Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Tareas del administrador
Varias tareas que implicaban AWS Backup una Multi-party visión general requerían que un usuario tuviera permisos de administrador y acceso a la cuenta de administración.
Creación de un equipo de aprobación
Un usuario de tu organización con permisos de administrador para una AWS cuenta debe configurar la Multi-party aprobación (paso 3 de la descripción general).
Antes de realizar este paso, se recomienda configurar una organización principal y una secundaria (para la recuperación) en AWS Organizations (paso 1 de Información general).
Consulte Crear un equipo de aprobación en la guía del usuario de Multi-party aprobación para crear su equipo.
Durante la operación aws mpa create-approval-team, uno de los parámetros es policies. Esta es una lista de ARN (nombres de recursos de Amazon) para políticas de recursos de Multi-party aprobación que definen los permisos que protegen al equipo.
La política que se muestra en el ejemplo de la Guía del usuario de Multi-party aprobación, en el procedimiento Crear un equipo de aprobación, contiene la política ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] con varios permisos necesarios.
Siga estos pasos para obtener una lista de las políticas disponibles mediante mpa
list-policies:
-
Enumerar las políticas:
aws mpa list-policies --region us-east-1 -
Enumerar todas las versiones de las políticas:
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1 -
Obtener información detallada sobre una política:
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
Amplíe la información siguiente para ver la política que se creará y luego se asociará al equipo de aprobación mediante esta operación:
Comparta un equipo de Multi-party aprobación mediante AWS RAM
Puedes compartir un equipo de Multi-party aprobación con otras AWS cuentas mediante AWS Resource Access Manager (RAM), paso 4 de la descripción general.
AWS ofrece herramientas para compartir el acceso a la cuenta, incluso a través AWS Resource Access Managerde Multi-party ella. Si decide compartir un almacén aislado lógicamente con otra cuenta, tenga en cuenta los siguientes detalles:
| Característica | AWS RAM compartición basada | Multi-party acceso basado en la aprobación |
|---|---|---|
| Acceso a almacenes aislados lógicamente | Cuando se haya completado el uso compartido de RAM, se podrá acceder a los almacenes. | Cualquier intento realizado por una cuenta diferente debe ser aprobado por un número mínimo de miembros del equipo de Multi-party aprobación. La sesión de aprobación caduca automáticamente 24 horas después de que se inicie la solicitud. |
| Retirada del acceso | La cuenta propietaria del almacén aislado lógicamente puede poner fin al uso compartido basado en RAM en cualquier momento. | El acceso a una bóveda solo se puede eliminar mediante una solicitud al equipo de Multi-party aprobación. |
| Copia entre cuentas y and/or regiones. | No se admite actualmente. | Las copias de seguridad se pueden copiar en la misma cuenta o con otras cuentas de la misma organización que la cuenta de recuperación. |
| Cross-Region transferir facturación | Cross-Region las transferencias se facturan a la misma cuenta propietaria del almacén de copias de seguridad con acceso a la restauración. | |
| Uso recomendado | El uso principal es para recuperar datos perdidos y para probar la restauración. | El uso principal es para situaciones en las que se sospecha que el acceso o la seguridad de la cuenta están comprometidos. |
| Regiones | Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos lógicos. | Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos de aire lógicos. |
| Restaura | Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida. | Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida. |
| Configuración | El uso compartido se puede realizar en cuanto la AWS Backup cuenta configure el uso compartido de RAM y la cuenta receptora lo acepte. | El uso compartido requiere que la cuenta de administración primero cree un equipo y, a continuación, configure el uso compartido de RAM. A continuación, la cuenta de administración opta por la Multi-party aprobación y asigna a ese equipo a una bóveda cerrada de forma lógica. |
| Uso compartido |
El uso compartido se realiza a través de la memoria RAM dentro de la misma AWS organización o entre organizaciones. AWS El acceso se concede según el modelo “push”, en el que la cuenta propietaria del almacén aislado lógicamente primero concede el acceso. Luego, la otra cuenta acepta el acceso. |
El acceso a una bóveda aislada de forma lógica se realiza a través de los equipos de aprobación apoyados por Organizations dentro de la misma AWS organización o entre organizaciones. El acceso se concede siguiendo el modelo “pull”, en el que la cuenta receptora primero solicita el acceso y, a continuación, el equipo de aprobación concede o deniega la solicitud. |