Aprobación de varias partes para almacenes aislados lógicamente - AWS Backup
Información general de la aprobación de varias partesRequisitos previos y prácticas recomendadasConsideraciones entre regiones a la hora de utilizar la aprobación de varias partesTérminos de la aprobación de varias partes

Aprobación de varias partes para almacenes aislados lógicamente

Información general sobre la aprobación de varias partes en un almacén aislado lógicamente

AWS Backup le ofrece la opción de añadir la aprobación de varias partes, una capacidad que se puede utilizar desde AWS Organizations, en los almacenes aislados lógicamente. La aprobación de varias partes ofrece una opción adicional para ayudar a proteger las operaciones críticas mediante un proceso de aprobación distribuido.

La aprobación de varias partes está diseñada para ayudar a proteger los recursos críticos y minimizar el tiempo necesario para volver a funcionar a pleno rendimiento, como en el caso de una interrupción provocada por agentes malintencionados o por eventos de malware. Esta configuración puede ayudarle a restaurar el contenido de un almacén aislado lógicamente que podría estar comprometido.

La integración y el uso de equipos de aprobación de varias partes con almacenes aislados lógicamente de AWS Backup no generan ningún costo adicional (se aplican cargos por almacenamiento y transferencias entre regiones, tal y como se muestra en la página de precios).

Como cliente de AWS Backup, puede utilizar la aprobación de varias partes para conceder la capacidad de aprobación de algunas operaciones a un grupo de personas de confianza que pueden aprobar de forma colaborativa el acceso a un almacén aislado lógicamente desde una cuenta de recuperación creada por separado en caso de que haya sospecha de actividad maliciosa que pueda comprometer el uso de la cuenta principal.

En los siguientes pasos se describe el flujo recomendado para configurar una organización de AWS de recuperación, definir la aprobación de varias partes y, a continuación, utilizar dicha aprobación con sus almacenes aislados lógicamente:

  1. Un administrador crea una nueva organización a través de Organizations para utilizarla en las operaciones de recuperación.

  2. En la cuenta de administración de esta nueva organización, el administrador crea y configura una instancia de IAM Identity Center (IDC) (para activar una instancia de organización, consulte Activación del IAM Identity Center en la Guía del usuario del IAM Identity Center). Consulte también la secuencia de Creación de un origen de identidad de aprobación de varias partes en la Guía del usuario de aprobación de varias partes.

  3. A continuación, el administrador creará un equipo de aprobación, que es el grupo central de personas de confianza que serán los principales usuarios de la aprobación de varias partes.

  4. El administrador usa AWS RAM para compartir un equipo de aprobación con cada cuenta que posea al menos un almacén aislado lógicamente (probablemente su cuenta principal). Tanto la cuenta propietaria del almacén como la organización secundaria deben tener la RAM configurada.

  5. El administrador de esas cuentas asocia un almacén aislado lógicamente con un equipo de aprobación.

  6. Una cuenta de recuperación solicita acceder a una cuenta que tiene un almacén aislado lógicamente con un equipo de aprobación de varias partes asociado (“equipo”). El equipo asociado a la cuenta aprueba o rechaza la solicitud.

  7. El administrador de la cuenta propietaria del almacén aislado lógicamente puede solicitar que se desasocie al equipo de aprobación del almacén. La solicitud requiere la aprobación del equipo actual.

  8. Un administrador puede actualizar la membresía del equipo de aprobación según sea necesario de acuerdo con sus prácticas de seguridad o cuando las personas se unan o abandonen su organización.

Requisitos previos y prácticas recomendadas para utilizar la aprobación de varias partes con un almacén aislado lógicamente

Para poder utilizar la aprobación de varias partes en sus almacenes aislados lógicamente de forma eficaz y segura, deben cumplirse una serie de requisitos previos y seguirse las prácticas recomendadas.

Prácticas recomendadas:

  • Dos (o más) organizaciones de AWS a través de Organizations. Una de ellas debe ser la organización principal, en la que tiene una o más cuentas con al menos un almacén aislado lógicamente. La organización secundaria debe ser la organización de recuperación. Es en esta organización donde se administrará el equipo de aprobación de varias partes.

Requisitos previos

  1. Ha configurado la aprobación de varias partes y dispone de al menos un equipo de aprobación.

  2. Como mínimo, una cuenta de la organización principal debe tener un almacén aislado lógicamente (y el almacén de copias de seguridad original).

  3. La cuenta de administración de la organización principal está suscrita a la aprobación de varias partes.

    sugerencia

    AWS Backup recomienda aplicar una política de control de servicio (SCP) a la organización principal y configurarla con los permisos adecuados para la organización y para cada equipo de aprobación. Consulte la sección Términos de la aprobación de varias partes para ver una política de ejemplo.

  4. El equipo de aprobación de varias partes de la organización secundaria (de recuperación) se comparte a través de AWS RAM con ambas cuentas que poseen los almacenes aislados lógicamente y las cuentas de recuperación.

Consideraciones y dependencias entre regiones a la hora de utilizar la aprobación de varias partes

Si activa la aprobación de varias partes y su instancia de IAM Identity Center en regiones diferentes, la aprobación de varias partes llama al IAM Identity Center desde distintas regiones. Esto significa que la información de los usuarios y los grupos se transfiere de una región a otra. Los recursos de los equipos de aprobación de varias partes solo se pueden crear y almacenar en Región de AWS Este de EE. UU. (Norte de Virginia).

Las demás Regiones de AWS que hacen referencia a los recursos del equipo de aprobación de varias partes dependerán de la zona Región de AWS Este de EE. UU. (Norte de Virginia). En consecuencia, la aprobación de varias partes realizará llamadas entre regiones si la instancia del Identity Center o el almacén aislado lógicamente no se encuentran en la región del Este de EE. UU. (Norte de Virginia).

Términos, conceptos y usuarios de la aprobación de varias partes

La aprobación de varias partes en un almacén aislado lógicamente es una integración de AWS Organizations, AWS Account Management y AWS Backup junto con las características de AWS Identity and Access Management (IAM) y AWS RAM (RAM). A través de la CLI, puede interactuar con cada servicio para enviar los comandos correspondientes. También puede usar la consola, pero tendrá que ir a la consola del servicio correspondiente para completar tareas específicas.

La forma en que interactúe con la aprobación de varias partes dependerá de sus roles y responsabilidades dentro de la organización, así como de los permisos de los que disponga en sus cuentas de AWS Backup.

Tal como se muestra en la Guía del usuario de la aprobación de varias partes, los miembros de su organización que utilicen la aprobación de varias partes serán un solicitante, un administrador o un aprobador. Se aplican permisos específicos a cada rol de trabajo. De acuerdo con las prácticas recomendadas de seguridad, un usuario solo debe llevar a cabo un rol de trabajo.

Consolas, portales y sesiones

Las cuentas de AWS Backup con uno o más almacenes aislados lógicamente pueden usar la aprobación de varias partes.

Antes del proceso de aprobación de varias partes, el administrador usa AWS Organizations para crear una organización secundaria con fines de recuperación (una organización de recuperación), si no se ha configurado ninguna previamente.

A continuación, el administrador utiliza AWS Resource Access Manager (RAM) para configurar el uso compartido entre organizaciones, es decir, entre la organización principal y la organización de recuperación.

La organización principal alberga las cuentas que poseen y utilizan un almacén aislado lógicamente en el que se almacenan los datos protegidos.

La organización de recuperación alberga al menos una cuenta de recuperación. Esta cuenta incluye un punto de acceso que puede utilizarse como “puerta trasera” esencial para acceder al almacén aislado lógicamente compartido. Este punto de acceso se denomina almacén de copias de seguridad con acceso a la restauración. Este almacén de acceso no almacena datos, sino que se utiliza como punto de acceso o montaje que refleja el contenido del almacén aislado lógicamente de origen pero no contiene datos que puedan modificarse o eliminarse. Por ejemplo, si un cliente realiza el proceso de restauración para un punto de recuperación en un almacén de copias de seguridad con acceso a la restauración, es el punto de recuperación del almacén aislado lógicamente el que se restaura mediante la restauración entre cuentas a través de la cuenta de recuperación.

Para incrementar la seguridad, los clientes utilizan esta cuenta de recuperación para llevar a cabo operaciones protegidas en la cuenta principal, pero solo después de que el equipo de aprobación asociado haya aprobado dichas operaciones en una sesión de aprobación. Después de enviar la solicitud de aprobación, AWS crea una sesión y esta finaliza cuando un umbral mínimo de miembros del equipo de aprobación aprueba o deniega la solicitud o cuando ha transcurrido el tiempo de sesión permitido.

Un equipo está formado por aprobadores (es decir, las partes de la aprobación de varias partes) que reciben notificaciones por correo electrónico de las solicitudes de operaciones protegidas. Estos correos electrónicos confirman que se ha iniciado una sesión de aprobación de la solicitud. La aprobación se concede si se alcanza el umbral mínimo de aprobación requerido. Este umbral se puede establecer al crear el equipo de aprobación de varias partes (“Equipo”).

Los equipos de aprobación de varias partes se administran a través del portal de aprobación de varias partes de Organizations (“portal”), una aplicación administrada por AWS que proporciona a las identidades una ubicación centralizada donde los miembros del equipo de aprobación pueden recibir y responder a las invitaciones y solicitudes de operaciones del equipo de aprobación.