Approbation multipartite pour les coffres-forts à espacement logique - AWS Backup
Vue d'ensemble de l'approbation multipartiteConditions préalables et meilleures pratiquesApprobation multipartite Considérations interrégionalesConditions d'approbation multipartites

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Approbation multipartite pour les coffres-forts à espacement logique

Vue d'ensemble de l'approbation multipartite dans un coffre-fort hermétique

AWS Backup vous offre la possibilité d'ajouter l'approbation multipartite, une fonctionnalité provenant de AWS Organizations, à vos coffres-forts logiquement espacés. L'approbation multipartite fournit une option supplémentaire pour protéger les opérations critiques grâce à un processus d'approbation distribué.

L'approbation multipartite est conçue pour aider à protéger les ressources critiques et à minimiser le délai de retour au fonctionnement complet (RTO), par exemple en cas de perturbation causée par des acteurs malveillants ou des événements malveillants. Cette configuration peut vous aider à restaurer le contenu d'un coffre-fort logiquement isolé qui a peut-être été compromis.

En tant que AWS Backup client, vous pouvez utiliser l'approbation multipartite pour accorder la capacité d'approbation de certaines opérations à un groupe de personnes de confiance qui peuvent approuver de manière collaborative l'accès à un coffre-fort isolé à partir d'un compte de récupération créé séparément en cas de suspicion d'activité malveillante susceptible de compromettre l'utilisation du compte principal.

Les étapes suivantes décrivent le flux recommandé pour configurer une AWS organisation de reprise, configurer l'approbation multipartite, puis utiliser l'approbation multipartite avec vos coffres-forts logiquement séparés :

  1. Un administrateur crée une nouvelle organisation via Organizations à utiliser pour les opérations de restauration.

  2. Dans le compte de gestion de cette nouvelle organisation, l'administrateur crée et configure une instance IAM Identity Center (IDC) (pour activer une instance d'organisation, voir Activer le centre d'identité IAM dans le guide de l'utilisateur de l'IAM Identity Center). Consultez également la séquence de création d'une source d'identité d'approbation multipartite dans le Guide de l'utilisateur de l'approbation multipartite.

  3. L'administrateur créera ensuite une équipe d'approbation, le groupe principal de personnes de confiance qui seront les principaux utilisateurs de l'approbation multipartite.

  4. L'administrateur partage une équipe d'approbation AWS RAM avec chaque compte possédant au moins un coffre-fort logiquement isolé (probablement votre compte principal).

  5. L'administrateur de ces comptes associe un coffre-fort logiquement isolé à une équipe d'approbation.

  6. Un compte de récupération demande l'accès à un compte doté d'un coffre-fort logiquement isolé auquel est associée une équipe d'approbation multipartite (« équipe »). L'équipe associée au compte approuve ou refuse la demande.

  7. L'administrateur du compte propriétaire du coffre-fort logiquement isolé peut demander que l'équipe d'approbation soit dissociée du coffre-fort. La demande nécessite l'approbation actuelle de l'équipe.

  8. Un administrateur peut mettre à jour la composition de l'équipe d'approbation si nécessaire conformément à ses pratiques de sécurité ou lorsque des personnes rejoignent ou quittent votre organisation.

Conditions préalables et meilleures pratiques pour l'utilisation de l'approbation multipartite avec un coffre-fort hermétique

Avant de pouvoir utiliser efficacement et en toute sécurité l'approbation multipartite avec vos coffres-forts à espacement logique, il existe des conditions préalables et des meilleures pratiques recommandées.

Bonnes pratiques :

  • Deux organisations (ou plus) par le biais AWS d'Organizations. Il doit s'agir de votre organisation principale dans laquelle vous possédez un ou plusieurs comptes dotés d'au moins un coffre-fort logiquement isolé. L'organisation secondaire doit être votre organisation de reprise. C'est dans cette organisation que votre équipe d'approbation multipartite sera gérée.

Prérequis

  1. Vous avez configuré l'approbation multipartite et disposez d'au moins une équipe d'approbation.

  2. Au moins un compte de votre organisation principale doit disposer d'un coffre-fort isolé logiquement (et du coffre-fort de sauvegarde d'origine).

  3. Le compte de gestion de l'organisation principale est activé pour l'approbation multipartite.

    Astuce

    AWS Backup vous recommande d'appliquer une politique de contrôle des services (SCP) à votre organisation principale et de la configurer avec les autorisations appropriées pour l'organisation et pour chaque équipe d'approbation.

  4. Votre équipe d'approbation multipartite de l'organisation secondaire (de restauration) est partagée AWS RAM avec vos comptes propriétaires du ou des coffres-forts séparés de manière logique.

Considérations et dépendances entre régions lors de l'utilisation de l'approbation multipartite

Lorsque vous activez l'approbation multipartite et votre instance IAM Identity Center dans différentes régions, l'approbation multipartite permet d'appeler IAM Identity Center dans toutes les régions. Cela signifie que les informations relatives aux utilisateurs et aux groupes sont transférées d'une région à l'autre. Approbation multipartite Les ressources de l'équipe ne peuvent être créées et stockées que dans l'est des Région AWS États-Unis (Virginie du Nord).

Les autres ressources Régions AWS faisant référence à des équipes d'approbation multipartites dépendront de l'est des Région AWS États-Unis (Virginie du Nord). En conséquence, l'approbation multipartite effectuera des appels interrégionaux si votre instance Identity Center and/or logiquement isolée ne se trouve pas dans l'est des États-Unis (Virginie du Nord).

Termes d'approbation multipartites, concepts et profils d'utilisateurs

L'approbation multipartite dans votre coffre-fort logiquement espacé est une intégration des AWS Organizations fonctionnalités AWS Identity and Access Management (IAM) et AWS Backup(RAM) et AWS RAM (RAM). Gestion de compte AWS Grâce à la CLI, vous pouvez interagir avec chaque service pour envoyer les commandes appropriées. Vous pouvez également utiliser la console, mais vous devrez accéder à la console du service approprié pour effectuer des tâches spécifiques.

La manière dont vous interagissez avec l'approbation multipartite dépend de vos rôles et responsabilités au sein de vos organisations, ainsi que des autorisations dont vous disposez dans vos AWS Backup comptes.

Comme indiqué dans le Guide de l'utilisateur de l'approbation multipartite, les membres de votre organisation qui utilisent l'approbation multipartite seront soit demandeurs, administrateurs, soit approbateurs. Des autorisations spécifiques s'appliquent à chaque fonction. Conformément aux meilleures pratiques en matière de sécurité, un utilisateur ne doit remplir qu'une seule fonction.

Consoles, portails et sessions

AWS Backup les comptes dotés d'un ou de plusieurs coffres-forts séparés de manière logique peuvent faire l'objet d'une approbation multipartite.

Avant le processus d'approbation multipartite, un administrateur crée une organisation secondaire AWS Organizations à des fins de reprise (une organisation de reprise) si aucune organisation n'a été configurée auparavant.

L'administrateur utilise ensuite AWS Resource Access Manager (RAM) pour configurer le partage interorganisationnel entre l'organisation principale et l'organisation de reprise.

L'organisation principale héberge des comptes qui possèdent et utilisent un coffre-fort logiquement isolé dans lequel sont stockées les données protégées.

L'organisation de recouvrement héberge au moins un compte de recouvrement. Ce compte héberge un point d'accès qui peut servir de « porte dérobée » essentielle au coffre-fort partagé logiquement séparé. Ce point d'accès est appelé coffre de sauvegarde pour l'accès à la restauration. Ce coffre d'accès ne stocke pas de données ; il sert plutôt de point d'accès ou de montage qui reflète le contenu du coffre-fort source logiquement espacé, mais ne contient aucune donnée pouvant être modifiée ou supprimée. Par exemple, si un client suit le processus de restauration d'un point de restauration dans un coffre-fort de sauvegarde avec accès à la restauration, c'est le point de restauration situé dans le coffre-fort isolé de manière logique qui est restauré par le biais d'une restauration entre comptes via le compte de récupération.

Pour garantir une sécurité accrue, les clients utilisent ce compte de récupération pour effectuer des opérations protégées sur le compte principal, mais uniquement après que ces opérations ont été approuvées par l'équipe d'approbation associée lors d'une session d'approbation. Une session est créée une AWS fois qu'une demande d'approbation a été envoyée, et cette session se termine lorsqu'un seuil de membres de l'équipe d'approbation approuve ou refuse la demande ou lorsque le temps de session autorisé est dépassé.

Une équipe est composée d'approbateurs (en fait, la partie de l'approbation multipartite réservée aux parties) qui reçoivent des notifications par e-mail concernant les demandes d'opérations protégées. Ces e-mails confirment qu'une session d'approbation a commencé pour la demande. L'approbation est accordée une fois que le seuil d'approbation minimum requis est atteint. Ce seuil peut être défini lors de la création de l'équipe d'approbation multipartite (« Équipe »).

Les équipes d'approbation multipartites sont gérées via le portail d'approbation multipartite des Organisations (« portail »), une application AWS gérée qui fournit aux identités un emplacement centralisé où les membres de l'équipe d'approbation peuvent recevoir et répondre aux invitations des équipes d'approbation et aux demandes d'opérations.