管理タスク - AWS Backup
承認チームを作成するを使用してマルチパーティー承認チームを共有する AWS RAM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理タスク

AWS Backup とマルチパーティーの概要を含むいくつかのタスクでは、管理者アクセス許可と管理アカウントへのアクセス権を持つユーザーが必要です。

承認チームを作成する

AWS アカウントの管理者権限を持つ組織のユーザーは、マルチパーティー承認を設定する必要があります (概要のステップ 3)。

このステップを実行する前に、 (概要の AWS Organizations ステップ 1) を通じて、プライマリ組織とセカンダリ組織の両方 (復旧目的) を設定しておくことがベストプラクティスとして推奨されます。

「マルチパーティー承認ユーザーガイド」の「承認チームの作成」を参照してチームを作成します。

aws mpa create-approval-team オペレーション中、パラメータの 1 つは ですpolicies。これは、チームを保護するアクセス許可を定義するマルチパーティー承認リソースポリシーの ARNs (Amazon リソースネーム) のリストです。

「マルチパーティー承認ユーザーガイド」の手順の「承認チームを作成する」の例に示すポリシーには、いくつかの必要なアクセス許可["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]を持つポリシーが含まれています。mpa list-policies を使用して、使用可能なポリシーのリストを返すことができます。

以下を展開して、このオペレーションによって作成され、承認チームにアタッチされるポリシーを確認します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

を使用してマルチパーティー承認チームを共有する AWS RAM

AWS Resource Access Manager (RAM) の概要のステップ 4 を使用して、マルチパーティー承認チームを他の AWS アカウントと共有できます。

Console
を使用してマルチパーティー承認チームを共有する AWS RAM

  1. AWS RAM コンソール にサインインします。

  2. ナビゲーションペインで、リソース共有を選択します。

  3. [リソースの共有の作成] を選択します。

  4. 名前 フィールドに、リソース共有のわかりやすい名前を入力します。

  5. リソースタイプで、ドロップダウンメニューからマルチパーティー承認チームを選択します。

  6. リソースで、共有する承認チームを選択します。

  7. プリンシパルで、承認チームを共有する AWS アカウントを指定します。

  8. 特定の AWS アカウントと共有するには、AWS アカウントを選択し、12 桁のアカウント IDsを入力します。

  9. 組織または組織単位と共有するには、組織または組織単位を選択し、適切な ID を入力します。

  10. オプション) タグ で、このリソース共有に関連付けるタグを追加します。

  11. [リソースの共有の作成] を選択します。

リソース共有のステータスは、最初は と表示されますPENDING。受信者アカウントが招待を受け入れると、ステータスは に変わりますACTIVE

CLI

CLI AWS RAM を使用してマルチパーティー承認チームを共有するには、次のコマンドを使用します。

まず、共有する承認チームの ARN を特定します。

aws mpa list-approval-teams --region us-east-1

create-resource-share コマンドを使用してリソース共有を作成します。

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

特定のアカウントではなく組織と共有するには:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

リソース共有のステータスを確認します。

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

受信者アカウント (複数可) は、リソース共有の招待を受け入れる必要があります。

aws ram get-resource-share-invitations --region us-east-1

受信者アカウントで を実行して招待を承諾します。

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

招待が承諾されると、マルチパーティー承認チームが受信者アカウントで使用できるようになります。

AWS には、 AWS Resource Access Managerマルチパーティーアクセスなど、アカウントアクセスを共有するためのツールが用意されています。論理エアギャップボールトを別のアカウントと共有する場合は、次の詳細を考慮してください。

機能 AWS RAM ベースの共有 マルチパーティー承認ベースのアクセス
論理エアギャップボールトへのアクセス RAM 共有が完了すると、ボールトにアクセスできます。 別のアカウントによる試みは、しきい値数のマルチパーティー承認チームメンバーによって承認される必要があります。承認セッションは、リクエストが開始されてから 24 時間後に自動的に期限切れになります。
アクセスの削除 論理エアギャップボールトを所有するアカウントは、いつでも RAM ベースの共有を終了できます。 ボールトへのアクセスは、マルチパーティー承認チームへのリクエストによってのみ削除できます。
アカウントやリージョン間でコピーする 現在サポートされていません。 バックアップは、同じアカウント内でコピーすることも、リカバリアカウントと同じ組織内の他のアカウントにコピーすることもできます。
クロスリージョン転送請求 クロスリージョン転送は、復元アクセスバックアップボールトを所有するのと同じアカウントに請求されます。
推奨使用法 主な用途は、データ損失の復旧と復元テストです。 主な用途は、アカウントアクセスまたはセキュリティが侵害された疑いがある場合です。
リージョン AWS リージョン 論理エアギャップボールトがサポートされているすべての で使用できます。 AWS リージョン 論理エアギャップボールトがサポートされているすべての で使用できます。
復元 サポートされているすべてのリソースタイプは、共有アカウントから復元できます。 サポートされているすべてのリソースタイプは、共有アカウントから復元できます。
セットアップ 共有は、 AWS Backup アカウントが RAM 共有を設定し、受信アカウントが共有を受け入れるとすぐに発生する可能性があります。 共有するには、管理アカウントがマルチパーティー承認にオプトインし、RAM 共有を設定する必要があります。次に、管理アカウントはチームを作成し、そのチームを論理エアギャップボールトに割り当てる必要があります。
共有中

共有は、同じ AWS 組織内または AWS 組織全体の RAM を通じて行われます。

アクセスは「プッシュ」モデルに従って付与されます。このモデルでは、管理アカウントが最初にアクセスを許可し、もう一方のアカウントがアクセスを受け入れます。

論理エアギャップボールトへのアクセスは、同じ AWS 組織内または組織全体の Organizations がサポートする承認チームを通じて行われます。

アクセスは「プル」モデルに従って付与されます。このモデルでは、受信側アカウントが最初にアクセスをリクエストし、承認チームがリクエストを許可または拒否します。