翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
論理エアギャップボールトのマルチパーティー承認
論理エアギャップボールトでのマルチパーティー承認の概要
AWS Backup には、 の機能であるマルチパーティー承認 AWS Organizationsを論理エアギャップボールトに追加するオプションがあります。マルチパーティー承認には、分散承認プロセスを通じて重要なオペレーションを保護するのに役立つ追加オプションがあります。
マルチパーティー承認は、重要なリソースを保護し、悪意のある攻撃者やマルウェアイベントによる中断など、フルオペレーション (RTO) に戻る時間を最小限に抑えるように設計されています。この設定は、侵害された可能性のある論理エアギャップボールトの内容を復元するのに役立ちます。
AWS Backup 顧客は、マルチパーティー承認を使用して、プライマリアカウントの使用を侵害する可能性のある悪意のあるアクティビティが疑われる場合に、個別に作成された復旧アカウントから論理エアギャップボールトへのアクセスを共同で承認できる信頼された個人のグループに、一部のオペレーションの承認機能を付与できます。
次の手順では、復旧 AWS 組織を設定し、マルチパーティー承認を設定し、論理エアギャップボールトでマルチパーティー承認を使用するための推奨フローの概要を示します。
-
管理者は Organizations を通じて新しい組織を作成し、復旧オペレーションに使用します。
-
この新しい組織の管理アカウントで、管理者は IAM Identity Center (IDC) インスタンスを作成して設定します (組織インスタンスを有効にするには、IAM Identity Center ユーザーガイドの「IAM Identity Center を有効にする」を参照してください。 「 Multi-party approval User Guide」の「Create a Multi-party approval identity source」のシーケンスも参照してください。
-
次に、管理者は、マルチパーティー承認のプライマリユーザーとなる信頼された個人のコアグループである承認チームを作成します。
-
管理者は、少なくとも 1 つの論理エアギャップボールトを所有する各アカウント (プライマリアカウントなど) と を使用して承認チームを共有します。 AWS RAM
-
これらのアカウントの管理者は、論理エアギャップボールトを承認チームに関連付けます。
-
復旧アカウントは、関連付けられたマルチパーティー承認チーム (「チーム」) を持つ論理エアギャップボールトを持つアカウントへのアクセスをリクエストします。アカウントに関連付けられたチームがリクエストを承認または拒否します。
-
論理エアギャップボールトを所有する アカウントの管理者は、承認チームのボールトとの関連付け解除をリクエストできます。リクエストには、現在のチームの承認が必要です。
-
管理者は、セキュリティプラクティスに従って、またはユーザーが組織に加わったり組織を離れたりするときに、必要に応じて承認チームのメンバーシップを更新できます。
論理エアギャップボールトでマルチパーティー承認を使用するための前提条件とベストプラクティス
論理エアギャップボールトでマルチパーティー承認を効果的かつ安全に使用する前に、前提条件と推奨されるベストプラクティスがあります。
ベストプラクティス:
-
Organizations を通じて 2 つ (またはそれ以上) の AWS 組織。1 つは、論理エアギャップボールトが少なくとも 1 つある 1 つ以上のアカウントがあるプライマリ組織である必要があります。セカンダリ組織は復旧組織である必要があります。この組織では、マルチパーティー承認チームが管理されます。
前提条件
-
マルチパーティー承認を設定し、少なくとも 1 つの承認チームがある。
-
プライマリ組織内の少なくとも 1 つのアカウントには、論理エアギャップボールト (および元のバックアップボールト) が必要です。
-
プライマリ組織の管理アカウントは、マルチパーティー承認にオプトインされます。
ヒント
AWS Backup では、サービスコントロールポリシー (SCP) をプライマリ組織に適用し、組織と各承認チームに適切なアクセス許可で設定することをお勧めします。
-
セカンダリ (リカバリ) 組織のマルチパーティー承認チームは、論理エアギャップボールト (複数可) を所有するアカウントと を通じて共有 AWS RAMされます。
マルチパーティー承認を使用する場合のクロスリージョンの考慮事項と依存関係
マルチパーティー承認と IAM アイデンティティセンターインスタンスを異なるリージョンで有効にすると、マルチパーティー承認はリージョン間で IAM アイデンティティセンターを呼び出します。つまり、ユーザーとグループの情報はリージョン間で移動します。マルチパーティー承認チームリソースは、 AWS リージョン 米国東部 (バージニア北部) でのみ作成および保存できます。
マルチパーティー承認チームのリソースを参照 AWS リージョン するその他の は、 AWS リージョン 米国東部 (バージニア北部) によって異なります。したがって、アイデンティティセンターインスタンスや論理エアギャップボールトが米国東部 (バージニア北部) にない場合、マルチパーティー承認はクロスリージョン呼び出しを行います。
マルチパーティー承認の用語、概念、ユーザーペルソナ
論理エアギャップボールトでのマルチパーティー承認は AWS Organizations、、 AWS アカウント管理、および を AWS Identity and Access Management ( IAM) および AWS RAM (RAM) 機能 AWS Backupと共に統合したものです。CLI を使用して、各サービスとやり取りして適切なコマンドを送信できます。コンソールを使用することもできますが、特定のタスクを完了するには、適切なサービスのコンソールに移動する必要があります。
マルチパーティー承認の操作方法は、組織での役割と責任と、 AWS Backup アカウントで持っているアクセス許可によって異なります。
マルチパーティー承認ユーザーガイドに示すように、マルチパーティー承認を使用する組織のメンバーは、リクエスタ、管理者、または承認者のいずれかになります。特定のアクセス許可は、各ジョブ機能に適用されます。セキュリティのベストプラクティスに従って、ユーザーは 1 つの職務機能のみを満たす必要があります。
コンソール、ポータル、セッション
AWS Backup 1 つ以上の論理エアギャップボールトを持つ アカウントは、マルチパーティー承認を使用できます。
マルチパーティー承認プロセスの前に、管理者は を使用して、復旧用のセカンダリ組織 (復旧組織) を以前に設定していない場合は AWS Organizations 作成します。
次に、管理者は AWS Resource Access Manager (RAM) を使用して、プライマリ組織と復旧組織間の組織間の共有を設定します。
プライマリ組織には、保護されたデータを保存する論理エアギャップボールトを所有および使用するアカウントがあります。
復旧組織には、少なくとも 1 つの復旧アカウントがあります。このアカウントには、論理エアギャップボールトへの重要な「バックドア」として機能するアクセスポイントが格納されています。このアクセスポイントは、復元アクセスバックアップボールトと呼ばれます。このアクセスボールトはデータを保存しません。代わりに、ソースの論理エアギャップボールトの内容をミラーリングするアクセスポイントまたはマウントポイントとして機能しますが、変更または削除できるデータは含まれません。例えば、顧客が復元アクセスバックアップボールトの復旧ポイントの復元プロセスを実行した場合、復旧アカウントを介してクロスアカウント復元によって復元されるのは論理エアギャップボールトの復旧ポイントです。
セキュリティを強化するために、お客様はこの復旧アカウントを使用してプライマリアカウントで保護されたオペレーションを実行しますが、それらのオペレーションが承認セッションで関連する承認チームによって承認された後にのみ実行されます。セッションは、承認リクエストが送信され AWS ると によって作成され、そのセッションは、承認チームメンバーのしきい値がリクエストを承認または拒否したとき、または許可されたセッション時間が経過したときに終了します。
チームは、保護されたオペレーションリクエストの E メール通知を受け取る承認者 (実質的には、マルチパーティー承認の当事者部分) で構成されます。これらの E メールは、リクエストの承認セッションが開始されたことを確認します。必要な承認の最小しきい値に達すると、承認が付与されます。このしきい値は、マルチパーティー承認チーム (「チーム」) の作成時に設定できます。
マルチパーティー承認チームは、Organizations マルチパーティー承認ポータル (「ポータル」) を通じて管理されます。これは、承認チームメンバーが承認チームの招待やオペレーションリクエストを受信して応答できる一元的な場所を ID に提供する AWS マネージドアプリケーションです。
