Approvazione multipartitica per casseforti con chiusura logica - AWS Backup
Panoramica dell'approvazione multipartiticaPrerequisiti e procedure consigliateApprovazione multipartitica Considerazioni interregionaliTermini di approvazione multipartitici

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Approvazione multipartitica per casseforti con chiusura logica

Panoramica dell'approvazione multipartitica in un vault con sistema logico

AWS Backup offre la possibilità di aggiungere l'approvazione multipartitica, una funzionalità di AWS Organizations, alle vostre casseforti logicamente separate. L'approvazione multipartitica offre un'opzione aggiuntiva per aiutare a proteggere le operazioni critiche attraverso un processo di approvazione distribuito.

L'approvazione multipartitica è progettata per aiutare a proteggere le risorse critiche e ridurre al minimo il tempo necessario per il ritorno alla piena operatività (RTO), ad esempio un'interruzione causata da attori malintenzionati o eventi malware. Questa configurazione può aiutarvi a ripristinare il contenuto di un vault logicamente isolato che potrebbe essere stato compromesso.

I AWS Backup clienti possono utilizzare l'approvazione multipartitica per concedere la capacità di approvazione di alcune operazioni a un gruppo di persone fidate, che possono approvare in modo collaborativo l'accesso a un archivio logico con sistema airgap da un account di ripristino creato separatamente in caso di sospette attività dannose che potrebbero compromettere l'utilizzo dell'account principale.

I passaggi seguenti descrivono il flusso consigliato per configurare un' AWS organizzazione di ripristino, impostare l'approvazione multipartitica e quindi utilizzare l'approvazione multipartitica con i vault logicamente separati:

  1. Un amministratore crea una nuova organizzazione tramite Organizations da utilizzare per le operazioni di ripristino.

  2. Nell'account di gestione di questa nuova organizzazione, l'amministratore crea e configura un'istanza IAM Identity Center (IDC) (per abilitare un'istanza dell'organizzazione, consulta Enable IAM Identity Center nella IAM Identity Center User Guide. Vedi anche la sequenza per creare una fonte di identità di approvazione multipartitica nella Guida utente per l'approvazione multipartitica.

  3. L'amministratore creerà quindi un team di approvazione, il gruppo principale di persone fidate che saranno gli utenti principali dell'approvazione multipartitica.

  4. L'amministratore condivide un team di approvazione che utilizza AWS RAM con ogni account almeno un vault logicamente chiuso (probabilmente l'account principale).

  5. Un amministratore di tali account associa un vault con intercapedine logiche a un team di approvazione.

  6. Un account di ripristino richiede l'accesso a un account che dispone di un vault con intercapedine logico a cui è associato un team di approvazione multipartitico («team»). Il team associato all'account approva o rifiuta la richiesta.

  7. L'amministratore dell'account proprietario del vault logicamente bloccato può richiedere che il team di approvazione venga dissociato dal vault. La richiesta richiede l'attuale approvazione del team.

  8. Un amministratore può aggiornare l'appartenenza al team di approvazione, se necessario, in base alle proprie pratiche di sicurezza o quando le persone entrano o escono dall'organizzazione.

Prerequisiti e procedure consigliate per l'utilizzo dell'approvazione multipartitica con un vault con sistema logico

Prima di poter utilizzare in modo efficace e sicuro l'approvazione multipartitica con le vostre casseforti logiche, esistono dei prerequisiti e delle best practice consigliate.

Le migliori pratiche:

  • Due (o più) AWS organizzazioni tramite Organizations. Una dovrebbe essere l'organizzazione principale in cui disponi di uno o più account con almeno un deposito logico. L'organizzazione secondaria dovrebbe essere l'organizzazione di recupero. È in questa organizzazione che verrà gestito il team di approvazione multipartitico.

Prerequisiti

  1. Hai impostato l'approvazione multipartitica e disponi di almeno un team di approvazione.

  2. Almeno un account nell'organizzazione principale deve disporre di un vault con sistema logico (e del vault di backup originale).

  3. L'account di gestione dell'organizzazione principale è abilitato all'approvazione multipartitica.

    Suggerimento

    AWS Backup consiglia di applicare una Service Control Policy (SCP) all'organizzazione principale e di configurarla con le autorizzazioni appropriate per l'organizzazione e per ogni team di approvazione.

  4. Il team di approvazione multipartitico dell'organizzazione secondaria (di ripristino) viene condiviso AWS RAM con gli account che possiedono i vault con sistema logico.

Considerazioni e dipendenze tra regioni quando si utilizza l'approvazione multipartitica

Quando abiliti l'approvazione multipartitica e la tua istanza IAM Identity Center in diverse regioni, l'approvazione multipartitica effettua chiamate verso IAM Identity Center da una regione all'altra. Ciò significa che le informazioni su utenti e gruppi si spostano tra le regioni. Approvazione multipartitica Le risorse del team possono essere create e archiviate solo negli Regione AWS Stati Uniti orientali (Virginia settentrionale).

Le altre risorse Regioni AWS che fanno riferimento alle risorse del team di approvazione multipartitico dipenderanno dagli Regione AWS Stati Uniti orientali (Virginia settentrionale). Di conseguenza, l'approvazione multipartitica effettuerà chiamate interregionali se l'istanza di Identity Center nel vault con sistema and/or logico airgapped non si trova negli Stati Uniti orientali (Virginia settentrionale).

Termini, concetti e profili utente di approvazione multipartitici

L'approvazione multipartitica nel vault con sistema logico integrato è un'integrazione delle AWS Organizations funzionalità Gestione dell'account AWS AWS Identity and Access Management (IAM) e AWS Backup(RAM). AWS RAM Tramite la CLI, è possibile interagire con ogni servizio per inviare i comandi appropriati. Puoi anche utilizzare la console, ma dovrai accedere alla console del servizio appropriato per completare attività specifiche.

Il modo in cui interagisci con l'approvazione multipartitica dipende dai ruoli e dalle responsabilità che ricopri all'interno dell'organizzazione, nonché dai permessi di cui disponi nei tuoi AWS Backup account.

Come illustrato nella Guida per l'utente all'approvazione multipartitica, i membri dell'organizzazione che utilizzano l'approvazione multipartitica saranno richiedenti, amministratori o approvatori. Le autorizzazioni specifiche si applicano a ciascuna funzione lavorativa. In conformità con le migliori pratiche di sicurezza, un utente deve svolgere una sola funzione lavorativa.

Console, portali e sessioni

AWS Backup gli account con uno o più archivi con intercapedine logiche possono utilizzare l'approvazione multipartitica.

Prima del processo di approvazione multipartitico, un amministratore può creare un'organizzazione secondaria AWS Organizations a scopo di ripristino (un'organizzazione di ripristino) se non ne è stata configurata una in precedenza.

L'amministratore utilizza quindi AWS Resource Access Manager (RAM) per configurare la condivisione tra organizzazioni tra l'organizzazione principale e l'organizzazione di ripristino.

L'organizzazione principale ospita gli account che possiedono e utilizzano un archivio logicamente chiuso, in cui sono archiviati i dati protetti.

L'organizzazione di ripristino ospita almeno un account di ripristino. Questo account ospita un punto di accesso che può fungere da «backdoor» fondamentale per il vault logico condiviso con intercapedine d'aria. Questo punto di accesso è chiamato repository access backup vault. Questo archivio di accesso non memorizza dati; funge invece da punto di accesso o di montaggio che rispecchia il contenuto del vault di origine logicamente isolato, ma non contiene dati che possano essere modificati o eliminati. Ad esempio, se un cliente esegue il processo di ripristino per un punto di ripristino in un archivio di backup con accesso di ripristino, è il punto di ripristino nel vault con sistema logico a essere ripristinato tramite il ripristino tra account tramite l'account di ripristino.

Per garantire una maggiore sicurezza, i clienti utilizzano questo account di ripristino per eseguire operazioni protette nell'account principale, ma solo dopo che tali operazioni sono state approvate dal team di approvazione associato durante una sessione di approvazione. AWS Una sessione viene creata dopo l'invio di una richiesta di approvazione e termina quando una soglia di membri del team di approvazione approva o rifiuta la richiesta o quando è trascorso il tempo consentito per la sessione.

Un team è composto da approvatori (in pratica, la parte dell'approvazione multipartitica delle parti) che ricevono notifiche e-mail relative a richieste operative protette. Queste e-mail confermano che è iniziata una sessione di approvazione per la richiesta. L'approvazione viene concessa una volta raggiunta la soglia minima di approvazione richiesta. Questa soglia può essere impostata quando viene creato il team di approvazione multipartitico («Team»).

I team di approvazione multipartitici sono gestiti tramite il portale di approvazione multipartitico Organizations («portale»), un'applicazione AWS gestita che fornisce alle identità una posizione centralizzata in cui i membri del team di approvazione possono ricevere e rispondere agli inviti del team di approvazione e alle richieste operative.