View a markdown version of this page

Attività amministrative - AWS Backup

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attività amministrative

Diverse attività che AWS Backup coinvolgono una Multi-party panoramica richiedevano un utente con autorizzazioni di amministratore e accesso all'account di gestione.

Crea un team di approvazione

Un utente della tua organizzazione con autorizzazioni di amministratore per un AWS account deve impostare Multi-party l'approvazione (passaggio 3 della Panoramica).

Prima di eseguire questo passaggio, si consiglia di configurare sia un'organizzazione principale che un'organizzazione secondaria (ai fini del ripristino) tramite AWS Organizations il passaggio 1 della Panoramica.

Per creare il tuo team, consulta Creare un team di Multi-party approvazione nella guida utente per l'approvazione.

Durante l'aws mpa create-approval-teamoperazione, uno dei parametri èpolicies. Questo è un elenco di ARN (Amazon Resource Names) per le politiche delle risorse di Multi-party approvazione che definiscono le autorizzazioni che proteggono il team.

La politica mostrata nell'esempio nella Guida per Multi-party l'utente di approvazione nella procedura Crea un team di approvazione contiene la politica ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] con diverse autorizzazioni necessarie.

Segui questi passaggi per restituire un elenco di politiche disponibili utilizzandompa list-policies:

  1. Elenca le politiche:

    aws mpa list-policies --region us-east-1
  2. Elenca tutte le versioni delle politiche:

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
  3. Ottieni dettagli su una politica:

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Espandi di seguito per visualizzare la politica che verrà creata e allegata al tuo team di approvazione mediante questa operazione:

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VaultOwnerPermissions", "Effect": "Allow", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "mpa:StartSession", "mpa:CancelSession" ], "Condition": { "StringEquals": { "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault", "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}" }, "Bool": { "aws:ViaAWSService": "true" } } } ] }

Condividi un team di Multi-party approvazione utilizzando AWS RAM

Puoi condividere un team di Multi-party approvazione con altri AWS account utilizzando AWS Resource Access Manager (RAM), passaggio 4 della panoramica.

Console
Condividi un team di Multi-party approvazione utilizzando AWS RAM
  1. Accedi alla console AWS RAM.

  2. Nel riquadro di navigazione, scegli Condivisioni di risorse.

  3. Seleziona Crea condivisione risorse.

  4. Nel campo Nome, inserisci un nome descrittivo per la tua condivisione di risorse.

  5. In Tipo di risorsa, seleziona Team di Multi-party approvazione dal menu a discesa.

  6. In Risorse, seleziona il team di approvazione che desideri condividere.

  7. In Responsabili, specifica gli AWS account con cui vuoi condividere il team di approvazione.

  8. Per condividere con AWS account specifici, seleziona AWS account e inserisci gli ID degli account a 12 cifre.

  9. Per condividere con un'organizzazione o un'unità organizzativa, seleziona Organizzazione o Unità organizzativa e inserisci l'ID appropriato.

  10. (Facoltativo) In Tag, aggiungi i tag che desideri associare a questa condivisione di risorse.

  11. Seleziona Crea condivisione risorse.

Lo stato della condivisione delle risorse verrà inizialmente visualizzato comePENDING. Una volta che gli account dei destinatari avranno accettato l'invito, lo stato cambierà inACTIVE.

CLI

Per condividere un team di Multi-party approvazione AWS RAM tramite la CLI, utilizza i seguenti comandi:

Innanzitutto, identifica l'ARN del team di approvazione che desideri condividere:

aws mpa list-approval-teams --region us-east-1

Crea una condivisione di risorse utilizzando il comando create-resource-share:

aws ram create-resource-share \ --name "MPA-Team-Share" \ --resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \ --principals "ACCOUNT_ID_TO_SHARE_WITH" \ --permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \ --region us-east-1

Per condividere con un'organizzazione anziché con account specifici:

aws ram create-resource-share \ --name "MPA-Team-Share" \ --resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \ --permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \ --allow-external-principals \ --region us-east-1

Verifica lo stato della condivisione delle risorse:

aws ram get-resource-shares \ --resource-owner SELF \ --region us-east-1

L'account o gli account del destinatario dovranno accettare l'invito alla condivisione delle risorse:

aws ram get-resource-share-invitations --region us-east-1

Esegui nell'account del destinatario per accettare un invito:

aws ram accept-resource-share-invitation \ --resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \ --region us-east-1

Una volta accettato l'invito, il team di Multi-party approvazione sarà disponibile all'uso nell'account del destinatario.

AWS offre strumenti per condividere l'accesso all'account, anche tramite AWS Resource Access Managere Multi-party accesso. Quando scegli di condividere un vault logicamente isolato con un altro account, prendi in considerazione i seguenti dettagli:

Funzionalità AWS RAM condivisione basata Multi-party accesso basato sull'approvazione
Accesso a casseforti con intercapedine logiche Una volta completata la condivisione della RAM, è possibile accedere ai vault. Qualsiasi tentativo effettuato da un altro account deve essere approvato da un numero limite di membri del team di Multi-party approvazione. La sessione di approvazione scade automaticamente 24 ore dopo l'avvio della richiesta.
Rimozione dell'accesso L'account proprietario del vault logicamente isolato può interrompere la condivisione basata sulla RAM in qualsiasi momento. L'accesso a un vault può essere rimosso solo con una richiesta al team di approvazione. Multi-party
Copia tra account e regioni and/or Attualmente non è supportato. I backup possono essere copiati all'interno dello stesso account o con altri account della stessa organizzazione dell'account di ripristino.
Cross-Region fatturazione del trasferimento Cross-Region i trasferimenti vengono fatturati sullo stesso account proprietario del Restore Access Backup Vault.
Uso consigliato L'uso principale è per il recupero dalla perdita di dati e per i test di ripristino. L'uso principale è in situazioni in cui si sospetta che l'accesso o la sicurezza dell'account siano compromessi.
Regioni Disponibile in tutti i Regioni AWS casi in cui sono supportate casseforti con separazione d'aria logica. Disponibile in tutti i Regioni AWS casi in cui sono supportate casseforti con separazione d'aria logica.
Ripristina Tutti i tipi di risorse supportati possono essere ripristinati da un account condiviso. Tutti i tipi di risorse supportati possono essere ripristinati da un account condiviso.
Configurazione La condivisione può avvenire non appena l' AWS Backup account imposta la condivisione della RAM e l'account ricevente accetta la condivisione. La condivisione richiede che l'account di gestione crei prima un team, quindi configuri la condivisione della RAM. Quindi, l'account di gestione attiva Multi-party l'approvazione e assegna il team a un vault con sistema logico.
Condivisione

La condivisione avviene tramite RAM all'interno della stessa AWS organizzazione o tra AWS organizzazioni.

L'accesso viene concesso secondo il modello «push», in cui l'account proprietario del vault logicamente chiuso concede innanzitutto l'accesso. Quindi, l'altro account accetta l'accesso.

L'accesso a un vault logicamente chiuso avviene tramite i team di approvazione supportati da Organizations all'interno della stessa AWS organizzazione o di più organizzazioni.

L'accesso viene concesso in base al modello «pull», in cui l'account ricevente richiede prima l'accesso, quindi il team di approvazione concede o rifiuta la richiesta.