Trabajo con copias de seguridad compartidas en AWS CloudHSM
CloudHSM se integra con AWS Resource Access Manager (AWS RAM) para permitir el uso compartido de recursos. AWS RAM es un servicio que le permite compartir algunos recursos de CloudHSM con otras Cuentas de AWS o a través de AWS Organizations. Con AWS RAM, puede compartir recursos de su propiedad creando un uso compartido de recursos. Un uso compartido de recursos especifica los recursos que compartir y los consumidores con quienes compartirlos. Los consumidores pueden incluir lo siguiente:
-
Cuentas de AWS específicas dentro o fuera de su organización en AWS Organizations
-
Una unidad organizativa dentro de la organización en AWS Organizations
-
Toda la organización en AWS Organizations
Para obtener más información sobre AWS RAM, consulte la Guía del usuario de AWS RAM.
En este tema se explica cómo compartir los recursos que le pertenecen y cómo utilizar los recursos que se comparten con usted.
Contenido
Requisitos previos para compartir copias de seguridad
-
Para compartir una copia de seguridad, debe ser el propietario en su Cuenta de AWS. Esto significa que el recurso debe asignarse o suministrarse en su cuenta. No puede compartir una copia de seguridad que se ha compartido con usted.
-
Para compartir una copia de seguridad, debe estar en estado LISTA.
-
Para compartir una copia de seguridad con su organización o con una unidad organizativa de AWS Organizations, debe habilitar el uso compartido con AWS Organizations. Para obtener más información, consulte Habilitar el uso compartido con AWS Organizations en la Guía del usuario de AWS RAM.
Compartir una copia de seguridad
Cuando comparte una copia de seguridad con otras Cuentas de AWS, les permite restaurar los clústeres de la copia de seguridad que contienen las claves y los usuarios almacenados en la copia de seguridad.
Para compartir una copia de seguridad, debe agregarla al recurso compartido. Un uso compartido de recursos es un recurso de AWS RAM que le permite compartir los recursos a través de Cuentas de AWS. Un uso compartido de recursos especifica los recursos que compartir y los consumidores con quienes se comparten. Cuando comparte una copia de seguridad usando la consola de CloudHSM, la agrega a un recurso compartido existente. Para agregar la copia de seguridad a un nuevo recurso compartido, primero debe crear el recurso compartido con la consola de AWS RAM
Si forma parte de una organización en AWS Organizations y se permite el uso compartido en la organización, los consumidores de su organización obtienen acceso automáticamente a la copia de seguridad compartida. De lo contrario, los consumidores reciben una invitación para unirse al recurso compartido y se les concede acceso a él después de aceptar la invitación.
Puede compartir una copia de seguridad que posea usando la consola de AWS RAM o la AWS CLI.
Para compartir una copia de seguridad que posee con la consola de AWS RAM
Consulte Crear un recurso compartido en la Guía del usuario de AWS RAM.
Para compartir una copia de seguridad que posee (comando de AWS RAM)
Utilice el comando create-resource-share.
Para compartir una copia de seguridad que posee (comando de CloudHSM)
importante
Si bien puede compartir una copia de seguridad mediante la operación PutResourcePolicy de CloudHSM, recomendamos que use AWS Resource Access Manager (AWS RAM) en su lugar. El uso de AWS RAM ofrece múltiples ventajas, ya que crea la política por usted, permite compartir varios recursos a la vez y aumenta la capacidad de detección de recursos compartidos. Si usa PutResourcePolicy y desea que los consumidores puedan describir las copias de seguridad que ha compartido con ellos, debe convertir la copia de seguridad en un recurso compartido estándar de AWS RAM usando la operación de API PromoteResourceShareCreatedFromPolicy de AWS RAM.
Use el comando put-resource-policy.
-
Cree un archivo denominado
policy.jsony copie la siguiente política en él. -
Actualice
policy.jsoncon el ARN de la copia de seguridad y los identificadores para compartirlo. En el ejemplo siguiente, se concede acceso de solo lectura al usuario raíz de la cuenta de AWS identificada por 123456789012.importante
Solo puede conceder permisos a DescribeBackups en el nivel de cuenta. Cuando comparte una copia de seguridad con otro cliente, cualquier entidad principal que tenga el permiso de DescribeBackups en esa cuenta puede describir la copia de seguridad.
-
Ejecute el comando put-resource-policy.
$aws cloudhsmv2 put-resource-policy --resource-arn<resource-arn>--policy file://policy.jsonnota
En este punto, el consumidor puede usar la copia de seguridad, pero no aparecerá en la respuesta de DescribeBackups con el parámetro compartido. Los siguientes pasos describen cómo promover el recurso compartido de AWS RAM para que la copia de seguridad se incluya en la respuesta.
-
Obtenga el ARN del recurso compartido de AWS RAM.
$aws ram list-resources --resource-owner SELF --resource-arns<backup-arn>Esto devolverá una respuesta similar a lo siguiente:
{ "resources": [ { "arn": "<project-arn>", "type": "<type>", "resourceShareArn": "<resource-share-arn>", "creationTime": "<creation-time>", "lastUpdatedTime": "<last-update-time>" } ] }De la respuesta, copie el valor
<resource-share-arn>para usarlo en los siguientes pasos. -
Ejecute el comando de AWS RAM promote-resource-share-created-from-policy.
$aws ram promote-resource-share-created-from-policy --resource-share-arn<resource-share-arn> -
Para validar que se ha promocionado el recurso compartido, puede ejecutar el comando get-resource-shares de AWS RAM.
$aws ram get-resource-shares --resource-owner SELF --resource-share-arns<resource-share-arn>Cuando se ha promovido la política, el
featureSetenumerado en la respuesta esSTANDARD. Esto también significa que las nuevas cuentas de la política pueden describir la copia de seguridad.
Dejar de compartir una copia de seguridad compartida
Al dejar de compartir un recurso, es posible que el consumidor ya no lo utilice para restaurar un clúster. Los consumidores podrán seguir accediendo a los clústeres que hayan restaurado desde la copia de seguridad compartida.
Para dejar de compartir una copia de seguridad compartida que posee, debe quitarla del recurso compartido. Para ello, puede usar la consola de AWS RAM o la AWS CLI.
Para dejar de compartir una copia de seguridad compartida que posee usando la consola de AWS RAM
Consulte Actualizar un recurso compartido en la Guía del usuario de AWS RAM.
Para dejar de compartir una copia de seguridad que posee (comando de AWS RAM)
Utilice el comando disassociate-resource-share.
Para dejar de compartir una copia de seguridad que posee (comando de CloudHSM)
Use el comando delete-resource-policy.
$aws cloudhsmv2 delete-resource-policy --resource-arn<resource-arn>
Identificar una copia de seguridad compartida
Los consumidores pueden identificar una copia de seguridad compartida con ellos mediante la consola y la AWS CLI de CloudHSM.
Para identificar las copias de seguridad compartidas con usted mediante la consola de CloudHSM
Abra la consola de AWS CloudHSM en https://console.aws.amazon.com/cloudhsm/home
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
En el panel de navegación, elija Backups.
-
En la tabla, seleccione la pestaña Copias de seguridad compartidas.
Para identificar las copias de seguridad compartidas con usted mediante la AWS CLI
Use el comando describe-backups con el parámetro --shared para devolver las copias de seguridad compartidas con usted.
Permisos para copias de seguridad compartidas
Permisos de los propietarios
Los propietarios de las copias de seguridad pueden describir y administrar una copia de seguridad compartida, así como utilizarla para restaurar un clúster.
Permisos de los consumidores
Los consumidores de las copias de seguridad no pueden modificar una copia de seguridad compartida, pero sí pueden describirla y usarla para restaurar un clúster.
Facturación y medición
No se aplican cargos adicionales por compartir copias de seguridad.
