管理タスク - AWS Backup
承認チームを作成するAWS RAM を使用してマルチパーティー承認チームを共有する

管理タスク

AWS Backup とマルチパーティーの概要に関連するいくつかのタスクでは、管理者アクセス許可と管理アカウントへのアクセス権を持つユーザーが必要です。

承認チームを作成する

AWS アカウントの管理者権限を持つ組織のユーザーは、マルチパーティー承認を設定する必要があります (概要のステップ 3)。

このステップを実行する前に、AWS Organizations (概要のステップ 1) を通じてプライマリ組織とセカンダリ組織の両方を設定しておくことがベストプラクティスとして推奨されます。

マルチパーティー承認ユーザーガイド」の「Create an approval team」を参照してチームを作成します。

aws mpa create-approval-team オペレーションにおいて、パラメータの 1 つに policies があります。これは、チームを保護するアクセス許可を定義するマルチパーティー承認リソースポリシーの ARN (Amazon リソースネーム) のリストです。

マルチパーティー承認ユーザーガイド」の「Create an approval team」の手順の例に示すポリシーには、必要ないくつかのアクセス許可を持つ ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] ポリシーが含まれています。

mpa list-policies を使用して使用可能なポリシーのリストを返すには、次の手順に従います。

  1. ポリシーのリストを取得します。

    aws mpa list-policies --region us-east-1

  2. すべてのポリシーバージョンのリストを取得します。

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. ポリシーの詳細を取得します。

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

以下を展開して、このオペレーションによって作成され、承認チームにアタッチされるポリシーを確認してください。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

AWS RAM を使用してマルチパーティー承認チームを共有する

概要のステップ 4 で、AWS Resource Access Manager (RAM) を使用して、マルチパーティー承認チームを他の AWS アカウントと共有できます。

Console
AWS RAM を使用してマルチパーティー承認チームを共有する

  1. AWS RAM コンソール にサインインします。

  2. ナビゲーションペインで、[リソース共有] を選択します。

  3. [リソースの共有の作成] を選択します。

  4. [名前] にリソース共有のわかりやすい名前を入力します。

  5. [リソースタイプ] で、ドロップダウンメニューから [複数当事者承認チーム] を選択します。

  6. [リソース] で、共有する承認チームを選択します。

  7. [プリンシパル] で、承認チームを共有する AWS アカウントを指定します。

  8. 特定の AWS アカウントと共有するには、[AWS アカウント] を選択し、12 桁のアカウント ID を入力します。

  9. 組織または組織単位と共有するには、[組織] または [組織単位] を選択し、適切な ID を入力します。

  10. (オプション) [タグ] で、このリソース共有に関連付けるタグを追加します。

  11. [リソースの共有の作成] を選択します。

リソース共有のステータスは、最初は PENDING と表示されます。受信者アカウントが招待を承諾すると、ステータスは ACTIVE に変わります。

CLI

CLI で AWS RAM を使用してマルチパーティー承認チームを共有するには、次のコマンドを使用します。

まず、共有する承認チームの ARN を特定します。

aws mpa list-approval-teams --region us-east-1

create-resource-share コマンドを使用してリソース共有を作成します。

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

特定のアカウントではなく組織と共有するには、次のコマンドを使用します。

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

作成したリソース共有のステータスを確認します。

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

受信者アカウントでリソース共有の招待を承諾する必要があります。

aws ram get-resource-share-invitations --region us-east-1

受信者アカウントで招待を承諾します。

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

招待が承諾されると、マルチパーティー承認チームが受信者アカウントで使用できるようになります。

AWS には、 AWS Resource Access Managerマルチパーティーアクセスなど、アカウントアクセスを共有するためのツールが用意されています。論理エアギャップボールトを別のアカウントと共有する場合は、次の詳細を考慮してください。

機能 AWS RAM ベースの共有 マルチパーティー承認ベースのアクセス
論理エアギャップボールトへのアクセス RAM による共有が完了すると、ボールトにアクセスできます。 別のアカウントによる試行は、所定数のマルチパーティー承認チームメンバーによって承認される必要があります。承認セッションは、リクエストが開始されてから 24 時間後に自動的に期限切れになります。
アクセスの削除 論理エアギャップボールトを所有するアカウントは、いつでも RAM ベースの共有を終了できます。 ボールトへのアクセスは、マルチパーティー承認チームへのリクエストによってのみ削除できます。
アカウントやリージョン間でのコピー 現在サポートされていません。 バックアップは、同じアカウント内でコピーすることも、復旧アカウントと同じ組織内の他のアカウントにコピーすることもできます。
クロスリージョン転送の料金請求 クロスリージョン転送の料金は、復元アクセスバックアップボールトを所有するのと同じアカウントに請求されます。
推奨用途 主な用途は、データ損失の復旧と復元テストです。 主な用途は、アカウントアクセスやセキュリティが侵害された疑いがある状況です。
リージョン 論理エアギャップボールトがサポートされているすべての AWS リージョンで使用できます。 論理エアギャップボールトがサポートされているすべての AWS リージョンで使用できます。
復元 サポートされているすべてのリソースタイプは、共有アカウントから復元できます。 サポートされているすべてのリソースタイプは、共有アカウントから復元できます。
セットアップ: 共有は、AWS Backup アカウントで RAM 共有を設定し、受信アカウントで共有を承諾するとすぐに可能になる場合があります。 共有するには、管理アカウントがまずチームを作成し、次に RAM 共有を設定する必要があります。次に、管理アカウントはマルチパーティー承認にオプトインし、そのチームを論理エアギャップボールトに割り当てます。
共有

共有は、同じ AWS 組織内または AWS 組織間で RAM を通じて行われます。

アクセスは、論理エアギャップボールトを所有するアカウントが最初にアクセスを許可する「プッシュ」モデルに従って付与されます。次に、もう一方のアカウントでアクセスを承諾します。

論理エアギャップボールトへのアクセスは、同じ AWS 組織内または組織間で、Organizations がサポートする承認チームを通じて行われます。

アクセスは「プル」モデルに従って付与されます。このモデルでは、受信側アカウントが最初にアクセスをリクエストし、承認チームがリクエストを許可または拒否します。