論理エアギャップボールトのマルチパーティー承認 - AWS Backup
マルチパーティー承認の概要前提条件とベストプラクティスマルチパーティー承認のクロスリージョンに関する考慮事項マルチパーティー承認の用語

論理エアギャップボールトのマルチパーティー承認

論理エアギャップボールトでのマルチパーティー承認の概要

AWS Backup には、AWS Organizations の機能の 1 つであるマルチパーティー承認を論理エアギャップボールトに追加するオプションがあります。マルチパーティー承認には、分散承認プロセスを通じて重要なオペレーションを保護するのに役立つ追加のオプションがあります。

マルチパーティー承認は、重要なリソースを保護し、悪意のある攻撃者やマルウェアイベントによる中断など、フルオペレーションに戻るまでの時間を最小限に抑えるように設計されています。この設定は、侵害された可能性のある論理エアギャップボールトの内容を復元するのに役立ちます。

AWS Backup の論理エアギャップボールトを使用したマルチパーティー承認チームの統合と使用には追加料金はかかりません (料金ページに示されているように、ストレージとクロスリージョンの転送料金が適用されます)。

AWS Backup のお客様は、マルチパーティー承認を使用して、プライマリアカウントの使用を侵害する可能性のある悪意のあるアクティビティが疑われる場合に、個別に作成された復旧アカウントから論理エアギャップボールトへのアクセスを共同で承認できる信頼された個人のグループに、一部のオペレーションの承認機能を付与できます。

次の手順では、復旧用の AWS 組織を設定し、マルチパーティー承認を設定し、論理エアギャップボールトでマルチパーティー承認を使用するための推奨フローの概要を示します。

  1. 管理者は Organizations で新しい組織を作成し、復旧オペレーションに使用します。

  2. この新しい組織の管理アカウントで、管理者は IAM アイデンティティセンター (IDC) インスタンスを作成して設定します (組織インスタンスを有効にするには、「IAM アイデンティティセンターユーザーガイド」の「IAM アイデンティティセンターを有効にする」を参照してください。「マルチパーティー承認ユーザーガイド」の「Create a Multi-party approval identity source」のシーケンスも参照してください。

  3. 次に、管理者は、マルチパーティー承認のプライマリユーザーとなる信頼できる個人のコアグループである承認チームを作成します

  4. 管理者は AWS RAM を使用して、論理エアギャップボールトを少なくとも 1 つ所有する各アカウント (プライマリアカウントなど) と承認チームを共有します。ボールトを所有するアカウントとセカンダリ組織の両方に RAM を設定する必要があります。

  5. これらのアカウントの管理者は、論理エアギャップボールトを承認チームに関連付けます

  6. 復旧アカウントは、関連するマルチパーティー承認チーム (「チーム」) と論理エアギャップボールトを持つアカウントへのアクセスをリクエストします。アカウントに関連付けられたチームがリクエストを承認または拒否します

  7. 論理エアギャップボールトを所有するアカウントの管理者は、承認チームとボールトの関連付け解除をリクエストできます。リクエストには、現在のチームの承認が必要です。

  8. 管理者は、セキュリティプラクティスに従って、またはユーザーが組織に加わったり組織を離れたりするときに、必要に応じて承認チームのメンバーシップを更新できます。

論理エアギャップボールトでマルチパーティー承認を使用するための前提条件とベストプラクティス

論理エアギャップボールトでマルチパーティー承認を効果的かつ安全に使用するには、前提条件と推奨されるベストプラクティスがあります。

ベストプラクティス

  • Organizations で作成された 2 つ (またはそれ以上) の AWS 組織。1 つは、論理エアギャップボールトが 1 つ以上のアカウントがあるプライマリ組織である必要があります。セカンダリ組織は復旧組織である必要があります。この組織では、マルチパーティー承認チームが管理されます。

前提条件

  1. マルチパーティー承認を設定し、少なくとも 1 つの承認チームがある。

  2. プライマリ組織内の少なくとも 1 つのアカウントには、論理エアギャップボールト (および元のバックアップボールト) が必要です。

  3. プライマリ組織の管理アカウントは、マルチパーティー承認にオプトインされます。

    ヒント

    AWS Backup では、サービスコントロールポリシー (SCP) をプライマリ組織に適用し、組織と各承認チームに適切なアクセス許可で設定することをお勧めします。サンプルポリシーについては、「マルチパーティー承認条件」セクションを参照してください。

  4. セカンダリ (復旧) 組織のマルチパーティー承認チームは、論理エアギャップボールトを所有するアカウントおよび復旧アカウントの両方とAWS RAM を通じて共有されます

マルチパーティー承認を使用する場合のクロスリージョンの考慮事項と依存関係

マルチパーティー承認と IAM アイデンティティセンターインスタンスを異なるリージョンで有効にすると、マルチパーティー承認はリージョン間で IAM アイデンティティセンターを呼び出します。つまり、ユーザーとグループの情報はリージョン間で転送されます。マルチパーティー承認チームのリソースは、AWS リージョン 米国東部 (バージニア北部) でのみ作成および保存できます。

マルチパーティー承認チームのリソースを参照するその他の AWS リージョン は、AWS リージョン 米国東部 (バージニア北部) に依存します。したがって、アイデンティティセンターインスタンスや論理エアギャップボールトが米国東部 (バージニア北部) にない場合、マルチパーティー承認はクロスリージョン呼び出しを行います。

マルチパーティー承認の用語、概念、ユーザーペルソナ

論理エアギャップボールトでのマルチパーティー承認は、AWS Organizations、AWS Account Management、AWS Backup と、AWS Identity and Access Management (IAM) および AWS RAM (RAM) 機能を統合したものです。CLI を使用することで、各サービスとやり取りして適切なコマンドを送信できます。コンソールを使用することもできますが、特定のタスクを完了するには、適切なサービスのコンソールに移動する必要があります。

マルチパーティー承認の操作方法は、組織での役割や責任、AWS Backup アカウントで持っているアクセス許可によって異なります。

マルチパーティー承認ユーザーガイド」に示されているように、マルチパーティー承認を使用する組織のメンバーは、リクエスタ管理者、または承認者のいずれかになります。特定のアクセス許可は、各職務機能に適用されます。セキュリティのベストプラクティスに従って、ユーザーは 1 つの職務機能のみを遂行する必要があります。

コンソール、ポータル、セッション

論理エアギャップボールトを 1 つ以上持つ AWS Backup アカウントで、マルチパーティー承認を使用できます。

マルチパーティー承認プロセスを実行する前に、管理者は復旧用のセカンダリ組織 (復旧組織) を事前に設定していない場合は、AWS Organizations を使用して作成します。

次に、管理者は AWS Resource Access Manager (RAM) を使用して、プライマリ組織と復旧組織間の組織間共有を設定します。

プライマリ組織は、保護されたデータを保存する論理エアギャップボールトを所有および使用するアカウントのホームです。

復旧組織には、少なくとも 1 つの復旧アカウントがあります。このアカウントには、共有される論理エアギャップボールトへの重要な「バックドア」として機能するアクセスポイントが格納されています。このアクセスポイントは、復元アクセスバックアップボールトと呼ばれます。このアクセスボールトはデータを保存しません。代わりに、ソースの論理エアギャップボールトの内容をミラーリングするアクセスポイントまたはマウントポイントとして機能しますが、変更または削除できるデータは含まれません。例えば、お客様が復元アクセスバックアップボールトの復旧ポイントの復元プロセスを実行した場合、復旧アカウントを介してクロスアカウント復元によって復元されるのは論理エアギャップボールトの復旧ポイントです。

セキュリティを強化するために、お客様はこの復旧アカウントを使用してプライマリアカウントで保護されたオペレーションを実行しますが、それらのオペレーションは承認セッションで関連する承認チームによって承認された後にのみ実行されます。セッションは、承認リクエストが送信されると AWS によって作成され、そのセッションは、承認チームの所定の人数のメンバーがリクエストを承認または拒否したとき、または許可されたセッション時間が経過したときに終了します。

チームは、保護されたオペレーションリクエストの E メール通知を受け取る承認者 (実質的には、マルチパーティー承認の当事者部分) で構成されます。これらの E メールは、リクエストの承認セッションが開始されたことを確認します。承認に必要な最少人数に達すると承認が付与されます。この人数のしきい値は、マルチパーティー承認チーム (「チーム」) の作成時に設定できます。

マルチパーティー承認チームは、Organizations のマルチパーティー承認ポータル (「ポータル」) を通じて管理されます。これは AWS マネージドアプリケーションであり、承認チームメンバーが承認チームの招待やオペレーションリクエストを受信して応答できる一元的な場所を ID に提供します。