Comment empêcher certains utilisateurs IAM de restaurer des points de restauration dans AWS Backup ?

Lecture de 3 minute(s)
0

Je souhaite empêcher certains utilisateurs AWS Identity and Access Management (IAM) de restaurer des points de restauration dans AWS Backup.

Résolution

Pour empêcher des utilisateurs ou rôles IAM de restaurer des points de restauration dans AWS Backup, vous devez créer une politique de coffre de sauvegarde ou une politique IAM qui refuse les autorisations d'accès. Pour appliquer ces restrictions à des utilisateurs ou à un groupe d'utilisateurs au niveau d'AWS Organizations, votre politique doit refuser l'action StartRestoreJob.

AWS Organizations permet également d’utiliser des politiques de contrôle de service (SCP) pour appliquer des restrictions à des utilisateurs IAM.

Utilisation d’une politique de coffre de sauvegarde pour empêcher la restauration par des identités IAM

Procédez comme suit :

1.    Ouvrez la console AWS Backup.

2.    Dans le volet de navigation, choisissez Coffres de sauvegarde.

3.    Choisissez le coffre-fort de sauvegarde auquel vous souhaitez appliquer la politique.

4.    Pour la Stratégie d'accès, choisissez Modifier, puis mettez à jour la stratégie avec les attributs suivants :

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Principal": "*",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

Cette stratégie d'accès au coffre-fort refuse l'accès à l'action StartRestoreJob à tous les utilisateurs, à l'exception de l'utilisateur IAM arn:aws:iam::11111111111:user/Admin.

Pour obtenir d’autres exemples, consultez la section Définition de stratégies d'accès sur les coffres-forts de sauvegarde.

Utilisation d’une politique IAM pour empêcher la restauration par des identités IAM

Vous pouvez modifier une ](https://docs.aws.amazon.com/aws-backup/latest/devguide/security-iam-awsmanpol.html#customer-managed-policies)politique gérée par le client[ ou associer une politique à un utilisateur IAM.

Modification d’une politique gérée par le client

1.    Ouvrez la console AWS Backup.

2.    Dans le volet de navigation, choisissez Politiques.

3.    Choisissez Créer une politique.

4.    Choisissez l’onglet JSON.

5.    Saisissez ou collez un document de politique JSON. Pour en savoir plus sur le langage des politiques IAM, consultez la référence de politique JSON IAM.

6.    Choisissez Suivant : Balises.

7.    Dans Vérifier la stratégie, saisissez le nom et la description de la politique que vous avez créée. Vous pouvez consulter le Résumé de la politique pour voir les autorisations accordées.

8.    Choisissez Créer une politique.

Association d’une politique à un utilisateur IAM

Procédez comme suit :

1.    Ouvrez la console IAM.

2.    Dans le volet de navigation, choisissez Groupes d'utilisateurs, puis choisissez le nom du groupe.

3.    Choisissez l'onglet Autorisations.

4.    Choisissez Ajouter des autorisations, puis Attacher une politique. Les politiques actuelles associées au groupe d'utilisateurs apparaissent dans la liste des politiques d'autorisations actuelles.

5.    Dans Autres politiques d'autorisations, sélectionnez le nom de la politique créée à l'étape précédente.
Remarque : vous pouvez utiliser le champ de recherche pour filtrer cette liste par nom et par type de politique.

6.    Choisissez Ajouter des autorisations, puis mettez à jour la politique avec les attributs suivants :

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

Création d'un SCP pour AWS Organizations

AWS Organizations permet de créer une politique de contrôle de service (SCP) pour empêcher les utilisateurs IAM de restaurer des points de restauration.

Utilisez l'exemple de SCP suivant pour refuser l'accès à l'action backup:StartRestoreJob :

{  
    "Version": "2012-10-17",  
    "Statement": [{  
        "Effect": "Deny",  
        "Action": "backup:StartRestoreJob",  
        "Resource": "*",  
        "Condition": {  
            "ArnNotEquals": {  
                "aws:PrincipalArn": "arn:aws:iam::11111111111:user/Admin"  
            }  
        }  
    }]  
}

Ce SCP refuse l'action StartRestoreJob pour tous les utilisateurs, à l'exception de l'utilisateur IAM arn:aws:iam::11111111111:user/Admin.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 9 mois