View a markdown version of this page

Tareas del administrador - AWS Backup

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tareas del administrador

Varias tareas que implicaban AWS Backup una Multi-party visión general requerían que un usuario tuviera permisos de administrador y acceso a la cuenta de administración.

Creación de un equipo de aprobación

Un usuario de tu organización con permisos de administrador para una AWS cuenta debe configurar la Multi-party aprobación (paso 3 de la descripción general).

Antes de realizar este paso, se recomienda configurar una organización principal y una secundaria (para la recuperación) en AWS Organizations (paso 1 de Información general).

Consulte Crear un equipo de aprobación en la guía del usuario de Multi-party aprobación para crear su equipo.

Durante la operación aws mpa create-approval-team, uno de los parámetros es policies. Esta es una lista de ARN (nombres de recursos de Amazon) para políticas de recursos de Multi-party aprobación que definen los permisos que protegen al equipo.

La política que se muestra en el ejemplo de la Guía del usuario de Multi-party aprobación, en el procedimiento Crear un equipo de aprobación, contiene la política ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] con varios permisos necesarios.

Siga estos pasos para obtener una lista de las políticas disponibles mediante mpa list-policies:

  1. Enumerar las políticas:

    aws mpa list-policies --region us-east-1
  2. Enumerar todas las versiones de las políticas:

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
  3. Obtener información detallada sobre una política:

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Amplíe la información siguiente para ver la política que se creará y luego se asociará al equipo de aprobación mediante esta operación:

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VaultOwnerPermissions", "Effect": "Allow", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "mpa:StartSession", "mpa:CancelSession" ], "Condition": { "StringEquals": { "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault", "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}" }, "Bool": { "aws:ViaAWSService": "true" } } } ] }

Comparta un equipo de Multi-party aprobación mediante AWS RAM

Puedes compartir un equipo de Multi-party aprobación con otras AWS cuentas mediante AWS Resource Access Manager (RAM), paso 4 de la descripción general.

Console
Comparta un equipo de Multi-party aprobación mediante AWS RAM
  1. Inicie sesión en la consola de AWS RAM.

  2. En el panel de navegación, elija Recursos compartidos.

  3. Elija Crear recurso compartido.

  4. En el campo Nombre, introduzca un nombre descriptivo para el recurso compartido.

  5. En Tipo de recurso, selecciona Equipo de Multi-party aprobación en el menú desplegable.

  6. En Recursos, seleccione el equipo de aprobación que quiere compartir.

  7. En Directores, especifique las AWS cuentas con las que quiere compartir el equipo de aprobación.

  8. Para compartir con AWS cuentas específicas, selecciona las AWS cuentas e introduce los ID de cuenta de 12 dígitos.

  9. Para compartir con una organización o unidad organizativa, seleccione Organización o Unidad organizativa e introduzca el ID correspondiente.

  10. (Opcional) En Etiquetas, añada cualquier etiqueta que quiera asociar a este recurso compartido.

  11. Elija Crear recurso compartido.

El estado del recurso compartido se mostrará inicialmente como PENDING. Cuando las cuentas del destinatario acepten la invitación, el estado cambiará a ACTIVE.

CLI

Para compartir un equipo de Multi-party aprobación AWS RAM mediante la CLI, utilice los siguientes comandos:

En primer lugar, identifique el ARN del equipo de aprobación que desee compartir:

aws mpa list-approval-teams --region us-east-1

Cree un recurso compartido con el comando create-resource-share:

aws ram create-resource-share \ --name "MPA-Team-Share" \ --resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \ --principals "ACCOUNT_ID_TO_SHARE_WITH" \ --permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \ --region us-east-1

Para compartir con una organización en lugar de con cuentas específicas, haga lo siguiente:

aws ram create-resource-share \ --name "MPA-Team-Share" \ --resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \ --permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \ --allow-external-principals \ --region us-east-1

Compruebe el estado del recurso compartido:

aws ram get-resource-shares \ --resource-owner SELF \ --region us-east-1

Las cuentas del destinatario deberán aceptar la invitación para el uso compartido de un recurso:

aws ram get-resource-share-invitations --region us-east-1

Inicie sesión en la cuenta del destinatario para aceptar una invitación:

aws ram accept-resource-share-invitation \ --resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \ --region us-east-1

Una vez aceptada la invitación, el equipo de Multi-party aprobación estará disponible para su uso en la cuenta del destinatario.

AWS ofrece herramientas para compartir el acceso a la cuenta, incluso a través AWS Resource Access Managerde Multi-party ella. Si decide compartir un almacén aislado lógicamente con otra cuenta, tenga en cuenta los siguientes detalles:

Característica AWS RAM compartición basada Multi-party acceso basado en la aprobación
Acceso a almacenes aislados lógicamente Cuando se haya completado el uso compartido de RAM, se podrá acceder a los almacenes. Cualquier intento realizado por una cuenta diferente debe ser aprobado por un número mínimo de miembros del equipo de Multi-party aprobación. La sesión de aprobación caduca automáticamente 24 horas después de que se inicie la solicitud.
Retirada del acceso La cuenta propietaria del almacén aislado lógicamente puede poner fin al uso compartido basado en RAM en cualquier momento. El acceso a una bóveda solo se puede eliminar mediante una solicitud al equipo de Multi-party aprobación.
Copia entre cuentas y and/or regiones. No se admite actualmente. Las copias de seguridad se pueden copiar en la misma cuenta o con otras cuentas de la misma organización que la cuenta de recuperación.
Cross-Region transferir facturación Cross-Region las transferencias se facturan a la misma cuenta propietaria del almacén de copias de seguridad con acceso a la restauración.
Uso recomendado El uso principal es para recuperar datos perdidos y para probar la restauración. El uso principal es para situaciones en las que se sospecha que el acceso o la seguridad de la cuenta están comprometidos.
Regiones Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos lógicos. Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos de aire lógicos.
Restaura Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida. Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida.
Configuración El uso compartido se puede realizar en cuanto la AWS Backup cuenta configure el uso compartido de RAM y la cuenta receptora lo acepte. El uso compartido requiere que la cuenta de administración primero cree un equipo y, a continuación, configure el uso compartido de RAM. A continuación, la cuenta de administración opta por la Multi-party aprobación y asigna a ese equipo a una bóveda cerrada de forma lógica.
Uso compartido

El uso compartido se realiza a través de la memoria RAM dentro de la misma AWS organización o entre organizaciones. AWS

El acceso se concede según el modelo “push”, en el que la cuenta propietaria del almacén aislado lógicamente primero concede el acceso. Luego, la otra cuenta acepta el acceso.

El acceso a una bóveda aislada de forma lógica se realiza a través de los equipos de aprobación apoyados por Organizations dentro de la misma AWS organización o entre organizaciones.

El acceso se concede siguiendo el modelo “pull”, en el que la cuenta receptora primero solicita el acceso y, a continuación, el equipo de aprobación concede o deniega la solicitud.