGroupNamedefault-vpc-05a3b07cf6e193e1gVpcSecurityGroupIds[sg-012d52c68c6e88f00]ScalingConfigurationMinCapacity2MaxCapacity64AutoPausetrueSecondsUntilAutoPause300TimeoutActionRollbackCapacityChangeEnableIAMDatabaseAuthenticationfalseDBClusterParameterGroupNamedefaultaurora56CopyTagsToSnapshottrueEngineauroraEnableCloudwatchLogsExports[]
Restauracioacuten de una instancia de Amazon EC2Cuando utilice la consola puede realizar restauraciones con 16 opciones Si necesita establecer los demaacutesparaacutemetros debe utilizar CLI o SDK
Note
AWS Backupno realiza copias de seguridad ni restaura los datos de usuario que se utilizandurante el lanzamiento de una instancia de Amazon EC2
UsarAWS Backupconsola para restaurar puntos de recuperacioacutende Amazon EC2Esta es la opcioacuten recomendada
Para restaurar recursos de Amazon EC2 mediante elAWS Backupconsola
1 Abra el iconoAWS BackupConsola de enhttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccioneRecursos protegidosy el ID del recurso de Amazon EC2 que
desea restaurar3 En la paacutegina Resource details (Detalles del recurso) se muestra una lista de puntos de recuperacioacuten
para el ID de recurso seleccionado Para restaurar un recurso en el panel Copias de seguridad activeel botoacuten de opcioacuten situado junto al ID del punto de recuperacioacuten del recurso En la esquina superiorderecha del panel elija Restaurar
4 En el navegadorNetwork settings (Configuracioacuten de red) acepte los valores predeterminados oespecifique las opciones deTipo de instanciaVirtual Private Cloud (VPC)SubredGrupos de seguridadyRol de IAM de instanciaConfiguracioacuten del
5 En el navegadorRol de restauracioacutenpanel acepte elRol predeterminadooElija un rol de IAMParaespecificar el rol de IAM queAWS Backupasumiraacute para esta restauracioacuten
128
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de una instancia EC2
6 En el navegadorConfiguracioacuten avanzada acepte los valores predeterminados o especifique lasopciones deComportamiento de apagadoHabilitar la proteccioacuten contra la terminacioacutenGrupo deubicacioacutenT2T3 ilimitadosPropiedad yDatos de usuarioConfiguracioacuten del Esta seccioacuten se utilizapara personalizar el comportamiento de apagado e hibernacioacuten proteccioacuten de terminacioacuten grupos deubicacioacuten arrendamiento y otros ajustes avanzados
7 Despueacutes de especificar todos los ajustes elija Restore backup (Restaurar copia de seguridad)
Apareceraacute el panel Trabajos de restauracioacuten En la parte superior de la paacutegina apareceraacute un mensajecon informacioacuten sobre el trabajo de restauracioacuten
LaAWS Backupconsola le permite restaurar puntos de recuperacioacuten de Amazon EC2 con los siguientesparaacutemetros y configuraciones que puede personalizar
bull Tipo de instanciabull Amazon VPCbull Subredbull Grupos de seguridadbull Rol de IAMbull Comportamiento de apagadobull Detener comportamiento de hibernacioacutenbull Termination protectionbull T2T3 ilimitadosbull Nombre del grupo de ubicacioacutenbull Instancia optimizada para EBSbull Propiedadbull ID de disco RAMbull ID de kernelbull Datos de usuariobull Eliminar al terminar
Estos paraacutemetros se especifican con anterioridad para que coincidan con la copia de seguridad originalPuede cambiarlos antes de restaurar la instancia AWS Backup identifica los paraacutemetros con valores quepodriacutean no ser vaacutelidos o que podriacutean dar lugar a una restauracioacuten no vaacutelida
UsarAWS BackupAPI CLI o SDK para restaurar puntos derecuperacioacuten de Amazon EC2Use StartRestoreJob Esta opcioacuten permite restaurar los 38 paraacutemetros incluidos los 22 paraacutemetrosque no se pueden personalizar en la consola LaReferencia de la API de Amazon EC2enumera los 38paraacutemetros Esto resulta uacutetil cuando son necesarios los 38 paraacutemetros y se pueden restaurar sin validarlosA continuacioacuten se muestra un ejemplo de los metadatos que puede pasar para restaurar un punto derecuperacioacuten de Amazon EC2
restoreMetadataHibernationOptionsConfiguredfalseInstanceInitiatedShutdownBehaviorstopCpuOptionsCoreCount1ThreadsPerCore2SubnetIdsubnet-b35676f9SecurityGroupIds[sg-09e183a37f21ec0ba]EbsOptimizedfalseKeyNameec2CanaryKeyPairDisableApiTerminationfalseVpcIdvpc-4852ff32PlacementAvailabilityZoneus-east-1aGroupNameTenancydefaultNetworkInterfaces[AssociatePublicIpAddresstrueDeleteOnTerminatio
129
AWS Backup Guiacutea para desarrolladoresRestauracioacuten del volumen de Storage Gateway
ntrueDescriptionDeviceIndex0Groups[sg-09e183a37f21ec0ba]Ipv6AddressCount0Ipv6Addresses[]NetworkInterfaceIdeni-024f43c22193155e3PrivateIpAddress172312410PrivateIpAddresses[PrimarytruePrivateIpAddress172312410]SecondaryPrivateIpAddressCount0SubnetIdsubnet-b35676f9InterfaceTypeinterface]InstanceTypet3nanoCapacityReservationSpecificationCapacityReservationPreferenceopenCreditSpecificationCpuCreditsunlimitedMonitoringStatedisabled
Tambieacuten puede restaurar instancias de Amazon EC2 sin incluir paraacutemetros almacenados Esta opcioacuten estaacutedisponible en la pestantildea Recurso protegido de la consola de AWS Backup
Note
AWS Backuputilizaraacute el key pair SSH utilizado en el momento de la copia de seguridad pararealizar automaacuteticamente la restauracioacutenAWS Backupno permite modificar el perfil de instancia Esto es para evitar que se produzcanescalaciones de privilegios Si necesita modificar el perfil de instancia haacutegalo desde AmazonEC2
Para realizar una restauracioacuten correctamente con el perfil de instancia original debe editar la poliacutetica derestauracioacuten Si aplica un perfil de instancia durante la restauracioacuten debe actualizar el rol de operador yagregarPassRolepermisos del rol de perfil de instancia subyacente para Amazon EC2 De lo contrarioAmazon EC2 no puede autorizar el lanzamiento de la instancia y se produciraacute un error
Durante una restauracioacuten se aplican todas las cuotas y restricciones de configuracioacuten de Amazon EC2
Restauracioacuten del volumen de Storage GatewaySi estaacute restaurando unAWS Storage Gatewayinstantaacutenea de volumen puede elegir entre restaurar lainstantaacutenea como un volumen de Storage Gateway o como un volumen de Amazon EBS Esto se debea queAWS Backupse integra con ambos servicios y cualquier instantaacutenea de Storage Gateway se puederestaurar a un volumen de Storage Gateway o a un volumen de Amazon EBS
Para restaurar un volumen de Storage Gateway
1 Abra el iconoAWS BackupConsola de enhttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccioneRecursos protegidosy a continuacioacuten elija el ID de recurso de
Storage Gateway que desee restaurar3 En la paacutegina Resource details (Detalles del recurso) se muestra una lista de puntos de recuperacioacuten
para el ID de recurso seleccionado Para restaurar un recurso en el panel Copias de seguridad activeel botoacuten de opcioacuten situado junto al ID del punto de recuperacioacuten del recurso En la esquina superiorderecha del panel elija Restaurar
4 Especifique los paraacutemetros de restauracioacuten del recurso Los paraacutemetros de restauracioacuten establecidosson especiacuteficos del tipo de recurso seleccionado
ParaTipo de recurso elige elAWSrecurso que crear al restaurar esta copia de seguridad5 Si eligevolumen Storage Gateway elige unPortalen un estado accesible Elige tambieacuten tuNombre de
destino iSCSI
1 Para las puertas de enlace laquoAlmacenado por volumenraquo elija unaID de disco2 En las puertas de enlace laquoVolume cacheraquo elija una capacidad que sea al menos tan grande como
el recurso protegido
Si elige EBS volume (Volumen de EBS) proporcione los valores de Volume type (Tipo de volumen) ySize (GiB) (Tamantildeo [GiB]) y seleccione una zona de disponibilidad
130
AWS Backup Guiacutea para desarrolladoresRestaurar un cluacutester de DocumentDB
6 ParaRol de restauracioacuten elija el rol de IAM queAWS Backupasumiraacute para esta restauracioacuten
Note
Si el archivo deAWS Backupel rol predeterminado de no estaacute presente en la cuenta unRolpredeterminadose crearaacute automaacuteticamente con los permisos adecuados Puede eliminar esterol predeterminado o dejarlo inutilizable
7 Seleccione Restore backup (Restaurar backup)
Apareceraacute el panel Trabajos de restauracioacuten En la parte superior de la paacutegina apareceraacute un mensajecon informacioacuten sobre el trabajo de restauracioacuten
Uso deAWS BackupAPI CLI o SDK para restaurar puntos derecuperacioacuten de Storage GatewayUse StartRestoreJob
Restaurar un cluacutester de DocumentDBUsarAWS Backupconsola para restaurar puntos de recuperacioacutende Amazon DocumentDBLa restauracioacuten de un cluacutester de Amazon DocumentDB requiere que especifique varias opciones derestauracioacuten Para obtener informacioacuten sobre estas opciones consulteRestauracioacuten de una instantaacutenea delcluacutesteren laGuiacutea para desarrolladores de Amazon DocumentDB
Para restaurar un cluacutester de Amazon DocumentDB
1 Abra el iconoAWS BackupConsola de enhttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccioneRecursos protegidosy el ID de recurso de Amazon DocumentDB
que desea restaurar3 En la paacutegina Resource details (Detalles del recurso) se muestra una lista de puntos de recuperacioacuten
para el ID de recurso seleccionado Para restaurar un recurso en el panel Copias de seguridad activeel botoacuten de opcioacuten situado junto al ID del punto de recuperacioacuten del recurso En la esquina superiorderecha del panel elija Restaurar
4 En el navegadorConfiguracioacuten acepte los valores predeterminados o especifique las opcionesdeIdentificador de cluacutesterVersioacuten del motorClase de instancia yNumber of instances (Nuacutemero deinstancias)
bull NOTA Si la VPC predeterminada no existe al restaurar debe especificar una subred en otra VPC5 En el navegadorRed y seguridad acepte los valores predeterminados o especifique las opciones
deVirtual Private Cloud (VPC)Subnet group yVPC security groupsConfiguracioacuten del 6 En el navegadorCifrado en reposo acepte el valor predeterminado o especifique las opciones
deEnable encryptionoInhabilitar el cifradoConfiguracioacuten del 7 En el navegadorCluster options (Opciones de cluacutester) escriba en elPuertoy elige elGrupo de
paraacutemetros del cluacutester8 En el navegadorCopia de seguridadPanel elija una copia de seguridad continua para point-in-time
recuperacioacuten (PITR) copias de seguridad de instantaacuteneas programadas o ambas9 En el navegadorLog exports (Exportaciones de registros) elija los tipos de registro que desea publicar
en Amazon CloudWatch Registros El rol de IAM ya se ha definido10 En el navegadorMantenimientopanel especifique un periacuteodo de mantenimiento o elijaSin preferencias
131
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de un cluacutester de Neptune
11 En el navegadorEtiquetaspanel puedes elegirAgregue etiqueta12 En el navegadorDeletion protection (Proteccioacuten contra eliminacioacuten)panel puedes elegirEnable deletion
protection (Habilitar la proteccioacuten contra la eliminacioacuten)13 Despueacutes de especificar todos los ajustes elija Restore backup (Restaurar copia de seguridad)
Apareceraacute el panel Trabajos de restauracioacuten En la parte superior de la paacutegina apareceraacute un mensajecon informacioacuten sobre el trabajo de restauracioacuten
14 Una vez finalizada la restauracioacuten adjunte el cluacutester de Amazon DocumentDB restaurado a unainstancia de Amazon RDS
Uso de la AWS CLI
bull Para Linux macOS o Unix
aws docdb create-db-instance --db-instance-identifier sample-instance --db-cluster-identifier sample-cluster --engine docdb --db-instance-class dbr5large
bull Para Windows
aws docdb create-db-instance --db-instance-identifier sample-instance ^ --db-cluster-identifier sample-cluster --engine docdb --db-instance-class dbr5large
Restauracioacuten de un cluacutester de NeptuneUsarAWS Backupconsola para restaurar puntos de recuperacioacutende Amazon NeptuneLa restauracioacuten de una base de datos de Amazon Neptune requiere que especifique varias opciones derestauracioacuten Para obtener informacioacuten sobre estas opciones consulteRestauracioacuten de una instantaacutenea decluacutester de base de datosen laGuiacutea del usuario de Neptune
Para restaurar una base de datos de Neptune
1 Abra el iconoAWS BackupConsola de enhttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten seleccioneRecursos protegidosy el ID del recurso de Neptune que desea
restaurar3 En la paacutegina Resource details (Detalles del recurso) se muestra una lista de puntos de recuperacioacuten
para el ID de recurso seleccionado Para restaurar un recurso en el panel Copias de seguridad activeel botoacuten de opcioacuten situado junto al ID del punto de recuperacioacuten del recurso En la esquina superiorderecha del panel elija Restaurar
4 En el navegadorEspecificaciones de instancia de acepte los valores predeterminados o especifiquelaMotor de base de datosyVersion
5 En el navegadorConfiguracioacuten escriba un nombre que sea uacutenico para todas las instancias de cluacutesterde base de datos pertenecientes a suCuenta de AWSen la regioacuten actual de El identificador de cluacutesterde bases de datos no distingue entre mayuacutesculas y minuacutesculas pero se almacena con todas las letrasen minuacutesculas (como en mydbclusterinstance) Este campo es obligatorio
6 En el navegadorRed y seguridad acepte los valores predeterminados o especifique laAvailabilityzone
7 En el navegadorOpciones de base de datospanel acepte los valores predeterminados o especifiquelas opciones deDatabase Port (Puerto de base de datos)yGrupo de paraacutemetros de cluacutester de base dedatos
132
AWS Backup Guiacutea para desarrolladoresRestauracioacuten de un cluacutester de Neptune
8 En el panel Encryption (Cifrado) acepte el valor predeterminado o especifique las opciones deconfiguracioacuten de Enable encryption (Habilitar cifrado) o Disable encryption (Deshabilitar cifrado)
9 En el navegadorLog exports (Exportaciones de registros) elija los tipos de registro que desea publicaren Amazon CloudWatch Registros El rol de IAM ya se ha definido
10 En el panel Restore role (Restaurar rol) elija el rol de IAM que AWS Backup asumiraacute para estarestauracioacuten
11 Despueacutes de especificar todos los ajustes elija Restore backup (Restaurar copia de seguridad)
Apareceraacute el panel Trabajos de restauracioacuten En la parte superior de la paacutegina apareceraacute un mensajecon informacioacuten sobre el trabajo de restauracioacuten
12 Una vez finalizada la restauracioacuten adjunte el cluacutester Neptune restaurado a una instancia de AmazonRDS
Uso de la AWS CLI
bull Para Linux macOS o Unix
aws neptune create-db-instance --db-instance-identifier sample-instance --db-instance-class dbr5large --engine neptune --engine-version 1050 --db-cluster-identifier sample-cluster --region us-east-1
bull Para Windows
aws neptune create-db-instance --db-instance-identifier sample-instance ^ --db-instance-class dbr5large --engine neptune --engine-version 1050 --db-cluster-identifier sample-cluster --region us-east-1
133
AWS Backup Guiacutea para desarrolladores
Audite las copias de seguridad ycree informes conAWS BackupAuditManager
Note
AWS BackupAudit Manager no estaacute disponible en la regioacuten China (Pekiacuten) ni en la regioacuten China(Ningxia)
Puede usarAWS BackupAudit Manager para auditar el cumplimiento de suAWS Backuppoliacuteticas contralos controles que defina UNAcontroles un procedimiento disentildeado para auditar el cumplimiento de unrequisito de backup como la frecuencia de backup o el periacuteodo de retencioacuten de la copia de seguridadAWSBackup Audit Manager le ayuda a responder preguntas tales como
bull laquoiquestEstoy respaldando todos mis recursosraquobull laquoiquestEstaacuten cifradas todas mis copias de seguridadraquobull laquoiquestMis copias de seguridad se llevan a cabo diariamenteraquo
Puede usarAWS BackupAudit Manager para encontrar actividades y recursos de copias de seguridadque auacuten no cumplen con los controles definidos Tambieacuten puede usarlo para generar automaacuteticamente unseguimiento de auditoriacutea de informes diarios y bajo demanda para fines de control de copia de seguridad
Los siguientes pasos proporcionan informacioacuten general sobre coacutemo utilizarAWS BackupAudit ManagerPara obtener informacioacuten detallada sobre elija uno de los temas del final de esta paacutegina
1 Cree marcos que contengan una o maacutes plantillas de control de gobierno Las preguntas anterioresson ejemplos de tres plantillas de control de gobierno Puede personalizar los paraacutemetros de algunasplantillas de control de gobierno Por ejemplo puedes personalizar el uacuteltimo control para preguntarlaquoiquestSe realizan mis copias de seguridad semanalmenteraquo en lugar de diariamente
2 Consulte su marco para ver cuaacutentos recursos cumplen (o no cumplen) los controles definidos en esemarco
3 Cree informes de su estado de respaldo y cumplimiento Almacene estos informes como evidenciademostrable de sus praacutecticas de cumplimiento o para identificar actividades y recursos de backupindividuales que auacuten no cumplen los requisitos
AWS BackupAudit Manager genera automaacuteticamente un nuevo informe cada 24 horas y lo publica enAmazon S3 Tambieacuten puede generar informes bajo demanda
Note
Antes de crear su primer marco relacionado con el cumplimiento debe activar el seguimientode recursos Hacerlo permiteAWS Configpara rastrear suAWS Backupde AWS Para obtenerdocumentacioacuten teacutecnica sobre coacutemo administrar el seguimiento de recursos consulteConfiguracioacutendeAWS Configcon la consolaen laAWS ConfigGuiacutea para desarrolladoresSe aplican cargos al activar el seguimiento de recursos Para obtener informacioacuten sobreel seguimiento de recursos los precios y la facturacioacuten deAWS BackupAudit ManagerconsulteMedicioacuten costes y facturacioacuten
Temasbull Trabajo con marcos de auditoriacutea (p 135)
134
AWS Backup Guiacutea para desarrolladoresTrabajo con marcos de auditoriacutea
bull Uso de informes de auditoriacutea (p 148)bull Uso deAWS BackupAudit Manager conAWS CloudFormation (p 156)bull Uso deAWS BackupAudit Manager conAWS Audit Manager (p 162)bull AWS BackupControles y correcciones de Audit Manager (p 162)
Trabajo con marcos de auditoriacuteaUNAinfraestructuraes un conjunto de controles que le ayudan a evaluar sus praacutecticas de backup Puedeutilizar controles predefinidos y personalizables para definir sus poliacuteticas y evaluar si sus praacutecticas debackup cumplen con sus poliacuteticas Tambieacuten puede configurar informes diarios automaacuteticos para obtenerinformacioacuten sobre el estado de cumplimiento de sus marcos
Cada marco de trabajo se aplica a una uacutenica cuenta yRegioacuten de AWS Puede implementar un maacuteximode 10 marcos de trabajo por cuenta y regioacuten No se pueden implementar marcos duplicados (marcos quecontienen los mismos controles y paraacutemetros)
Existen dos tipos diferentes de marcos
bull LaAWS Backupinfraestructura(recomendado) mdash Utilice laAWS Backupmarco para implementar todoslos controles disponibles para supervisar la actividad de backup la cobertura y los recursos con laspraacutecticas recomendadas que recomendamos
bull UNAmarco personalizadoque define utilice un marco personalizado para elegir uno o varios controlesespeciacuteficos y personalizar los paraacutemetros de control
Temasbull Elegir los controles (p 135)bull Activacioacuten del seguimiento de recursos (p 137)bull Creacioacuten de marcos mediante elAWS Backupconsola (p 141)bull Creacioacuten de marcos mediante elAWS BackupAPI (p 142)bull Visualizacioacuten del estado de cumplimiento de (p 146)bull Buacutesqueda de recursos no conformes (p 147)bull Actualizacioacuten de marcos de auditoriacutea (p 147)bull Eliminacioacuten de marcos de auditoriacutea (p 148)
Elegir los controlesEn la siguiente tabla se enumeran losAWS BackupControles de Audit Manager sus paraacutemetrospersonalizables y susAWS Configregistros de tipos de recursos Cada control requiere el tipo de recurso degrabacioacutenAWS Config resource complianceporque este tipo registra el estado de cumplimiento
Controles disponibles
Nombre de control Descripcioacuten del control Paraacutemetrospersonalizables
AWS Configtipo derecurso de grabacioacuten
Recursos Backupprotegidos por un plande backup
Evaluacutea si los recursosestaacuten protegidos por unplan de respaldo
Ninguno AWS Backup backupselection
Frecuencia miacutenima yretencioacuten miacutenima delplan de Backup
Evaluacutea si la frecuenciade backup es de almenos [1 diacutea] y el
Frecuencia de Backupperiacuteodo de retencioacuten
AWS Backup backupplans
135
AWS Backup Guiacutea para desarrolladoresElegir los controles
Nombre de control Descripcioacuten del control Paraacutemetrospersonalizables
AWS Configtipo derecurso de grabacioacuten
periacuteodo de retencioacuten esde al menos [35 diacuteas]
La Backup evita laeliminacioacuten manual delpunto de recuperacioacuten
Evaluacutea si las boacutevedasde backup no permitenla eliminacioacutenmanual de puntosde recuperacioacutenexcepto por ciertosAWSIdentity and AccessManagementrolesde (IAM) De formapredeterminada nohay excepciones de rolde IAM Tampoco hayexcepciones de rol deIAM cuando implementaeste control con elAWSBackupmarco
Hasta 5 roles deIAM que permiten laeliminacioacuten manual depuntos de recuperacioacuten
AWS Backup backupvaults
Punto de recuperacioacutende copias de seguridadcifrado
Evaluacutea si los puntosde recuperacioacuten estaacutencifrados
Ninguno AWS Backuprecovery points
Retencioacuten miacutenima delpunto de recuperacioacutende Backup
Evaluacutea si el periacuteodo deretencioacuten del punto derecuperacioacuten es de almenos [35 diacuteas]
Punto de retencioacuten delpunto de recuperacioacuten
AWS Backuprecovery points
Copias entre regiones Evaluacutea si un recursoestaacute configurado paracrear copias de suscopias de seguridad enotroRegioacuten de AWS
Regioacuten de AWS AWS Backup backupselection
Copias entre cuentas Evaluacutea si un recursotiene configurada unacopia de seguridadmulticuenta
AWSID de la cuenta de AWS Backup backupselection
Backup del bloqueo dealmacenes
Evaluacutea si un recursoestaacute configuradopara tener copias deseguridad en el almaceacutende copias de seguridadbloqueado
Diacuteas de retencioacutenmiacutenimos diacuteas deretencioacuten maacuteximos
AWS Backup backupselection
Para obtener informacioacuten detallada sobre estos controles consulteAWS BackupControles y correccionesde Audit Manager (p 162)
Para obtener una lista deAWS Backup-recursos compatibles que no admiten todos los controles consultelaAWS BackupSeccioacuten Audit Manager de laDisponibilidad de caracteriacutesticas por recurso (p 2)table
136
AWS Backup Guiacutea para desarrolladoresActivacioacuten del seguimiento de recursos
Note
Si no desea utilizar ninguno de los controles anteriores puede seguir utilizandoAWS BackupAuditManager para crear informes diarios de los trabajos de copia de seguridad copia y restauracioacutenConsulteUso de informes de auditoriacutea
Activacioacuten del seguimiento de recursosAntes de crear su primer marco relacionado con el cumplimiento debe activar el seguimiento de recursosHacerlo permiteAWS Configpara rastrear suAWS Backupde AWS Para obtener documentacioacuten teacutecnicasobre coacutemo administrar el seguimiento de recursos consulteConfiguracioacuten deAWS Configcon la consolaenlaAWS ConfigGuiacutea para desarrolladores
Se aplican cargos al activar el seguimiento de recursos Para obtener informacioacuten sobre el seguimientode recursos los precios y la facturacioacuten deAWS BackupAudit Manager consulteMedicioacuten costes yfacturacioacuten
Temasbull Activacioacuten del seguimiento de recursos mediante la consola (p 137)bull Activar el seguimiento de recursos mediante elAWS Command Line Interface(AWS CLI) (p 138)bull Activar el seguimiento de recursos mediante unAWS CloudFormationplantilla (p 141)
Activacioacuten del seguimiento de recursos mediante la consolaPara activar el seguimiento de recursos mediante la consola
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten izquierdo enAudit Manager eligeMarcos3 Activar el seguimiento de recursos eligiendoAdministrar el seguimiento de recursos4 ElegirVaya aAWS ConfigConfiguracioacuten5 ElegirHabilitar o deshabilitar grabacioacuten6 ElegirHabilitargrabacioacuten para todos los tipos de recursos siguientes o elija habilitar la grabacioacuten para
algunos tipos de recursos Consulte laAWS BackupControles y correcciones de Audit Managerparaqueacute tipos de recursos son necesarios para los controles
bull AWS Backup backup plans
bull AWS Backup backup vaults
bull AWS Backup recovery points
bull AWS Backup backup selection
Note
AWS BackupAudit Manager requiereAWS Config resource compliancepara cadacontrol
7 Elija Close (Cerrar)8 Espere a que el banner azul con el textoActivacioacuten del seguimiento de recursospara pasar al banner
verde con el textoEl seguimiento de recursos estaacute activado
Puede comprobar si ha activado el seguimiento de recursos y en caso afirmativo queacute tipos de recursosestaacute grabando en dos lugares delAWS Backupconsola de En el panel de navegacioacuten izquierdo puede
bull ElegirMarcosy a continuacioacuten elija el texto enAWS Configestado de la grabadora
137
AWS Backup Guiacutea para desarrolladoresActivacioacuten del seguimiento de recursos
bull ElegirConfiguracioacuteny a continuacioacuten elija el texto enAWS Configestado de la grabadora
Activar el seguimiento de recursos mediante elAWS CommandLine Interface(AWS CLI)Si no te has incorporado auacuten aAWS Config podriacutea ser maacutes raacutepido incorporarlo utilizando elAWS CLI
Para activar el seguimiento de recursos mediante elAWS CLI
1 Escriba el siguiente comando para determinar si ya ha habilitado elAWS Configgrabadora
$ aws configservice describe-configuration-recorders
a Si las recetasConfigurationRecordersLa lista estaacute vaciacutea asiacute
ConfigurationRecorders []
La grabadora no estaacute habilitada Continuacutee en el paso 2 para crear la grabadorab Si ya has habilitado la grabacioacuten para todos los recursos tuConfigurationRecordersLa
salida tendraacute este aspecto
ConfigurationRecorders[ recordingGroup allSupportedtrue resourceTypes[ ] includeGlobalResourceTypestrue roleARNarnawsiam[account]role[roleName] namedefault ]
Dado que habilitoacute todos los recursos ya ha activado el seguimiento de recursos No es necesarioque realice el procedimiento para utilizarAWS BackupAudit Manager
c Si las recetasConfigurationRecordersno estaacute vaciacuteo pero no ha habilitado la grabacioacuten detodos los recursos agregue recursos de copia de seguridad a la grabadora existente mediante elsiguiente comando Despueacutes vaya al paso 3
$ aws configservice describe-configuration-recorders ConfigurationRecorders[ namedefault roleARNarnawsiamaccountIdroleaws-service-roleconfigamazonawscomAWSServiceRoleForConfig recordingGroup allSupportedfalse includeGlobalResourceTypesfalse resourceTypes[ AWSBackupBackupPlan
138
AWS Backup Guiacutea para desarrolladoresActivacioacuten del seguimiento de recursos
AWSBackupBackupSelection AWSBackupBackupVault AWSBackupRecoveryPoint AWSConfigResourceCompliance ] ]
2 Creacioacuten de unAWS Configgrabadora con elAWS BackupTipos de recursos de Audit Manager
$ aws configservice put-configuration-recorder --configuration-recorder name=default roleARN=roleARN=arnawsiamaccountIdroleaws-service-roleconfigamazonawscomAWSServiceRoleForConfig --recording-group resourceTypes=[AWSBackupBackupPlanAWSBackupBackupSelection AWSBackupBackupVaultAWSBackupRecoveryPointAWSConfigResourceCompliance]
3 Describa susAWS Configgrabadora
$ aws configservice describe-configuration-recorders
Verifique que tenga elAWS BackupTipos de recursos de Audit Manager comparando la salida con lasiguiente salida esperada
ConfigurationRecorders[ namedefault roleARNarnawsiamaccountIdroleAWSServiceRoleForConfig recordingGroup allSupportedfalse includeGlobalResourceTypesfalse resourceTypes[ AWSBackupBackupPlan AWSBackupBackupSelection AWSBackupBackupVault AWSBackupRecoveryPoint AWSConfigResourceCompliance ] ]
4 Cree un bucket de Amazon S3 como destino para almacenar elAWS Configarchivos de configuracioacuten
$ aws s3api create-bucket --bucket my-bucket mdashregion us-east-1
5 UsarpolicyjsonconcederAWS Configpermiso para obtener acceso a su bucket de Consulte elsiguiente ejemplo depolicyjson
$ aws s3api put-bucket-policy --bucket MyBucket --policy filepolicyjson
Version2012-10-17 Statement[ SidAWSConfigBucketPermissionsCheck
139
AWS Backup Guiacutea para desarrolladoresActivacioacuten del seguimiento de recursos
EffectAllow Principal Serviceconfigamazonawscom Actions3GetBucketAcl Resourcearnawss3my-bucket SidAWSConfigBucketExistenceCheck EffectAllow Principal Serviceconfigamazonawscom Actions3ListBucket Resourcearnawss3my-bucket SidAWSConfigBucketDelivery EffectAllow Principal Serviceconfigamazonawscom Actions3PutObject Resourcearnawss3my-bucket ]
6 Configura tu bucket comoAWS Configcanal de entrega
$ aws configservice put-delivery-channel --delivery-channel name=defaults3BucketName=my-bucket
7 HabilitarAWS Configgrabacioacuten
$ aws configservice start-configuration-recorder mdashconfiguration-recorder-name default
8 Verifique queFrameworkStatusACTIVEen la uacuteltima liacutenea de tuDescribeFrameworksalidade la siguiente manera
$ aws backup describe-framework --framework-name test --region us-east-1
FrameworkNametest FrameworkArnarnawsbackupus-east-1accountIdframeworktest-f0001b0a-0000-1111-ad3d-4444f5cc6666 FrameworkDescription FrameworkControls[ ControlNameBACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK ControlInputParameters[ ParameterNamerequiredRetentionDays ParameterValue1 ] ControlScope ControlNameBACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK
140
AWS Backup Guiacutea para desarrolladoresCreacioacuten de marcos mediante elAWS Backupconsola
ControlInputParameters[ ParameterNamerequiredFrequencyUnit ParameterValuehours ParameterNamerequiredRetentionDays ParameterValue35 ParameterNamerequiredFrequencyValue ParameterValue1 ] ControlScope ControlNameBACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN ControlInputParameters[ ] ControlScope ControlNameBACKUP_RECOVERY_POINT_ENCRYPTED ControlInputParameters[ ] ControlScope ControlNameBACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED ControlInputParameters[ ] ControlScope ] CreationTime1633463605233 DeploymentStatusCOMPLETED FrameworkStatusACTIVE
Activar el seguimiento de recursos mediante unAWSCloudFormationplantillaPara unAWS CloudFormationplantilla que activa el seguimiento de recursos consulteUso deAWSBackupAudit Manager conAWS CloudFormation
Creacioacuten de marcos mediante elAWS BackupconsolaDespueacutes de activar el seguimiento de recursos cree un marco de trabajo siguiendo los siguientes pasos
141
AWS Backup Guiacutea para desarrolladoresCreacioacuten de marcos mediante elAWS BackupAPI
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten izquierdo elijaMarcos3 ElegirCrear marco4 ParaNombre del marco introduzca un nombre uacutenico El nombre del marco debe tener entre 1 y 256
caracteres empezando por una letra y consta de letras (a-z A-Z) nuacutemeros (0-9) y guiones bajos (_)5 (Opcional) Introduzca unDescripcioacuten del marco6 Elija oAWS Backupmarco (recomendado)oMarco personalizadoy luegoCrear marco
bull Si eligeAWS Backupmarco (recomendado)AWS BackupAudit Manager crea un marco con todoslos controles disponibles tal y como se describe enAWS BackupControles y correcciones de AuditManager DespueacutesAWS BackupAudit Manager crea el marco ha finalizado este procedimiento
bull Si eligeMarco personalizado puede personalizar queacute controles formaraacuten parte de su marcode trabajo y los paraacutemetros de esos controles El resto de este procedimiento supone que haelegidoMarco personalizado
7 Personaliza tus controles Para incluir o quitar cada control de su marco utilice el control deslizanteEl valor predeterminado es incluir todos los controles del marco con los paraacutemetros predeterminadosque se muestran entre corchetes (laquo[]raquo) Lista deAWS BackupAudit Managerdescribe las opciones depersonalizacioacuten de cada control
8 Etiquete su marco de trabajo eligiendoAntildeadir nueva etiqueta Puede utilizar etiquetas para buscar yfiltrar los marcos de trabajo o hacer un seguimiento de los costos de
9 ElegirCrear marco
AWS BackupAudit Manager puede tardar varios minutos en crear el marco de trabajo
Creacioacuten de marcos mediante elAWS BackupAPILa siguiente tabla contiene solicitudes API de ejemplo paraCreateFramework (p 335)para cada controljunto con respuestas de API de muestra a la correspondienteDescribeFramework (p 373)peticionesPara trabajar conAWS BackupAudit Manager mediante programacioacuten puede hacer referencia a estosfragmentos de coacutedigo
Controlar Solicitud de CreateFramework DescribeFrameworkresponse
Recursos Backup protegidos porun plan de backup FrameworkName
Control1 FrameworkDescription This is a test framework FrameworkControls [ ControlName BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN ControlInputParameters[] ControlScope ComplianceResourceTypes [RDS] Evaluate only RDS instances ] IdempotencyToken Control1 FrameworkTags key1 foo
FrameworkName Control1 FrameworkArn arnawsbackupus-east-1123456789012frameworkControl1-ce7655ae-1e31-45cb-96a0-4f43d8c19642 FrameworkDescription This is a test framework FrameworkControls [ ControlName BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN ControlInputParameters[] ControlScope ComplianceResourceTypes [RDS] ]
142
AWS Backup Guiacutea para desarrolladoresCreacioacuten de marcos mediante elAWS BackupAPI
Controlar Solicitud de CreateFramework DescribeFrameworkresponse CreationTime 1516925490
DeploymentStatus Active FrameworkStatus Completed IdempotencyToken Control1 FrameworkTags key1 foo
Comprobacioacuten de la frecuenciamiacutenima y retencioacuten del plan deBackup
FrameworkName Control2 FrameworkDescription This is a test framework FrameworkControls [ ControlName BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK ControlInputParameters [ ParameterName requiredRetentionDays ParameterValue 35 ParameterName requiredFrequencyUnit ParameterValue hours ParameterName requiredFrequencyValue ParameterValue 24 ] ControlScope Tags key1 prod Evaluate backup plans that tagged with key1 prod ] IdempotencyToken Control2 FrameworkTags key1 foo
FrameworkName Control2 FrameworkArn arnawsbackupus-east-1123456789012frameworkControl2-de7655ae-1e31-45cb-96a0-4f43d8c1969d FrameworkDescription This is a test framework FrameworkControls [ ControlName BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK ControlInputParameters [ ParameterName requiredRetentionDays ParameterValue 35 ParameterName requiredFrequencyUnit ParameterValue hours ParameterName requiredFrequencyValue ParameterValue 24 ] ControlScope Tags key1 prod ] CreationTime 1516925490 DeploymentStatus Active FrameworkStatus Completed IdempotencyToken Control2 FrameworkTags key1 foo
143
AWS Backup Guiacutea para desarrolladoresCreacioacuten de marcos mediante elAWS BackupAPI
Controlar Solicitud de CreateFramework DescribeFrameworkresponse
Backup recovery pointmanual deletion disabled
FrameworkName Control3 FrameworkDescription This is a test framework FrameworkControls [ ControlName BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED ControlInputParameters [ ParameterName principalArnList ParameterValue arnawsiam123456789012roleapplication_abccomponent_xyzRDSAccess arnawsiam123456789012roleaws-service-roleaccess-analyzeramazonawscomAWSServiceRoleForAccessAnalyzer arnawsiam123456789012roleservice-roleQuickSightAction ] ControlScope ComplianceResourceIds[default] ComplianceResourceTypes [AWSBackupBackupVault] ] IdempotencyToken Control3 FrameworkTags key1 foo
FrameworkName Control3 FrameworkArn arnawsbackupus-east-1123456789012frameworkControl2-de7655ae-1e31-45cb-96a0-4f43d8c1969d FrameworkDescription This is a test framework FrameworkControls [ ControlName BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED ControlInputParameters [ ParameterName principalArnList ParameterValue arnawsiam123456789012roleapplication_abccomponent_xyzRDSAccess arnawsiam123456789012roleaws-service-roleaccess-analyzeramazonawscomAWSServiceRoleForAccessAnalyzer arnawsiam123456789012roleservice-roleQuickSightAction ] ControlScope ComplianceResourceIds[default] ComplianceResourceTypes [AWSBackupBackupVault] ] CreationTime 1516925490 DeploymentStatus Active FrameworkStatus Completed IdempotencyToken Control3 FrameworkTags key1 foo
144
AWS Backup Guiacutea para desarrolladoresCreacioacuten de marcos mediante elAWS BackupAPI
Controlar Solicitud de CreateFramework DescribeFrameworkresponse
Backup recovery pointminimum retention check
FrameworkName Control4 FrameworkDescription This is a test framework FrameworkControls [ ControlName BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK ControlInputParameters [ ParameterName requiredRetentionDays ParameterValue 35 ] ControlScope Default scope (no scope input) sets scope to all recovery points ] IdempotencyToken Control4 FrameworkTags key1 foo
FrameworkName Control4FrameworkArn arnawsbackupus-east-1123456789012frameworkControl6-6e7655ae-1e31-45cb-96a0-4f43d8c19642 FrameworkDescription This is a test framework FrameworkControls [ ControlName BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK ControlInputParameters [ ParameterName requiredRetentionDays ParameterValue 35 ] ControlScope ] CreationTime 1516925490 DeploymentStatus Active FrameworkStatus Completed IdempotencyToken Control4 FrameworkTags key1 foo
145
AWS Backup Guiacutea para desarrolladoresVisualizacioacuten del estado de cumplimiento de
Controlar Solicitud de CreateFramework DescribeFrameworkresponse
Backup recovery pointencrypted
FrameworkName Control5 FrameworkDescription This is a test framework FrameworkControls [ ControlName BACKUP_RECOVERY_POINT_ENCRYPTED ControlInputParameters [] ControlScope Default scope (no scope input) is all recovery points ] IdempotencyToken Control5 FrameworkTags key1 foo
FrameworkName Control5FrameworkArn arnawsbackupus-east-1123456789012frameworkControl7-7e7655ae-1e31-45cb-96a0-4f43d8c19642 FrameworkDescription This is a test framework FrameworkControls [ ControlName BACKUP_RECOVERY_POINT_ENCRYPTED ControlInputParameters [] ControlScope ] CreationTime 1516925490 DeploymentStatus Active FrameworkStatus Completed IdempotencyToken Control5 FrameworkTags key1 foo
Visualizacioacuten del estado de cumplimiento deUna vez que haya creado un marco de auditoriacutea aparece en suMarcostable Puede ver esta tablaeligiendoMarcosen el panel de navegacioacuten izquierdo delAWS Backupconsola de Para ver los resultadosde auditoriacutea de su marco elija suNombre del marco Hacerlo le lleva alDetalle del marco que tiene dossecciones ResumenyControles
LaResumenenumera los siguientes estados de izquierda a derecha
bull Compliance status (Estado de conformidad)es el estado general de cumplimiento de su marco deauditoriacutea determinado por el estado de cumplimiento de cada uno de sus controles El estado decumplimiento de cada control viene determinado por el estado de cumplimiento de cada recurso queevaluacutea
El estado de conformidad del marco esCompliantsolo si todos los recursos del aacutembito de susevaluaciones de control han superado esas evaluaciones Si uno o varios recursos fallaron en unaevaluacioacuten de control el estado de cumplimiento seraacuteNon-Compliant Para obtener informacioacuten sobrecoacutemo encontrar los recursos no conformes consulteBuacutesqueda de recursos no conformes Para obtenerinformacioacuten sobre coacutemo incorporar los recursos al cumplimiento consulte la seccioacuten de correccioacutendeAWS BackupControles y correcciones de Audit Manager
bull Estado del marcohace referencia a si ha activado el seguimiento de recursos para todos sus recursosLos posibles estados sonbull Activecuando la grabacioacuten estaacute activada para todos los recursos que evaluacutea el marcobull Partially activecuando la grabacioacuten estaacute desactivada para al menos un recurso que evaluacutea el
marco de trabajobull Inactivecuando la grabacioacuten estaacute desactivada para todos los recursos que evaluacutea el marco
146
AWS Backup Guiacutea para desarrolladoresBuacutesqueda de recursos no conformes
bull UnavailableWHENAWS BackupAudit Manager no puede validar el estado de la grabacioacuten en estemomento
Para corregir unaPartially activeoInactivestatus
1 ElegirMarcosdesde el panel de navegacioacuten izquierdo2 ElegirAdministrar el seguimiento de recursos3 Siga las instrucciones de la ventana emergente para habilitar la grabacioacuten que no estaba habilitada
anteriormente para los tipos de recursos
Para obtener maacutes informacioacuten sobre queacute tipos de recursos requieren el seguimiento de recursosen funcioacuten de los controles que incluyoacute en los marcos consulte el componente de recursos deAWSBackupControles y correcciones de Audit Manager
bull Estado de la implementacioacutenhace referencia al estado de implementacioacuten de su marco Esta situacioacutendeberiacutea ser la mayoriacutea de las vecesCompleted pero tambieacuten puedeCreate in progressUpdatein progressDelete in progress yFailedbull Un estado deFailedsignifica que el marco no se ha implementado correctamente Eliminacioacuten
del marco de trabajoy a continuacioacuten recrear el marco a traveacutes delAWS Backupconsolao a traveacutesdeAWS BackupAPI
bull Controles conformesmuestra un recuento de controles de marco con todas las evaluaciones aprobadasbull Controles no conformesmuestran un recuento de controles de marco con al menos una evaluacioacuten que
no pasa
LaControlesmuestra la siguiente informacioacuten
bull Estado de controlhace referencia al estado de cumplimiento de cada control Un control puedeserCompliant lo que significa que todos los recursos superan esa evaluacioacutenNon-compliant lo quesignifica que al menos un recurso no aproboacute esa evaluacioacuten oInsufficient data lo que significaque el control no encontroacute recursos dentro del aacutembito de evaluacioacuten para evaluar
bull Aacutembito de evaluacioacutenpodriacutea limitar cada control a uno o maacutesTipos de recurso unaID de recursoo unoClave de etiquetayValor de etiqueta seguacuten coacutemo personalizoacute el control al crear el marco deauditoriacutea Si todos los campos estaacuten vaciacuteos (como se muestra en un guioacuten laquo-raquo) el control evaluacutea todoslos recursos aplicables
Buacutesqueda de recursos no conformesAWS BackupAudit Manager le ayuda a encontrar queacute recursos no cumplen las normas de dos formas
bull CuandoVisualizacioacuten del estado de cumplimiento de elija el nombre del control en laSeccioacuten de detallesHacerlo le lleva alAWS Configconsola donde puede ver una lista de susNon-Compliantde AWS
bull Despueacutes de tiCrear un plan de informes con la plantilla de cumplimiento de recursosque incluye tumarco puedesVer el informepara identificar todos susNon-Compliantrecursos en todos sus controles
Ademaacutes suResource compliance reportmuestra la uacuteltima vezAWS BackupAudit Manager evaluoacutepor uacuteltima vez cada uno de sus controles
Actualizacioacuten de marcos de auditoriacuteaPuede actualizar la descripcioacuten los controles y los paraacutemetros de un marco de auditoriacutea existente
147
AWS Backup Guiacutea para desarrolladoresEliminacioacuten de marcos de auditoriacutea
Para actualizar un marco de trabajo existente
1 En el navegadorAWS Backupconsola izquierda del panel de navegacioacuten seleccioneMarcos2 Elija el marco de trabajo que desea editar mediante suNombre del marco3 Elija Edit (Editar)
Eliminacioacuten de marcos de auditoriacuteaPara eliminar un marco de trabajo existente
1 En el navegadorAWS Backupconsola izquierda del panel de navegacioacuten seleccioneMarcos2 Elija el marco de trabajo desea eliminar mediante suNombre del marco3 Elija Eliminar (Delete)4 Escriba el nombre de su marco de trabajo y seleccioneEliminar marco
Uso de informes de auditoriacuteaAWS BackupLos informes de Audit Manager se generan automaacuteticamente pruebas de suAWSBackupactividad tales como
bull Queacute trabajos de backup finalizaron y cuaacutendobull Queacute recursos ha hecho una copia de seguridad
AWS BackupAudit Manager entrega un informe diario en CSV JSON o ambos formatos a su bucket deAmazon S3 El momento del informe diario puede fluctuar durante varias horas porqueAWS BackupAuditManager realiza aleatorizacioacuten para mantener su rendimiento Tambieacuten puede ejecutar un informe bajodemanda en cualquier momento
Puede tener un maacuteximo de 20 planes de informe porCuenta de AWSNote
Los recursos como RDS que no tienen la capacidad de mostrar bytes incrementales de datos deuna copia de seguridad especiacutefica mostraraacuten el valorbackupSizeInBytescomo 0
PermitirAWS BackupAudit Manager para crear informes diarios o bajo demanda primero debe crearunplan de informesdeplantilla de informe
Temasbull Elegir la plantilla de informe (p 148)bull Creacioacuten de planes de informes mediante elAWS Backupconsola (p 152)bull Creacioacuten de planes de informes mediante elAWS BackupAPI (p 154)bull Creacioacuten de informes bajo demanda (p 155)bull Visualizacioacuten de informes de auditoriacutea (p 155)bull Actualizacioacuten de planes de informes (p 155)bull Eliminacioacuten de planes de informes (p 155)
Elegir la plantilla de informeUna plantilla de informe define la informacioacuten que el plan de informes incluye en el informe Cuandoautomatiza los informes mediante unplan de informesAWS BackupAudit Manager le proporciona informes
148
AWS Backup Guiacutea para desarrolladoresElegir la plantilla de informe
de las 24 horas anterioresAWS Backup Audit Manager crea estos informes entre las horas de la 1 a las 5AM UTC Ofrece las siguientes plantillas de informes
Plantillas de informes de respaldoPlantillas de informes de respaldo Estas plantillas le proporcionan actualizaciones diarias de sus trabajosde copia de seguridad restauracioacuten o copia Puede utilizar estos informes para supervisar su posturaoperativa e identificar cualquier fallo que pueda requerir maacutes medidas En la siguiente tabla se enumeracada nombre de plantilla de informe de copia de seguridad y su ejemplo de salida
Plantilla de informe de respaldo Ejemplo de informe en formato JSON
BACKUP_JOB_REPORT reportItems [ reportTimePeriod 2021-07-14T000000Z - 2021-07-15T000000Z accountId 112233445566 region us-west-2 backupJobId FCCB040A-9426-2A49-2EA9-5EAFFAC656AC jobStatus COMPLETED resourceType EC2 resourceArn arnawsec2us-west-2112233445566instancei-0bc877aee7782ba75 backupPlanArn arnawsbackupus-west-2112233445566backup-plan349f2247-b489-4301-83ac-4b7dd724db9a backupRuleId ab88bbf8-ff4e-4f1b-92e7-e13d3e65dcfb creationDate 2021-07-14T235347229Z completionDate 2021-07-15T001607282Z recoveryPointArn arnawsec2us-west-2imageami-030cafb98e5a6dcdf jobRunTime 002220 backupSizeInBytes 8589934592 backupVaultName Default backupVaultArn arnawsbackupus-west-2112233445566backup-vaultDefault iamRoleArn arnawsiam112233445566roleservice-roleAWSBackupDefaultServiceRole ]
COPY_JOB_REPORT reportItems [ reportTimePeriod 2021-07-14T154831Z - 2021-07-15T154831Z accountId 112233445566 region us-west-2 copyJobId E0AD48A9-0560-B668-3EF0-941FDC0AD6B1 jobStatus RUNNING
149
AWS Backup Guiacutea para desarrolladoresElegir la plantilla de informe
Plantilla de informe de respaldo Ejemplo de informe en formato JSON resourceType EC2 resourceArn arnawsec2us-west-2112233445566instancei-0bc877aee7782ba75 backupPlanArn arnawsbackupus-west-2112233445566backup-plan349f2247-b489-4301-83ac-4b7dd724db9a backupRuleId ab88bbf8-ff4e-4f1b-92e7-e13d3e65dcfb creationDate 2021-07-15T154204771Z backupSizeInBytes 8589934592 sourceRecoveryPointArn arnawsec2us-west-2imageami-007b3819f25697299 sourceBackupVaultArn arnawsbackupus-west-2112233445566backup-vaultDefault destinationRecoveryPointArn arnawsec2us-east-2imageami-0eba2199a0bcece3c destinationBackupVaultArn arnawsbackupus-east-2112233445566backup-vaultDefault iamRoleArn arnawsiam112233445566roleservice-roleAWSBackupDefaultServiceRole ]
RESTORE_JOB_REPORT reportItems [ reportTimePeriod 2021-07-14T155330Z - 2021-07-15T155330Z accountId 112233445566 region us-west-2 restoreJobId 4CACA67D-4E12-DC05-6C2B-0E97D01FA41E jobStatus RUNNING recoveryPointArn arnawsec2us-west-2imageami-00201ecb57a5271ae creationDate 2021-07-15T155249797Z backupSizeInBytes 8589934592 percentDone 000 iamRoleArn arnawsiam112233445566roleservice-roleAWSBackupDefaultServiceRole ]
Plantillas de informes de cumplimientoPlantillas de informes de cumplimientole proporcionan informes diarios sobre el cumplimiento de laactividad de backup y los recursos con respecto a los controles definidos en uno o varios marcos de
150
AWS Backup Guiacutea para desarrolladoresElegir la plantilla de informe
trabajo Si el estado de cumplimiento de uno de sus marcos esNon-compliant revise un informe decumplimiento para identificar los recursos no conformes
Tipos de plantillas de informes de cumplimiento
bull Control compliance reportle ayuda a realizar un seguimiento del estado de cumplimiento de loscontroles que ha definido en los marcos de trabajo
bull Resource compliance reportle ayuda a realizar un seguimiento del estado de cumplimiento delos recursos con los controles definidos en los marcos de trabajo Estos informes incluyen resultados deevaluacioacuten detallados incluida informacioacuten de identificacioacuten sobre recursos no conformes que puedeutilizar para identificar y corregir esos recursos
En la siguiente tabla se muestran los resultados de ejemplo de un informe de conformidad
Plantilla de informe de cumplimiento Ejemplo de informe en formato JSON
CONTROL_COMPLIANCE_REPORT reportItems [ accountId 112233445566 region me-south-1 frameworkName TestFramework7 frameworkDescription A test framework controlName BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN controlComplianceStatus NON_COMPLIANT lastEvaluationTime 2021-08-17T032156002Z numResourcesCompliant 91 numResourcesNonCompliant 205 controlFrequency Twelve_Hours controlScope controlParameters accountId 112233445566 region me-south-1 frameworkName TestFramework7 frameworkDescription A test framework controlName BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK controlComplianceStatus NON_COMPLIANT lastEvaluationTime 2021-08-17T032119995Z numResourcesCompliant 0 numResourcesNonCompliant 25 controlScope ComplianceResourceTypes [] controlParameters requiredFrequencyValue1requiredRetentionDays35requiredFrequencyUnithours ]
151
AWS Backup Guiacutea para desarrolladoresCreacioacuten de planes de informesmediante elAWS Backupconsola
Plantilla de informe de cumplimiento Ejemplo de informe en formato JSON
RESOURCE_COMPLIANCE_REPORT reportItems [ accountId 112233445566 region us-west-2 frameworkName MyTestFramework frameworkDescription controlName BACKUP_LAST_RECOVERY_POINT_CREATED resourceName resourceId AWSEFSFileSystemfs-63c74e66 resourceType AWSEFSFileSystem resourceComplianceStatus NON_COMPLIANT lastEvaluationTime 2021-07-07T185540963Z accountId 112233445566 region us-west-2 frameworkName MyTestFramework frameworkDescription controlName BACKUP_LAST_RECOVERY_POINT_CREATED resourceName resourceId AWSEFSFileSystemfs-b3d7c218 resourceType AWSEFSFileSystem resourceComplianceStatus NON_COMPLIANT lastEvaluationTime 2021-07-07T185540961Z ]
Creacioacuten de planes de informes mediante elAWSBackupconsolaSimilar aplan de backup crea unplan de informesPara automatizar la creacioacuten de los informes y definir subucket de Amazon S3 de destino Un plan de informes requiere que tenga un depoacutesito de S3 para recibirlos informes Para obtener instrucciones acerca de coacutemo configurar un nuevo bucket S3 consultePaso 1Cree su primer bucket de S3en laAmazon Simple Storage Service Manual del usuario
Para crear un plan de informes en elAWS Backupconsola
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten izquierdo elijaInformes de3 ElegirCreacioacuten de un plan de informes4 Elija una de las plantillas de informe en la lista desplegable5 Ingresa un uacutenicoNombre del plan de informes El nombre debe tener entre 1 y 256 caracteres
empezando por una letra y consta de letras (a-z A-Z) nuacutemeros (0-9) y guiones bajos (_)
152
AWS Backup Guiacutea para desarrolladoresCreacioacuten de planes de informesmediante elAWS Backupconsola
6 (Opcional) Introduzca unDescripcioacuten del plan de informe7 Plantillas de informes de cumplimiento uacutenicamente Elija uno o varios marcos de trabajo sobre los que
desea informar Puede agregar un maacuteximo de 1000 marcos de trabajo a un plan de informes
1 Elija suAWSRegioacuten mediante el menuacute desplegable2 Elija un marco de esa regioacuten mediante el menuacute desplegable3 ElegirAgregar marco
8 (Opcional) Para antildeadir etiquetas a su plan de informes elijaAgregar etiquetas al plan de informes9 Elija el iconoFormato de archivode su informe Puede elegirCSV(predeterminado)JSONo ambos para
recibir el informe en ambos formatos10 Elija suNombre del bucket de S3mediante la lista desplegable11 (Opcional) Escriba un prefijo del bucketAWS Backupentrega sus informes as3your-bucket-
nameprefixBackupus-west-2yearmonthdayreport-name12 ElegirCreacioacuten de un plan de informes
A continuacioacuten debe permitir que su bucket de S3 reciba informes deAWS Backup Despueacutes de crear unplan de informesAWS BackupAudit Manager genera automaacuteticamente una poliacutetica de acceso a bucket deS3 para que la aplique Si cifra el depoacutesito mediante una clave KMS personalizada aseguacuterese de que laclave tengaAWS Backupcomo usuario
Para ver y aplicar esta poliacutetica de acceso a su bucket de S3
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten izquierdo elijaInformes de3 UNDERNombre del plan de informes seleccione un plan de informes eligiendo su nombre4 Elija Edit (Editar)5 ElegirVer la poliacutetica de acceso para el bucket de S3 Tambieacuten puede utilizar la poliacutetica al final de este
procedimiento6 ElegirPermisos de copia7 ElegirEditar poliacutetica de bucket8 Copie los permisos en elPoliacutetica de
Ejemplo de poliacutetica de bucket
Version2012-10-17 Statement[ EffectAllow Principal AWSarnawsiam11111111roleaws-service-rolereportsbackupamazonawscomAWSServiceRoleForBackupReports Actions3PutObject Resource[ arnawss3BucketName ] Condition StringEquals s3x-amz-aclbucket-owner-full-control ]
153
AWS Backup Guiacutea para desarrolladoresCreacioacuten de planes de informes
mediante elAWS BackupAPI
Creacioacuten de planes de informes mediante elAWSBackupAPITambieacuten puede trabajar con planes de informes mediante programacioacuten
Note
Actualmente no se admiten los informes entre cuentas El depoacutesito debe estar en la misma cuentaque el plan de informes
Utilice la siguiente sintaxis para llamar aCreateReportPlan (p 339)
ReportPlanName string ReportPlanDescription string ReportSettings ReportTemplate enum Can be RESOURCE_COMPLIANCE_REPORT CONTROL_COMPLIANCE_REPORT BACKUP_JOB_REPORT COPY_JOB_REPORT or RESTORE_JOB_REPORT Only include ReportCoverageList if your report is a COMPLIANCE_REPORT ReportCoverageList [ AwsRegion string Selections [ string ] a list of one or more framework names ] ReportDeliveryChannel S3BucketName string S3KeyPrefix string Formats [ enum ] Optional Can be either CSV JSON or both Default is CSV if left blank ReportPlanTags string string Optional IdempotencyToken string
Cuando llamasDescribeReportPlan (p 390)con el nombre exclusivo de un plan de informes elAWSBackupLa API responde con la siguiente informacioacuten
ReportPlanArn string ReportPlanName string ReportPlanDescription string ReportSettings ReportTemplate enum ReportCoverageList [ AwsRegion string Selections [ string ] ] ReportDeliveryChannel S3BucketName string S3KeyPrefix string Formats [ enum ] DeploymentStatus enum
154
AWS Backup Guiacutea para desarrolladoresCreacioacuten de informes bajo demanda
CreationTime timestamp LastAttemptExecutionTime timestamp LastSuccessfulExecutionTime timestamp
Creacioacuten de informes bajo demandaPuede generar nuevos informes seguacuten su conveniencia creando un informe bajo demanda siguiendo lossiguientes pasosAWS Backup Audit Manager entrega su informe bajo demanda al bucket de Amazon S3que especificoacute en su plan de informes
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten izquierdo elijaInformes de3 UNDERNombre del plan de informes seleccione un plan de informes eligiendo su nombre4 ElegirCrear informe bajo demanda
Visualizacioacuten de informes de auditoriacuteaPuede abrir ver y analizarAWS BackupAudit Manager informa que utilizan los programas que utilizanormalmente para trabajar con archivos CSV o JSON
Para ver un informe
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten izquierdo elijaInformes de3 UNDERNombre del plan de informes seleccione un plan de informe eligiendo su nombre4 UNDERDenunciar trabajos seleccione el informe que desea ver eligiendo suCompletion time5 Si el informeInformar el estadotiene un subrayado punteado seleccioacutenelo para obtener informacioacuten
sobre su informe6 Elija queacute informe desea ver por suCompletion time7 Elija el iconoEnlace de S3 Esto abre el bucket de S3 de destino8 UNDERNombre elija el nombre del informe que desea ver9 Para guardar el informe en el equipo seleccioneDescargar
Actualizacioacuten de planes de informesPuede actualizar la descripcioacuten de un plan de informes existente su destino de entrega y su formato Siprocede tambieacuten puede agregar o quitar marcos del plan de informes
Para actualizar un plan de informes existente
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten izquierdo elijaInformes de3 UNDERNombre del plan de informes seleccione un plan de informe eligiendo su nombre4 Elija Edit (Editar)
Eliminacioacuten de planes de informesPuede eliminar un plan de informes existente Al eliminar un plan de informes los informes ya creados porese plan de informes permaneceraacuten en su depoacutesito de Amazon S3 de destino
155
AWS Backup Guiacutea para desarrolladoresUso deAWS CloudFormationdesplegarAWS
BackupRecursos de Audit Manager
Para eliminar un plan de informes existente
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 En el panel de navegacioacuten izquierdo elijaInformes de3 UNDERNombre del plan de informes seleccione un plan de informe eligiendo su nombre4 Elija Eliminar (Delete)5 Escriba el nombre del plan de informes y a continuacioacuten elijaEliminar un plan de informes
Uso deAWS BackupAudit Manager conAWSCloudFormation
Proporcionamos la siguiente muestraAWS CloudFormationplantillas para su referencia
Temasbull Activar el seguimiento de recursos (p 141)bull Implementacioacuten de controles predeterminados (p 160)bull Exencioacuten de funciones de IAM de la evaluacioacuten de control (p 160)bull Crear un plan de informes (p 161)
Activar el seguimiento de recursosLa siguiente plantilla activa el seguimiento de recursos tal y como se describe enActivacioacuten del seguimientode recursos
AWSTemplateFormatVersion 2010-09-09Description Enable AWS Config
Metadata AWSCloudFormationInterface ParameterGroups - Label default Recorder Configuration Parameters - AllSupported - IncludeGlobalResourceTypes - ResourceTypes - Label default Delivery Channel Configuration Parameters - DeliveryChannelName - Frequency - Label default Delivery Notifications Parameters - TopicArn - NotificationEmail ParameterLabels AllSupported default Support all resource types IncludeGlobalResourceTypes default Include global resource types ResourceTypes default List of resource types if not all supported
156
AWS Backup Guiacutea para desarrolladoresActivar el seguimiento de recursos
DeliveryChannelName default Configuration delivery channel name Frequency default Snapshot delivery frequency TopicArn default SNS topic name NotificationEmail default Notification Email (optional)
Parameters AllSupported Type String Default True Description Indicates whether to record all supported resource types AllowedValues - True - False
IncludeGlobalResourceTypes Type String Default True Description Indicates whether AWS Config records all supported global resource types AllowedValues - True - False
ResourceTypes Type ListltStringgt Description A list of valid AWS resource types to include in this recording group such as AWSEC2Instance or AWSCloudTrailTrail Default ltAllgt
DeliveryChannelName Type String Default ltGeneratedgt Description The name of the delivery channel
Frequency Type String Default 24hours Description The frequency with which AWS Config delivers configuration snapshots AllowedValues - 1hour - 3hours - 6hours - 12hours - 24hours
TopicArn Type String Default ltNew Topicgt Description The Amazon Resource Name (ARN) of the Amazon Simple Notification Service (Amazon SNS) topic that AWS Config delivers notifications to
NotificationEmail Type String Default ltNonegt Description Email address for AWS Config notifications (for new topics)
Conditions IsAllSupported Equals - Ref AllSupported - True IsGeneratedDeliveryChannelName Equals - Ref DeliveryChannelName - ltGeneratedgt
157
AWS Backup Guiacutea para desarrolladoresActivar el seguimiento de recursos
CreateTopic Equals - Ref TopicArn - ltNew Topicgt CreateSubscription And - Condition CreateTopic - Not - Equals - Ref NotificationEmail - ltNonegt
Mappings Settings FrequencyMap 1hour One_Hour 3hours Three_Hours 6hours Six_Hours 12hours Twelve_Hours 24hours TwentyFour_Hours
Resources
ConfigBucket DeletionPolicy Retain Type AWSS3Bucket Properties BucketEncryption ServerSideEncryptionConfiguration - ServerSideEncryptionByDefault SSEAlgorithm AES256
ConfigBucketPolicy Type AWSS3BucketPolicy Properties Bucket Ref ConfigBucket PolicyDocument Version 2012-10-17 Statement - Sid AWSConfigBucketPermissionsCheck Effect Allow Principal Service - configamazonawscom Action s3GetBucketAcl Resource - Sub arn$AWSPartitions3$ConfigBucket - Sid AWSConfigBucketDelivery Effect Allow Principal Service - configamazonawscom Action s3PutObject Resource - Sub arn$AWSPartitions3$ConfigBucketAWSLogs$AWSAccountId - Sid AWSConfigBucketSecureTransport Action - s3 Effect Deny Resource - Sub arn$AWSPartitions3$ConfigBucket - Sub arn$AWSPartitions3$ConfigBucket Principal Condition Bool awsSecureTransport false
158
AWS Backup Guiacutea para desarrolladoresActivar el seguimiento de recursos
ConfigTopic Condition CreateTopic Type AWSSNSTopic Properties TopicName Sub config-topic-$AWSAccountId DisplayName AWS Config Notification Topic KmsMasterKeyId aliasawssns
ConfigTopicPolicy Condition CreateTopic Type AWSSNSTopicPolicy Properties Topics - Ref ConfigTopic PolicyDocument Statement - Sid AWSConfigSNSPolicy Action - snsPublish Effect Allow Resource Ref ConfigTopic Principal Service - configamazonawscom
EmailNotification Condition CreateSubscription Type AWSSNSSubscription Properties Endpoint Ref NotificationEmail Protocol email TopicArn Ref ConfigTopic
ConfigRecorderRole Type AWSIAMRole Properties AssumeRolePolicyDocument Version 2012-10-17 Statement - Effect Allow Principal Service - configamazonawscom Action - stsAssumeRole Path ManagedPolicyArns - Sub arn$AWSPartitioniamawspolicyservice-roleAWS_ConfigRole
ConfigRecorder Type AWSConfigConfigurationRecorder DependsOn - ConfigBucketPolicy Properties RoleARN GetAtt ConfigRecorderRoleArn RecordingGroup AllSupported Ref AllSupported IncludeGlobalResourceTypes Ref IncludeGlobalResourceTypes ResourceTypes If - IsAllSupported - Ref AWSNoValue - Ref ResourceTypes
ConfigDeliveryChannel Type AWSConfigDeliveryChannel
159
AWS Backup Guiacutea para desarrolladoresImplementacioacuten de controles predeterminados
DependsOn - ConfigBucketPolicy Properties Name If - IsGeneratedDeliveryChannelName - Ref AWSNoValue - Ref DeliveryChannelName ConfigSnapshotDeliveryProperties DeliveryFrequency FindInMap - Settings - FrequencyMap - Ref Frequency S3BucketName Ref ConfigBucket SnsTopicARN If - CreateTopic - Ref ConfigTopic - Ref TopicArn
Implementacioacuten de controles predeterminadosLa siguiente plantilla crea un marco con los cinco primeros controles predeterminados descritos enAWSBackupControles y correcciones de Audit Manager
AWSTemplateFormatVersion 2010-09-09Resources TestFramework Type AWSBackupFramework Properties FrameworkControls - ControlName BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN - ControlName BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK ControlInputParameters - ParameterName requiredRetentionDays ParameterValue 35 - ControlName BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED - ControlName BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK ControlInputParameters - ParameterName requiredRetentionDays ParameterValue 35 - ParameterName requiredFrequencyUnit ParameterValue hours - ParameterName requiredFrequencyValue ParameterValue 24 ControlScope Tags - Key customizedKey Value customizedValue - ControlName BACKUP_RECOVERY_POINT_ENCRYPTED
Outputs FrameworkArn Value GetAtt TestFrameworkFrameworkArn
Exencioacuten de funciones de IAM de la evaluacioacuten decontrolEl control deBACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLEDle permite eximir hasta cincoroles de IAM que auacuten pueden eliminar puntos de recuperacioacuten manualmente La siguiente plantillaimplementa este control y tambieacuten exime a dos roles de IAM
160
AWS Backup Guiacutea para desarrolladoresCrear un plan de informes
AWSTemplateFormatVersion 2010-09-09Resources TestFramework Type AWSBackupFramework Properties FrameworkControls - ControlName BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED ControlInputParameters - ParameterName principalArnList ParameterValue Sub arnawsiam$AWSAccountIdroleAccAdminRolearnawsiam$AWSAccountIdroleConfigRole
Outputs FrameworkArn Value GetAtt TestFrameworkFrameworkArn
Crear un plan de informesLa siguiente plantilla crea un plan de informes
Description Basic AWSBackupReportPlan template
Parameters ReportPlanDescription Type String Default SomeReportPlanDescription S3BucketName Type String Default some-s3-bucket-name S3KeyPrefix Type String Default some-s3-key-prefix ReportTemplate Type String Default BACKUP_JOB_REPORT
Resources TestReportPlan Type AWSBackupReportPlan Properties ReportPlanDescription Ref ReportPlanDescription ReportDeliveryChannel Formats - CSV S3BucketName Ref S3BucketName S3KeyPrefix Ref S3KeyPrefix ReportSetting ReportTemplate Ref ReportTemplate ReportPlanTags - Key a Value 1 - Key b Value 2
Outputs ReportPlanArn Value GetAtt TestReportPlanReportPlanArn
161
AWS Backup Guiacutea para desarrolladoresUso deAWS BackupAudit Manager conAWS Audit Manager
Uso deAWS BackupAudit Manager conAWS AuditManager
AWS BackupLos controles de Audit Manager se asignan a controles estaacutendar precompilados enAWSAudit Manager lo que le permite importar suAWS BackupResultados de cumplimiento de Audit Managerpara suAWS Audit ManagerInformes de Es posible que desee hacerlo para ayudar a un responsable decumplimiento gerente de auditoriacutea u otro colega que informa sobre la actividad de backup como parte dela postura general de cumplimiento de la organizacioacuten
Puede importar los resultados de cumplimiento de suAWS BackupControles de Audit Manageren suAWS Audit Managerframeworks Para habilitarAWS Audit Managerpara recopilar datosautomaacuteticamente de suAWS BackupControles de Audit Manager cree un control personalizado enAWSAudit Managersiguiendo las instrucciones paraPersonalizacioacuten de un control existenteen laAWSAudit ManagerGuiacutea del usuario de Al seguir estas instrucciones tenga en cuenta que elOrigen dedatosparaAWS BackupControles esComprobaciones de cumplimiento de las configuraciones de recursosdesdeAWS Config
Para obtener una lista deAWS Backupcontroles consulteElegir los controles
AWS BackupControles y correcciones de AuditManager
En esta paacutegina se enumeran los controles disponibles paraAWS BackupAudit Manager Puede elegirel panel de informacioacuten correcto para ver una lista de controles y pasar a un control especiacutefico Paracomparar raacutepidamente los controles consulte la tabla deElegir los controles Para definir controlesmediante programacioacuten consulte los fragmentos de coacutedigo enCreacioacuten de marcos mediante elAWSBackupAPI
Note
Estos controles no admiten los recursos de Amazon S3 y Storage Gateway independientementedel alcance
Puede utilizar hasta 50 controles por cuenta y regioacuten El uso del mismo control en dos marcos diferentescuenta que utilizar dos controles del liacutemite de 50 controles
En esta paacutegina se enumera cada control con la siguiente informacioacuten
bull Descripcioacuten Los valores entre corchetes (laquo[]raquo) son los valores de paraacutemetros predeterminadosbull Los recursos que evaluacutea el controlbull Paraacutemetros del controlbull El alcance del control seguacuten se indica
bull Puede especificarRecursos por tipoeligiendo una o maacutesAWS Backup-servicios compatibles conbull Especifica unEtiquetado de recursosaacutembito con una uacutenica clave de etiqueta y un valor opcionalbull Puede especificar un uacutenico recurso mediante laRecurso uacutenicolista desplegable
bull Pasos de correccioacuten para incorporar los recursos aplicables a la conformidad
Recursos Backup protegidos por un plan de backupDescripcioacuten Evaluacutea si los recursos estaacuten protegidos por un plan de respaldo
162
AWS Backup Guiacutea para desarrolladoresFrecuencia miacutenima y retencioacuten miacutenima del plan de Backup
Recurso AWS Backup backup selection
Paraacutemetros Ninguno
Aacutembito
bull Etiquetado de recursosbull Recursos por tipo (predeterminado)bull Recurso uacutenico
Correccioacuten Asigne los recursos a un plan de copias de seguridadAWS Backupprotege automaacuteticamentelos recursos despueacutes de asignarlos a un plan de copia de seguridad Para obtener maacutes informacioacutenconsulteAsignacioacuten de recursos a un plan de copias de seguridad
Frecuencia miacutenima y retencioacuten miacutenima del plan deBackupDescripcioacuten Evaluacutea si los planes de backup contienen al menos una regla de backup para la que lafrecuencia de backup es de al menos [1 diacutea] y el periacuteodo de retencioacuten es de al menos [35 diacuteas]
Recurso AWS Backup backup plans
Paraacutemetros
bull Frecuencia de respaldo requerida en nuacutemero de horas o diacuteasbull Periacuteodo de retencioacuten obligatorio en nuacutemero de diacuteas semanas meses o antildeos Recomendamos una
retencioacuten de almacenamiento en caliente de un periacuteodo de al menos una semana para habilitarAWSBackuppara realizar copias de seguridad incrementales cuando sea posible evitando cargosadicionales
Aacutembito
bull Etiquetado de recursosbull Recurso uacutenico
Correccioacuten Actualizacioacuten de un plan de copia depara cambiar su frecuencia de respaldo periacuteodo deretencioacuten o ambos La actualizacioacuten del plan de backup cambia el periacuteodo de retencioacuten de los puntos derecuperacioacuten que crea el plan despueacutes de la actualizacioacuten
La Backup evita la eliminacioacuten manual del punto derecuperacioacutenDescripcioacuten Evaluacutea si los almacenes de backup no permiten la eliminacioacuten manual de puntos derecuperacioacuten excepto por determinadas funciones de IAM
Recurso AWS Backup backup vaults
Paraacutemetros Los nombres de recursos de Amazon (ARN) de hasta cinco roles de IAM permitieron eliminarmanualmente los puntos de recuperacioacuten
Aacutembito
bull Etiquetado de recursos
163
AWS Backup Guiacutea para desarrolladoresPunto de recuperacioacuten de copias de seguridad cifrado
bull Recurso uacutenico
Correccioacuten Cree o modifique una poliacutetica de acceso basada en recursos en un almaceacuten de copiasde seguridad Para obtener un ejemplo de poliacutetica e instrucciones sobre coacutemo configurar una poliacuteticade acceso al almaceacuten de copias de seguridad consulteDenegar el acceso para eliminar puntos derecuperacioacuten en un almaceacuten de backup
Punto de recuperacioacuten de copias de seguridad cifradoDescripcioacuten Evaluacutea si los puntos de recuperacioacuten estaacuten cifrados
Recurso AWS Backup recovery points
Paraacutemetros Ninguno
Aacutembito
bull Etiquetado de recursos
Correccioacuten Configure el cifrado para los puntos de recuperacioacuten La forma en que configura el cifradoparaAWS BackupLos puntos de recuperacioacuten variacutean seguacuten el tipo de recurso
Puede configurar el cifrado para los tipos de recursos que admiten totalAWS Backupadministracioacuten en eluso deAWS Backup Si el tipo de recurso no admite completoAWS Backupadministracioacuten debe configurarsu cifrado de copia de seguridad siguiendo las instrucciones de ese servicio tales comoAmazon EBSencryptionen laAmazon Elastic Compute Cloud Para ver la lista de tipos de recursos que admiten todoslos tipos de recursosAWS Backupmanagement consulte la seccioacuten laquoCompletoAWS Backupmanagementraquode laDisponibilidad de caracteriacutesticas por recurso (p 2)table
Retencioacuten miacutenima del punto de recuperacioacuten deBackupDescripcioacuten Evaluacutea si el periacuteodo de retencioacuten del punto de recuperacioacuten es de al menos [35 diacuteas]
Recurso AWS Backup recovery points
Paraacutemetros Periacuteodo de retencioacuten del punto de recuperacioacuten necesario en nuacutemero de diacuteas semanasmeses o antildeos Recomendamos una retencioacuten de almacenamiento en caliente de un periacuteodo de al menosuna semana para habilitarAWS Backuppara realizar copias de seguridad incrementales cuando seaposible evitando cargos adicionales
Aacutembito
bull Etiquetado de recursos
Correccioacuten Cambie los periacuteodos de retencioacuten de los puntos de recuperacioacuten Para obtener maacutesinformacioacuten consulteEdicioacuten de una copia de seguridad
Copias entre regionesDescripcioacuten Evaluacutea si un recurso estaacute configurado para crear copias de sus copias de seguridad enotroAWSRegioacuten
Recurso AWS Backup backup plans
164
AWS Backup Guiacutea para desarrolladoresCopias entre cuentas
Paraacutemetros
bull Seleccione elRegioacuten de AWS(s) donde debe existir la copia de seguridad (opcional)bull Regioacuten
Aacutembito
bull Etiquetado de recursosbull Recursos por tipobull Recurso uacutenico
Correccioacuten Actualizacioacuten de un plan de copia decambiar elRegioacuten de AWSdonde deberiacutea existir una copiade seguridad
Copias entre cuentasDescripcioacuten Evaluacutea si un recurso estaacute configurado para crear copias de sus copias de seguridad en otracuenta Puede antildeadir hasta cinco cuentas para que el control las evaluacutee La cuenta de destino debe estaren la misma organizacioacuten que la cuenta de origen enAWS Organizations
Recurso AWS Backup backup plans
Paraacutemetros
bull Seleccione elAWSID (s) de cuenta en los que debe existir la copia de seguridad (opcional)bull ID de cuenta
Aacutembito
bull Etiquetado de recursosbull Recursos por tipobull Recurso uacutenico
Correccioacuten Actualizacioacuten de un plan de copia depara cambiar o antildeadir elAWSID (s) de cuenta en los quedebe existir la copia
Bloqueo de almacenes de AWS BackupDescripcioacuten Evaluacutea si un recurso tiene copias de seguridad inmutables almacenadas en un almaceacuten decopias de seguridad bloqueado
Recurso AWS Backup backup plans
Paraacutemetros
bull Introduzca los diacuteas de retencioacuten miacutenimo y maacuteximo paraAWS BackupBloqueo de boacuteveda (opcional)bull Diacuteas de retencioacuten miacutenimosbull Diacuteas maacuteximos de retencioacuten
Aacutembito
bull Etiquetado de recursos
165
AWS Backup Guiacutea para desarrolladoresBloqueo de almacenes de AWS Backup
bull Recursos por tipobull Recurso uacutenico
Correccioacuten Actualizacioacuten de un plan de copia depara cambiar sus diacuteas de retencioacuten miacutenimos diacuteas deretencioacuten maacuteximos o ambos
166
AWS Backup Guiacutea para desarrolladores
AdministracioacutenAWS Backuprecursosen variosCuentas de AWS
Puede utilizar la funcioacuten de administracioacuten entre cuentas enAWS Backuppara administrar y supervisarlos trabajos de copia de seguridad restauracioacuten y copia enCuentas de AWSque configuras conAWSOrganizationsAWS Organizationses un servicio que ofrece administracioacuten basada en poliacuteticas paravariosCuentas de AWSdesde una uacutenica cuenta de administracioacuten Le permite estandarizar la forma enque implementa las poliacuteticas de copia de seguridad minimizando los errores manuales y el esfuerzosimultaacuteneamente Desde una vista central puede identificar faacutecilmente los recursos en todas las cuentasque cumplan los criterios que le interesan
Si lo configura AWS Organizations puede configurar AWS Backup para que supervise las actividades entodas sus cuentas en un solo lugar Tambieacuten puede crear una poliacutetica de copia de seguridad y aplicarla alas cuentas seleccionadas que forman parte de su organizacioacuten y ver las actividades de trabajo de copiade seguridad agregadas directamente desde la consola de AWS Backup Esta funcionalidad permitea los administradores de copia de seguridad supervisar eficazmente el estado del trabajo de copia deseguridad en cientos de cuentas de toda la empresa desde una sola cuenta de administracioacutenAWSOrganizationsCuotas deaplicar
Por ejemplo se define una poliacutetica de copia de seguridad A que toma copias de seguridad diarias derecursos especiacuteficos y las mantiene durante 7 diacuteas Puede aplicar la poliacutetica de copia de seguridad A atoda la organizacioacuten (Esto significa que cada cuenta de la organizacioacuten obtiene esa poliacutetica de copia deseguridad lo que crea un plan de copia de seguridad correspondiente que estaacute visible en esa cuenta)A continuacioacuten crea una unidad organizativa denominada Finance y decide mantener sus copias deseguridad durante solo 30 diacuteas En este caso se define una poliacutetica de copia de seguridad B que anula elvalor del ciclo de vida y se adjunta a esa unidad organizativa Finance Esto significa que todas las cuentasbajo la unidad organizativa Finance obtienen un nuevo plan de copia de seguridad efectivo que tomacopias de seguridad diarias de todos los recursos especificados y las mantiene durante 30 diacuteas
En este ejemplo la poliacutetica de copia de seguridad A y la poliacutetica de copia de seguridad B se fusionaronen una sola poliacutetica de copia de seguridad que define la estrategia de proteccioacuten para todas las cuentasde la unidad organizativa denominada Finance Todas las demaacutes cuentas de la organizacioacuten permanecenprotegidas por la poliacutetica de copia de seguridad A La fusioacuten se realiza solo para las poliacuteticas de copia deseguridad que comparten el mismo nombre del plan de copia de seguridad Tambieacuten puede hacer que lapoliacutetica A y la poliacutetica B coexistan en esa cuenta sin ninguna combinacioacuten Solo puede utilizar operadoresavanzados de fusioacuten en la vista JSON de la consola Para obtener maacutes informacioacuten sobre la combinacioacutende poliacuteticas de consulteDefinicioacuten de poliacuteticas sintaxis de poliacuteticas y herencia de poliacuteticas (p 173)enlaAWS OrganizationsGuiacutea del usuario de Para obtener maacutes referencias y casos de uso consulte elblogAdministracioacuten de copias de seguridad a escala en suAWS OrganizationsconAWS Backupy el videotutorialAdministracioacuten de copias de seguridad a escala en suAWS OrganizationsconAWS Backup
La funcioacuten de administracioacuten entre cuentas no estaacute disponible en lo siguienteRegiones de AWS AWSGovCloud (US) las regiones de China la regioacuten del Oriente Medio (Bareacutein) y la regioacuten Asia-Paciacutefico (HongKong)
Para utilizar la administracioacuten entre cuentas debe seguir estos pasos
1 Crear una cuenta de administracioacuten enAWS Organizationsy agregue cuentas en la cuenta deadministracioacuten
2 Habilite la funcioacuten de administracioacuten entre cuentas en AWS Backup3 Crear una poliacutetica de copia de seguridad para aplicarla a todosCuentas de AWSen tu cuenta de
administracioacuten
167
AWS Backup Guiacutea para desarrolladoresCreacioacuten de una cuenta de administracioacuten en Organizations
Note
Para los planes de copia de seguridad administrados por Organizations la configuracioacuten deopcioacuten de recurso en la cuenta de administracioacuten anula la configuracioacuten de una cuenta demiembro
4 Gestione trabajos de copia de seguridad restauracioacuten y copia en todos susCuentas de AWS
Temasbull Creacioacuten de una cuenta de administracioacuten en Organizations (p 168)bull Habilitacioacuten de administracioacuten entre cuentas (p 168)bull Creacioacuten de un plan de copia de seguridad (p 169)bull Supervisioacuten de actividades en muacuteltiplesCuentas de AWS (p 172)bull Reglas de aceptacioacuten de recursos (p 173)bull Definicioacuten de poliacuteticas sintaxis de poliacuteticas y herencia de poliacuteticas (p 173)
Creacioacuten de una cuenta de administracioacuten enOrganizations
En primer lugar debe crear su organizacioacuten y configurarla conAWScuentas de miembros enAWSOrganizations
Para crear una cuenta de administracioacuten enAWS Organizationsy antildeadir cuentas
bull Para obtener instrucciones consulteTutorial Creacioacuten y configuracioacuten de una organizacioacutenen laAWSOrganizationsGuiacutea del usuario de
Habilitacioacuten de administracioacuten entre cuentasAntes de poder utilizar la gestioacuten de cuentas cruzadas en AWS Backup debe habilitar la funcioacuten (esdecir optar por usarla) Una vez habilitada la funcioacuten puede crear poliacuteticas de copia de seguridad que lepermitan automatizar la administracioacuten simultaacutenea de varias cuentas
Para habilitar la administracioacuten entre cuentas
1 Inicie sesioacuten en laAWS Management Consoley abra elAWS BackupConsola de enhttpsconsoleawsamazoncombackup
Puede hacerlo solo desde la cuenta de administracioacuten2 En el panel de navegacioacuten izquierdo elija Settings (Configuracioacuten) para abrir la paacutegina de
administracioacuten entre cuentas3 En la seccioacuten Backup policies (Poliacuteticas de copia de seguridad) elija Enable (Habilitar)
Esto le da acceso a todas las cuentas y le permite crear poliacuteticas que automatizan la administracioacuten devarias cuentas en su organizacioacuten simultaacuteneamente
4 En la seccioacuten Supervisioacuten entre cuentas elija Enable (Habilitar)
Esto le permite supervisar las actividades de copia de seguridad copia y restauracioacuten de todas lascuentas de su organizacioacuten desde su cuenta de administracioacuten
168
AWS Backup Guiacutea para desarrolladoresCreacioacuten de un plan de copia de seguridad
Creacioacuten de un plan de copia de seguridadDespueacutes de habilitar la administracioacuten entre cuentas cree una poliacutetica de copia de seguridad entre cuentasdesde su cuenta de administracioacuten
Para crear una poliacutetica de backup
1 En el panel de navegacioacuten izquierdo elija Backup policies (Poliacuteticas de copia de seguridad) En lapaacutegina Backup policies (Poliacuteticas de copia de seguridad) elija Create backup policies (Crear poliacuteticasde copia de seguridad)
2 En la seccioacuten Details (Detalles) introduzca un nombre de poliacutetica de copia de seguridad y proporcioneuna descripcioacuten
3 En la seccioacuten Backup plans details (Detalles de planes de copia de seguridad) elija la pestantildea deeditor visual y haga lo siguiente
a En Backup plan name (Nombre del plan de copia de seguridad) introduzca un nombreb En Regions (Regiones) elija una regioacuten de la lista
4 En la seccioacuten Backup rule configuration (Configuracioacuten de reglas de copia de seguridad) elija Addbackup rule (Agregar reglas de copia de seguridad)
a En Rule name (Nombre de la regla) introduzca el nombre de la regla El nombre de la regladistingue entre mayuacutesculas y minuacutesculas y solo puede contener caracteres alfanumeacutericos oguiones
b Para Schedule (Programar) seleccione una frecuencia de copia de seguridad en la listaFrequency (Frecuencia) y elija una de las opciones de la Backup window (Ventana Copia deseguridad) Le recomendamos que elijaUtilizar valores predeterminados de la ventana de copiade seguridad recomendado
5 En Lifecycle (Ciclo de vida) elija la configuracioacuten de ciclo de vida que desee6 En Backup vault name (Nombre de almaceacuten de copia de seguridad) escriba un nombre Este es el
almaceacuten de copia de seguridad donde se almacenaraacuten los puntos de recuperacioacuten creados por lascopias de seguridad
Aseguacuterese de que el almaceacuten de copias de seguridad exista en todas sus cuentasAWS Backupnocomprueba esto
7 (opcional) Elija una regioacuten de destino de la lista si desea que las copias de seguridad se copien enotraRegioacuten de AWSy antildeade etiquetas Puede elegir etiquetas para los puntos de recuperacioacuten que secrean independientemente de la configuracioacuten de copia entre regiones Tambieacuten puede agregar maacutesreglas
8 En el navegadorAsignacioacuten de recursos proporcione el nombre de laAWS Identity and AccessManagement(IAM) Para utilizar elAWS BackupRol vinculado al servicio de proporcioneservice-roleAWSBackupDefaultServiceRole
AWS Backupasume este rol en cada cuenta para obtener los permisos para realizar trabajos decopia de seguridad y copia incluidos los permisos de clave de cifrado cuando correspondaAWSBackuptambieacuten utiliza este rol para realizar eliminaciones del ciclo de vida
Note
AWS Backup no valida si el rol existe o si se puede asumir el rolPara los planes de backup creados por la administracioacuten multicuentaAWS Backuputilizaraacute laconfiguracioacuten de aceptacioacuten de la cuenta de administracioacuten y anularaacute las cuentas especiacuteficasde configuracioacutenPara cada cuenta a la que desee agregar poliacuteticas de copia de seguridad debe crear losalmacenes y los roles de IAM usted mismo
9 Agregue etiquetas al plan de copia de seguridad si lo desea
169
AWS Backup Guiacutea para desarrolladoresCreacioacuten de un plan de copia de seguridad
10 En el navegadorConfiguracioacuten avanzadaseccioacuten elijaWindows VSSsi el recurso del que estaacute haciendocopia de seguridad estaacute ejecutando Microsoft Windows en una instancia de Amazon EC2 Esto lepermite realizar copias de seguridad de Windows VSS coherentes con las aplicaciones
Note
AWS Backupactualmente admite copias de seguridad coherentes con las aplicacionesde los recursos que se ejecutan solo en Amazon EC2 No todos los tipos de instancias oaplicaciones son compatibles con las copias de seguridad de Windows VSS Para obtenermaacutes informacioacuten consulte Creacioacuten de copias de seguridad de Windows VSS (p 94)
11 Elija Add backup plan (Agregar plan de copia de seguridad) para agregarlo a la poliacutetica y acontinuacioacuten elija Create backup policy (Crear poliacutetica de copia de seguridad)
La creacioacuten de una poliacutetica de copia de seguridad no protege los recursos hasta que la adjunte a lascuentas Puede elegir el nombre de la poliacutetica y ver los detalles
A continuacioacuten se muestra un ejemploAWS Organizationsque crea un plan de copia deseguridad Si habilitaRespaldo de Windows VSS debe agregar permisos que le permitanrealizar copias de seguridad coherentes con las aplicaciones como se muestra eneladvanced_backup_settingsseccioacuten de la poliacutetica
plans PiiBackupPlan regions append[ us-east-1 eu-north-1 ] rules Hourly schedule_expression assign cron(0 01 ) start_backup_window_minutes assign 60 complete_backup_window_minutes assign 604800 target_backup_vault_name assign FortKnox recovery_point_tags owner tag_key assign Owner tag_value assign Backup lifecycle delete_after_days assign 365 move_to_cold_storage_after_days assign 180 copy_actions
170
AWS Backup Guiacutea para desarrolladoresCreacioacuten de un plan de copia de seguridad
arnawsbackupeu-north-1$accountbackup-vaultmyTargetBackupVault target_backup_vault_arn assign arnawsbackupeu-north-1$accountbackup-vaultmyTargetBackupVault lifecycle delete_after_days assign 365 move_to_cold_storage_after_days assign 180 selections tags SelectionDataType iam_role_arn assign arnawsiam$accountroleMyIamRole tag_key assign dataType tag_value assign [ PII RED ] backup_plan_tags stage tag_key assign Stage tag_value assign Beta
12 En la seccioacuten Targets (Destinos) elija la unidad organizativa o la cuenta a la que desea adjuntar lapoliacutetica y elija Attach (Adjuntar) La poliacutetica tambieacuten se puede agregar a unidades organizativas ocuentas individuales
Note
Aseguacuterese de validar la poliacutetica y de incluir todos los campos obligatorios en la poliacutetica Sihay partes de la poliacutetica que no son vaacutelidas AWS Backup ignora esas partes pero las partesvaacutelidas de la poliacutetica funcionaraacuten sin problema En la actualidadAWS Backupno validaAWSOrganizationspoliacuteticas de correccioacutenSi aplica una poliacutetica a la cuenta de administracioacuten y otra poliacutetica a una cuenta de miembroy entran en conflicto (por ejemplo con periacuteodos de retencioacuten de copia de seguridaddiferentes) ambas poliacuteticas se ejecutaraacuten sin problemas (es decir las poliacuteticas seejecutaraacuten independientemente para cada cuenta) Por ejemplo si la poliacutetica de cuenta deadministracioacuten realiza una copia de seguridad de un volumen de Amazon EBS una vez al diacutea
171
AWS Backup Guiacutea para desarrolladoresSupervisioacuten de actividades en muacuteltiplesCuentas de AWS
y la poliacutetica local realiza una copia de seguridad de un volumen de EBS una vez a la semanase ejecutaraacuten ambas poliacuteticasSi faltan campos obligatorios en la poliacutetica efectiva que se aplicaraacute a una cuenta(probablemente debido a la combinacioacuten de diferentes poliacuteticas)AWS Backupno aplica lapoliacutetica a la cuenta en absoluto Si algunos ajustes no son vaacutelidosAWS Backuplos ajusta
Independientemente de la configuracioacuten de aceptacioacuten de una cuenta de miembro en un plan decopia de seguridad creado a partir de una poliacutetica de copia de seguridadAWS Backuputilizaraacute laconfiguracioacuten de aceptacioacuten especificada en la cuenta de administracioacuten de la organizacioacuten
Cuando se adjunta una poliacutetica a una unidad organizativa cada cuenta que se une a esta unidadorganizativa obtiene esta poliacutetica automaacuteticamente y cada cuenta que se quita de la unidadorganizativa pierde esta poliacutetica Los planes de copia de seguridad correspondientes se eliminanautomaacuteticamente de esa cuenta
Supervisioacuten de actividades en muacuteltiplesCuentas deAWS
Para supervisar los trabajos de copia de seguridad copia y restauracioacuten en todas las cuentas debehabilitar la supervisioacuten entre cuentas Esto le permite supervisar las actividades de copia de seguridad entodas las cuentas desde la cuenta de administracioacuten de la organizacioacuten Despueacutes de participar todos lostrabajos de la organizacioacuten que se crearon despueacutes de la suscripcioacuten estaacuten visibles Cuando se desactivaAWS Backup mantiene los trabajos en la vista conjunta durante 30 diacuteas (desde que se llega a un estadode finalizacioacuten) Los trabajos creados despueacutes de la exclusioacuten no son visibles y no muestran los trabajosde copia de seguridad recieacuten creados Para obtener instrucciones de aceptacioacuten consulte Habilitacioacuten deadministracioacuten entre cuentas (p 168)
Para supervisar varias cuentas
1 Inicie sesioacuten en laAWS Management Consoley abra elAWS BackupConsola de enhttpsconsoleawsamazoncombackup
Solo puede hacerlo desde la cuenta de administracioacuten2 En el panel de navegacioacuten izquierdo elija Settings (Configuracioacuten) para abrir la paacutegina de
administracioacuten entre cuentas3 En la seccioacuten Supervisioacuten entre cuentas elija Enable (Habilitar)
Esto le permite supervisar las actividades de copia de seguridad y restauracioacuten de todas las cuentasde su organizacioacuten desde su cuenta de administracioacuten
4 En el panel de navegacioacuten izquierdo elija Cross-account monitoring (Supervisioacuten entre cuentas)
5 En la paacutegina Cross-account monitoring (Supervisioacuten entre cuentas) elija la pestantildea Backup jobs(Trabajos de copia de seguridad) Restore jobs (Trabajos de restauracioacuten) o Copy jobs (Trabajosde copia) para ver todos los trabajos creados en todas sus cuentas Puedes ver cada uno de estostrabajos medianteCuenta de AWSID y puede ver todos los trabajos en una cuenta concreta
6 En el cuadro de buacutesqueda puede filtrar los trabajos por Account ID (ID de cuenta) Status (Estado) oJob ID (ID de trabajo)
Por ejemplo puede elegir la pestantildea Backup jobs (Trabajos de copia de seguridad) y ver todos lostrabajos de copia de seguridad creados en todas sus cuentas Puede filtrar la lista por Account ID (IDde cuenta) y ver todos los trabajos de copia de seguridad creados en esa cuenta
172
AWS Backup Guiacutea para desarrolladoresReglas de aceptacioacuten de recursos
Reglas de aceptacioacuten de recursosSi el plan de copia de seguridad de una cuenta de miembro se creoacute mediante una poliacutetica de copia deseguridad a nivel de organizacioacuten (con un ID que comienza)orgs-) elAWS Backupla configuracioacuten desuscripcioacuten de la cuenta de administracioacuten de la Organizacioacuten anularaacute la configuracioacuten de suscripcioacuten deesa cuenta de miembro pero solo para ese plan de respaldo
Si la cuenta de miembro tambieacuten tiene planes de copia de seguridad de nivel local creados por losusuarios esos planes de respaldo seguiraacuten la configuracioacuten de suscripcioacuten de la cuenta de miembro sinreferencia a la configuracioacuten de suscripcioacuten de la cuenta de administracioacuten de Organizations
Definicioacuten de poliacuteticas sintaxis de poliacuteticas yherencia de poliacuteticas
Los temas siguientes se documentan en la AWS OrganizationsGuiacutea del usuario de
bull Poliacuteticas de copia de seguridadmdash ConsulteaPoliacuteticas de copia de seguridadbull Sintaxis de la poliacuteticamdash ConsulteaEjemplos y sintaxis de poliacuteticas de copia de seguridadbull Herencia para tipos de poliacuteticas de administracioacutenmdash ConsulteaHerencia para tipos de poliacuteticas de
administracioacuten
173
AWS Backup Guiacutea para desarrolladoresEn general
Uso deAWSCloudFormationaprovisionarAWSBackuprecursos
En generalconAWS CloudFormation puede aprovisionar y administrar suAWSrecursos de forma segura y repetiblemediante las plantillas que cree Puede usarAWS CloudFormationplantillas de y StackSets paraadministrar sus planes de copia de seguridad selecciones de recursos de copia de seguridad y almacenesde copias de seguridad Maacutes informacioacuten sobre el uso deAWS CloudFormation consulteiquestCoacutemofuncionaAWS CloudFormationiquestTrabajoen laAWS CloudFormationGuiacutea del usuario de
Antes de crear suAWS CloudFormationtemplate o StackSet considere lo siguiente
bull Cree plantillas independientes para sus planes de copia de seguridad y sus almacenes de copias deseguridad Solo puede eliminar los depoacutesitos de respaldo que esteacuten vaciacuteos No es posible eliminar unapila que incluya almacenes de copias de seguridad si contienen puntos de recuperacioacuten
bull Compruebe que tiene disponible un rol de servicio antes de crear la pila El rol de serviciopredeterminado de AWS Backup se crea automaacuteticamente la primera vez que asigna recursos a un plande copia de seguridad Si no ha asignado recursos a su plan de backup haacutegalo antes de crear la pilaTambieacuten puede especificar un rol personalizado que haya creado Para obtener maacutes informacioacuten acercade los roles de consulte Funciones de servicio de IAM (p 188)
Implementacioacuten de un almaceacuten de backup unplan de respaldo y una asignacioacuten de recursosmedianteAWS CloudFormation
Para muestraAWS CloudFormationplantillas que implementan un almaceacuten de backup planes de backup yasignacioacuten de recursos consulteAsignacioacuten de recursos medianteAWS CloudFormation (p 52)
Implementar planes de copia de seguridadmedianteAWS CloudFormation
Para muestraAWS CloudFormationplantillas que implementan planes de copia de seguridad consulteAWSCloudFormationplantillas de para los planes de copia
174
AWS Backup Guiacutea para desarrolladoresImplementacioacutenAWS BackupMarcos de Audit Manager
y planes de informes conAWS CloudFormation
ImplementacioacutenAWS BackupMarcos de AuditManager y planes de informes medianteAWSCloudFormation
Para muestraAWS CloudFormationplantillas que se implementanAWS BackupMarcos y planes de informesde Audit Manager consulteAWS CloudFormationplantillas de para los planes de copia
Implementacioacuten de planes de backup en todas lascuentas medianteAWS CloudFormation
PuedeusarAWS CloudFormation StackSets en varias cuentas en unAWSOrganizacioacuten Las plantillas deejemplo estaacuten disponibles en elAWS CloudFormationGuiacutea del usuario de
Un excelente punto de partida y referencia es la publicacioacutenAutomatice la copia de seguridadcentralizada a escala en todos losAWSservicios utilizandoAWS Backup Con Ibukun Oyewumi y SabithVenkitacalapathy (julio de 2021)
Maacutes informacioacuten sobreAWS CloudFormationMaacutes informacioacuten sobre el uso deAWS CloudFormationconAWS Backup consulteAWS BackupReferenciade tipos de recursosen laAWS CloudFormationGuiacutea del usuario de
Para obtener maacutes informacioacuten sobre el control de acceso aAWSrecursos de servicio al utilizarAWSCloudFormation consulteControlar el acceso conAWS Identity and Access Managementen laAWSCloudFormationGuiacutea del usuario de
175
AWS Backup Guiacutea para desarrolladoresProteccioacuten de los datos
Seguridad en AWS BackupLa seguridad en la nube de AWS es la mayor prioridad Como cliente de AWS se beneficia de unaarquitectura de red y un centro de datos que se han disentildeado para satisfacer los requisitos de seguridadde las organizaciones maacutes exigentes
La seguridad es una responsabilidad compartida entre AWS y usted El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube
bull Seguridad de la nube AWS es responsable de proteger la infraestructura que ejecuta servicios deAWS en Nube de AWS AWS tambieacuten le proporciona servicios que puede utilizar de forma seguraAuditores externos prueban y verifican perioacutedicamente la eficacia de nuestra seguridad en el marcode los programas de conformidad de AWS Para obtener maacutes informacioacuten sobre los programas deconformidad que se aplican a AWS Backup consulte Servicios de AWS en el aacutembito del programa deconformidad
bull Seguridad en la nubemdash Su responsabilidad porAWS Backupincluye entre otras lo siguiente Ustedtambieacuten es responsable de otros factores incluida la confidencialidad de los datos los requisitos de laempresa y la legislacioacuten y los reglamentos aplicablesbull Responder a las comunicaciones que recibe deAWSbull Administrar las credenciales que usted y su equipo usan Para obtener maacutes informacioacuten
consulteAdministracioacuten de identidades y accesos enAWS Backupbull Configurar los planes de backup y las asignaciones de recursos para reflejar las poliacuteticas de
proteccioacuten de datos de su organizacioacuten Para obtener maacutes informacioacuten consulteAdministracioacuten deplanes de backup
bull Pruebe perioacutedicamente su capacidad para encontrar ciertos puntos de recuperacioacuten y restaurarlosPara obtener maacutes informacioacuten consulte Trabajar con copias de seguridad
bull Incorporacioacuten deAWS Backupprocedimientos en los procedimientos escritos de recuperacioacutenante desastres y continuidad del negocio de su organizacioacuten Para obtener un punto de partidaconsulteIntroduccioacuten alAWS Backup
bull Asegurarse de que sus empleados esteacuten familiarizados y hayan practicado el usoAWS Backupjuntocon los procedimientos organizativos en caso de emergencia Para obtener maacutes informacioacuten consultelaAWSMarco de Well-Architected
Esta documentacioacuten le ayuda a comprender coacutemo aplicar el modelo de responsabilidad compartidacuando se utiliza AWS Backup En los siguientes temas se le mostraraacute coacutemo configurar AWS Backup parasatisfacer sus objetivos de seguridad y conformidad Tambieacuten puede aprender a utilizar otros servicios deAWS que ayuden a monitorear y proteger los recursos de AWS Backup
Temasbull Proteccioacuten de los datos en AWS Backup (p 176)bull Administracioacuten de identidades y accesos en AWS Backup (p 181)bull Validacioacuten de la conformidad en AWS Backup (p 272)bull Resiliencia en AWS Backup (p 273)bull Seguridad de la infraestructura en AWS Backup (p 274)bull AWS PrivateLink (p 274)
Proteccioacuten de los datos en AWS BackupAWS Backupse ajusta a laAWS Modelo de responsabilidad compartida que incluye reglamentos ydirectrices para la proteccioacuten de datosAWSes responsable de proteger la infraestructura global en la
176
AWS Backup Guiacutea para desarrolladoresCifrado de copias de seguridad enAWS Backup
que se ejecutan todas lasAWSServicios de AWSmantiene el control sobre los datos alojados en estainfraestructura incluidos los controles de la configuracioacuten de seguridad para la gestioacuten del contenido y losdatos personales de los clientesAWSclientes yAWSLos socios de la Red de socios de (APN) que actuacuteancomo controladores de datos o procesadores de datos son responsables de los datos personales queponen en elNube de AWS
Con fines de proteccioacuten de datos recomendamos proteger las credenciales de Cuenta de AWS yconfigurar cuentas de usuario individuales con AWS Identity and Access Management (IAM) Esto ayudaa garantizar que a cada usuario solo se le otorguen los permisos necesarios para cumplir sus obligacioneslaborales Tambieacuten recomendamos proteger sus datos de las siguientes formas
bull Utilice Multi-Factor Authentication (MFA) con cada cuentabull Utilice una capa de conexioacuten segura (SSL)seguridad de la capa de transporte (TLS) para comunicarse
con los recursos de AWSbull Utilice las soluciones de cifrado de AWS junto con todos los controles de seguridad predeterminados
dentro de los servicios de AWS
Le recomendamos encarecidamente que nunca introduzca informacioacuten de identificacioacuten confidencialcomo por ejemplo nuacutemeros de cuenta de sus clientes en los campos de formato libre como el campoName (Nombre) No debe especificar esta informacioacuten cuando trabaje con AWS Backup u otros serviciosde AWS a traveacutes de la consola la API la AWS CLI o AWS SDK Es posible que cualquier dato que escribaen AWS Backup o en otros servicios se incluya en los registros de diagnoacutestico Cuando proporcione unaURL a un servidor externo no incluya informacioacuten de credenciales en la URL para validar la solicitud paraese servidor
Para obtener maacutes informacioacuten sobre la proteccioacuten de datos consulte la entrada de blog relativa al modelode responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS
Cifrado de copias de seguridad enAWS BackupNote
AWS BackupAudit Managerle ayuda a detectar automaacuteticamente copias de seguridad sin cifrar
Puede configurar el cifrado para los tipos de recursos que admiten el uso completoAWSBackupadministracioacuten en el uso deAWS Backup Si el tipo de recurso no admite completoAWSBackupadministracioacuten debe configurar su cifrado de copia de seguridad siguiendo las instrucciones deese servicio tales comoAmazon EBS encryptionen laGuiacutea del usuario de Amazon Elastic Compute CloudPara ver la lista de tipos de recursos que admiten el uso completoAWS Backupmanagement consultela seccioacuten laquoCompletoAWS Backupmanagementraquo de la seccioacutenDisponibilidad de caracteriacutesticas porrecurso (p 2)table
En la siguiente tabla se muestra cada tipo de recurso admitido coacutemo estaacute configurado el cifrado para lascopias de seguridad y si se admite el cifrado independiente para las copias de seguridad CuandoAWSBackupcifra de forma independiente un backup de utiliza el algoritmo de cifrado estaacutendar de la industriaAES-256
Tipo de recurso Coacutemo configurar el cifrado IndependienteAWSBackupcriptografiacutea
Amazon Simple Storage Service(Amazon S3)
Las copias de seguridadde Amazon S3 se cifranmediante unAWS KMS(AWSKey Management Service)asociada al almaceacuten de copiasde seguridad LaAWSLa claveKMS puede ser una CMK
Soportado
177
AWS Backup Guiacutea para desarrolladoresCifrado de copias de seguridad enAWS Backup
Tipo de recurso Coacutemo configurar el cifrado IndependienteAWSBackupcriptografiacutea
administrada por el cliente ounAWSCMK administradasasociadas con elAWSBackupservicioservicioAWSBackupcifra todas las copias deseguridad incluso si los depoacutesitosde Amazon S3 de origen noestaacuten cifrados
Maacutequinas virtuales Las copias de seguridad delas maacutequinas virtuales estaacutensiempre cifradas LaAWS KMSlaclave de cifrado para copiasde seguridad de maacutequinasvirtuales se configura en elAWSBackupalmaceacuten en el quese almacenan las copias deseguridad de la maacutequina virtual
Soportado
Amazon DynamoDB trashabilitarBackup avanzado deDynamoDB (p 90)
Las copias de seguridad deDynamoDB estaacuten siemprecifradas LaAWS KMSla clavede cifrado para las copiasde seguridad de DynamoDBse configura en elAWSBackupalmaceacuten en el quese almacenan las copias deseguridad de DynamoDB
Soportado
Amazon DynamoDB sinhabilitarBackup avanzado deDynamoDB (p 90)
Las copias de seguridadde DynamoDB se cifranautomaacuteticamente con la mismaclave de cifrado que se utilizoacutepara cifrar la tabla de DynamoDBde origen Las instantaacuteneas detablas de DynamoDB sin cifrartambieacuten estaacuten sin cifrar
Note
ParaAWS Backupparacrear una copia deseguridad de una tablade DynamoDB cifradadebe agregar lospermisoskmsDecryptykmsGenerateDataKeyalrol de IAM que seutiliza en la copia deseguridad Tambieacutenpuede utilizar laAWSBackupRol de serviciopredeterminado
No admitido
178
AWS Backup Guiacutea para desarrolladoresCifrado de copias de seguridad enAWS Backup
Tipo de recurso Coacutemo configurar el cifrado IndependienteAWSBackupcriptografiacutea
Amazon Elastic File System(Amazon EFS)
Las copias de seguridad deAmazon EFS estaacuten siemprecifradas LaAWS KMSla clavede cifrado para las copiasde seguridad de AmazonEFS se configura en elAWSBackupalmaceacuten en el quese almacenan las copias deseguridad de Amazon EFS
Soportado
Amazon Elastic Block Store(Amazon EBS)
Las instantaacuteneas de AmazonEBS se cifran automaacuteticamentecon la misma clave de cifradoque se utilizoacute para cifrar elvolumen de EBS de origen Lasinstantaacuteneas de voluacutemenes deEBS sin cifrar tambieacuten estaacuten sincifrar
No admitido
AMI de Amazon Elastic ComputeCloud (Amazon EC2)
Las AMI de Amazon EC2respaldadas por instantaacuteneasde Amazon EBS puedenbeneficiarse del cifrado AmazonEBS Las instantaacuteneas de datosy voluacutemenes raiacutez se puedencifrar y adjuntar a una AMI Lasinstantaacuteneas de AMI de sin cifrartambieacuten estaacuten sin cifrar
No admitido
Amazon Relational DatabaseService (Amazon RDS)
Las instantaacuteneas de AmazonRDS se cifran automaacuteticamentecon la misma clave de cifradoque se utilizoacute para cifrar la basede datos de Amazon RDS deorigen Las instantaacuteneas debases de datos de Amazon RDSsin cifrar tambieacuten estaacuten sin cifrar
Note
AWSBackupActualmenteadmite todos losmotores de base dedatos de Amazon RDSincluido Amazon Aurora
No admitido
179
AWS Backup Guiacutea para desarrolladoresCifrado de copias de seguridad enAWS Backup
Tipo de recurso Coacutemo configurar el cifrado IndependienteAWSBackupcriptografiacutea
Amazon Aurora Las instantaacuteneas decluacutester de Aurora se cifranautomaacuteticamente con lamisma clave de cifrado que seutilizoacute para cifrar el cluacutester deAmazon Aurora de origen Lasinstantaacuteneas de cluacutesteres deAurora sin cifrar tambieacuten estaacutensin cifrar
No admitido
AWS Storage Gateway Las instantaacuteneas deStorage Gateway se cifranautomaacuteticamente con la mismaclave de cifrado que se utilizoacutepara cifrar el volumen de StorageGateway de de origen Lasinstantaacuteneas de voluacutemenes deStorage Gateway de sin cifrartambieacuten estaacuten sin cifrar
Note
No es necesarioutilizar una claveadministrada por elcliente en todos losservicios para habilitarStorage GatewayBasta con copiar lacopia de seguridadde Storage Gatewayen un almaceacuten dondese haya configuradouna clave de KMS Elmotivo es que StorageGateway no tiene unaclave administrada deAWS KMS especiacuteficapara el servicio
No admitido
Amazon FSx Las caracteriacutesticas de cifrado delos sistemas de archivos AmazonFSx difieren seguacuten el sistemade archivos subyacente Paraobtener maacutes informacioacuten sobresu sistema de archivos AmazonFSx en particular consulte elcorrespondienteGuiacutea del usuariode FSx
No admitido
180
AWS Backup Guiacutea para desarrolladoresIdentity and Access Management
Tipo de recurso Coacutemo configurar el cifrado IndependienteAWSBackupcriptografiacutea
Amazon DocumentDB Las instantaacuteneas de cluacutester deAmazon DocumentDB se cifranautomaacuteticamente con la mismaclave de cifrado que se utilizoacutepara cifrar el cluacutester de AmazonDocumentDB de origen Lasinstantaacuteneas de cluacutesteres deAmazon DocumentDB de sincifrar tambieacuten estaacuten sin cifrar
No admitido
Amazon Neptune Las instantaacuteneas de cluacutesterde Neptune se cifranautomaacuteticamente con la mismaclave de cifrado que se utilizoacutepara cifrar el cluacutester de Neptunede origen Las instantaacuteneas decluacutesteres de Neptune sin cifrartambieacuten estaacuten sin cifrar
No admitido
Cifrado de copias de seguridadCuando se utilizaAWS Backuppara copiar las copias de seguridad entre cuentas o regionesAWSBackupcifra automaacuteticamente esas copias de seguridad incluso si la copia de seguridad original no estaacutecifradaAWS Backupcifra la copia utilizando la clave KMS del almaceacuten de destino
Nota Las instantaacuteneas de cluacutesteres de Aurora Amazon DocumentDB y Neptune sin cifrar tambieacuten estaacutensin cifrar
Administracioacuten de identidades y accesos en AWSBackup
El acceso a AWS Backup requiere credenciales Estas credenciales deben tener permisos para obteneracceso aAWSrecursos como una base de datos de Amazon DynamoDB o un sistema de archivos deAmazon EFS Ademaacutes los puntos de recuperacioacuten creados porAWS Backuppara algunosAWS Backup-los servicios admitidos no se pueden eliminar mediante el servicio de origen (como Amazon EFS) Puedeeliminar esos puntos de recuperacioacuten medianteAWS Backup
En las secciones siguientes se brindan detalles sobre coacutemo utilizar AWS Identity and Access Management(IAM) y AWS Backup para proteger el acceso a sus recursos
Warning
AWS Backuputiliza el mismo rol de IAM que eligioacute al asignar recursos para administrar el ciclo devida del punto de recuperacioacuten Si elimina o modifica ese rolAWS Backupno puede administrarel ciclo de vida del punto de recuperacioacuten Cuando esto ocurra intentaraacute utilizar un rol vinculadoa servicio para administrar su ciclo de vida En un pequentildeo porcentaje de casos esto tambieacutenpodriacutea no funcionar dejandoEXPIREDpuntos de recuperacioacuten del almacenamiento de informacioacutenlo que podriacutea generar costes no deseados Para eliminarEXPIREDpuntos de recuperacioacuteneliminarlos manualmente mediante el procedimiento deEliminacioacuten de copias de seguridad
Temas
181
AWS Backup Guiacutea para desarrolladoresAutenticacioacuten
bull Autenticacioacuten (p 182)bull Control de acceso (p 183)bull Funciones de servicio de IAM (p 188)bull Poliacuteticas administradas de AWS Backup (p 190)bull Uso de roles vinculados a servicios de AWS Backup (p 267)bull Prevencioacuten del suplente confuso entre servicios (p 272)
AutenticacioacutenAcceso aAWS Backupo elAWSLos servicios de los que estaacute realizando una copia de seguridad requierencredenciales queAWSpuede utilizar para autenticar las solicitudes de Puede obtener acceso a AWS conlos siguientes tipos de identidades
bull Cuenta de AWSusuario raiacutezmdash Cuando te inscribes enAWS proporciona una direccioacuten de correoelectroacutenico y la contrasentildea asociada a suAWSaccount Esta es la tuyaCuenta de AWSusuario raiacutezcuyas credenciales permiten el acceso completo a todos sus recursos de AWS
Important
Por razones de seguridad recomendamos que utilice el usuario raiacutez solo para crear unadministrador El administrador es unUsuario de IAMcon permisos completos para tuCuenta deAWS Puede utilizar este usuario administrador para crear otros usuarios y roles de IAM conpermisos limitados Para obtener maacutes informacioacuten consulte Praacutecticas recomendadas de IAM yCreacioacuten del primer grupo y usuario de administrador de IAM en la Guiacutea del usuario de IAM
bull Usuario de IAMmdash UnUsuario de IAMes una identidad dentro de tuCuenta de AWSque tiene permisospersonalizados especiacuteficos (por ejemplo permisos para crear un almaceacuten de copias de seguridad en elque almacenar las copias de seguridad) Puede usar una contrasentildea y un nombre de usuario de IAMpara iniciar sesioacuten en paacuteginas web de AWS seguras como AWS Management Console Foros de debatede AWS o el Centro de AWS Support
Ademaacutes de un nombre de usuario y una contrasentildea tambieacuten puede generar claves de acceso paracada usuario Puede utilizar estas claves cuando acceda aAWSservicios mediante programacioacuten yasea a traveacutes deuno de los varios SDKo mediante elAWS Command Line Interface(AWSCLI) El SDK ylas herramientas de la AWS CLI usan claves de acceso para firmar criptograacuteficamente la solicitud Sino utiliza las herramientas de AWS debe firmar usted mismo la solicitud Para obtener maacutes informacioacutenacerca de coacutemo se autentican las solicitudes consulte Proceso de firma de Signature Version 4 en laReferencia general de AWS
bull Rol de IAMmdash UnRol de IAMes otra identidad de IAM que se puede crear en una cuenta y que tienepermisos especiacuteficos Es similar a un usuario de IAM pero no estaacute asociado a una persona determinadaUn rol de IAM le permite obtener claves de acceso temporales que se pueden utilizar para tener accesoa los servicios y recursos de AWS Los roles de IAM con credenciales temporales son uacutetiles en lassiguientes situacionesbull Acceso de usuarios federados en lugar de crear un usuario de IAM puede utilizar identidades de
usuario preexistentes desdeAWS Directory Service el directorio de usuarios de la empresa o unproveedor de identidades web A estas identidades se les llama usuarios federados AWS asigna unafuncioacuten a un usuario federado cuando se solicita acceso a traveacutes de un proveedor de identidad Paraobtener maacutes informacioacuten acerca de los usuarios federados consulte Usuarios federados y roles en laGuiacutea del usuario de IAM
bull Administracioacuten entre cuentas puede utilizar un rol de IAM en su cuenta para conceder otroCuentade AWSpermisos para administrar los recursos de tu cuenta Para ver un ejemplo consulte TutorialDelegar el acceso entreCuentas de AWSUso de roles de IAMen laIAM User Guide
bull AWSacceso a servicios de puede utilizar un rol de IAM en su cuenta para conceder unAWSpermisosde servicio para acceder a los recursos de su cuenta Para obtener maacutes informacioacuten consulteCreacioacuten de un rol para delegarle permisos a un servicio de AWS en la Guiacutea del usuario de IAM
182
AWS Backup Guiacutea para desarrolladoresControl de acceso
bull Aplicaciones que se ejecutan en Amazon Elastic Compute Cloud (Amazon EC2) puede utilizar unrol de IAM para administrar credenciales temporales para las aplicaciones que se ejecutan en unainstancia de Amazon EC2 y realizanAWSSolicitudes de API Es preferible hacerlo de este modo aalmacenar claves de acceso en la instancia de EC2 Para asignar un rol de AWS a una instanciade EC2 y ponerla a disposicioacuten de todas las aplicaciones cree un perfil de instancia adjuntado a lainstancia Un perfil de instancia contiene la funcioacuten y permite a los programas que se encuentranen ejecucioacuten en la instancia EC2 obtener credenciales temporales Para obtener maacutes informacioacutenconsulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instanciasde Amazon EC2 en la Guiacutea del usuario de IAM
Control de accesoAunque disponga de credenciales vaacutelidas para autenticar las solicitudes si no tiene los permisosadecuado no podraacute acceder a recursos de AWS Backup como los almacenes de copias de seguridadTampoco puedes hacer una copia de seguridadAWSrecursos como voluacutemenes de Amazon Elastic BlockStore (Amazon EBS)
Cada recurso de AWS es propiedad de una Cuenta de AWS y los permisos para crear u obtener acceso aun recurso se rigen por las poliacuteticas de los permisos Un administrador de la cuenta puede asociar poliacuteticasde permisos aAWS Identity and Access Management(IAM) identidades (es decir usuarios grupos y roles)Y algunos servicios tambieacuten permiten asociar poliacuteticas de permisos a recursos
Note
Un administrador de la cuenta (o usuario administrador) es un usuario con permisos deadministrador Para obtener maacutes informacioacuten consulte Praacutecticas recomendadas de IAM en laGuiacutea del usuario de IAM
Cuando concede permisos decide quieacuten debe obtener los permisos para queacute recursos se obtienenpermisos y queacute acciones especiacuteficas desea permitir en esos recursos
En las secciones siguientes se explica coacutemo funcionan las poliacuteticas de acceso y como puede utilizarlaspara proteger sus copias de seguridad
Temasbull Recursos y operaciones (p 183)bull Propiedad del recurso (p 185)bull Especificar elementos de poliacuteticas acciones efectos y entidades principales (p 185)bull Especificacioacuten de las condiciones de una poliacutetica (p 186)bull Permisos de la API de referencia de acciones recursos y condiciones (p 186)bull Permisos de copia de etiquetas (p 186)bull Poliacuteticas de acceso (p 187)
Recursos y operacionesUn recurso es un objeto que existe dentro de un servicio Los recursos de AWS Backup incluyen planesde copia de seguridad almacenes de copia de seguridad y copias de seguridad Copia de seguridad es unteacutermino general que hace referencia a los distintos tipos de recursos de copia de seguridad que existen enAWS Por ejemplo las instantaacuteneas de Amazon EBS las instantaacuteneas de Amazon Relational DatabaseService (Amazon RDS) y las copias de seguridad de Amazon DynamoDB son todas ellas tipos de recursosde copia de seguridad
183
AWS Backup Guiacutea para desarrolladoresControl de acceso
En AWS Backup las copias de seguridad tambieacuten se denominan puntos de recuperacioacuten Cuando seutilizaAWS Backup tambieacuten trabajas con los recursos de otrosAWSservicios que estaacute intentando protegercomo voluacutemenes de Amazon EBS o tablas de DynamoDB Estos recursos tienen nombres de recursode Amazon (ARN) uacutenicos asociados a ellos Los ARN identifican de forma exclusivaAWSde AWS Debetener un ARN cuando sea preciso especificar un recurso de forma inequiacutevoca para todoAWS como en laspoliacuteticas de IAM o las llamadas a API
En la siguiente tabla se muestran recursos subrecursos formato de ARN y un identificador uacutenico deejemplo
AWS BackupARN de recurso
Tipo de recurso Formato de ARN Ejemplo de ID uacutenico
Plan de copias de seguridad arnawsbackupregionaccount-idbackup-plan
Almaceacuten de copias de seguridad arnawsbackupregionaccount-idbackup-vault
Punto de recuperacioacuten deAmazon EBS
arnawsec2regionsnapshot
snapshotsnap-05f426fd8kdjb4224
Punto de recuperacioacuten deimaacutegenes de Amazon EC2
arnawsec2regionimageami-
imageami-1a2b3e4f5e6f7g890
Punto de recuperacioacuten deAmazon RDS
arnawsrdsregionaccount-idsnapshotawsbackup
awsbackupjob-be59cf2a-2343-4402-bd8b-226993d23453
Punto de recuperacioacuten de Aurora arnawsrdsregionaccount-idcluster-snapshotawsbackup
awsbackupjob-be59cf2a-2343-4402-bd8b-226993d23453
Punto de recuperacioacuten deStorage Gateway
arnawsec2regionsnapshot
snapshotsnap-0d40e49137e31d9e0
Punto de recuperacioacuten deDynamoDB sinBackup avanzadode DynamoDB (p 90)
arnawsdynamodbregionaccount-idtablebackup
tableMyDynamoDBTablebackup01547087347000-c8b6kdk3
Punto de recuperacioacutende DynamoDBconBackup avanzado deDynamoDB (p 90)enabled
arnawsbackupregionaccount-idrecovery-point
12a34a56-7bb8-901c-cd23-4567d8e9ef01
Punto de recuperacioacuten deAmazon EFS
arnawsbackupregionaccount-idrecovery-point
d99699e7-e183-477e-bfcd-ccb1c6e5455e
Punto de recuperacioacuten deAmazon FSx
arnawsfsxregionaccount-idbackupbackup-
backupbackup-1a20e49137e31d9e0
Punto de recuperacioacuten de unamaacutequina virtual
arnawsbackupregionaccount-idrecovery-point
1801234a-5b6b-7dc8-8032-836f7ffc623b
Punto de recuperacioacuten parabackup continuo de Amazon S3
arnawsbackupregionaccount-idrecovery-point
my-bucket-5ec207d0
Punto de recuperacioacuten parabackup perioacutedico de S3
arnawsbackupregionaccount-idrecovery-point
my-bucket-20211231900000-5ec207d0
184
AWS Backup Guiacutea para desarrolladoresControl de acceso
Recursos que admiten totalAWS Backupadministracioacuten tienen puntos de recuperacioacuten en elformatoarnawsbackupregionaccount-idrecovery-point facilitando la aplicacioacutende poliacuteticas de permisos para proteger esos puntos de recuperacioacuten Para ver queacute recursos admitenal completoAWS Backupmanagement consulte la seccioacuten delDisponibilidad de caracteriacutesticas porrecurso (p 2)table
AWS Backup proporciona un conjunto de operaciones para trabajar con recursos de AWS Backup Paraver la lista de las operaciones disponibles consulte AWS Backup Acciones (p 321)
Propiedad del recursoLa Cuenta de AWS es la propietaria de los recursos que se crean en la cuenta independientementede quieacuten los haya creado Especiacuteficamente el propietario del recurso es elCuenta de AWSdelentidadprincipal(es decir elCuenta de AWSusuario raiacutez un usuario de IAM o un rol de IAM) que autentica lasolicitud de creacioacuten de recursos Los siguientes ejemplos ilustran coacutemo funciona
bull Si utiliza elCuenta de AWScredenciales de usuario raiacutez de suCuenta de AWSpara crear una boacuteveda decopia de seguridad suCuenta de AWSes el propietario de la boacuteveda
bull Si crea un usuario de IAM en suCuenta de AWSy concede permisos para crear un almaceacuten de copiasde seguridad a dicho usuario el usuario podraacute crear un almaceacuten de copias de seguridad Sin embargosuAWS a la que pertenece el usuario seraacute la propietaria del recurso del almaceacuten de copias deseguridad
bull Si crea un rol de IAM en suCuenta de AWScon permisos para crear un almaceacuten de copias de seguridadcualquiera que pueda asumir el rol podraacute crear un almaceacuten de SusCuenta de AWS al que pertenece elrol seraacute la propietaria del recurso del almaceacuten de copias de seguridad
Especificar elementos de poliacuteticas acciones efectos y entidadesprincipalesPara cada recurso de AWS Backup (veacutease Recursos y operaciones (p 183)) el servicio define unconjunto de operaciones de API (veacutease Acciones (p 321)) Para conceder permisos para estasoperaciones de API AWS Backup define un conjunto de acciones que usted puede especificar en unapoliacutetica Para realizar una operacioacuten API pueden ser necesarios permisos para maacutes de una accioacuten
A continuacioacuten se indican los elementos maacutes baacutesicos de la poliacutetica
bull Recurso en una poliacutetica se usa un nombre de recurso de Amazon (ARN) para identificar el recurso alque se aplica la poliacutetica Para obtener maacutes informacioacuten consulte Recursos y operaciones (p 183)
bull Accioacuten utilice palabras clave de accioacuten para identificar las operaciones del recurso que desea permitir odenegar
bull Efecto especifique el efecto que se produciraacute cuando el usuario solicite la accioacuten especiacutefica puedeser permitir o denegar Si no concede acceso de forma expliacutecita (permitir) a un recurso el acceso sedeniega impliacutecitamente Tambieacuten puede denegar expliacutecitamente el acceso a un recurso para asegurarsede que un usuario no pueda obtener acceso a eacutel aunque otra poliacutetica le conceda acceso
bull Entidad principal en las poliacuteticas basadas en identidades (poliacuteticas de IAM) el usuario al que se asociaesta poliacutetica es la entidad principal impliacutecita Para las poliacuteticas basadas en recursos debe especificar elusuario la cuenta el servicio u otra entidad que desee que reciba permisos (se aplica solo a las poliacuteticasbasadas en recursos)
Para obtener maacutes informacioacuten sobre la sintaxis y descripciones de las poliacuteticas de IAM consulte IAMJSON Policy Reference (Referencia de la poliacutetica JSON de IAM) en la Guiacutea del usuario de IAM
Para ver una tabla con todas las acciones de API de AWS Backup consulte Permisos de la API dereferencia de acciones recursos y condiciones (p 186)
185
AWS Backup Guiacutea para desarrolladoresControl de acceso
Especificacioacuten de las condiciones de una poliacuteticaAl conceder permisos puede utilizar el lenguaje de la poliacutetica de IAM para especificar las condiciones enla que se debe aplicar una poliacutetica Por ejemplo es posible que desee que solo se aplique una poliacuteticadespueacutes de una fecha especiacutefica Para obtener maacutes informacioacuten sobre coacutemo especificar condiciones en unlenguaje de poliacutetica consulte Condition en la Guiacutea del usuario de IAM
Para expresar condiciones se usan claves de condicioacuten predefinidas No hay claves de condicioacutenespeciacuteficas para AWS Backup No obstante existen claves de condicioacuten que se aplican a todo AWS quepuede utilizar cuando corresponda Para obtener una lista completa deAWS-teclas anchas verAWSClavesde contexto de condicioacuten globales deen laIAM User Guide
Note
AWS Backup no admite la etiqueta o las condiciones de clave de contexto en poliacuteticas de accesode ninguna de sus acciones
Permisos de la API de referencia de acciones recursos ycondicionesCuando configure Control de acceso (p 183) y escriba una poliacutetica de permisos que se pueda asociara una identidad de IAM (poliacuteticas basadas en identidad) puede utilizar la siguiente lista como referenciaLa lista de de tabla incluye cada operacioacuten de API de AWS Backup las acciones correspondientes paralas que puede conceder permiso para realizar la accioacuten y el recurso de AWS para el que puede concederpermiso Las acciones se especifican en el campo Action de la poliacutetica y el valor del recurso se especificaen el campo Resource de la poliacutetica
Puede utilizar claves de condiciones generales de AWS en sus poliacuteticas de AWS Backup para expresarcondiciones Para ver una lista completa de claves generales de AWS consulte Claves disponibles en laGuiacutea del usuario de IAM
Permisos de copia de etiquetasCuandoAWS Backuprealiza un trabajo de copia de seguridad o copia intenta copiar las etiquetas delrecurso de origen (o punto de recuperacioacuten en caso de copia) al punto de recuperacioacuten
Note
AWS Backuphacenocopiar etiquetas de forma nativa durante los trabajos de restauracioacutenPara obtener una arquitectura basada en eventos que copiaraacute etiquetas durante los trabajosde restauracioacuten consulteCoacutemo conservar las etiquetas de recursos enAWS Backuptrabajos derestauracioacuten
Durante un trabajo de copia de seguridad o copiaAWS Backupagrega las etiquetas especificadas en elplan de copia de seguridad (o plan de copia o copia de seguridad bajo demanda) con las etiquetas delrecurso de origen Sin embargoAWSaplica un liacutemite de 50 etiquetas por recurso queAWS Backupnopuede exceder Cuando un trabajo de copia de seguridad o copia agrega etiquetas del plan y del recursode origen podriacutea descubrir maacutes de 50 etiquetas en total no podraacute completar el trabajo y fallar el trabajoEsto es coherente conAWSPraacutecticas recomendadas de etiquetado amplio Para obtener maacutes informacioacutenconsulteLiacutemites de etiquetasen laAWSGuiacutea de referencia general
bull El recurso tiene maacutes de 50 etiquetas despueacutes de agregar las etiquetas de trabajo de copia de seguridadcon las etiquetas de recursos de origenAWSadmite hasta 50 etiquetas por recurso Para obtener maacutesinformacioacuten consulte
bull El rol de IAM que proporciona aAWS Backupcarece de permisos para leer las etiquetas de origen oestablecer las etiquetas de destino Para obtener maacutes informacioacuten y ejemplos de poliacuteticas de roles deIAM consultePoliacuteticas administradas de
186
AWS Backup Guiacutea para desarrolladoresControl de acceso
Puede utilizar el plan de copia de seguridad para crear etiquetas que contradigan las etiquetas de recursosde origen Cuando los dos entran en conflicto las etiquetas del plan de respaldo tienen prioridad Utiliceesta teacutecnica si prefiere no copiar un valor de etiqueta del recurso de origen Especifique la misma clave deetiqueta pero un valor diferente o vaciacuteo utilizando su plan de copia de seguridad
Permisos necesarios para asignar etiquetas a copias de seguridad
Tipo de recurso Permiso necesario
Sistema de archivos de Amazon EFS elasticfilesystemDescribeTags
Sistema de archivos de Amazon FSx fsxListTagsForResource
Base de datos Amazon RDS y cluacutester de AmazonAurora
rdsAddTagsToResource
rdsListTagsForResource
Volumen Storage Gateway storagegatewayListTagsForResource
Instancias de Amazon EC2 y volumen de AmazonEBS
EC2CreateTags
EC2DescribeTags
DynamoDB no admite la asignacioacuten de etiquetas a copias de seguridad a menos que se activeprimeroBackup avanzado de DynamoDB (p 90)
Cuando una copia de seguridad de Amazon EC2 crea un punto de recuperacioacuten de imaacutegenes y unconjunto de instantaacuteneasAWS Backupcopia etiquetas en la AMI de obtenidaAWS Backuptambieacuten copiaraacutelas etiquetas de los voluacutemenes asociados con la instancia Amazon EC2 en las instantaacuteneas resultantes
Poliacuteticas de accesoUna poliacutetica de permisos describe quieacuten tiene acceso a queacute Las poliacuteticas que se asocian a una identidadde IAM se denominan poliacuteticas basadas en identidades (o poliacuteticas de IAM) Las poliacuteticas de permisosque se asocian a un recurso se denominan poliacuteticas basadas en recursos AWS Backup solo admite laspoliacuteticas basadas en identidades y recursos
Note
En esta seccioacuten se explica el uso de IAM en el contexto de AWS Backup No se proporcionainformacioacuten detallada sobre el servicio de IAM Para ver la documentacioacuten completa de IAMconsulte iquestQueacute es IAM en la Guiacutea del usuario de IAM Para obtener maacutes informacioacuten acerca de lasintaxis y las descripciones de las poliacuteticas de IAM consulte Referencia de poliacuteticas JSON de IAMen la Guiacutea del usuario de IAM
Poliacuteticas basadas en identidad (poliacuteticas de IAM)Las poliacuteticas basadas en identidad son poliacuteticas que puede asociar a identidades de IAM como usuarioso roles Por ejemplo puede definir una poliacutetica que permita a un usuario ver y realizar una copia deseguridadAWSrecursos pero les impide restaurar las copias de seguridad
Para obtener maacutes informacioacuten sobre usuarios grupos roles y permisos consulte Identidades (usuariosgrupos y roles) en la Guiacutea del usuario de IAM
Para obtener maacutes informacioacuten acerca de coacutemo utilizar poliacuteticas de IAM para controlar el acceso a lascopias de seguridad consultePoliacuteticas administradas (p 190)
Poliacuteticas con base en recursosAWS Backup admite poliacuteticas de acceso basadas en recursos para almacenes de copia de seguridadDe este modo puede definir una poliacutetica de acceso que puede controlar queacute usuarios tienen queacute tipo de
187
AWS Backup Guiacutea para desarrolladoresFunciones de servicio de IAM
acceso a cualquiera de las copias de seguridad organizadas en un almaceacuten de copias de seguridad Laspoliacuteticas de acceso basadas en recursos para almacenes de copia de seguridad ofrecen una manera faacutecilde controlar el acceso a sus copias de seguridad
Las poliacuteticas de acceso a almacenes de copia de seguridad controlan el acceso del usuario al utilizar lasAPI de AWS Backup Tambieacuten se puede obtener acceso a algunos tipos de copias de seguridad comolas instantaacuteneas de Amazon Elastic Block Store (Amazon EBS) y Amazon Relational Database Service(Amazon RDS) a traveacutes de las API de dichos servicios Puede crear poliacuteticas de acceso independientesen IAM que controlan el acceso a esas API con el fin de controlar plenamente el acceso a las copias deseguridad
Para obtener informacioacuten sobre coacutemo crear una poliacutetica de acceso para almacenes de copias deseguridad consulte Configuracioacuten de poliacuteticas de acceso en boacutevedas de backup (p 58)
Funciones de servicio de IAMUnAWS Identity and Access Management(IAM) es similar a un usuario ya que es unAWSidentidadesde con poliacuteticas de permisos que determinan lo que la identidad puede hacer y lo que no enAWS Noobstante en lugar de asociarse exclusivamente a una persona la intencioacuten es que cualquier usuariopueda asumir un rol que necesite Una funcioacuten de servicio es un rol que adopta un servicio de AWS pararealizar acciones en su nombre Como servicio que realiza las operaciones de copia de seguridad en sunombre AWS Backup requiere transferirle un rol que debe adoptar al realizar las operaciones de copia deseguridad en su nombre Para obtener maacutes informacioacuten acerca de los roles de IAM consulte Roles de IAMen la guiacutea del usuario de IAM
El papel al que pasasAWS Backupdebe tener una poliacutetica de IAM con los permisos que habilitanAWSBackuppara llevar a cabo acciones asociadas con operaciones de copia de seguridad como la creacioacutenla restauracioacuten o la caducidad de copias de seguridad Se requieren distintos permisos para cada uno delosAWSservicios queAWS Backupadmite Ademaacutes el rol tambieacuten deben tener AWS Backup incluido comoentidad de confianza lo que permite a AWS Backup adoptar el rol
Cuando asigna recursos a un plan de backup o si realiza una copia de seguridad copia o restauracioacutenbajo demanda debe pasar un rol de servicio que tenga acceso para realizar las operaciones subyacentesen los recursos especificadosAWS Backuputiliza este rol para crear etiquetar y eliminar recursos de sucuenta
Uso deAWSroles para controlar el acceso a copias de seguridadPuede utilizar roles para controlar el acceso a sus copias de seguridad definiendo roles muy acotados yespecificando quieacuten puede transferir dicho rol a AWS Backup Por ejemplo podriacutea crear un rol que soloconceda permisos para realizar copias de seguridad de bases de datos de Amazon Relational DatabaseService (Amazon RDS) y solo concede a los propietarios de base de datos de Amazon RDS permiso paratransferir dicho rol aAWS BackupAWS Backupproporciona varias poliacuteticas administradas predefinidas paracada uno de los servicios admitidos Puede asociar estas poliacuteticas administradas a los roles que cree Estofacilita la creacioacuten de roles especiacuteficos de servicios que tengan los permisos correctos que AWS Backupnecesita
Para obtener maacutes informacioacuten acerca deAWSPoliacuteticas administradas de paraAWS BackupconsultePoliacuteticas administradas (p 190)
Funcioacuten de servicio predeterminada paraAWS BackupCuando se utiliza laAWS Backupconsola por primera vez puede elegir tenerAWS Backupcree unrol de servicio predeterminado para usted Este rol tiene los permisos queAWS Backupnecesitarealizar operaciones de backup para todos losAWSservicios que admite Para elegir el rol de serviciopredeterminado siga cualquiera de las opciones deIntroduccioacuten
188
AWS Backup Guiacutea para desarrolladoresFunciones de servicio de IAM
Note
Debe crear el rol predeterminado mediante elAWS Management Console No se puede crear el rolpredeterminado mediante elAWS Command Line Interface(AWS CLI)
Si prefiere utilizar roles personalizados como roles independientes para distintos tipos de recursostambieacuten puede hacerlo y transferir sus roles personalizados aAWS Backup Para ver ejemplos de roles quehabilitan la copia de seguridad y la restauracioacuten para tipos de recursos individuales consulte laPoliacuteticasadministradas por el cliente (p 190)table
El rol de servicio predeterminado creado porAWS Backupadministra la creacioacuten y restauracioacuten decopias de seguridad sin trabajar con roles personalizados El rol de servicio predeterminado sedenominaAWSBackupDefaultServiceRole
AWSBackupDefaultServiceRolecontiene dos poliacuteticasgestionadasAWSBackupServiceRolePolicyForBackupyAWSBackupServiceRolePolicyForRestores
AWSBackupServiceRolePolicyForBackupincluye una poliacutetica de IAM que concedeAWSBackuppermisos para describir el recurso que se estaacute realizando una copia de seguridad la capacidadde crear eliminar describir o agregar etiquetas a una copia de seguridad Esta poliacutetica de IAM incluye lospermisos necesarios para todos los tipos de recursos queAWS Backupadmite
AWSBackupServiceRolePolicyForRestoresincluye una poliacutetica de IAM que concedeAWSBackuppermisos para crear eliminar o describir el nuevo recurso que se estaacute creando a partir de unacopia de seguridad Tambieacuten incluye permisos para etiquetar el recurso recieacuten creado Esta poliacutetica de IAMincluye los permisos necesarios para todos los tipos de recursos queAWS Backupadmite
Para restaurar una instancia de Amazon EC2 debe lanzar una nueva instancia
Creacioacuten del rol de servicio predeterminadoAcciones especiacuteficas que realices en elAWS BackupConsola crea elAWS BackupRol de serviciopredeterminado Otras actividades como las operaciones de CLI no pueden crear ese rol
Para crear elAWS BackupRol de servicio predeterminadoAWSBackupDefaultServiceRoleentuAWScuenta
1 Abra el iconoAWS BackupConsola dehttpsconsoleawsamazoncombackup2 Para crear el rol de su cuenta asigne recursos a un plan de backup o cree una copia de seguridad
bajo demanda
a Cree un plan de copia de seguridad y asigne recursos a la copia de seguridad ConsulteCrear unacopia de seguridad programada
b De forma alternativa cree una copia de seguridad bajo demanda ConsulteCrear una copia deseguridad bajo demanda
3 Compruebe que ha creado elAWSBackupDefaultServiceRoleen tu cuenta siguiendo estos pasos
a Espere unos minutos Para obtener maacutes informacioacuten consulteLos cambios que realizo no estaacutensiempre visibles inmediatamenteen laAWSGuiacutea del usuario de Identity and Access Management
b Inicie sesioacuten en la AWS Management Console y abra la consola de IAM en httpsconsoleawsamazoncomiam
c En el menuacute de navegacioacuten izquierdo elijaRoles ded En la barra de buacutesqueda escribaAWSBackupDefaultServiceRole Si existe esta seleccioacuten ha
creado elAWS Backupfuncioacuten predeterminada y ha completado este procedimientoe SiAWSBackupDefaultServiceRolesigue sin aparecer agregue los siguientes permisos al
usuario de IAM o al rol de IAM que utiliza para acceder a la consola
189
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Version2012-10-17 Statement[ EffectAllow Action[ iamCreateRole iamAttachRolePolicy iamPassRole ] Resourcearnawsiamroleservice-roleAWSBackupDefaultServiceRole EffectAllow Action[ iamListRoles ] Resource ]
Para las regiones de China sustituyaawsconaws-cn ParaAWS GovCloud (US)Regionessustituirawsconaws-us-gov
f Si no puede agregar permisos a su usuario de IAM o rol de IAM solicite al administrador que creemanualmente un rol denominadoAWSBackupDefaultServiceRoley adjunte esa funcioacuten a laspoliacuteticas gestionadas que normalmente tiene
bull AWSBackupServiceRolePolicyForBackup
bull AWSBackupServiceRolePolicyForRestores
Poliacuteticas administradas de AWS BackupPoliacuteticas administradasLas poliacuteticas administradas son poliacuteticas independientes basadas en la identidad que puede asociar avarios usuarios grupos y roles de suCuenta de AWS
AWSpoliacuteticas administradasentregar un out-of-the-box experiencia de paraAWS Backup
Poliacuteticas administradas por el clientele proporcionan controles detallados para configurar el acceso alas copias de seguridad enAWS Backup Por ejemplo puede utilizarlos para dar a su administrador decopias de seguridad de base de datos acceso a las copias de seguridad de Amazon RDS pero no a las deAmazon EFS
Para obtener informacioacuten actualizada de las poliacuteticas administradas de consulteActualizaciones depoliacuteticas
Poliacuteticas administradas por el clientePuede crear poliacuteticas independientes que puede administrar en su propia Cuenta de AWS Estas poliacuteticasse denominan poliacuteticas administradas por el cliente Puede asociar las poliacuteticas a varias entidadesprincipales de suCuenta de AWS Al asociar una poliacutetica a una entidad principal concederaacute a la entidad lospermisos que estaacuten definidos en la poliacutetica
Una forma de crear una poliacutetica administrada por el cliente es comenzar copiando unaexistenteAWSpoliacutetica administrada de De esta forma sabraacute que la poliacutetica es correcta desde el principio ylo uacutenico que necesita hacer es personalizarla seguacuten su entorno
190
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Las siguientes poliacuteticas especifican permisos de copia de seguridad y restauracioacuten para individualesAWSBackup-admitidoAWSservicios y aplicaciones de terceros Se pueden personalizar y asociar a los roles quecree para limitar auacuten maacutes el acceso aAWSde AWS
Poliacuteticas Backup y restauracioacuten para personas individualesAWS Backup-recursos admitidos
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos
PoliacuteticadecopiadeseguridaddeAmazonS3
Version2012-10-17 Statement[ SidS3BucketBackupPermissions Action[ s3GetInventoryConfiguration s3PutInventoryConfiguration
PoliacuteticaderestauracioacutendeAmazonS3
Version2012-10-17 Statement[ SidS3BucketRestorePermissions Action[ s3CreateBucket s3ListBucketVersions
191
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos s3ListBucketVersions s3ListBucket s3GetBucketVersioning s3GetBucketNotification s3PutBucketNotification s3GetBucketLocation s3GetBucketTagging ]
s3ListBucket s3GetBucketVersioning s3GetBucketLocation s3PutBucketVersioning ] EffectAllow Resource[ arnawss3
192
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos EffectAllow Resource[ arnawss3 ] SidS3ObjectBackupPermissions Action[ s3GetObjectAcl
] SidS3ObjectRestorePermissions Action[ s3GetObject s3GetObjectVersion s3DeleteObject s3PutObjectVersionAcl
193
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos s3GetObject s3GetObjectVersionTagging s3GetObjectVersionAcl s3GetObjectTagging s3GetObjectVersion ] EffectAllow Resource[
s3GetObjectVersionAcl s3GetObjectTagging s3PutObjectTagging s3GetObjectAcl s3PutObjectAcl s3PutObject s3ListMultipartUploadParts ]
194
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos arnawss3 ] SidS3GlobalPermissions Action[ s3ListAllMyBuckets ] EffectAllow
EffectAllow Resource[ arnawss3 ] SidS3KMSPermissions Action[ kmsDecrypt
195
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Resource[ ] SidKMSBackupPermissions Action[ kmsDecrypt kmsDescribeKey ]
kmsDescribeKey kmsGenerateDataKey ] EffectAllow Resource Condition StringLike kmsViaServices3amazonawscom
196
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos EffectAllow Resource Condition StringLike kmsViaServices3amazonawscom
]
197
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos SidEventsPermissions Action[ eventsDescribeRule eventsEnableRule eventsPutRule eventsDeleteRule eventsPutTargets
198
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos eventsRemoveTargets eventsListTargetsByRule eventsDisableRule ] EffectAllow ResourcearnawseventsruleAwsBackupManagedRule SidEventsMetricsGlobalPermissions
199
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Action[ cloudwatchGetMetricData eventsListRules ] EffectAllow Resource ]
200
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos
Poliacuteticadecopiadeseguridaddela
Sid BackupGatewayBackupPermissions Effect Allow Action [ backup-gatewayBackup backup-gatewayListTagsForResource ]
Poliacuteticaderestauracioacutendelamaacutequinavirtual
Sid GatewayRestorePermissions Effect Allow Action [ backup-gatewayRestore ]
201
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Resource arnawsbackup-gatewayvm
Resource arnawsbackup-gatewayhypervisor
202
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos
PoliacuteticadecopiadeseguridaddeAmazonEBS
Version2012-10-17 Statement[ EffectAllow Actionec2CreateTags Resourcearnawsec2snapshot EffectAllow
PoliacuteticaderestauracioacutendeAmazonEBS
Version2012-10-17 Statement[ EffectAllow Action[ ec2CreateVolume ec2DeleteVolume ]
203
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Action[ ec2CreateSnapshot ec2DeleteSnapshot ] Resource[ arnawsec2snapshot arnawsec2volume ]
Resource[ arnawsec2snapshot arnawsec2volume ] EffectAllow Action[ ec2DescribeSnapshots
204
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos EffectAllow Action[ ec2DescribeVolumes ec2DescribeSnapshots ec2CopySnapshot ec2DescribeTags ]
ec2DescribeVolumes ] Resource ]
205
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Resource Action[ tagGetResources ] Resource EffectAllow EffectAllow
206
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Action[ backupDescribeBackupVault backupCopyIntoBackupVault ] Resourcearnawsbackupbackup-vault ]
207
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos
PoliacuteticadebackupdeAmazonEFS
Version2012-10-17 Statement[ Action[ elasticfilesystemBackup elasticfilesystemDescribeTags ] Resourcearnawselasticfilesystemfile-system
PoliacuteticaderestauracioacutendeAmazonEFS
Version2012-10-17 Statement[ EffectAllow Action[ elasticfilesystemRestore elasticfilesystemCreateFilesystem elasticfilesystemDescribeFilesystems
208
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos EffectAllow Action[ tagGetResources ] Resource EffectAllow EffectAllow
elasticfilesystemDeleteFilesystem ] Resourcearnawselasticfilesystemfile-system ]
209
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Action[ backupDescribeBackupVault backupCopyIntoBackupVault ] Resourcearnawsbackupbackup-vault ]
210
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos
PoliacuteticadecopiadeseguridaddeAmazonRDS
Version2012-10-17 Statement[ EffectAllow Action[ rdsAddTagsToResource rdsListTagsForResource rdsDescribeDBSnapshots
PoliacuteticaderestauracioacutendeAmazonRDS
Version2012-10-17 Statement[ EffectAllow Action[ rdsDescribeDBInstances rdsDescribeDBSnapshots rdsListTagsForResource
211
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos rdsCreateDBSnapshot rdsCopyDBSnapshot rdsDescribeDBInstances rdsCreateDBClusterSnapshot rdsDescribeDBClusters rdsDescribeDBClusterSnapshots rdsCopyDBClusterSnapshot ] Resource
rdsRestoreDBInstanceFromDBSnapshot rdsDeleteDBInstance rdsAddTagsToResource ] Resource ]
212
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos EffectAllow Action[ rdsDeleteDBSnapshot rdsModifyDBSnapshotAttribute ] Resource[ arnawsrdssnapshotawsbackup
213
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos ] Effect Allow Action [ rdsDeleteDBClusterSnapshot rdsModifyDBClusterSnapshotAttribute ] Resource [ arnawsrdscluster-snapshotawsbackup ]
214
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Action[ tagGetResources ] Resource EffectAllow EffectAllow Action[ backupDescribeBackupVault
215
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos backupCopyIntoBackupVault ] Resourcearnawsbackupbackup-vault ActionkmsDescribeKey EffectAllow Resource ]
216
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos
PoliacuteticadebackupdeAmazonAurora
Version2012-10-17 Statement[ EffectAllow Action[ rdsCreateDBClusterSnapshot rdsDescribeDBClusters rdsDescribeDBClusterSnapshots
PoliacuteticaderestauracioacutendeAmazonAurora
Version2012-10-17 Statement[ EffectAllow Action[ rdsDeleteDBCluster rdsDescribeDBClusters rdsRestoreDBClusterFromSnapshot
217
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos rdsAddTagsToResource rdsListTagsForResource rdsCopyDBClusterSnapshot ] Resource EffectAllow Action[
rdsListTagsForResource rdsAddTagsToResource ] Resource ]
218
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos rdsDeleteDBClusterSnapshot ] Resource[ arnawsrdscluster-snapshotawsbackup ] Action[ tagGetResources
219
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos ] Resource EffectAllow EffectAllow Action[ backupDescribeBackupVault backupCopyIntoBackupVault ]
220
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Resourcearnawsbackupbackup-vault ActionkmsDescribeKey EffectAllow Resource ]
221
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos
PoliacuteticadecopiadeseguridaddeStor
Version2012-10-17 Statement[ EffectAllow Action[ storagegatewayCreateSnapshot storagegatewayListTagsForResource ]
PoliacuteticaderestauracioacutenStorageGateway
Version2012-10-17 Statement[ EffectAllow Action[ storagegatewayDeleteVolume storagegatewayDescribeCachediSCSIVolumes storagegatewayDescribeStorediSCSIVolumes
222
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Resourcearnawsstoragegatewaygatewayvolume EffectAllow Action[ ec2CreateTags ec2DeleteSnapshot ] Resourcearnawsec2snapshot
] Resourcearnawsstoragegatewaygatewayvolume EffectAllow Action[ storagegatewayDescribeGatewayInformation storagegatewayCreateStorediSCSIVolume storagegatewayCreateCachediSCSIVolume
223
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos EffectAllow Action[ ec2DescribeSnapshots ] Resource Action[
] Resourcearnawsstoragegatewaygateway EffectAllow Action[ storagegatewayListVolumes ] Resourcearnawsstoragegateway ]
224
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos tagGetResources ] Resource EffectAllow EffectAllow Action[ backupDescribeBackupVault backupCopyIntoBackupVault
225
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos ] Resourcearnawsbackupbackup-vault ]
226
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos
PoliacuteticadebackupdeAmazonFSx
Version2012-10-17 Statement[ Action fsxDescribeBackups Effect Allow Resource arnawsfsxbackup Action fsxCreateBackup
PoliacuteticaderestauracioacutendeAmazonFSx
Version 2012-10-17 Statement [ Action [ fsxCreateFileSystemFromBackup ] Effect Allow
227
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Effect Allow Resource [ arnawsfsxfile-system arnawsfsxbackup ] Action fsxDescribeFileSystems Effect Allow
Resource [ arnawsfsxfile-system arnawsfsxbackup ] Action fsxDescribeFileSystems
228
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Resource arnawsfsxfile-system Action fsxListTagsForResource Effect Allow Resource arnawsfsxfile-system Action fsxDeleteBackup
Effect Allow Resource arnawsfsxfile-system Action fsxDescribeBackups Effect Allow Resource arnawsfsxbackup
229
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Effect Allow Resource arnawsfsxbackup Effect Allow Action [ fsxListTagsForResource fsxManageBackupPrincipalAssociations fsxCopyBackup
Action [ fsxDeleteFileSystem fsxUntagResource ] Effect Allow Resource arnawsfsxfile-system Condition
230
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos fsxTagResource ] Resource arnawsfsxbackup ]
Null awsResourceTagawsbackupsource-resource false
231
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Action dsDescribeDirectories Effect Allow Resource ]
232
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos
PoliacuteticadecopiadeseguridaddeAmazonEC2
Version2012-10-17 Statement[ EffectAllow Action[ ec2CreateTags ec2DeleteSnapshot ]
PoliacuteticaderestauracioacutendeAmazonEC2
Version2012-10-17 Statement[ EffectAllow Action[ ec2CreateVolume ec2DeleteVolume ]
233
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Resourcearnawsec2snapshot EffectAllow Action[ ec2CreateImage ec2DeregisterImage ] Resource
Resource[ arnawsec2snapshot arnawsec2volume ] EffectAllow Action[ ec2DescribeSnapshots
234
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos EffectAllow Action[ ec2CopyImage ec2CopySnapshot ] Resource EffectAllow
ec2DescribeVolumes ] Resource EffectAllow Action[ ec2DescribeImages ec2DescribeInstances ]
235
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Action[ ec2CreateTags ] Resourcearnawsec2image EffectAllow Action[ ec2DescribeSnapshots
Resource Action[ ec2RunInstances ] EffectAllow Resource
236
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos ec2DescribeTags ec2DescribeImages ec2DescribeInstances ec2DescribeInstanceAttribute ec2DescribeInstanceCreditSpecifications ec2DescribeNetworkInterfaces ec2DescribeElasticGpus
Action[ ec2TerminateInstances ] EffectAllow Resourcearnawsec2instance ActioniamPassRole Resourcearnawsiamltaccount-idgtroleltrole-namegt EffectAllow
237
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos ec2DescribeSpotInstanceRequests ] Resource EffectAllow Action[ ec2CreateSnapshot ec2DeleteSnapshot ec2DescribeVolumes
]
238
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos ec2DescribeSnapshots ] Resource[ arnawsec2snapshot arnawsec2volume ]
239
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos Action[ tagGetResources ] Resource EffectAllow EffectAllow Action[ backupDescribeBackupVault
240
AWS Backup Guiacutea para desarrolladoresPoliacuteticas administradas
Poliacuteticadebackupderecursos
Poliacuteticaderestauracioacutenderecursos backupCopyIntoBackupVault ] Resourcearnawsbackupbackup-vault ]
241