View a markdown version of this page

Multi-party aprobación de bóvedas con huecos lógicos - AWS Backup
Descripción general de la aprobación Multi-party Requisitos previos y prácticas recomendadasMulti-party consideraciones interregionales sobre la aprobaciónMulti-party condiciones de aprobación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Multi-party aprobación de bóvedas con huecos lógicos

Descripción general de Multi-party la aprobación en una bóveda con huecos lógicos

AWS Backup le ofrece la opción de añadir la Multi-party aprobación, una capacidad desde AWS Organizations, a sus bóvedas aisladas de forma lógica. Multi-party la aprobación proporciona una opción adicional para ayudar a proteger las operaciones críticas mediante un proceso de aprobación distribuido.

Multi-party la aprobación está diseñada para ayudar a proteger los recursos críticos y minimizar el tiempo necesario para volver a funcionar a pleno rendimiento, como en el caso de una interrupción provocada por agentes malintencionados o por un ataque de malware. Esta configuración puede ayudarle a restaurar el contenido de un almacén aislado lógicamente que podría estar comprometido.

La integración y el uso de los equipos de Multi-party aprobación no conllevan ningún coste adicional, ya que AWS Backup cuentan con bóvedas vacías (se aplican cargos por almacenamiento y transferencias entre regiones, tal y como se muestra en la página de precios).

Como AWS Backup cliente, puede utilizar la Multi-party aprobación para conceder las capacidades de aprobación de algunas operaciones a un grupo de personas de confianza que pueden aprobar de forma colaborativa el acceso a una bóveda aislada de forma lógica desde una cuenta de recuperación creada por separado en caso de sospecha de actividad maliciosa que pueda comprometer el uso de la cuenta principal.

En los siguientes pasos se describe el flujo recomendado para configurar una AWS organización de recuperación, configurar la Multi-party aprobación y, después, utilizarla con sus depósitos aislados de forma lógica: Multi-party

  1. Un administrador crea una nueva organización a través de Organizations para utilizarla en las operaciones de recuperación.

  2. En la cuenta de administración de esta nueva organización, el administrador crea y configura una instancia de IAM Identity Center (IDC) (para activar una instancia de organización, consulte Activación del IAM Identity Center en la Guía del usuario del IAM Identity Center). Consulte también la secuencia para crear una fuente de identidad de Multi-party aprobación en la Guía del usuario de aprobaciones. Multi-party

  3. A continuación, el administrador creará un equipo de aprobación, el grupo principal de personas de confianza que serán los principales usuarios de la Multi-party aprobación.

  4. El administrador suele AWS RAM compartir un equipo de aprobación con cada cuenta que posea una bóveda aislada de forma lógica y con la cuenta de recuperación que necesite solicitar acceso a esa bóveda.

  5. El administrador de la cuenta, que es propietario de la bóveda, lógicamente vacía, asocia la bóveda con un equipo de aprobación.

  6. Una cuenta de recuperación solicita acceso a una cuenta que tiene un depósito cerrado de forma lógica con un equipo de Multi-party aprobación asociado («equipo»). El equipo asociado a la cuenta aprueba o rechaza la solicitud.

  7. El administrador de la cuenta propietaria del almacén aislado lógicamente puede solicitar que se desasocie al equipo de aprobación del almacén. La solicitud requiere la aprobación del equipo actual.

  8. Un administrador puede actualizar la membresía del equipo de aprobación según sea necesario de acuerdo con sus prácticas de seguridad o cuando las personas se unan o abandonen su organización.

Requisitos previos y prácticas recomendadas para utilizar la Multi-party aprobación con un depósito cerrado de forma lógica

Antes de poder utilizar la Multi-party aprobación de forma eficaz y segura con sus bóvedas vacías de forma lógica, existen requisitos previos y prácticas recomendadas recomendadas.

Prácticas recomendadas:

  • Dos (o más) AWS organizaciones a través de Organizations. Una de ellas debe ser la organización principal, en la que tiene una o más cuentas con al menos un almacén aislado lógicamente. La organización secundaria debe ser la organización de recuperación. Es en esta organización donde se administrará el equipo de aprobación de varias partes.

Requisitos previos

  1. Ha configurado la Multi-party aprobación y tiene al menos un equipo de aprobación.

  2. Como mínimo, una cuenta de la organización principal debe tener un almacén aislado lógicamente (y el almacén de copias de seguridad original).

  3. La cuenta de administración de la organización principal está habilitada para su aprobación. Multi-party

    sugerencia

    AWS Backup recomienda aplicar una política de control de servicios (SCP) a su organización principal y configurarla con los permisos adecuados para la organización y para cada equipo de aprobación. Consulte Multi-party la sección de condiciones de aprobación para ver un ejemplo de política.

  4. El equipo de Multi-party aprobación de la organización secundaria (de recuperación) comparte información AWS RAM con las cuentas que poseen las bóvedas ocultas de manera lógica y con las cuentas de recuperación.

Cross-Region consideraciones y dependencias a la hora de utilizar la aprobación Multi-party

Cuando habilitas Multi-party la aprobación y tu instancia del Centro de Identidad de IAM en diferentes regiones, la Multi-party aprobación hace llamadas al Centro de Identidad de IAM de todas las regiones. Esto significa que la información de los usuarios y los grupos se transfiere de una región a otra. Multi-party Los recursos del equipo de aprobación solo se pueden crear y almacenar en Región de AWS EE. UU. Este (Virginia del Norte).

Los demás Regiones de AWS recursos del equipo de Multi-party aprobación de referencia dependerán de la zona Este de Región de AWS EE. UU. (Virginia del Norte). Por lo tanto, Multi-party la aprobación permitirá realizar llamadas entre regiones si su instancia del Centro de Identidad (bóveda and/or cerrada lógicamente) no se encuentra en EE. UU. Este (Norte de Virginia).

Multi-party términos de aprobación, conceptos y personajes de usuario

Multi-party la aprobación en su bóveda, lógicamente compacta AWS Organizations AWS Account Management, es una integración de las funciones AWS Backup AWS Identity and Access Management (IAM) y AWS RAM (RAM). A través de la CLI, puede interactuar con cada servicio para enviar los comandos correspondientes. También puede usar la consola, pero tendrá que ir a la consola del servicio correspondiente para completar tareas específicas.

La forma en que interactúes con la Multi-party aprobación depende de tus funciones y responsabilidades en tus organizaciones, así como de los permisos que tengas en tus cuentas. AWS Backup

Como se muestra en la Guía del usuario de Multi-party aprobaciones, los miembros de su organización que utilicen la aprobación multipartita serán los solicitantes, los administradores o los aprobadores. Se aplican permisos específicos a cada rol de trabajo. De acuerdo con las prácticas recomendadas de seguridad, un usuario solo debe llevar a cabo un rol de trabajo.

Consolas, portales y sesiones

AWS Backup las cuentas con una o más bóvedas aisladas de forma lógica pueden utilizar la aprobación de varias partes.

Antes del proceso de aprobación multipartito, el administrador suele crear una organización secundaria con fines de recuperación (una organización de recuperación) si no se ha creado ninguna anteriormente. AWS Organizations

A continuación, el administrador utiliza la memoria AWS Resource Access Manager RAM para configurar el intercambio entre organizaciones entre la organización principal y la organización de recuperación.

La organización principal alberga las cuentas que poseen y utilizan un almacén aislado lógicamente en el que se almacenan los datos protegidos.

La organización de recuperación alberga al menos una cuenta de recuperación. Esta cuenta incluye un punto de acceso que puede utilizarse como “puerta trasera” esencial para acceder al almacén aislado lógicamente compartido. Este punto de acceso se denomina almacén de copias de seguridad con acceso a la restauración. Este almacén de acceso no almacena datos, sino que se utiliza como punto de acceso o montaje que refleja el contenido del almacén aislado lógicamente de origen pero no contiene datos que puedan modificarse o eliminarse. Por ejemplo, si un cliente realiza el proceso de restauración para un punto de recuperación en un almacén de copias de seguridad con acceso a la restauración, es el punto de recuperación del almacén aislado lógicamente el que se restaura mediante la restauración entre cuentas a través de la cuenta de recuperación.

Para incrementar la seguridad, los clientes utilizan esta cuenta de recuperación para llevar a cabo operaciones protegidas en la cuenta principal, pero solo después de que el equipo de aprobación asociado haya aprobado dichas operaciones en una sesión de aprobación. AWS Una vez que se envía una solicitud de aprobación, se crea una sesión y esa sesión finaliza cuando un número mínimo de miembros del equipo de aprobación aprueba o deniega la solicitud o cuando ha transcurrido el tiempo de sesión permitido.

Un equipo está formado por aprobadores (de hecho, son las partes que participan en la Multi-party aprobación) que reciben notificaciones por correo electrónico de las solicitudes de operaciones protegidas. Estos correos electrónicos confirman que se ha iniciado una sesión de aprobación de la solicitud. La aprobación se concede si se alcanza el umbral mínimo de aprobación requerido. Este umbral se puede establecer al crear el equipo de aprobación de varias partes (“Equipo”).

Multi-party Los equipos de aprobación se gestionan a través del portal de aprobación multipartita («portal») de la Organización, una aplicación AWS gestionada que proporciona a las identidades una ubicación centralizada donde los miembros del equipo de aprobación pueden recibir y responder a las invitaciones y solicitudes de operación del equipo de aprobación.