Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Attività amministrative
Diverse attività che AWS Backup coinvolgono una Multi-party panoramica richiedevano un utente con autorizzazioni di amministratore e accesso all'account di gestione.
Crea un team di approvazione
Un utente della tua organizzazione con autorizzazioni di amministratore per un AWS account deve impostare Multi-party l'approvazione (passaggio 3 della Panoramica).
Prima di eseguire questo passaggio, si consiglia di configurare sia un'organizzazione principale che un'organizzazione secondaria (ai fini del ripristino) tramite AWS Organizations il passaggio 1 della Panoramica.
Per creare il tuo team, consulta Creare un team di Multi-party approvazione nella guida utente per l'approvazione.
Durante l'aws mpa create-approval-teamoperazione, uno dei parametri èpolicies. Questo è un elenco di ARN (Amazon Resource Names) per le politiche delle risorse di Multi-party approvazione che definiscono le autorizzazioni che proteggono il team.
La politica mostrata nell'esempio nella Guida per Multi-party l'utente di approvazione nella procedura Crea un team di approvazione contiene la politica ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] con diverse autorizzazioni necessarie.
Segui questi passaggi per restituire un elenco di politiche disponibili utilizzandompa
list-policies:
-
Elenca le politiche:
aws mpa list-policies --region us-east-1 -
Elenca tutte le versioni delle politiche:
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1 -
Ottieni dettagli su una politica:
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
Espandi di seguito per visualizzare la politica che verrà creata e allegata al tuo team di approvazione mediante questa operazione:
Condividi un team di Multi-party approvazione utilizzando AWS RAM
Puoi condividere un team di Multi-party approvazione con altri AWS account utilizzando AWS Resource Access Manager (RAM), passaggio 4 della panoramica.
AWS offre strumenti per condividere l'accesso all'account, anche tramite AWS Resource Access Managere Multi-party accesso. Quando scegli di condividere un vault logicamente isolato con un altro account, prendi in considerazione i seguenti dettagli:
| Funzionalità | AWS RAM condivisione basata | Multi-party accesso basato sull'approvazione |
|---|---|---|
| Accesso a casseforti con intercapedine logiche | Una volta completata la condivisione della RAM, è possibile accedere ai vault. | Qualsiasi tentativo effettuato da un altro account deve essere approvato da un numero limite di membri del team di Multi-party approvazione. La sessione di approvazione scade automaticamente 24 ore dopo l'avvio della richiesta. |
| Rimozione dell'accesso | L'account proprietario del vault logicamente isolato può interrompere la condivisione basata sulla RAM in qualsiasi momento. | L'accesso a un vault può essere rimosso solo con una richiesta al team di approvazione. Multi-party |
| Copia tra account e regioni and/or | Attualmente non è supportato. | I backup possono essere copiati all'interno dello stesso account o con altri account della stessa organizzazione dell'account di ripristino. |
| Cross-Region fatturazione del trasferimento | Cross-Region i trasferimenti vengono fatturati sullo stesso account proprietario del Restore Access Backup Vault. | |
| Uso consigliato | L'uso principale è per il recupero dalla perdita di dati e per i test di ripristino. | L'uso principale è in situazioni in cui si sospetta che l'accesso o la sicurezza dell'account siano compromessi. |
| Regioni | Disponibile in tutti i Regioni AWS casi in cui sono supportate casseforti con separazione d'aria logica. | Disponibile in tutti i Regioni AWS casi in cui sono supportate casseforti con separazione d'aria logica. |
| Ripristina | Tutti i tipi di risorse supportati possono essere ripristinati da un account condiviso. | Tutti i tipi di risorse supportati possono essere ripristinati da un account condiviso. |
| Configurazione | La condivisione può avvenire non appena l' AWS Backup account imposta la condivisione della RAM e l'account ricevente accetta la condivisione. | La condivisione richiede che l'account di gestione crei prima un team, quindi configuri la condivisione della RAM. Quindi, l'account di gestione attiva Multi-party l'approvazione e assegna il team a un vault con sistema logico. |
| Condivisione |
La condivisione avviene tramite RAM all'interno della stessa AWS organizzazione o tra AWS organizzazioni. L'accesso viene concesso secondo il modello «push», in cui l'account proprietario del vault logicamente chiuso concede innanzitutto l'accesso. Quindi, l'altro account accetta l'accesso. |
L'accesso a un vault logicamente chiuso avviene tramite i team di approvazione supportati da Organizations all'interno della stessa AWS organizzazione o di più organizzazioni. L'accesso viene concesso in base al modello «pull», in cui l'account ricevente richiede prima l'accesso, quindi il team di approvazione concede o rifiuta la richiesta. |