View a markdown version of this page

Tarefas do administrador - AWS Backup
Criar uma regra de aprovaçãoCompartilhe uma equipe de Multi-party aprovação usando AWS RAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tarefas do administrador

Várias tarefas envolvendo AWS Backup uma Multi-party visão geral exigiam um usuário com permissões de administrador e acesso à conta de gerenciamento.

Criar uma regra de aprovação

Um usuário da sua organização com permissões de administrador para uma AWS conta precisa configurar a Multi-party aprovação (etapa 3 na Visão geral).

Antes de realizar essa etapa, é recomendável que você tenha uma organização primária e uma organização secundária (para fins de recuperação) configuradas por meio do AWS Organizations (etapa 1) da Visão geral.

Consulte Criar uma equipe de aprovação no guia do usuário de Multi-party aprovação para criar sua equipe.

Durante a operação aws mpa create-approval-team, um dos parâmetros é policies. Esta é uma lista de ARNs (Amazon Resource Names) para políticas de recursos de Multi-party aprovação que definem permissões que protegem a equipe.

A política mostrada no exemplo no Guia do usuário de Multi-party aprovação no procedimento Criar uma equipe de aprovação contém a política ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] com várias permissões necessárias.

Siga estas etapas para exibir uma lista das políticas disponíveis usando mpa list-policies:

  1. Listar políticas: 

    aws mpa list-policies --region us-east-1

  2. Listar todas as versões da política: 

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. Consultar detalhes sobre uma política: 

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Expanda o conteúdo abaixo para ver a política que será criada e anexada à sua equipe de aprovação por essa operação:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Compartilhe uma equipe de Multi-party aprovação usando AWS RAM

Você pode compartilhar uma equipe de Multi-party aprovação com outras AWS contas usando AWS Resource Access Manager (RAM), etapa 4 na visão geral.

Console
Compartilhe uma equipe de Multi-party aprovação usando AWS RAM

  1. Faça login no console do AWS RAM.

  2. No painel de navegação, escolha Compartilhamentos de recursos.

  3. Escolha Criar compartilhamento de recursos.

  4. No campo Nome, insira um nome descritivo para o compartilhamento de recursos.

  5. Em Tipo de recurso, selecione Equipe de Multi-party aprovação no menu suspenso.

  6. Em Recursos, selecione a equipe de aprovação que você deseja compartilhar.

  7. Em Diretores, especifique as AWS contas com as quais você deseja compartilhar a equipe de aprovação.

  8. Para compartilhar com AWS contas específicas, selecione AWS contas e insira os IDs de conta de 12 dígitos.

  9. Para compartilhar com uma organização ou unidade organizacional, selecione Organização ou Unidade organizacional e insira o ID apropriado.

  10. (Opcional) Em Tags, adicione as tags que você deseja associar a esse compartilhamento de recursos.

  11. Escolha Criar compartilhamento de recursos.

O status do compartilhamento de recursos será exibido inicialmente como PENDING. Depois que as contas dos destinatários aceitarem o convite, o status mudará para ACTIVE.

CLI

Para compartilhar uma equipe de Multi-party aprovação AWS RAM usando a CLI, use os seguintes comandos:

Primeiro, identifique o ARN da equipe de aprovação que você deseja compartilhar:

aws mpa list-approval-teams --region us-east-1

Crie um compartilhamento de recursos usando o comando create-resource-share:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Para compartilhar com uma organização em vez de contas específicas:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Verifique o status do compartilhamento de recursos:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

As contas dos destinatários precisarão aceitar o convite para o compartilhamento de recursos:

aws ram get-resource-share-invitations --region us-east-1

Execute na conta do destinatário para aceitar um convite:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Depois que o convite for aceito, a equipe de Multi-party aprovação estará disponível para uso na conta do destinatário.

AWS oferece ferramentas para compartilhar o acesso à conta, inclusive por meio AWS Resource Access Managere Multi-party acesso. Ao optar por compartilhar um cofre logicamente isolado com outra conta, considere os seguintes detalhes:

Recurso AWS RAM compartilhamento baseado Multi-party acesso baseado em aprovação
Acesso a cofres logicamente isolados Quando o compartilhamento do RAM é concluído, os cofres podem ser acessados. Qualquer tentativa de uma conta diferente deve ser aprovada por um número mínimo de membros da equipe de Multi-party aprovação. A sessão de aprovação expira automaticamente 24 horas após o início da solicitação.
Remoção de acesso A conta proprietária do cofre logicamente isolado pode encerrar o compartilhamento baseado no RAM a qualquer momento. O acesso a um cofre só pode ser removido por meio de uma solicitação à equipe de Multi-party aprovação.
Copiar entre contas e and/or regiões Sem suporte no momento. Os backups podem ser copiados na mesma conta ou em outras contas na mesma organização da conta de recuperação.
Cross-Region cobrança por transferência Cross-Region as transferências são cobradas na mesma conta proprietária do cofre de backup de acesso restaurado.
Uso recomendado O uso principal é para recuperação de perda de dados e testes de restauração. O uso principal é para situações em que se suspeita que o acesso ou a segurança da conta tenham sido comprometidos.
Regiões Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados. Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados.
Restaura Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada. Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada.
Configuração O compartilhamento pode ocorrer assim que a AWS Backup conta configurar o compartilhamento de RAM e a conta receptora aceitar o compartilhamento. O compartilhamento exige que a conta gerencial primeiro crie uma equipe e, depois, configure o compartilhamento do RAM. Em seguida, a conta de gerenciamento opta pela Multi-party aprovação e atribui essa equipe a um cofre logicamente isolado.
Compartilhamento

O compartilhamento é feito por meio da RAM dentro AWS da mesma organização ou entre AWS organizações.

O acesso é concedido de acordo com o modelo “push”, no qual a conta proprietária do cofre logicamente isolado concede acesso. Depois, a outra conta aceita o acesso.

O acesso a um cofre logicamente isolado é feito por meio de equipes de aprovação apoiadas pela Organizations dentro da AWS mesma organização ou entre organizações.

O acesso é concedido de acordo com o modelo “pull”, em que a conta receptora primeiro solicita o acesso e, depois, a equipe de aprovação concede ou nega a solicitação.