Aufgaben des Administrators - AWS Backup
Stellen Sie ein Genehmigungsteam zusammenTeilen Sie sich ein Genehmigungsteam mit mehreren Parteien unter AWS RAM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aufgaben des Administrators

Für mehrere Aufgaben, die AWS Backup einen Überblick über mehrere Parteien erforderten, war ein Benutzer mit Administratorberechtigungen und Zugriff auf das Verwaltungskonto erforderlich.

Stellen Sie ein Genehmigungsteam zusammen

Ein Benutzer in Ihrer Organisation mit Administratorberechtigungen für ein AWS Konto muss die Genehmigung durch mehrere Parteien einrichten (Schritt 3 in der Übersicht).

Bevor Sie diesen Schritt ausführen, empfiehlt es sich als bewährte Methode, sowohl eine primäre Organisation als auch eine sekundäre Organisation (für Wiederherstellungszwecke) einzurichten AWS Organizations (Schritt 1 in der Übersicht).

Informationen zur Erstellung Ihres Teams finden Sie unter Erstellen eines Genehmigungsteams im Benutzerhandbuch zur Genehmigung mehrerer Parteien.

Während des aws mpa create-approval-teamVorgangs ist policies einer der Parameter. Dies ist eine Liste von Ressourcenrichtlinien ARNs (Amazon Resource Names) für die Genehmigung durch mehrere Parteien, die Berechtigungen zum Schutz des Teams definieren.

Die Richtlinie, die im Beispiel im Benutzerhandbuch für die Genehmigung mehrerer Parteien im Verfahren Ein Genehmigungsteam erstellen dargestellt ist, enthält die Richtlinie ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] mit mehreren erforderlichen Berechtigungen. Sie können verwendenmpa list-policies, um eine Liste verfügbarer Richtlinien zurückzugeben.

Weiter unten finden Sie die Richtlinie, die im Rahmen dieses Vorgangs erstellt und dann Ihrem Genehmigungsteam zugewiesen wird:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Teilen Sie sich ein Genehmigungsteam mit mehreren Parteien unter AWS RAM

Mithilfe von AWS Resource Access Manager (RAM), Schritt 4 in der Übersicht, können Sie ein Mehrparteien-Genehmigungsteam mit anderen AWS Accounts teilen.

Console
Teilen Sie ein Mehrparteien-Genehmigungsteam mit AWS RAM

  1. Melden Sie sich an der AWS RAM -Konsole an.

  2. Wählen Sie im Navigationsbereich Resource Shares aus.

  3. Wählen Sie Create resource share (Ressourcenfreigabe erstellen) aus.

  4. Geben Sie im Feld Name einen aussagekräftigen Namen für Ihre Ressourcenfreigabe ein.

  5. Wählen Sie im Dropdownmenü unter Ressourcentyp die Option Genehmigungsteam für mehrere Parteien aus.

  6. Wählen Sie unter Ressourcen das Genehmigungsteam aus, das Sie gemeinsam nutzen möchten.

  7. Geben Sie unter Principals die AWS Accounts an, mit denen Sie das Genehmigungsteam teilen möchten.

  8. Um die Daten für bestimmte AWS Konten freizugeben, wählen Sie AWS Konten aus und geben Sie das 12-stellige Konto ein. IDs

  9. Um Inhalte mit einer Organisation oder Organisationseinheit zu teilen, wählen Sie Organisation oder Organisationseinheit aus und geben Sie die entsprechende ID ein.

  10. (Optional) Fügen Sie unter Tags alle Tags hinzu, die Sie dieser gemeinsamen Ressource zuordnen möchten.

  11. Wählen Sie Create resource share (Ressourcenfreigabe erstellen) aus.

Der Status der Ressourcenfreigabe wird zunächst als angezeigtPENDING. Sobald die Empfängerkonten die Einladung annehmen, ändert sich der Status aufACTIVE.

CLI

Verwenden Sie die folgenden Befehle, um ein Genehmigungsteam mit mehreren Parteien gemeinsam AWS RAM über die CLI zu verwenden:

Identifizieren Sie zunächst den ARN des Genehmigungsteams, das Sie teilen möchten:

aws mpa list-approval-teams --region us-east-1

Erstellen Sie eine Ressourcenfreigabe mit dem create-resource-share folgenden Befehl:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Um sie mit einer Organisation statt mit bestimmten Konten zu teilen:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Prüfen Sie den Status Ihrer gemeinsam genutzten Ressource:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

Die Empfängerkonten müssen die Einladung zur gemeinsamen Nutzung von Ressourcen annehmen:

aws ram get-resource-share-invitations --region us-east-1

Führen Sie das Empfängerkonto aus, um eine Einladung anzunehmen:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Sobald die Einladung angenommen wurde, steht das Team für die Genehmigung mehrerer Parteien im Empfängerkonto zur Verfügung.

AWS bietet Tools für den gemeinsamen Kontozugriff, einschließlich Durchgangs AWS Resource Access Manager- und Mehrparteienzugriff. Wenn Sie sich dafür entscheiden, einen Tresor mit logischem Air-Gap gemeinsam mit einem anderen Konto zu nutzen, sollten Sie die folgenden Details berücksichtigen:

Funktion AWS RAM basiertes Teilen Auf Genehmigung durch mehrere Parteien basierender Zugriff
Zugriff auf Tresore mit logischem Air-Gap Sobald die gemeinsame Nutzung des RAM abgeschlossen ist, kann auf die Tresore zugegriffen werden. Jeder Versuch mit einem anderen Konto muss von einer bestimmten Anzahl von Mitgliedern des Genehmigungsteams für mehrere Parteien genehmigt werden. Die Genehmigungssitzung läuft automatisch 24 Stunden nach der Initiierung der Anfrage ab.
Entfernung des Zugriffs Das Konto, dem der Tresor mit logischem Air-Gap gehört, kann die RAM-basierte gemeinsame Nutzung jederzeit beenden. Der Zugriff auf einen Tresor kann nur durch eine Anfrage an das Genehmigungsteam für mehrere Parteien entzogen werden.
Zwischen Konten and/or und Regionen kopieren Wird derzeit nicht unterstützt. Backups können innerhalb desselben Kontos oder mit anderen Konten in derselben Organisation wie das Wiederherstellungskonto kopiert werden.
Abrechnung bei regionsübergreifender Überweisung Regionsübergreifende Übertragungen werden demselben Konto in Rechnung gestellt, dem der Backup-Tresor mit Wiederherstellungszugriff gehört.
Empfohlene Verwendung Es wird hauptsächlich für die Wiederherstellung nach Datenverlust und für Wiederherstellungstests verwendet. Hauptsächlich wird es in Situationen verwendet, in denen der Verdacht besteht, dass der Kontozugriff oder die Sicherheit gefährdet sind.
Regionen Verfügbar in allen Bereichen, in AWS-Regionen denen Tresore mit logischem Air-Gap unterstützt werden. Verfügbar in allen Bereichen, in AWS-Regionen denen Tresore mit logischem Air-Gap unterstützt werden.
Wiederherstellungen Alle unterstützten Ressourcentypen können von einem gemeinsamen Konto aus wiederhergestellt werden. Alle unterstützten Ressourcentypen können von einem gemeinsamen Konto aus wiederhergestellt werden.
Einrichtung Die gemeinsame Nutzung kann erfolgen, sobald das AWS Backup Konto die RAM-Sharing eingerichtet hat und das Empfängerkonto die gemeinsame Nutzung akzeptiert. Für die gemeinsame Nutzung muss sich das Verwaltungskonto für die Genehmigung durch mehrere Parteien entscheiden und die RAM-Sharing einrichten. Anschließend muss das Verwaltungskonto ein Team erstellen und dieses Team einem Tresor mit logischem Air-Gap zuweisen.
Teilen

Die gemeinsame Nutzung erfolgt über RAM innerhalb derselben AWS Organisation oder zwischen AWS Organisationen.

Der Zugriff wird nach dem „Push“ -Modell gewährt, bei dem das Verwaltungskonto zuerst Zugriff gewährt und dann das andere Konto den Zugriff akzeptiert.

Der Zugriff auf einen Tresor mit logischem Air-Gap erfolgt über von Organizations unterstützte Genehmigungsteams innerhalb derselben AWS Organisation oder organisationsübergreifend.

Der Zugriff wird nach dem „Pull“ -Modell gewährt, bei dem das empfangende Konto zuerst Zugriff anfordert und dann das Genehmigungsteam die Anfrage gewährt oder ablehnt.