Aprovação multilateral para cofres logicamente isolados - AWS Backup
Visão geral da aprovação multilateralPré-requisitos e práticas recomendadasConsiderações entre regiões da aprovação multilateralTermos da aprovação multilateral

Aprovação multilateral para cofres logicamente isolados

Visão geral da aprovação multilateral em um cofre logicamente isolado

O AWS Backup oferece a opção de adicionar a Aprovação multilateral, um recurso do AWS Organizations, aos seus cofres logicamente isolados. A aprovação multilateral fornece uma opção adicional para ajudar a proteger operações críticas por meio de um processo de aprovação distribuído.

A aprovação multilateral foi projetada para ajudar a proteger recursos essenciais e minimizar o tempo de retorno à operação total, como no caso de uma interrupção causada por agentes maliciosos ou eventos de malware. Essa configuração pode ajudar a restaurar o conteúdo de um cofre logicamente isolado que pode ter sido comprometido.

Não há custo adicional para integrar e usar equipes de aprovação multilateral com os cofres logicamente isolados do AWS Backup (há taxas de armazenamento e transferências entre regiões, conforme indicado na página de preços).

Como cliente do AWS Backup, você pode usar a aprovação multilateral para conceder recursos de aprovação de algumas operações a um grupo de pessoas confiáveis que podem aprovar de forma colaborativa o acesso a um cofre logicamente isolado. Isso é feito por meio de uma conta de recuperação criada separadamente no caso de suspeita de atividade maliciosa que possa comprometer o uso da conta principal.

As etapas a seguir descrevem o fluxo recomendado para configurar uma organização da AWS de recuperação, configurar a aprovação multilateral e, depois, usar a aprovação multilateral com cofres logicamente isolados:

  1. Um administrador cria uma organização por meio do Organizations para ser usada em operações de recuperação.

  2. Na conta gerencial dessa nova organização, o administrador cria e configura uma instância do Centro de Identidade do IAM (IDC). Para saber como ativar uma instância da organização, consulte Ativar o Centro de Identidade do IAM no Guia do usuário do Centro de Identidade do IAM. Consulte também a sequência para Criar uma fonte de identidades de aprovação multilateral no Guia do usuário da aprovação multilateral.

  3. O administrador então vai criar uma equipe de aprovação, o grupo principal de indivíduos confiáveis que serão os usuários principais da aprovação multilateral.

  4. O administrador usa o AWS RAM para compartilhar uma equipe de aprovação com cada conta que possui pelo menos um cofre logicamente isolado (provavelmente a conta principal). Tanto a conta que possui o cofre quanto a organização secundária precisam ter o RAM configurado.

  5. Um administrador dessas contas associa um cofre logicamente isolado a uma equipe de aprovação.

  6. Uma conta de recuperação solicita acesso a uma conta que tem um cofre logicamente isolado para uma equipe de aprovação multilateral associada (“equipe”). A equipe associada à conta aprova ou nega a solicitação.

  7. O administrador da conta que possui o cofre logicamente isolado pode solicitar que a equipe de aprovação seja desassociada do cofre. A solicitação exige a aprovação da equipe atual.

  8. Um administrador pode atualizar a associação à equipe de aprovação conforme necessário, de acordo com as práticas de segurança ou quando pessoas entram ou saem da organização.

Pré-requisitos e práticas recomendadas para usar a aprovação multilateral com um cofre logicamente isolado

Antes que você possa usar de forma segura e eficaz a aprovação multilateral com seus cofres logicamente isolados, é importante estar ciente dos pré-requisitos e das práticas recomendadas.

Práticas recomendadas:

  • Duas (ou mais) organizações da AWS por meio do Organizations. Uma delas deve ser sua organização principal, na qual você tem uma ou mais contas que possuam pelo menos um cofre logicamente isolado. A organização secundária deve ser a organização de recuperação. É nessa organização que a equipe de aprovação multilateral será gerenciada.

Pré-requisitos

  1. Configurar a aprovação multilateral e ter pelo menos uma equipe de aprovação.

  2. Pelo menos uma conta na organização principal deve ter um cofre logicamente isolado (e o cofre de backup original).

  3. A conta gerencial na organização principal deve ter aceitado a aprovação multilateral.

    dica

    O AWS Backup recomenda que você aplique uma política de controle de serviços (SCP) à organização principal e a configure com as permissões apropriadas para a organização e para cada equipe de aprovação. Consulte um exemplo de política na seção de Termos da aprovação multilateral.

  4. A equipe de aprovação multilateral da organização secundária (de recuperação) é compartilhada por meio do AWS RAM com as contas que possuem os cofres logicamente isolados e com as contas de recuperação.

Considerações e dependências entre regiões ao usar a aprovação multilateral

Quando você ativa a aprovação multilateral e a instância do Centro de Identidade do IAM em diferentes regiões, a aprovação multilateral faz chamadas entre regiões para o Centro de Identidade do IAM. Isso significa que as informações do usuário e do grupo se movem entre as regiões. Os recursos da equipe de aprovação multilateral só podem ser criados e armazenados na Região da AWS Leste dos EUA (Norte da Virgínia).

Outras Regiões da AWS que fazem referência aos recursos da equipe de aprovação multilateral dependem da Região da AWS Leste dos EUA (Norte da Virgínia). Consequentemente, a aprovação multilateral fará chamadas entre regiões se a instância do Centro de Identidade e/ou o cofre logicamente isolado não estiverem na região Leste dos EUA (Norte da Virgínia).

Termos, conceitos e personas de usuário da aprovação multilateral

A aprovação multilateral no cofre logicamente isolado é uma integração doAWS Organizations, do AWS Account Management e do AWS Backup, junto com os recursos do AWS Identity and Access Management (IAM) e do AWS RAM (RAM). Por meio da CLI, é possível interagir com cada serviço para enviar os comandos apropriados. Você também pode usar o console, mas precisará acessar o console do serviço apropriado para concluir tarefas específicas.

A forma como você interage com a aprovação multilateral depende de suas funções e responsabilidades em suas organizações, bem como das permissões que você tem em suas contas do AWS Backup.

Conforme mostrado no Guia do usuário da aprovação multilateral, os membros da sua organização que usam essa aprovação serão solicitantes, administradores ou aprovadores. Permissões específicas se aplicam a cada função de trabalho. De acordo com as práticas recomendadas de segurança, um usuário deve realizar apenas uma função de trabalho.

Consoles, portais e sessões

Contas do AWS Backup com um ou mais cofres logicamente isolados podem usar a aprovação multilateral.

Antes do processo de aprovação multilateral, um administrador usa o AWS Organizations para criar uma organização secundária para fins de recuperação (uma organização de recuperação), caso ela ainda não tenha sido configurada.

Depois, o administrador utiliza o AWS Resource Access Manager (RAM) para configurar o compartilhamento entre a organização principal e a organização de recuperação.

A organização principal abrange as contas que possuem e usam um cofre logicamente isolado, que armazena os dados protegidos.

A organização de recuperação contém pelo menos uma conta de recuperação. Essa conta possui um ponto de acesso que pode servir como um acesso alternativo fundamental para o cofre logicamente isolado compartilhado. Esse ponto de acesso é chamado de cofre de backup de acesso para restauração. Esse cofre de acesso não armazena dados; em vez disso, ele serve como um ponto de acesso ou de montagem que espelha o conteúdo do cofre logicamente isolado de origem, mas não contém dados que possam ser alterados ou excluídos. Por exemplo, se um cliente passa pelo processo de restauração de um ponto de recuperação em um cofre de backup de acesso para restauração, é o ponto de recuperação no cofre logicamente isolado que é restaurado por meio da restauração entre contas usando a conta de recuperação.

Para garantir mais segurança, os clientes usam essa conta de recuperação para realizar operações protegidas na conta principal, mas somente após essas operações terem sido aprovadas pela equipe de aprovação associada em uma sessão de aprovação. A AWS cria uma sessão no momento do envio de uma solicitação de aprovação, e essa sessão termina quando um limite de membros da equipe de aprovação aprova ou nega a solicitação ou quando o tempo permitido para a sessão tiver passado.

Uma equipe consiste em aprovadores (basicamente, as partes envolvidas na aprovação multilateral) que recebem notificações por e-mail sobre solicitações de operação protegidas. Esses e-mails confirmam que uma sessão de aprovação foi iniciada em resposta à solicitação. A aprovação é concedida quando o limite mínimo exigido para aprovação é atingido. Esse limite pode ser definido ao criar a equipe de aprovação multilateral (“Equipe”).

As equipes de aprovação multilateral são gerenciadas por meio do portal de aprovação multilateral (“portal”) do Organizations, uma aplicação gerenciada pela AWS que fornece identidades em um local centralizado onde os membros da equipe de aprovação podem receber e responder aos convites da equipe de aprovação e às solicitações de operação.