Tarefas do administrador - AWS Backup
Criar uma regra de aprovaçãoCompartilhe uma equipe de aprovação multipartidária usando AWS RAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tarefas do administrador

Várias tarefas envolvendo AWS Backup uma visão geral de várias partes exigiam um usuário com permissões de administrador e acesso à conta de gerenciamento.

Criar uma regra de aprovação

Um usuário da sua organização com permissões de administrador para uma AWS conta precisa configurar a aprovação multipartidária (etapa 3 na Visão geral).

Antes de realizar essa etapa, é recomendável que você tenha uma organização primária e uma organização secundária (para fins de recuperação) configuradas por meio do AWS Organizations (etapa 1) da Visão geral.

Consulte Criar uma equipe de aprovação no Guia do usuário da aprovação multilateral para criar sua equipe.

Durante a operação aws mpa create-approval-team, um dos parâmetros é policies. Esta é uma lista de ARNs (Amazon Resource Names) para políticas de recursos de aprovação multipartidária que definem permissões que protegem a equipe.

A política mostrada no exemplo do Guia do usuário da aprovação multilateral no procedimento Criar uma equipe de aprovação contém a política ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] com várias permissões necessárias.

Siga estas etapas para exibir uma lista das políticas disponíveis usando mpa list-policies:

  1. Listar políticas: 

    aws mpa list-policies --region us-east-1

  2. Listar todas as versões da política: 

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. Consultar detalhes sobre uma política: 

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Expanda o conteúdo abaixo para ver a política que será criada e anexada à sua equipe de aprovação por essa operação:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Compartilhe uma equipe de aprovação multipartidária usando AWS RAM

Você pode compartilhar uma equipe de aprovação multipartidária com outras AWS contas usando AWS Resource Access Manager (RAM), etapa 4 na visão geral.

Console
Compartilhe uma equipe de aprovação multipartidária usando AWS RAM

  1. Faça login no console do AWS RAM.

  2. No painel de navegação, escolha Compartilhamentos de recursos.

  3. Escolha Criar compartilhamento de recursos.

  4. No campo Nome, insira um nome descritivo para o compartilhamento de recursos.

  5. Em Tipo de recurso, selecione Equipe de aprovação multilateral no menu suspenso.

  6. Em Recursos, selecione a equipe de aprovação que você deseja compartilhar.

  7. Em Diretores, especifique as AWS contas com as quais você deseja compartilhar a equipe de aprovação.

  8. Para compartilhar com AWS contas específicas, selecione AWS contas e insira a conta de 12 dígitos. IDs

  9. Para compartilhar com uma organização ou unidade organizacional, selecione Organização ou Unidade organizacional e insira o ID apropriado.

  10. (Opcional) Em Tags, adicione as tags que você deseja associar a esse compartilhamento de recursos.

  11. Escolha Criar compartilhamento de recursos.

O status do compartilhamento de recursos será exibido inicialmente como PENDING. Depois que as contas dos destinatários aceitarem o convite, o status mudará para ACTIVE.

CLI

Para compartilhar uma equipe de aprovação multipartidária AWS RAM usando a CLI, use os seguintes comandos:

Primeiro, identifique o ARN da equipe de aprovação que você deseja compartilhar:

aws mpa list-approval-teams --region us-east-1

Crie um compartilhamento de recursos usando o create-resource-share comando:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Para compartilhar com uma organização em vez de contas específicas:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Verifique o status do compartilhamento de recursos:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

As contas dos destinatários precisarão aceitar o convite para o compartilhamento de recursos:

aws ram get-resource-share-invitations --region us-east-1

Execute na conta do destinatário para aceitar um convite:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Depois que o convite é aceito, a equipe de aprovação multilateral fica disponível para uso na conta do destinatário.

AWS oferece ferramentas para compartilhar o acesso à conta, incluindo acesso direto AWS Resource Access Managere multipartidário. Ao optar por compartilhar um cofre logicamente isolado com outra conta, considere os seguintes detalhes:

Recurso AWS RAM compartilhamento baseado Acesso com base na aprovação multilateral
Acesso a cofres logicamente isolados Quando o compartilhamento do RAM é concluído, os cofres podem ser acessados. Qualquer tentativa de acesso por parte de uma conta diferente deve ser aprovada por um número mínimo de membros da equipe de aprovação multilateral. A sessão de aprovação expira automaticamente 24 horas após o início da solicitação.
Remoção de acesso A conta proprietária do cofre logicamente isolado pode encerrar o compartilhamento baseado no RAM a qualquer momento. O acesso a um cofre só pode ser removido por meio de uma solicitação à equipe de aprovação multilateral.
Copiar entre contas e and/or regiões Sem suporte no momento. Os backups podem ser copiados na mesma conta ou em outras contas na mesma organização da conta de recuperação.
Faturamento por transferência entre regiões As transferências entre regiões são cobradas na mesma conta proprietária do cofre de backup de acesso à restauração.
Uso recomendado O uso principal é para recuperação de perda de dados e testes de restauração. O uso principal é para situações em que se suspeita que o acesso ou a segurança da conta tenham sido comprometidos.
Regiões Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados. Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados.
Restaura Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada. Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada.
Configuração O compartilhamento pode ocorrer assim que a AWS Backup conta configurar o compartilhamento de RAM e a conta receptora aceitar o compartilhamento. O compartilhamento exige que a conta gerencial primeiro crie uma equipe e, depois, configure o compartilhamento do RAM. Em seguida, a conta gerencial opta pela aprovação multilateral e atribui essa equipe a um cofre logicamente isolado.
Compartilhamento

O compartilhamento é feito por meio da RAM dentro AWS da mesma organização ou entre AWS organizações.

O acesso é concedido de acordo com o modelo “push”, no qual a conta proprietária do cofre logicamente isolado concede acesso. Depois, a outra conta aceita o acesso.

O acesso a um cofre logicamente isolado é feito por meio de equipes de aprovação apoiadas pela Organizations dentro da AWS mesma organização ou entre organizações.

O acesso é concedido de acordo com o modelo “pull”, em que a conta receptora primeiro solicita o acesso e, depois, a equipe de aprovação concede ou nega a solicitação.