View a markdown version of this page

Tugas administrator - AWS Backup
Buat tim persetujuanBagikan tim Multi-party persetujuan menggunakan AWS RAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tugas administrator

Beberapa tugas yang melibatkan AWS Backup dan Multi-party ikhtisar mengharuskan pengguna dengan izin admin dan akses ke akun manajemen.

Buat tim persetujuan

Pengguna di organisasi Anda dengan izin admin untuk AWS akun perlu menyiapkan Multi-party persetujuan (langkah 3 dalam Ikhtisar).

Sebelum melakukan langkah ini, disarankan sebagai praktik terbaik Anda memiliki organisasi primer dan organisasi sekunder (untuk tujuan pemulihan) yang diatur melalui AWS Organizations (langkah 1 dalam Ikhtisar.

Lihat Membuat tim persetujuan di panduan pengguna Multi-party persetujuan untuk membuat tim Anda.

Selama aws mpa create-approval-teamoperasi, salah satu parameternya adalahpolicies. Ini adalah daftar ARN (Nama Sumber Daya Amazon) untuk kebijakan sumber daya Multi-party persetujuan yang menentukan izin yang melindungi tim.

Kebijakan yang ditampilkan dalam contoh di Panduan Pengguna Multi-party persetujuan dalam prosedur Membuat tim persetujuan berisi kebijakan ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] dengan beberapa izin yang diperlukan.

Ikuti langkah-langkah berikut untuk mengembalikan daftar kebijakan yang tersedia dengan menggunakanmpa list-policies:

  1. Daftar Kebijakan: 

    aws mpa list-policies --region us-east-1

  2. Daftar semua versi kebijakan: 

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. Dapatkan detail tentang kebijakan: 

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Perluas di bawah ini untuk melihat kebijakan yang akan dibuat kemudian dilampirkan ke tim persetujuan Anda melalui operasi ini:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Bagikan tim Multi-party persetujuan menggunakan AWS RAM

Anda dapat berbagi tim Multi-party persetujuan dengan AWS akun lain menggunakan AWS Resource Access Manager (RAM), langkah 4 dalam ikhtisar.

Console
Bagikan tim Multi-party persetujuan menggunakan AWS RAM

  1. Masuk ke konsol AWS RAM tersebut.

  2. Di panel navigasi, pilih Pembagian sumber daya.

  3. Pilih Buat berbagi sumber daya.

  4. Di bidang Nama, masukkan nama deskriptif untuk berbagi sumber daya Anda.

  5. Di bawah Jenis sumber daya, pilih Tim Multi-party persetujuan dari menu tarik-turun.

  6. Di bawah Sumber daya, pilih tim persetujuan yang ingin Anda bagikan.

  7. Di bawah Prinsipal, tentukan AWS akun dengan siapa Anda ingin berbagi tim persetujuan.

  8. Untuk berbagi dengan AWS akun tertentu, pilih AWS akun dan masukkan ID akun 12 digit.

  9. Untuk berbagi dengan organisasi atau unit organisasi, pilih Organisasi atau Unit Organisasi dan masukkan ID yang sesuai.

  10. (Opsional) Di bawah Tag, tambahkan tag apa pun yang ingin Anda kaitkan dengan pembagian sumber daya ini.

  11. Pilih Buat berbagi sumber daya.

Status pembagian sumber daya awalnya akan ditampilkan sebagaiPENDING. Setelah akun penerima menerima undangan, status akan berubah menjadiACTIVE.

CLI

Untuk berbagi tim Multi-party persetujuan menggunakan AWS RAM melalui CLI, gunakan perintah berikut:

Pertama, identifikasi ARN dari tim persetujuan yang ingin Anda bagikan:

aws mpa list-approval-teams --region us-east-1

Buat berbagi sumber daya menggunakan perintah create-resource-share:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Untuk berbagi dengan organisasi, bukan akun tertentu:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Periksa status pembagian sumber daya Anda:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

Akun penerima harus menerima undangan berbagi sumber daya:

aws ram get-resource-share-invitations --region us-east-1

Jalankan di akun penerima untuk menerima undangan:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Setelah undangan diterima, tim Multi-party persetujuan akan tersedia untuk digunakan di akun penerima.

AWS menawarkan alat untuk berbagi akses akun, termasuk melalui AWS Resource Access Managerdan Multi-party akses. Saat Anda memilih untuk berbagi brankas yang memiliki celah udara secara logis dengan akun lain, pertimbangkan detail berikut:

Fitur AWS RAM berbagi berbasis Multi-party akses berbasis persetujuan
Akses ke brankas yang memiliki celah udara secara logis Setelah pembagian RAM selesai, brankas dapat diakses. Setiap upaya oleh akun yang berbeda harus disetujui oleh jumlah ambang batas anggota tim Multi-party persetujuan. Sesi persetujuan secara otomatis berakhir 24 jam setelah permintaan dimulai.
Penghapusan akses Akun yang memiliki brankas dengan celah udara secara logis dapat mengakhiri berbagi berbasis RAM kapan saja. Akses ke vault hanya dapat dihapus oleh permintaan ke tim Multi-party persetujuan.
Salin di seluruh akun and/or Wilayah Saat ini tidak didukung. Cadangan dapat disalin dalam akun yang sama atau dengan akun lain di organisasi yang sama dengan akun pemulihan.
Cross-Region transfer tagihan Cross-Region transfer ditagih ke akun yang sama yang memiliki brankas cadangan akses pemulihan.
Penggunaan yang disarankan Penggunaan utama adalah untuk pemulihan kehilangan data dan untuk pengujian pemulihan. Penggunaan utama adalah untuk situasi di mana akses akun atau keamanan diduga dikompromikan.
Daerah Tersedia di semua Wilayah AWS tempat yang didukung secara logis kubah celah udara. Tersedia di semua Wilayah AWS tempat yang didukung secara logis kubah celah udara.
Mengembalikan Semua jenis sumber daya yang didukung dapat dipulihkan dari akun bersama. Semua jenis sumber daya yang didukung dapat dipulihkan dari akun bersama.
Pengaturan Berbagi dapat terjadi segera setelah AWS Backup akun mengatur berbagi RAM dan akun penerima menerima pembagian. Berbagi mengharuskan akun manajemen untuk membuat tim terlebih dahulu, lalu mengatur berbagi RAM. Kemudian, akun manajemen memilih untuk Multi-party menyetujui dan menugaskan tim itu ke brankas yang memiliki celah udara secara logis.
Berbagi

Berbagi dilakukan melalui RAM dalam AWS organisasi yang sama atau lintas AWS organisasi.

Akses diberikan sesuai dengan model 'push', di mana akun yang memiliki brankas celah udara secara logis pertama kali memberikan akses. Kemudian, akun lain menerima akses.

Akses ke brankas yang memiliki celah udara secara logis adalah melalui tim persetujuan yang didukung Organisasi dalam organisasi yang sama atau di seluruh AWS organisasi.

Akses diberikan sesuai dengan model 'tarik', di mana akun penerima pertama meminta akses, kemudian tim persetujuan memberikan atau menolak permintaan tersebut.