Genehmigung durch mehrere Parteien für Tresore mit logischem Air-Gap - AWS Backup
Überblick über die Genehmigung durch mehrere ParteienVoraussetzungen und bewährte VerfahrenGenehmigung durch mehrere Parteien Regionenübergreifende ÜberlegungenGenehmigungsbedingungen für mehrere Parteien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Genehmigung durch mehrere Parteien für Tresore mit logischem Air-Gap

Überblick über die Genehmigung durch mehrere Parteien in einem Tresor mit logischen Lücken

AWS Backup bietet Ihnen die Möglichkeit, Ihren Tresoren mit logischem Air-Gap eine Genehmigung durch mehrere Parteien hinzuzufügen AWS Organizations, eine Funktion von. Die Genehmigung durch mehrere Parteien bietet eine zusätzliche Option, mit der kritische Abläufe durch ein verteiltes Genehmigungsverfahren geschützt werden können.

Die Genehmigung durch mehrere Parteien dient dem Schutz kritischer Ressourcen und der Minimierung der Zeit bis zur Wiederherstellung des vollen Betriebs (RTO), z. B. bei Störungen durch böswillige Akteure oder Malware-Ereignisse. Diese Konfiguration kann Ihnen helfen, den Inhalt eines Tresors mit logischem Air-Gap wiederherzustellen, der möglicherweise kompromittiert wurde.

Als AWS Backup Kunde können Sie die Mehrparteiengenehmigung verwenden, um einer Gruppe vertrauenswürdiger Personen Genehmigungsfunktionen für einige Operationen zu gewähren, die gemeinsam den Zugriff auf einen Tresor mit logischem Air-Gap von einem separat erstellten Wiederherstellungskonto aus genehmigen können, falls der Verdacht auf böswillige Aktivitäten besteht, die die Nutzung des Hauptkontos gefährden könnten.

In den folgenden Schritten wird der empfohlene Ablauf für die Einrichtung einer AWS Wiederherstellungsorganisation, die Einrichtung der Mehrparteiengenehmigung und die anschließende Verwendung der Mehrparteiengenehmigung mit Ihren Tresoren mit logischen Air-Gaps beschrieben:

  1. Ein Administrator erstellt über Organizations eine neue Organisation, die für Wiederherstellungsvorgänge verwendet wird.

  2. Im Verwaltungskonto dieser neuen Organisation erstellt und konfiguriert der Administrator eine IAM Identity Center (IDC) -Instanz (Informationen zur Aktivierung einer Organisationsinstanz finden Sie unter Aktivieren von IAM Identity Center im IAM Identity Center-Benutzerhandbuch). Weitere Informationen finden Sie im Benutzerhandbuch für die Genehmigung mehrerer Parteien in der Reihenfolge „Identitätsquelle für die Genehmigung durch mehrere Parteien erstellen“.

  3. Der Administrator stellt dann ein Genehmigungsteam zusammen. Dabei handelt es sich um die Kerngruppe vertrauenswürdiger Personen, die die Hauptnutzer von Multi-Party Approval sein werden.

  4. Der Administrator teilt sich ein Genehmigungsteam, das AWS RAM mit jedem Konto zusammen arbeitet, das mindestens einen Tresor mit logischem Air-Gap besitzt (wahrscheinlich Ihr primäres Konto).

  5. Ein Administrator dieser Konten ordnet einen Tresor mit logischem Air-Gap einem Genehmigungsteam zu.

  6. Ein Wiederherstellungskonto fordert Zugriff auf ein Konto an, das über einen Tresor mit logischem Air-Gap verfügt, dem ein Genehmigungsteam („Team“) mit mehreren Parteien zugeordnet ist. Das dem Konto zugeordnete Team genehmigt die Anfrage oder lehnt sie ab.

  7. Der Administrator des Accounts, dem der Tresor mit logischem Air-Gap gehört, kann beantragen, dass das Genehmigungsteam vom Tresor getrennt wird. Für die Anfrage ist eine aktuelle Genehmigung durch das Team erforderlich.

  8. Ein Administrator kann die Mitglieder des Genehmigungsteams bei Bedarf entsprechend seinen Sicherheitspraktiken aktualisieren oder wenn Personen Ihrer Organisation beitreten oder sie verlassen.

Voraussetzungen und bewährte Methoden für die Verwendung der Genehmigung durch mehrere Parteien bei einem Tresor mit logischem Air-Gap

Bevor Sie die Genehmigung durch mehrere Parteien effektiv und sicher für Ihre Datenspeicher mit logischen Air-Gaps nutzen können, müssen zunächst einige Voraussetzungen und empfohlene bewährte Verfahren erfüllt sein.

Bewährte Verfahren:

  • Zwei (oder mehr) AWS Organizations über Organisationen. Eines sollte Ihre primäre Organisation sein, in der Sie über ein oder mehrere Konten verfügen, die über mindestens einen Tresor mit logischem Air-Gap verfügen. Die sekundäre Organisation sollte Ihre Wiederherstellungsorganisation sein. In dieser Organisation wird Ihr Genehmigungsteam für mehrere Parteien verwaltet.

Voraussetzungen

  1. Sie haben die Genehmigung durch mehrere Parteien eingerichtet und verfügen über mindestens ein Genehmigungsteam.

  2. Mindestens ein Konto in Ihrer primären Organisation muss über einen Tresor mit logischem Air-Gap (und den ursprünglichen Backup-Tresor) verfügen.

  3. Für das Verwaltungskonto in der primären Organisation wurde die Genehmigung durch mehrere Parteien aktiviert.

    Tipp

    AWS Backup empfiehlt, eine Service Control Policy (SCP) auf Ihre primäre Organisation anzuwenden und diese mit den entsprechenden Berechtigungen für die Organisation und jedes Genehmigungsteam zu konfigurieren.

  4. Ihr Mehrparteien-Genehmigungsteam aus der sekundären (Wiederherstellungs-) Organisation wird AWS RAM mit Ihren Konten geteilt, die Eigentümer der Tresore mit logischem Air-Gap sind.

Regionsübergreifende Überlegungen und Abhängigkeiten bei der Verwendung der Genehmigung durch mehrere Parteien

Wenn Sie die Genehmigung durch mehrere Parteien aktivieren und Ihre IAM Identity Center-Instanz in verschiedenen Regionen aktiviert haben, werden bei der Genehmigung durch mehrere Parteien regionsübergreifend Anrufe an IAM Identity Center weitergeleitet. Das bedeutet, dass Benutzer- und Gruppeninformationen zwischen den Regionen übertragen werden. Ressourcen des Genehmigungsteams mit mehreren Parteien können nur in AWS-Region USA Ost (Nord-Virginia) erstellt und gespeichert werden.

Andere AWS-Regionen , die sich auf Ressourcen des Genehmigungsteams mehrerer Parteien beziehen, hängen von AWS-Region US East (Nord-Virginia) ab. Dementsprechend werden bei der Genehmigung durch mehrere Parteien regionsübergreifende Anrufe getätigt, wenn sich Ihr Identity Center-Instance and/or logischerweise Air-Gap-Tresor nicht in USA Ost (Nord-Virginia) befindet.

Bedingungen, Konzepte und Benutzerpersönlichkeiten für die Genehmigung durch mehrere Parteien

Die Genehmigung durch mehrere Parteien in Ihrem Tresor mit logischem Air-Gap ist eine Integration von AWS Organizations, und AWS -Kontenverwaltung AWS Backup, zusammen mit AWS Identity and Access Management (IAM) - und (RAM) -Funktionen. AWS RAM Über die CLI können Sie mit jedem Dienst interagieren, um die entsprechenden Befehle zu senden. Sie können auch die Konsole verwenden, müssen jedoch zur Konsole des entsprechenden Dienstes navigieren, um bestimmte Aufgaben auszuführen.

Wie Sie mit der Genehmigung durch mehrere Parteien umgehen, hängt von Ihren Rollen und Verantwortlichkeiten in Ihren Organisationen sowie von den Berechtigungen ab, die Sie in Ihren AWS Backup Konten haben.

Wie im Benutzerhandbuch für Mehrparteiengenehmigungen beschrieben, handelt es sich bei Mitgliedern Ihrer Organisation, die die Mehrparteiengenehmigung verwenden, entweder um Antragsteller, Administrator oder Genehmiger. Für jede Stellenfunktion gelten spezifische Berechtigungen. Gemäß den bewährten Sicherheitsmethoden sollte ein Benutzer nur eine Jobfunktion erfüllen.

Konsolen, Portale und Sitzungen

AWS Backup Für Konten mit einem oder mehreren Tresoren mit logischem Air-Gap kann eine Genehmigung durch mehrere Parteien erforderlich sein.

Vor dem Genehmigungsprozess durch mehrere Parteien erstellt ein Administrator für Wiederherstellungszwecke eine sekundäre Organisation (eine Wiederherstellungsorganisation), sofern noch keine solche eingerichtet wurde. AWS Organizations

Anschließend verwendet der Administrator AWS Resource Access Manager (RAM), um die organisationsübergreifende gemeinsame Nutzung zwischen der primären Organisation und der Wiederherstellungsorganisation einzurichten.

In der primären Organisation befinden sich Konten, die über einen Tresor mit logischem Air-Gap verfügen und diesen nutzen, in dem die geschützten Daten gespeichert werden.

In der Wiederherstellungsorganisation gibt es mindestens ein Wiederherstellungskonto. Dieses Konto beherbergt einen Zugriffspunkt, der als wichtige „Hintertür“ zum gemeinsam genutzten Tresor mit logischem Air-Gap dienen kann. Dieser Zugriffspunkt wird als Backup-Tresor mit Wiederherstellungszugriff bezeichnet. Dieser Access Vault speichert keine Daten, sondern dient als Zugriffs- oder Bereitstellungspunkt, der den Inhalt des Quell-Tresors mit logischem Air-Gap wiedergibt, aber keine Daten enthält, die geändert oder gelöscht werden können. Wenn ein Kunde beispielsweise den Wiederherstellungsprozess für einen Recovery Point in einem Backup-Tresor mit Wiederherstellungszugriff durchläuft, ist es der Recovery Point im Tresor mit logischem Air-Gap, der durch eine kontenübergreifende Wiederherstellung über das Wiederherstellungskonto wiederhergestellt wird.

Um zusätzliche Sicherheit zu gewährleisten, verwenden Kunden dieses Wiederherstellungskonto, um geschützte Vorgänge im Hauptkonto durchzuführen, jedoch erst, nachdem diese Vorgänge vom zugehörigen Genehmigungsteam in einer Genehmigungssitzung genehmigt wurden. Eine Sitzung wird erstellt, AWS sobald eine Genehmigungsanfrage gesendet wurde. Diese Sitzung endet, wenn eine bestimmte Anzahl von Mitgliedern des Genehmigungsteams die Anfrage genehmigt oder ablehnt oder wenn die zulässige Sitzungszeit abgelaufen ist.

Ein Team besteht aus Genehmigungsberechtigten (also die Parteien sind Teil der Genehmigung durch mehrere Parteien), die E-Mail-Benachrichtigungen über geschützte Operationsanfragen erhalten. Diese E-Mails bestätigen, dass eine Genehmigungssitzung für die Anfrage begonnen hat. Die Genehmigung wird erteilt, sobald die erforderliche Mindestgenehmigungsschwelle erreicht ist. Dieser Schwellenwert kann bei der Erstellung des Genehmigungsteams mit mehreren Parteien („Team“) festgelegt werden.

Genehmigungsteams mit mehreren Parteien werden über das Mehrparteien-Genehmigungsportal („Portal“) von Organizations verwaltet, eine AWS verwaltete Anwendung, die Identitäten einen zentralen Ort bietet, an dem Mitglieder des Genehmigungsteams Einladungen und Vorgangsanfragen des Genehmigungsteams empfangen und darauf antworten können.