Attività amministrative - AWS Backup
Crea un team di approvazioneCondividi un team di approvazione multipartitico utilizzando AWS RAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attività amministrative

Diverse attività che coinvolgono una panoramica multipartitica richiedevano un utente con autorizzazioni di amministratore AWS Backup e accesso all'account di gestione.

Crea un team di approvazione

Un utente della tua organizzazione con autorizzazioni di amministratore per un AWS account deve configurare l'approvazione multipartitica (passaggio 3 della Panoramica).

Prima di eseguire questo passaggio, si consiglia di configurare sia un'organizzazione principale che un'organizzazione secondaria (ai fini del ripristino) tramite AWS Organizations il passaggio 1 della Panoramica.

Per creare il tuo team, consulta Creare un team di approvazione nella Guida utente all'approvazione multipartitica.

Durante l'aws mpa create-approval-teamoperazione, uno dei parametri èpolicies. Questo è un elenco di ARNs (Amazon Resource Names) per politiche di risorse di approvazione multipartitiche che definiscono le autorizzazioni che proteggono il team.

La politica mostrata nell'esempio nella Guida utente per l'approvazione multipartitica nella procedura Crea un team di approvazione contiene la politica ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] con diverse autorizzazioni necessarie. È possibile utilizzare mpa list-policies per restituire un elenco di politiche disponibili.

Espandi di seguito per visualizzare la politica che verrà creata e poi allegata al tuo team di approvazione mediante questa operazione:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Condividi un team di approvazione multipartitico utilizzando AWS RAM

Puoi condividere un team di approvazione multipartitico con altri AWS account utilizzando AWS Resource Access Manager (RAM), fase 4 della panoramica.

Console
Condividi un team di approvazione multipartitico utilizzando AWS RAM

  1. Accedi alla console AWS RAM.

  2. Nel riquadro di navigazione, scegli Condivisioni di risorse.

  3. Seleziona Crea condivisione risorse.

  4. Nel campo Nome, inserisci un nome descrittivo per la tua condivisione di risorse.

  5. In Tipo di risorsa, seleziona Team di approvazione multipartitico dal menu a discesa.

  6. In Risorse, seleziona il team di approvazione che desideri condividere.

  7. In Responsabili, specifica gli AWS account con cui vuoi condividere il team di approvazione.

  8. Per condividere con AWS account specifici, seleziona AWS account e inserisci l'account a 12 cifre. IDs

  9. Per condividere con un'organizzazione o un'unità organizzativa, seleziona Organizzazione o Unità organizzativa e inserisci l'ID appropriato.

  10. (Facoltativo) In Tag, aggiungi i tag che desideri associare a questa condivisione di risorse.

  11. Seleziona Crea condivisione risorse.

Lo stato della condivisione delle risorse verrà inizialmente visualizzato comePENDING. Una volta che gli account dei destinatari avranno accettato l'invito, lo stato cambierà inACTIVE.

CLI

Per condividere un team di approvazione multipartitico AWS RAM tramite la CLI, utilizza i seguenti comandi:

Innanzitutto, identifica l'ARN del team di approvazione che desideri condividere:

aws mpa list-approval-teams --region us-east-1

Crea una condivisione di risorse usando il create-resource-share comando:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Per condividere con un'organizzazione anziché con account specifici:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Verifica lo stato della condivisione delle risorse:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

L'account o gli account del destinatario dovranno accettare l'invito alla condivisione delle risorse:

aws ram get-resource-share-invitations --region us-east-1

Esegui nell'account del destinatario per accettare un invito:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Una volta accettato l'invito, il team di approvazione multipartitico sarà disponibile all'uso nell'account del destinatario.

AWS offre strumenti per condividere l'accesso all'account, incluso l'accesso tramite AWS Resource Access Managere l'accesso multipartitico. Quando scegli di condividere un vault logicamente isolato con un altro account, prendi in considerazione i seguenti dettagli:

Funzionalità AWS RAM condivisione basata Accesso basato sull'approvazione di più parti
Accesso a camere blindate logicamente Una volta completata la condivisione della RAM, è possibile accedere ai vault. Qualsiasi tentativo effettuato da un altro account deve essere approvato da un numero limite di membri del team di approvazione multipartitico. La sessione di approvazione scade automaticamente 24 ore dopo l'avvio della richiesta.
Rimozione dell'accesso L'account proprietario del vault logicamente isolato può interrompere la condivisione basata sulla RAM in qualsiasi momento. L'accesso a un vault può essere rimosso solo tramite una richiesta al team di approvazione multipartitico.
Copia tra account e regioni and/or Attualmente non è supportato. I backup possono essere copiati all'interno dello stesso account o con altri account della stessa organizzazione dell'account di ripristino.
Fatturazione dei trasferimenti tra regioni I trasferimenti tra regioni vengono fatturati sullo stesso account proprietario del Restore Access Backup Vault.
Uso consigliato L'uso principale è per il recupero dalla perdita di dati e per i test di ripristino. L'uso principale è in situazioni in cui si sospetta che l'accesso o la sicurezza dell'account siano compromessi.
Regioni Disponibile in tutti i Regioni AWS casi in cui sono supportate casseforti con intercapedine logiche. Disponibile in tutti i Regioni AWS casi in cui sono supportate casseforti con separazione d'aria logica.
Ripristina Tutti i tipi di risorse supportati possono essere ripristinati da un account condiviso. Tutti i tipi di risorse supportati possono essere ripristinati da un account condiviso.
Configurazione La condivisione può avvenire non appena l' AWS Backup account imposta la condivisione della RAM e l'account ricevente accetta la condivisione. La condivisione richiede che l'account di gestione attivi l'approvazione multipartitica e configuri la condivisione della RAM. Quindi, l'account di gestione deve creare un team e assegnarlo a un vault con sistema logico.
Condivisione

La condivisione avviene tramite RAM all'interno della stessa AWS organizzazione o tra AWS organizzazioni.

L'accesso viene concesso secondo il modello «push», in cui l'account di gestione concede prima l'accesso, poi l'altro account accetta l'accesso.

L'accesso a un vault logicamente chiuso avviene tramite i team di approvazione supportati da Organizations all'interno della stessa AWS organizzazione o di più organizzazioni.

L'accesso viene concesso in base al modello «pull», in cui l'account ricevente richiede prima l'accesso, quindi il team di approvazione concede o rifiuta la richiesta.