Aprovação multipartidária para cofres logicamente isolados - AWS Backup
Visão geral da aprovação multipartidáriaPré-requisitos e melhores práticasAprovação multipartidária Considerações entre regiõesTermos de aprovação multipartidária

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Aprovação multipartidária para cofres logicamente isolados

Visão geral da aprovação multipartidária em um cofre logicamente fechado

AWS Backup oferece a opção de adicionar aprovação multipartidária, uma capacidade de AWS Organizations, aos seus cofres logicamente fechados. A aprovação multipartidária fornece uma opção adicional para ajudar a proteger operações críticas por meio de um processo de aprovação distribuído.

A aprovação multipartidária foi projetada para ajudar a proteger recursos essenciais e minimizar o tempo de retorno à operação total (RTO), como uma interrupção causada por agentes maliciosos ou eventos de malware. Essa configuração pode ajudá-lo a restaurar o conteúdo de um cofre logicamente isolado que pode ter sido comprometido.

Como AWS Backup cliente, você pode usar a aprovação de várias partes para conceder recursos de aprovação de algumas operações a um grupo de pessoas confiáveis que podem aprovar de forma colaborativa o acesso a um cofre logicamente isolado a partir de uma conta de recuperação criada separadamente no caso de suspeita de atividade maliciosa que possa comprometer o uso da conta principal.

As etapas a seguir descrevem o fluxo recomendado para configurar uma AWS organização de recuperação, configurar a aprovação multipartidária e, em seguida, usar a aprovação multipartidária com seus cofres logicamente fechados:

  1. Um administrador cria uma nova organização por meio de Organizations para ser usada em operações de recuperação.

  2. Na conta de gerenciamento dessa nova organização, o administrador cria e configura uma instância do IAM Identity Center (IDC) (para habilitar uma instância da organização, consulte Habilitar o IAM Identity Center no Guia do usuário do IAM Identity Center. Veja também a sequência para Criar uma fonte de identidade de aprovação multipartidária no Guia do usuário de aprovação multipartidária.

  3. O administrador então criará uma equipe de aprovação, o grupo principal de indivíduos confiáveis que serão os principais usuários da aprovação multipartidária.

  4. O administrador compartilha uma equipe de aprovação usando AWS RAM com cada conta que possui pelo menos um cofre logicamente isolado (provavelmente sua conta principal).

  5. Um administrador dessas contas associa um cofre logicamente isolado a uma equipe de aprovação.

  6. Uma conta de recuperação solicita acesso a uma conta que tem um cofre logicamente isolado com uma equipe de aprovação multipartidária associada (“equipe”). A equipe associada à conta aprova ou nega a solicitação.

  7. O administrador da conta do proprietário do cofre logicamente isolado pode solicitar que a equipe de aprovação seja desassociada do cofre. A solicitação exige a aprovação atual da equipe.

  8. Um administrador pode atualizar a participação na equipe de aprovação conforme necessário, de acordo com suas práticas de segurança ou quando as pessoas entram ou saem da sua organização.

Pré-requisitos e melhores práticas para usar a aprovação multipartidária com um cofre logicamente fechado

Antes que você possa usar de forma eficaz e segura a aprovação multipartidária com seus cofres logicamente fechados, existem pré-requisitos e práticas recomendadas.

Melhores práticas:

  • Duas (ou mais) AWS organizações por meio de Organizations. Uma delas deve ser sua organização principal, na qual você tem uma ou mais contas que tenham pelo menos um cofre logicamente isolado. A organização secundária deve ser sua organização de recuperação. É nessa organização que sua equipe de aprovação multipartidária será gerenciada.

Pré-requisitos

  1. Você configurou a aprovação multipartidária e tem pelo menos uma equipe de aprovação.

  2. Pelo menos uma conta em sua organização principal deve ter um cofre logicamente isolado (e o cofre de backup original).

  3. A conta de gerenciamento na organização principal está autorizada a receber aprovação multipartidária.

    dica

    AWS Backup recomenda que você aplique uma Política de Controle de Serviços (SCP) à sua organização principal e a configure com as permissões apropriadas para a organização e para cada equipe de aprovação.

  4. Sua equipe de aprovação multipartidária da organização secundária (de recuperação) é compartilhada AWS RAM com suas contas que possuem o (s) cofre (s) logicamente isolado (s).

Considerações e dependências entre regiões ao usar a aprovação multipartidária

Quando você ativa a aprovação multipartidária e sua instância do IAM Identity Center em diferentes regiões, a aprovação multipartidária faz chamadas entre regiões para o IAM Identity Center. Isso significa que as informações do usuário e do grupo se movem entre as regiões. Os recursos da equipe de aprovação multipartidária só podem ser criados e armazenados no Leste Região da AWS dos EUA (Norte da Virgínia).

Além Regiões da AWS disso, os recursos da equipe de aprovação multipartidária dependerão do Leste Região da AWS dos EUA (Norte da Virgínia). Consequentemente, a aprovação de várias partes fará chamadas entre regiões se o cofre and/or logicamente isolado de sua instância do Identity Center não estiver no Leste dos EUA (Norte da Virgínia).

Termos, conceitos e personalidades de usuário de aprovação multipartidária

A aprovação multipartidária em seu cofre logicamente isolado é uma integração de AWS Organizations, e AWS Gerenciamento de contas AWS Backup, junto com os recursos AWS Identity and Access Management (IAM) e (RAM). AWS RAM Por meio da CLI, você pode interagir com cada serviço para enviar os comandos apropriados. Você também pode usar o console, mas precisará navegar até o console do serviço apropriado para concluir tarefas específicas.

A forma como você interage com a aprovação multipartidária depende de suas funções e responsabilidades em suas organizações, bem como das permissões que você tem em suas AWS Backup contas.

Conforme mostrado no Guia do usuário da aprovação multipartidária, os membros da sua organização que usam a aprovação multipartidária serão solicitantes, administradores ou aprovadores. Permissões específicas se aplicam a cada função de trabalho. De acordo com as melhores práticas de segurança, um usuário deve cumprir apenas uma função de trabalho.

Consoles, portais e sessões

AWS Backup contas com um ou mais cofres logicamente isolados podem usar a aprovação de várias partes.

Antes do processo de aprovação de várias partes, um administrador pode criar AWS Organizations uma organização secundária para fins de recuperação (uma organização de recuperação), caso não tenha sido configurada anteriormente.

Em seguida, o administrador utiliza AWS Resource Access Manager (RAM) para configurar o compartilhamento entre organizações entre a organização principal e a organização de recuperação.

A organização principal abriga contas que possuem e usam um cofre logicamente isolado, que armazena os dados protegidos.

A organização de recuperação tem pelo menos uma conta de recuperação. Essa conta abriga um ponto de acesso que pode servir como uma “porta traseira” crítica para o cofre compartilhado logicamente isolado. Esse ponto de acesso é chamado de cofre de backup de acesso para restauração. Esse cofre de acesso não armazena dados; em vez disso, ele serve como um ponto de acesso ou de montagem que espelha o conteúdo do cofre de origem logicamente isolado, mas não contém dados que possam ser alterados ou excluídos. Por exemplo, se um cliente passa pelo processo de restauração de um ponto de recuperação em um cofre de backup de acesso à restauração, é o ponto de recuperação no cofre logicamente isolado que é restaurado por meio da restauração entre contas por meio da conta de recuperação.

Para garantir mais segurança, os clientes usam essa conta de recuperação para realizar operações protegidas na conta principal, mas somente após essas operações terem sido aprovadas pela equipe de aprovação associada em uma sessão de aprovação. Uma sessão é criada AWS quando uma solicitação de aprovação é enviada, e essa sessão termina quando um limite de membros da equipe de aprovação aprova ou nega a solicitação ou quando o tempo permitido para a sessão tiver passado.

Uma equipe consiste em aprovadores (efetivamente, a parte das partes na aprovação multipartidária) que recebem notificações por e-mail sobre solicitações de operação protegidas. Esses e-mails confirmam que uma sessão de aprovação da solicitação foi iniciada. A aprovação é concedida quando o limite mínimo exigido de aprovação é atingido. Esse limite pode ser definido à medida que a equipe de aprovação multipartidária (“Equipe”) é criada.

As equipes de aprovação multipartidárias são gerenciadas por meio do portal de aprovação multipartidário (“portal”) da Organizations, um aplicativo AWS gerenciado que fornece identidades em um local centralizado onde os membros da equipe de aprovação podem receber e responder aos convites da equipe de aprovação e às solicitações de operação.