Tarefas do administrador - AWS Backup
Criar uma regra de aprovaçãoCompartilhar uma equipe de aprovação multilateral usando o AWS RAM

Tarefas do administrador

Várias tarefas envolvendo o AWS Backup e uma visão geral multilateral exigiam um usuário com permissões de administrador e acesso à conta gerencial.

Criar uma regra de aprovação

Um usuário da organização com permissões de administrador para uma conta da AWS precisa configurar a aprovação multilateral (etapa 3 da Visão geral).

Antes de realizar essa etapa, é recomendável que você tenha uma organização primária e uma organização secundária (para fins de recuperação) configuradas por meio do AWS Organizations (etapa 1) da Visão geral.

Consulte Criar uma equipe de aprovação no Guia do usuário da aprovação multilateral para criar sua equipe.

Durante a operação aws mpa create-approval-team, um dos parâmetros é policies. Esta é uma lista de ARNs (nomes de recursos da Amazon) para políticas de recursos de aprovação multilateral que definem permissões que protegem a equipe.

A política mostrada no exemplo do Guia do usuário da aprovação multilateral no procedimento Criar uma equipe de aprovação contém a política ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] com várias permissões necessárias.

Siga estas etapas para exibir uma lista das políticas disponíveis usando mpa list-policies:

  1. Listar políticas: 

    aws mpa list-policies --region us-east-1

  2. Listar todas as versões da política: 

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. Consultar detalhes sobre uma política: 

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Expanda o conteúdo abaixo para ver a política que será criada e anexada à sua equipe de aprovação por essa operação:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Compartilhar uma equipe de aprovação multilateral usando o AWS RAM

É possível compartilhar uma equipe de aprovação multilateral com outras contas da AWS usando o AWS Resource Access Manager (RAM), etapa 4 da visão geral.

Console
Compartilhar uma equipe de aprovação multilateral usando o AWS RAM

  1. Faça login no console do AWS RAM.

  2. No painel de navegação, escolha Compartilhamentos de recursos.

  3. Escolha Criar compartilhamento de recursos.

  4. No campo Nome, insira um nome descritivo para o compartilhamento de recursos.

  5. Em Tipo de recurso, selecione Equipe de aprovação multilateral no menu suspenso.

  6. Em Recursos, selecione a equipe de aprovação que você deseja compartilhar.

  7. Em Entidades principais, especifique as contas da AWS com as quais você deseja compartilhar a equipe de aprovação.

  8. Para compartilhar apenas com contas da AWS específicas, selecione Contas da AWS e insira os IDs de conta de 12 dígitos.

  9. Para compartilhar com uma organização ou unidade organizacional, selecione Organização ou Unidade organizacional e insira o ID apropriado.

  10. (Opcional) Em Tags, adicione as tags que você deseja associar a esse compartilhamento de recursos.

  11. Escolha Criar compartilhamento de recursos.

O status do compartilhamento de recursos será exibido inicialmente como PENDING. Depois que as contas dos destinatários aceitarem o convite, o status mudará para ACTIVE.

CLI

Para compartilhar uma equipe de aprovação multilateral utilizando o AWS RAM por meio da CLI, use estes comandos:

Primeiro, identifique o ARN da equipe de aprovação que você deseja compartilhar:

aws mpa list-approval-teams --region us-east-1

Crie um compartilhamento de recursos usando o comando create-resource-share:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Para compartilhar com uma organização em vez de contas específicas:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Verifique o status do compartilhamento de recursos:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

As contas dos destinatários precisarão aceitar o convite para o compartilhamento de recursos:

aws ram get-resource-share-invitations --region us-east-1

Execute na conta do destinatário para aceitar um convite:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Depois que o convite é aceito, a equipe de aprovação multilateral fica disponível para uso na conta do destinatário.

A AWS oferece ferramentas para compartilhar o acesso à conta, incluindo por meio do AWS Resource Access Manager e acesso multilateral. Ao optar por compartilhar um cofre logicamente isolado com outra conta, considere os seguintes detalhes:

Recurso Compartilhamento baseado no AWS RAM Acesso com base na aprovação multilateral
Acesso a cofres logicamente isolados Quando o compartilhamento do RAM é concluído, os cofres podem ser acessados. Qualquer tentativa de acesso por parte de uma conta diferente deve ser aprovada por um número mínimo de membros da equipe de aprovação multilateral. A sessão de aprovação expira automaticamente 24 horas após o início da solicitação.
Remoção de acesso A conta proprietária do cofre logicamente isolado pode encerrar o compartilhamento baseado no RAM a qualquer momento. O acesso a um cofre só pode ser removido por meio de uma solicitação à equipe de aprovação multilateral.
Cópia entre contas e/ou regiões Sem suporte no momento. Os backups podem ser copiados na mesma conta ou em outras contas na mesma organização da conta de recuperação.
Faturamento por transferência entre regiões As transferências entre regiões são cobradas na mesma conta proprietária do cofre de backup de acesso à restauração.
Uso recomendado O uso principal é para recuperação de perda de dados e testes de restauração. O uso principal é para situações em que se suspeita que o acesso ou a segurança da conta tenham sido comprometidos.
Regiões Disponível em todas as Regiões da AWS onde os cofres logicamente isolados são compatíveis. Disponível em todas as Regiões da AWS onde os cofres logicamente isolados são compatíveis.
Restaurações Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada. Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada.
Configuração O compartilhamento pode ocorrer assim que a conta do AWS Backup configurar o compartilhamento do RAM e a conta receptora aceitar o compartilhamento. O compartilhamento exige que a conta gerencial primeiro crie uma equipe e, depois, configure o compartilhamento do RAM. Em seguida, a conta gerencial opta pela aprovação multilateral e atribui essa equipe a um cofre logicamente isolado.
Compartilhar

O compartilhamento é feito por meio do RAM dentro da mesma organização da AWS ou entre organizações da AWS.

O acesso é concedido de acordo com o modelo “push”, no qual a conta proprietária do cofre logicamente isolado concede acesso. Depois, a outra conta aceita o acesso.

O acesso a um cofre logicamente isolado é feito por meio de equipes de aprovação com suporte do Organizations dentro da mesma organização da AWS ou entre organizações.

O acesso é concedido de acordo com o modelo “pull”, em que a conta receptora primeiro solicita o acesso e, depois, a equipe de aprovação concede ou nega a solicitação.