Tareas del administrador - AWS Backup
Creación de un equipo de aprobaciónUso compartido de un equipo de aprobación de varias partes desde AWS RAM

Tareas del administrador

Varias tareas que afectan a AWS Backup y la información general de varias partes requieren un usuario con permisos de administrador y acceso a la cuenta de administración.

Creación de un equipo de aprobación

Un usuario de su organización con permisos de administrador en una cuenta de AWS debe configurar la aprobación de varias partes (paso 3 de Información general).

Antes de realizar este paso, se recomienda configurar una organización principal y una secundaria (para la recuperación) en AWS Organizations (paso 1 de Información general).

Consulte Creación de un equipo de aprobación en la Guía del usuario de aprobación de varias partes para crear el equipo.

Durante la operación aws mpa create-approval-team, uno de los parámetros es policies. Se trata de una lista de los ARN (nombres de recursos de Amazon) para las políticas de recursos de aprobación de varias partes que definen los permisos que protegen al equipo.

La política que se muestra en el ejemplo de la Guía del usuario de aprobación de varias partes en el procedimiento Creación de un equipo de aprobación contiene la política ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] con varios permisos necesarios.

Siga estos pasos para obtener una lista de las políticas disponibles mediante mpa list-policies:

  1. Enumerar las políticas: 

    aws mpa list-policies --region us-east-1

  2. Enumerar todas las versiones de las políticas: 

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. Obtener información detallada sobre una política: 

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Amplíe la información siguiente para ver la política que se creará y luego se asociará al equipo de aprobación mediante esta operación:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Uso compartido de un equipo de aprobación de varias partes desde AWS RAM

Puede compartir un equipo de aprobación de varias partes con otras cuentas de AWS desde AWS Resource Access Manager (RAM) (paso 4 de Información general).

Console
Uso compartido de un equipo de aprobación de varias partes desde AWS RAM

  1. Inicie sesión en la consola de AWS RAM.

  2. En el panel de navegación, elija Recursos compartidos.

  3. Elija Crear recurso compartido.

  4. En el campo Nombre, introduzca un nombre descriptivo para el recurso compartido.

  5. En Tipo de recurso, seleccione Equipo de aprobación de varias partes en el menú desplegable.

  6. En Recursos, seleccione el equipo de aprobación que quiere compartir.

  7. En Entidades principales, especifique las cuentas de AWS con las que quiere compartir el equipo de aprobación.

  8. Para compartir con cuentas de AWS específicas, seleccione las cuentas de AWS e introduzca los ID de cuenta de 12 dígitos.

  9. Para compartir con una organización o unidad organizativa, seleccione Organización o Unidad organizativa e introduzca el ID correspondiente.

  10. (Opcional) En Etiquetas, añada cualquier etiqueta que quiera asociar a este recurso compartido.

  11. Elija Crear recurso compartido.

El estado del recurso compartido se mostrará inicialmente como PENDING. Cuando las cuentas del destinatario acepten la invitación, el estado cambiará a ACTIVE.

CLI

Para compartir un equipo de aprobación de varias partes con AWS RAM desde la CLI, utilice los siguientes comandos:

En primer lugar, identifique el ARN del equipo de aprobación que desee compartir:

aws mpa list-approval-teams --region us-east-1

Cree un recurso compartido con el comando create-resource-share:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Para compartir con una organización en lugar de con cuentas específicas, haga lo siguiente:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Compruebe el estado del recurso compartido:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

Las cuentas del destinatario deberán aceptar la invitación para el uso compartido de un recurso:

aws ram get-resource-share-invitations --region us-east-1

Inicie sesión en la cuenta del destinatario para aceptar una invitación:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Después de aceptar la invitación, el equipo de aprobación de varias partes ya se podrá usar en la cuenta del destinatario.

AWS ofrece herramientas para compartir el acceso a la cuenta, incluso a través de AWS Resource Access Manager y Acceso de varias partes. Si decide compartir un almacén aislado lógicamente con otra cuenta, tenga en cuenta los siguientes detalles:

Característica Uso compartido basado en AWS RAM Acceso basado en la aprobación de varias partes
Acceso a almacenes aislados lógicamente Cuando se haya completado el uso compartido de RAM, se podrá acceder a los almacenes. Cualquier intento por parte de una cuenta diferente debe ser aprobado por un umbral mínimo de miembros del equipo de aprobación de varias partes. La sesión de aprobación caduca automáticamente 24 horas después de que se inicie la solicitud.
Retirada del acceso La cuenta propietaria del almacén aislado lógicamente puede poner fin al uso compartido basado en RAM en cualquier momento. El acceso a un almacén solo se puede eliminar mediante una solicitud al equipo de aprobación de varias partes.
Copia en cuentas o regiones No se admite actualmente. Las copias de seguridad se pueden copiar en la misma cuenta o con otras cuentas de la misma organización que la cuenta de recuperación.
Facturación por transferencia entre regiones Las transferencias entre regiones se facturan a la misma cuenta propietaria del almacén de copias de seguridad con acceso a la restauración.
Uso recomendado El uso principal es para recuperar datos perdidos y para probar la restauración. El uso principal es para situaciones en las que se sospecha que el acceso o la seguridad de la cuenta están comprometidos.
Regiones Disponible en todas las Regiones de AWS donde se admiten almacenes aislados lógicamente. Disponible en todas las Regiones de AWS donde se admiten almacenes aislados lógicamente.
Restauraciones Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida. Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida.
Configuración El uso compartido se puede iniciar en cuanto la cuenta de AWS Backup configure el uso compartido de RAM y la cuenta receptora acepte el uso compartido. El uso compartido requiere que la cuenta de administración primero cree un equipo y, a continuación, configure el uso compartido de RAM. A continuación, la cuenta de administración se suscribe a la aprobación de varias partes y asigna ese equipo a un almacén aislado lógicamente.
Uso compartido

El uso compartido se realiza a través de RAM dentro de la misma organización de AWS o entre organizaciones de AWS.

El acceso se concede según el modelo “push”, en el que la cuenta propietaria del almacén aislado lógicamente primero concede el acceso. Luego, la otra cuenta acepta el acceso.

El acceso a un almacén aislado lógicamente se realiza a través de los equipos de aprobación compatibles con Organizations dentro de la misma organización de AWS o entre organizaciones.

El acceso se concede siguiendo el modelo “pull”, en el que la cuenta receptora primero solicita el acceso y, a continuación, el equipo de aprobación concede o deniega la solicitud.