Persetujuan multi-pihak untuk brankas yang memiliki celah udara secara logis - AWS Backup
Ikhtisar persetujuan Multi-pihakPrasyarat dan praktik terbaikPersetujuan multi-pihak Pertimbangan lintas wilayahKetentuan persetujuan multi-pihak

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Persetujuan multi-pihak untuk brankas yang memiliki celah udara secara logis

Ikhtisar persetujuan Multi-pihak di brankas yang memiliki celah udara secara logis

AWS Backup menawarkan Anda opsi untuk menambahkan persetujuan Multi-pihak, kemampuan dari AWS Organizations, ke brankas Anda yang memiliki celah udara secara logis. Persetujuan multi-pihak memberikan opsi tambahan untuk membantu melindungi operasi penting melalui proses persetujuan terdistribusi.

Persetujuan multi-pihak dirancang untuk membantu melindungi sumber daya penting dan meminimalkan waktu untuk kembali ke operasi penuh (RTO), seperti gangguan yang disebabkan oleh pelaku jahat atau peristiwa malware. Pengaturan ini dapat membantu Anda memulihkan konten brankas celah udara yang secara logis yang mungkin telah dikompromikan.

Sebagai AWS Backup pelanggan, Anda dapat menggunakan persetujuan Multi-pihak untuk memberikan kemampuan persetujuan dari beberapa operasi kepada sekelompok individu tepercaya yang secara kolaboratif dapat menyetujui akses ke brankas celah udara secara logis dari akun pemulihan yang dibuat secara terpisah dalam kasus dugaan aktivitas berbahaya yang dapat membahayakan penggunaan akun utama.

Langkah-langkah berikut menguraikan alur yang disarankan untuk menyiapkan AWS organisasi pemulihan, menyiapkan persetujuan Multi-pihak, dan kemudian menggunakan persetujuan Multi-pihak dengan brankas Anda yang memiliki celah udara secara logis:

  1. Administrator membuat organisasi baru melalui Organizations yang akan digunakan untuk operasi pemulihan.

  2. Di akun manajemen organisasi baru ini, administrator membuat dan mengonfigurasi instans Pusat Identitas IAM (IDC) (untuk mengaktifkan instans organisasi, lihat Aktifkan Pusat Identitas IAM di Panduan Pengguna Pusat Identitas IAM. Lihat juga urutan untuk Membuat sumber identitas persetujuan multi-pihak di Panduan Pengguna persetujuan multi-pihak.

  3. Administrator kemudian akan membuat tim persetujuan, kelompok inti individu tepercaya yang akan menjadi pengguna utama persetujuan Multi-pihak.

  4. Administrator membagikan tim persetujuan menggunakan setiap akun yang memiliki setidaknya satu brankas AWS RAM dengan celah udara secara logis (kemungkinan akun utama Anda).

  5. Administrator akun tersebut mengaitkan brankas yang memiliki celah udara secara logis dengan tim persetujuan.

  6. Akun pemulihan meminta akses ke akun yang memiliki brankas dengan celah udara secara logis dengan tim persetujuan Multi-pihak terkait (“tim”). Tim yang terkait dengan akun menyetujui atau menolak permintaan tersebut.

  7. Admin akun yang memiliki brankas celah udara secara logis dapat meminta agar tim persetujuan dilepaskan dari brankas. Permintaan tersebut membutuhkan persetujuan tim saat ini.

  8. Administrator dapat memperbarui keanggotaan tim persetujuan seperlunya sesuai dengan praktik keamanan mereka atau ketika orang bergabung atau meninggalkan organisasi Anda.

Prasyarat dan praktik terbaik untuk menggunakan persetujuan Multi-pihak dengan brankas yang memiliki celah udara secara logis

Sebelum Anda dapat secara efektif dan aman menggunakan persetujuan Multi-pihak dengan brankas Anda yang memiliki celah udara secara logis, ada prasyarat dan praktik terbaik yang direkomendasikan.

Praktik terbaik:

  • Dua (atau lebih) AWS organisasi melalui Organizations. Satu harus menjadi organisasi utama Anda di mana Anda memiliki satu atau lebih akun yang memiliki setidaknya satu brankas celah udara secara logis. Organisasi sekunder harus menjadi organisasi pemulihan Anda. Di organisasi inilah tim persetujuan multi-pihak Anda akan dikelola.

Prasyarat

  1. Anda telah Mengatur persetujuan Multi-pihak dan memiliki setidaknya satu tim persetujuan.

  2. Setidaknya satu akun di organisasi utama Anda harus memiliki brankas yang memiliki celah udara secara logis (dan brankas cadangan asli).

  3. Akun manajemen di organisasi utama ikut serta dalam persetujuan Multi-pihak.

    Tip

    AWS Backup merekomendasikan Anda menerapkan Kebijakan Kontrol Layanan (SCP) ke organisasi utama Anda dan mengonfigurasinya dengan izin yang sesuai untuk organisasi dan untuk setiap tim persetujuan.

  4. Tim persetujuan multi-pihak Anda dari organisasi (pemulihan) sekunder AWS RAM dibagikan melalui akun Anda yang memiliki brankas celah udara secara logis.

Pertimbangan dan dependensi Lintas Wilayah saat menggunakan persetujuan Multi-pihak

Saat Anda mengaktifkan persetujuan Multi-pihak dan instans Pusat Identitas IAM Anda di Wilayah yang berbeda, persetujuan Multi-pihak melakukan panggilan di seluruh Wilayah ke Pusat Identitas IAM. Ini berarti bahwa informasi pengguna dan grup bergerak di seluruh Wilayah. Persetujuan multi-pihak Sumber daya tim hanya dapat dibuat dan disimpan di Wilayah AWS AS Timur (Virginia N.).

Lainnya Wilayah AWS yang merujuk sumber daya tim persetujuan multi-pihak akan bergantung pada Wilayah AWS US East (Virginia N.). Dengan demikian, persetujuan Multi-pihak akan melakukan panggilan Lintas wilayah jika instans Pusat Identitas Anda and/or secara logis brankas celah udara tidak berada di US East (Virginia N.).

Ketentuan persetujuan multi-pihak, konsep, dan persona pengguna

Persetujuan multi-pihak di brankas Anda yang memiliki celah udara secara logis adalah integrasi,, dan AWS Organizations AWS Account Management AWS Backup, bersama dengan fitur AWS Identity and Access Management (IAM) dan (RAM). AWS RAM Melalui CLI, Anda dapat berinteraksi dengan setiap layanan untuk mengirim perintah yang sesuai. Anda juga dapat menggunakan konsol, tetapi Anda harus menavigasi ke konsol layanan yang sesuai untuk menyelesaikan tugas tertentu.

Cara Anda berinteraksi dengan Persetujuan multi-pihak tergantung pada peran dan tanggung jawab Anda di organisasi Anda, serta izin yang Anda miliki di akun Anda AWS Backup .

Seperti yang ditunjukkan dalam Panduan Pengguna persetujuan Multi-pihak, anggota organisasi Anda yang menggunakan persetujuan multi-pihak akan menjadi pemohon, administrator, atau pemberi persetujuan. Izin khusus berlaku untuk setiap fungsi pekerjaan. Sesuai dengan praktik terbaik keamanan, pengguna hanya boleh memenuhi satu fungsi pekerjaan.

Konsol, portal, dan sesi

AWS Backup akun dengan satu atau lebih brankas celah udara secara logis dapat menggunakan persetujuan multi-pihak.

Sebelum proses persetujuan multi-pihak, administrator menggunakan AWS Organizations untuk membuat organisasi sekunder untuk tujuan pemulihan (organisasi pemulihan) jika salah satu belum dibentuk sebelumnya.

Kemudian, administrator menggunakan AWS Resource Access Manager (RAM) untuk mengatur berbagi lintas organisasi antara organisasi utama dan organisasi pemulihan.

Organisasi utama adalah rumah bagi akun yang memiliki dan menggunakan brankas yang memiliki celah udara secara logis, yang menyimpan data yang dilindungi.

Organisasi pemulihan adalah rumah bagi setidaknya satu akun pemulihan. Akun ini memiliki titik akses yang dapat berfungsi sebagai 'pintu belakang' kritis ke brankas celah udara yang secara logis bersama. Titik akses ini disebut restore access backup vault. Vault akses ini tidak menyimpan data; sebagai gantinya, ini berfungsi sebagai titik akses atau mount yang mencerminkan konten sumber brankas yang secara logis bercelah udara tetapi tidak berisi data yang dapat diubah atau dihapus. Misalnya, jika pelanggan melewati proses pemulihan untuk titik pemulihan di brankas cadangan akses pemulihan, itu adalah titik pemulihan di brankas celah udara yang secara logis dipulihkan melalui pemulihan lintas akun melalui akun pemulihan.

Untuk memastikan keamanan ekstra, pelanggan menggunakan akun pemulihan ini untuk melakukan operasi yang dilindungi di akun utama, tetapi hanya setelah operasi tersebut telah diberikan persetujuan oleh tim persetujuan terkait dalam sesi persetujuan. Sesi dibuat oleh AWS setelah permintaan persetujuan telah dikirim, dan sesi itu berakhir ketika ambang batas persetujuan anggota tim menyetujui atau menolak permintaan atau ketika waktu sesi yang diizinkan telah berlalu.

Sebuah tim terdiri dari pemberi persetujuan (secara efektif, bagian dari persetujuan Multi-pihak) yang menerima pemberitahuan email tentang permintaan operasi yang dilindungi. Email ini mengkonfirmasi bahwa sesi persetujuan telah dimulai untuk permintaan tersebut. Persetujuan diberikan setelah ambang batas minimum persetujuan yang diperlukan tercapai. Ambang batas ini dapat ditetapkan sebagai tim persetujuan multi-pihak (“Tim”) dibuat.

Tim persetujuan multi-pihak dikelola melalui portal persetujuan multi-pihak Organizations (“portal”), aplikasi AWS terkelola yang memberikan identitas lokasi terpusat di mana anggota tim persetujuan dapat menerima dan menanggapi undangan tim persetujuan dan permintaan operasi.