논리적 에어 갭 저장소에 대한 다자간 승인 - AWS Backup
다자간 승인 개요사전 조건 및 모범 사례다자간 승인 교차 리전 고려 사항다자간 승인 조건

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

논리적 에어 갭 저장소에 대한 다자간 승인

논리적 에어 갭 저장소의 다자간 승인 개요

AWS Backup 는의 기능인 다자간 승인을 논리적 에어 갭 저장소 AWS Organizations에 추가할 수 있는 옵션을 제공합니다. 다자간 승인은 분산 승인 프로세스를 통해 중요한 작업을 보호하는 데 도움이 되는 추가 옵션을 제공합니다.

다자간 승인은 중요한 리소스를 보호하고 악의적인 행위자 또는 맬웨어 이벤트로 인한 중단과 같은 전체 작업(RTO)으로 돌아가는 시간을 최소화하도록 설계되었습니다. 이 설정은 손상되었을 수 있는 논리적 에어 갭 저장소의 콘텐츠를 복원하는 데 도움이 될 수 있습니다.

AWS Backup 고객은 다자간 승인을 사용하여 기본 계정 사용을 손상시킬 수 있는 악의적인 활동이 의심되는 경우 별도로 생성된 복구 계정에서 논리적 에어 갭 저장소에 대한 액세스를 공동으로 승인할 수 있는 신뢰할 수 있는 개인 그룹에 일부 작업의 승인 기능을 부여할 수 있습니다.

다음 단계에서는 복구 AWS 조직 설정, 다자간 승인 설정, 논리적 에어 갭 저장소와 함께 다자간 승인 사용을 위한 권장 흐름을 간략하게 설명합니다.

  1. 관리자는 Organizations를 통해 복구 작업에 사용할 새 조직을 생성합니다.

  2. 이 새 조직의 관리 계정에서 관리자는 IAM Identity Center(IDC) 인스턴스를 생성하고 구성합니다(조직 인스턴스를 활성화하려면 IAM Identity Center 사용 설명서의 IAM Identity Center 활성화를 참조하세요. 다자간 승인 사용 설명서의 다자간 승인 ID 소스 생성 시퀀스도 참조하세요.

  3. 그런 다음 관리자는 다자간 승인의 기본 사용자가 될 신뢰할 수 있는 개인으로 구성된 핵심 그룹인 승인 팀을 생성합니다.

  4. 관리자는를 사용하여 하나 이상의 논리적 에어 갭 저장소(예: 기본 계정)를 소유한 각 계정 AWS RAM 과 승인 팀을 공유합니다.

  5. 이러한 계정의 관리자는 논리적 에어 갭 저장소를 승인 팀과 연결합니다.

  6. 복구 계정은 연결된 다자간 승인 팀(“팀”)이 있는 논리적 에어 갭 저장소가 있는 계정에 대한 액세스를 요청합니다. 계정과 연결된 팀이 요청을 승인하거나 거부합니다.

  7. 논리적 에어 갭 저장소를 소유한 계정의 관리자는 승인 팀을 저장소에서 연결 해제하도록 요청할 수 있습니다. 요청에 현재 팀 승인이 필요합니다.

  8. 관리자는 보안 관행에 따라 필요에 따라 또는 사람들이 조직에 가입하거나 조직에서 나갈 때 승인 팀 멤버십을 업데이트할 수 있습니다.

논리적 에어 갭 저장소와 함께 다자간 승인을 사용하기 위한 사전 조건 및 모범 사례

논리적 에어 갭 저장소에서 다자간 승인을 효과적이고 안전하게 사용하기 전에 사전 조건과 권장 모범 사례가 있습니다.

모범 사례:

  • AWS Organizations를 통해 두 개(또는 그 이상)의 조직. 하나는 하나 이상의 논리적 에어 갭 저장소가 있는 하나 이상의 계정이 있는 기본 조직이어야 합니다. 보조 조직은 복구 조직이어야 합니다. 이 조직에서는 다자간 승인 팀을 관리합니다.

사전 조건 

  1. 다자간 승인을 설정했으며 하나 이상의 승인 팀이 있습니다.

  2. 기본 조직의 하나 이상의 계정에 논리적 에어 갭 저장소(및 원래 백업 저장소)가 있어야 합니다.

  3. 기본 조직의 관리 계정은 다자간 승인에 옵트인됩니다.

    작은 정보

    AWS Backup 에서는 기본 조직에 서비스 제어 정책(SCP)을 적용하고 조직 및 각 승인 팀에 대한 적절한 권한으로 구성할 것을 권장합니다.

  4. 보조(복구) 조직의 다자간 승인 팀은 논리적 에어 갭 저장소(들)를 소유한 계정과를 통해 공유 AWS RAM됩니다.

다자간 승인 사용 시 리전 간 고려 사항 및 종속성

다자간 승인을 활성화하고 다른 리전의 IAM Identity Center 인스턴스를 활성화하면 다자간 승인은 리전 간에 IAM Identity Center를 호출합니다. 즉, 사용자 및 그룹 정보가 리전 간에 이동합니다. 다자간 승인 팀 리소스는 AWS 리전 미국 동부(버지니아 북부)에서만 생성하고 저장할 수 있습니다.

다자간 승인 팀 리소스를 참조 AWS 리전 하는 다른는 AWS 리전 미국 동부(버지니아 북부)에 따라 달라집니다. 따라서 Identity Center 인스턴스 및/또는 논리적 에어 갭 저장소가 미국 동부(버지니아 북부)에 없는 경우 다자간 승인은 리전 간 호출을 수행합니다.

다자간 승인 조건, 개념 및 사용자 페르소나

논리적 에어 갭 저장소의 다자간 승인은 ( IAM) 및 AWS Identity and Access Management ( AWS RAM RAM) 기능과 AWS Backup함께 AWS Organizations AWS Account Management, 및의 통합입니다. CLI를 통해 각 서비스와 상호 작용하여 적절한 명령을 보낼 수 있습니다. 콘솔을 사용할 수도 있지만 특정 작업을 완료하려면 적절한 서비스의 콘솔로 이동해야 합니다.

다자간 승인과 상호 작용하는 방법은 조직의 역할과 책임, AWS Backup 계정에서 보유한 권한에 따라 달라집니다.

다자간 승인 사용 설명서에 표시된 대로 다자간 승인을 사용하는 조직의 구성원은 요청자, 관리자 또는 승인자가 됩니다. 특정 권한은 각 직무에 적용됩니다. 보안 모범 사례에 따라 사용자는 하나의 직무만 수행해야 합니다.

콘솔, 포털 및 세션

AWS Backup 논리적 에어 갭 저장소가 하나 이상 있는 계정은 다자간 승인을 사용할 수 있습니다.

다자간 승인 프로세스 전에 이전에 설정하지 않은 경우 관리자는 AWS Organizations 를 사용하여 복구 목적으로 보조 조직(복구 조직)을 생성합니다.

그런 다음 관리자는 AWS Resource Access Manager (RAM)를 사용하여 기본 조직과 복구 조직 간의 조직 간 공유를 설정합니다.

기본 조직은 보호된 데이터를 저장하는 논리적 에어 갭 저장소를 소유하고 사용하는 계정이 있습니다.

복구 조직은 하나 이상의 복구 계정이 있습니다. 이 계정에는 논리적 에어 갭이 있는 공유 저장소에 대한 중요한 '뒤문' 역할을 할 수 있는 액세스 포인트가 있습니다. 이 액세스 포인트를 복원 액세스 백업 볼트라고 합니다. 이 액세스 저장소는 데이터를 저장하지 않습니다. 대신 액세스 또는 탑재 지점 역할을 하여 논리적 에어 갭 처리 저장소의 콘텐츠를 미러링하지만 변경 또는 삭제할 수 있는 데이터는 포함하지 않습니다. 예를 들어 고객이 복원 액세스 백업 볼트의 복구 시점에 대한 복원 프로세스를 거치는 경우 이는 논리적 에어 갭 저장소의 복구 시점으로, 복구 계정을 통해 교차 계정 복원을 통해 복원됩니다.

보안을 강화하기 위해 고객은이 복구 계정을 사용하여 기본 계정에서 보호된 작업을 수행합니다. 단, 승인 세션에서 관련 승인 팀의 승인을 받은 후에만 가능합니다. 승인 요청이 전송되고 AWS 승인 팀원의 임계값이 요청을 승인 또는 거부하거나 허용된 세션 시간이 경과하면 세션이에 의해 생성됩니다.

팀은 보호된 작업 요청에 대한 이메일 알림을 수신하는 승인자(효과적으로는 다자간 승인의 당사자 부분)로 구성됩니다. 이러한 이메일은 요청에 대한 승인 세션이 시작되었음을 확인합니다. 필요한 최소 승인 임계값에 도달하면 승인이 부여됩니다. 이 임계값은 다자간 승인 팀(“팀”)이 생성될 때 설정할 수 있습니다.

다자간 승인 팀은 승인 팀원이 승인 팀 초대 및 운영 요청을 수신하고 응답할 수 있는 중앙 위치를 자격 증명에 제공하는 AWS 관리형 애플리케이션인 Organizations 다자간 승인 포털(“포털”)을 통해 관리됩니다.