View a markdown version of this page

Aufgaben des Administrators - AWS Backup
Stellen Sie ein Genehmigungsteam zusammenTeilen Sie ein Multi-party Genehmigungsteam mit AWS RAM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aufgaben des Administrators

Für mehrere Aufgaben, die eine Multi-party Übersicht betrafen AWS Backup , war ein Benutzer mit Administratorberechtigungen und Zugriff auf das Verwaltungskonto erforderlich.

Stellen Sie ein Genehmigungsteam zusammen

Ein Benutzer in Ihrer Organisation mit Administratorberechtigungen für ein AWS Konto muss die Multi-party Genehmigung einrichten (Schritt 3 in der Übersicht).

Bevor Sie diesen Schritt ausführen, empfiehlt es sich als bewährte Methode, sowohl eine primäre Organisation als auch eine sekundäre Organisation (für Wiederherstellungszwecke) einzurichten AWS Organizations (Schritt 1 in der Übersicht).

Informationen zur Erstellung Ihres Teams finden Sie unter Erstellen eines Multi-party Genehmigungsteams im Genehmigungsbenutzerhandbuch.

Während der aws mpa create-approval-teamOperation ist einer der Parameterpolicies. Dies ist eine Liste von ARNs (Amazon Resource Names) für Multi-party Genehmigungsressourcenrichtlinien, die Berechtigungen zum Schutz des Teams definieren.

Die Richtlinie, die in dem Beispiel im Multi-party Genehmigungsbenutzerhandbuch im Verfahren Ein Genehmigungsteam erstellen dargestellt ist, enthält die Richtlinie ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] mit mehreren erforderlichen Berechtigungen.

Gehen Sie wie folgt vor, um eine Liste der verfügbaren Richtlinien zurückzugeben, indem Sie Folgendes verwendenmpa list-policies:

  1. Richtlinien auflisten: 

    aws mpa list-policies --region us-east-1

  2. Alle Richtlinienversionen auflisten: 

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. Einzelheiten zu einer Richtlinie abrufen: 

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Weiter unten finden Sie die Richtlinie, die im Rahmen dieses Vorgangs erstellt und dann Ihrem Genehmigungsteam zugewiesen wird:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Teilen Sie ein Multi-party Genehmigungsteam mit AWS RAM

Mithilfe von AWS Resource Access Manager (RAM), Schritt 4 in der Übersicht, können Sie ein Multi-party Genehmigungsteam mit anderen AWS Accounts teilen.

Console
Teilen Sie ein Multi-party Genehmigungsteam mit AWS RAM

  1. Melden Sie sich bei der AWS RAM -Konsole an.

  2. Wählen Sie im Navigationsbereich Resource Shares aus.

  3. Wählen Sie Create resource share (Ressourcenfreigabe erstellen) aus.

  4. Geben Sie im Feld Name einen aussagekräftigen Namen für Ihre Ressourcenfreigabe ein.

  5. Wählen Sie unter Ressourcentyp im Dropdownmenü die Option Multi-partyGenehmigungsteam aus.

  6. Wählen Sie unter Ressourcen das Genehmigungsteam aus, das Sie teilen möchten.

  7. Geben Sie unter Principals die AWS Accounts an, mit denen Sie das Genehmigungsteam teilen möchten.

  8. Um die Daten für bestimmte AWS Konten freizugeben, wählen Sie AWS Konten aus und geben Sie die 12-stelligen Konto-IDs ein.

  9. Um Inhalte mit einer Organisation oder Organisationseinheit zu teilen, wählen Sie Organisation oder Organisationseinheit aus und geben Sie die entsprechende ID ein.

  10. (Optional) Fügen Sie unter Tags alle Tags hinzu, die Sie dieser gemeinsamen Ressource zuordnen möchten.

  11. Wählen Sie Create resource share (Ressourcenfreigabe erstellen) aus.

Der Status der Ressourcenfreigabe wird zunächst als angezeigtPENDING. Sobald die Empfängerkonten die Einladung annehmen, ändert sich der Status aufACTIVE.

CLI

Verwenden Sie die folgenden Befehle, um ein Multi-party Genehmigungsteam AWS RAM über die CLI gemeinsam zu nutzen:

Identifizieren Sie zunächst den ARN des Genehmigungsteams, das Sie teilen möchten:

aws mpa list-approval-teams --region us-east-1

Erstellen Sie mit dem Befehl create-resource-share eine Ressourcenfreigabe:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

So teilen Sie Inhalte mit einer Organisation statt mit bestimmten Konten:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Prüfen Sie den Status Ihrer gemeinsam genutzten Ressource:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

Die Empfängerkonten müssen die Einladung zur gemeinsamen Nutzung von Ressourcen annehmen:

aws ram get-resource-share-invitations --region us-east-1

Führen Sie das Empfängerkonto aus, um eine Einladung anzunehmen:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Sobald die Einladung angenommen wurde, steht das Multi-party Genehmigungsteam im Empfängerkonto zur Verfügung.

AWS bietet Tools zur gemeinsamen Nutzung des Kontozugriffs, auch durch AWS Resource Access Managerund durch Multi-party Zugriff. Wenn Sie sich dafür entscheiden, einen Tresor mit logischem Air-Gap gemeinsam mit einem anderen Konto zu nutzen, sollten Sie die folgenden Details berücksichtigen:

Feature AWS RAM basiertes Teilen Multi-party genehmigungsbasierter Zugriff
Zugriff auf Tresore mit logischem Air-Gap Sobald die gemeinsame Nutzung des RAM abgeschlossen ist, kann auf die Tresore zugegriffen werden. Jeder Versuch mit einem anderen Konto muss von einer bestimmten Anzahl von Mitgliedern des Multi-party Genehmigungsteams genehmigt werden. Die Genehmigungssitzung läuft automatisch 24 Stunden nach der Initiierung der Anfrage ab.
Entfernung des Zugriffs Das Konto, dem der Tresor mit logischem Air-Gap gehört, kann die RAM-basierte gemeinsame Nutzung jederzeit beenden. Der Zugriff auf einen Tresor kann nur durch eine Anfrage an das Multi-party Genehmigungsteam entzogen werden.
Zwischen Konten und and/or Regionen kopieren Wird derzeit nicht unterstützt. Backups können innerhalb desselben Kontos oder mit anderen Konten in derselben Organisation wie das Wiederherstellungskonto kopiert werden.
Cross-Region Abrechnung übertragen Cross-Region Überweisungen werden demselben Konto in Rechnung gestellt, dem der Backup-Tresor mit Wiederherstellungszugriff gehört.
Empfohlene Verwendung Es wird hauptsächlich für die Wiederherstellung nach Datenverlust und für Wiederherstellungstests verwendet. Hauptsächlich wird es in Situationen verwendet, in denen der Verdacht besteht, dass der Kontozugriff oder die Sicherheit gefährdet sind.
Regionen Verfügbar in allen Bereichen, in AWS-Regionen denen Tresore mit logischem Air-Gap unterstützt werden. Verfügbar in allen Bereichen, in AWS-Regionen denen Tresore mit logischem Air-Gap unterstützt werden.
Wiederherstellungen Alle unterstützten Ressourcentypen können von einem gemeinsamen Konto aus wiederhergestellt werden. Alle unterstützten Ressourcentypen können von einem gemeinsamen Konto aus wiederhergestellt werden.
Einrichtung Die gemeinsame Nutzung kann erfolgen, sobald das AWS Backup Konto die RAM-Sharing eingerichtet hat und das Empfängerkonto die gemeinsame Nutzung akzeptiert. Für die gemeinsame Nutzung muss das Verwaltungskonto zuerst ein Team erstellen und dann die RAM-Sharing einrichten. Anschließend stimmt das Verwaltungskonto der Multi-party Genehmigung zu und weist das Team einem Tresor mit logischem Air-Gap zu.
Teilen

Die gemeinsame Nutzung erfolgt über RAM innerhalb derselben AWS Organisation oder zwischen AWS Organisationen.

Der Zugriff wird nach dem „Push“ -Modell gewährt, bei dem das Konto, dem der Tresor mit logischem Air-Gap gehört, zuerst Zugriff gewährt. Dann akzeptiert das andere Konto den Zugriff.

Der Zugriff auf einen Tresor mit logischem Air-Gap erfolgt über von Organizations unterstützte Genehmigungsteams innerhalb derselben AWS Organisation oder organisationsübergreifend.

Der Zugriff wird nach dem „Pull“ -Modell gewährt, bei dem das empfangende Konto zuerst Zugriff anfordert und dann das Genehmigungsteam die Anfrage gewährt oder ablehnt.