Aprobación multipartita para bóvedas con huecos lógicos - AWS Backup
Descripción general de la aprobación multipartidistaRequisitos previos y prácticas recomendadasAprobación multipartidista: consideraciones interregionalesTérminos de aprobación multipartita

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Aprobación multipartita para bóvedas con huecos lógicos

Descripción general de la aprobación multipartidista en una bóveda cerrada lógicamente

AWS Backup le ofrece la opción de añadir la aprobación multipartita, una posibilidad desde AWS Organizations, a sus bóvedas herméticas y lógicas. La aprobación multipartita ofrece una opción adicional para ayudar a proteger las operaciones críticas mediante un proceso de aprobación distribuido.

La aprobación multipartita está diseñada para ayudar a proteger los recursos críticos y minimizar el tiempo necesario para volver a funcionar a pleno rendimiento (RTO), por ejemplo, en caso de una interrupción provocada por agentes malintencionados o por eventos de malware. Esta configuración puede ayudarle a restaurar el contenido de una bóveda hermética que, por lógica, podría haberse visto comprometida.

Como AWS Backup cliente, puede utilizar la aprobación de varias partes para conceder la capacidad de aprobación de algunas operaciones a un grupo de personas de confianza que puedan aprobar de forma colaborativa el acceso a una bóveda aislada desde una cuenta de recuperación creada por separado en caso de sospecha de actividad maliciosa que pueda comprometer el uso de la cuenta principal.

Los siguientes pasos describen el flujo recomendado para configurar una AWS organización de recuperación, configurar la aprobación multipartita y, a continuación, utilizar la aprobación multipartita con sus bóvedas aisladas de forma lógica:

  1. Un administrador crea una nueva organización a través de Organizations para utilizarla en las operaciones de recuperación.

  2. En la cuenta de administración de esta nueva organización, el administrador crea y configura una instancia del IAM Identity Center (IDC) (para habilitar una instancia de organización, consulte Habilitar el IAM Identity Center en la Guía del usuario del IAM Identity Center). Consulte también la secuencia para crear una fuente de identidad de aprobación multipartita en la Guía del usuario de homologación multipartita.

  3. A continuación, el administrador creará un equipo de aprobación, el grupo principal de personas de confianza que serán los principales usuarios de la aprobación multipartita.

  4. El administrador comparte un equipo de aprobación AWS RAM con cada cuenta que posea al menos un depósito cerrado de forma lógica (probablemente tu cuenta principal).

  5. El administrador de esas cuentas asocia un almacén cerrado de forma lógica a un equipo de aprobación.

  6. Una cuenta de recuperación solicita el acceso a una cuenta que tiene un almacén cerrado de forma lógica con un equipo de aprobación multipartito asociado («equipo»). El equipo asociado a la cuenta aprueba o rechaza la solicitud.

  7. El administrador de la cuenta propietaria de la bóveda, lógicamente cerrada, puede solicitar que el equipo de aprobación se desvincule de la bóveda. La solicitud requiere la aprobación del equipo actual.

  8. Un administrador puede actualizar la composición del equipo de aprobación según sea necesario de acuerdo con sus prácticas de seguridad o cuando las personas se unan a su organización o la abandonen.

Requisitos previos y prácticas recomendadas para utilizar la aprobación multipartita con una bóveda cerrada de forma lógica

Antes de poder utilizar de forma eficaz y segura la aprobación multipartita en sus bóvedas herméticas de forma lógica, existen requisitos previos y prácticas recomendadas recomendadas.

Mejores prácticas:

  • Dos (o más) AWS organizaciones a través de Organizations. Una de ellas debe ser tu organización principal, en la que tengas una o más cuentas que tengan al menos un almacén cerrado de forma lógica. La organización secundaria debe ser tu organización de recuperación. Es en esta organización donde se gestionará su equipo de aprobación multipartidista.

Requisitos previos

  1. Ha configurado la aprobación multipartita y tiene al menos un equipo de aprobación.

  2. Al menos una cuenta de su organización principal debe tener una bóveda aislada de forma lógica (y la bóveda de respaldo original).

  3. La cuenta de administración de la organización principal está sujeta a la aprobación de varias partes.

    sugerencia

    AWS Backup recomienda aplicar una política de control de servicios (SCP) a su organización principal y configurarla con los permisos adecuados para la organización y para cada equipo de aprobación.

  4. Su equipo de aprobación compuesto por varios miembros de la organización secundaria (de recuperación) comparte información AWS RAM con sus cuentas, que son las propietarias de las bóvedas aisladas de forma lógica.

Consideraciones y dependencias entre regiones a la hora de utilizar la aprobación multipartita

Si habilitas la aprobación multipartita y tu instancia del Centro de Identidad de IAM en distintas regiones, la aprobación multipartita hace llamadas al Centro de Identidad de IAM desde distintas regiones. Esto significa que la información de los usuarios y los grupos se transfiere de una región a otra. Los recursos de los equipos de aprobación multipartita solo se pueden crear y almacenar en Región de AWS EE. UU. Este (Virginia del Norte).

Los demás recursos del equipo de aprobación multipartito Regiones de AWS que hagan referencia dependerán de la zona Este de EE. Región de AWS UU. (Virginia del Norte). En consecuencia, la aprobación multipartita permitirá realizar llamadas entre regiones si su instancia del Centro de Identidad (bóveda, and/or lógicamente cerrada) no se encuentra en EE. UU. Este (Virginia del Norte).

Términos, conceptos y personajes de usuario de la aprobación multipartita

La aprobación por parte de varias partes en una bóveda compacta y lógica es una integración de las AWS Organizations AWS Account Management funciones AWS Identity and Access Management (IAM) y AWS Backup(RAM). AWS RAM A través de la CLI, puede interactuar con cada servicio para enviar los comandos correspondientes. También puede usar la consola, pero tendrá que ir a la consola del servicio correspondiente para completar tareas específicas.

La forma en que interactúes con la aprobación multipartita depende de tus funciones y responsabilidades en tus organizaciones, así como de los permisos que tengas en tus AWS Backup cuentas.

Como se muestra en la Guía del usuario de la aprobación multipartita, los miembros de su organización que utilicen la aprobación multipartita serán los solicitantes, los administradores o los aprobadores. Se aplican permisos específicos a cada función laboral. De acuerdo con las mejores prácticas de seguridad, un usuario solo debe cumplir una función laboral.

Consolas, portales y sesiones

AWS Backup las cuentas con una o más bóvedas ocultas de forma lógica pueden necesitar la aprobación de varias partes.

Antes del proceso de aprobación multipartito, el administrador suele crear una organización secundaria con fines de recuperación (una organización de recuperación) si no se ha creado ninguna anteriormente. AWS Organizations

A continuación, el administrador utiliza la memoria AWS Resource Access Manager RAM para configurar el intercambio entre organizaciones entre la organización principal y la organización de recuperación.

La organización principal alberga las cuentas que poseen y utilizan una bóveda aislada de forma lógica, en la que se almacenan los datos protegidos.

La organización de recuperación alberga al menos una cuenta de recuperación. Esta cuenta alberga un punto de acceso que puede servir como una «puerta trasera» fundamental para acceder a la bóveda compartida, cerrada lógicamente. Este punto de acceso se denomina bóveda de respaldo con acceso de restauración. Esta bóveda de acceso no almacena datos, sino que sirve como punto de acceso o montaje que refleja el contenido de la bóveda original, estructurada de forma lógica, pero no contiene datos que puedan cambiarse o eliminarse. Por ejemplo, si un cliente realiza el proceso de restauración de un punto de recuperación en una bóveda de respaldo con acceso a la restauración, es el punto de recuperación de la bóveda con espacios vacíos de forma lógica el que se restaura mediante la restauración entre cuentas mediante la cuenta de recuperación.

Para garantizar una mayor seguridad, los clientes utilizan esta cuenta de recuperación para llevar a cabo operaciones protegidas en la cuenta principal, pero solo después de que el equipo de aprobación correspondiente haya aprobado dichas operaciones en una sesión de aprobación. AWS Una vez que se ha enviado una solicitud de aprobación, se crea una sesión y esa sesión finaliza cuando un número mínimo de miembros del equipo de aprobación aprueba o deniega la solicitud o cuando ha transcurrido el tiempo de sesión permitido.

Un equipo está formado por aprobadores (de hecho, la parte de la aprobación por parte de varias partes) que reciben notificaciones por correo electrónico de las solicitudes de operaciones protegidas. Estos correos electrónicos confirman que se ha iniciado una sesión de aprobación de la solicitud. La aprobación se concede una vez que se alcanza el umbral mínimo de aprobación requerido. Este umbral se puede establecer a medida que se crea el equipo de aprobación multipartito («Equipo»).

Los equipos de aprobación multipartitos se gestionan a través del portal de aprobación multipartita de Organizations («portal»), una aplicación AWS gestionada que proporciona a las identidades una ubicación centralizada donde los miembros del equipo de aprobación pueden recibir y responder a las invitaciones y solicitudes de operación del equipo de aprobación.