管理员任务 - AWS Backup
创建审批团队使用 AWS RAM 共享多方审批团队

管理员任务

一些涉及 AWS Backup 和多方概述的任务需要具有管理员权限和管理账户访问权限的用户来执行。

创建审批团队

组织中拥有 AWS 账户管理员权限的用户需要设置多方审批概述中的第 3 步)。

在执行此步骤之前,建议的最佳实践是通过 AWS Organizations 设置主组织和辅助组织(用于恢复目的)(概述中的第 1 步)。

要创建团队,请参阅《Multi-party approval User Guide》中的 Create an approval team

aws mpa create-approval-team 操作过程中,其中一个参数是 policies。这是多方审批资源策略的 ARN(Amazon 资源名称)列表,这些策略定义了保护团队的权限。

《Multi-party approval User Guide》中的 Create an approval team 步骤中的示例显示的策略包含具有多个必要权限的策略 ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]

按照以下步骤使用 mpa list-policies 返回可用策略列表:

  1. 列出策略:

    aws mpa list-policies --region us-east-1

  2. 列出所有策略版本:

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. 获取有关策略的详细信息:

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

展开下方,查看此操作将创建并附加到审批团队的策略:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

使用 AWS RAM 共享多方审批团队

您可以使用 AWS Resource Access Manager(RAM)与其他 AWS 账户共享多方审批团队(概述中的第 4 步)。

Console
使用 AWS RAM 共享多方审批团队

  1. 登录 AWS RAM 控制台

  2. 在导航窗格中,选择资源共享

  3. 选择创建资源共享

  4. 对于名称字段,输入资源共享的描述性名称。

  5. 资源类型下,从下拉菜单中选择多方审批团队

  6. 资源下,选择要共享的审批团队。

  7. 主体下,指定要与之共享审批团队的 AWS 账户。

  8. 要与特定 AWS 账户共享,请选择 AWS 账户并输入 12 位数的账户 ID。

  9. 要与组织或组织单元共享,请选择组织组织单元并输入相应的 ID。

  10. 可选)在标签下,添加要与此资源共享关联的所有标签。

  11. 选择创建资源共享

资源共享状态最初将显示为 PENDING。接收方账户接受邀请后,状态将更改为 ACTIVE

CLI

要通过 CLI 使用 AWS RAM 共享多方审批团队,请使用以下命令:

首先,确定要共享的审批团队的 ARN:

aws mpa list-approval-teams --region us-east-1

使用 create-resource-share 命令创建资源共享:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

要与组织而不是特定账户共享,请执行以下操作:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

检查资源共享的状态:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

接收方账户需要接受资源共享邀请:

aws ram get-resource-share-invitations --region us-east-1

在接收方账户中运行以接受邀请:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

接受邀请后,多方审批团队即可在接收方账户中使用。

AWS 提供共享账户访问权限的工具,包括通过 AWS Resource Access Manager多方访问权限。当您选择与其他账户共享逻辑上受物理隔离的保管库时,请考虑以下细节:

功能 基于 AWS RAM 的共享 基于多方审批的访问
访问逻辑上受物理隔离的保管库 RAM 共享完成后,便可以访问保管库。 其他账户的任何尝试都必须获得一定数量的多方审批团队成员的批准。审批会话将在请求启动 24 小时后自动过期。
访问权限移除 拥有逻辑上受物理隔离的保管库的账户可以随时结束基于 RAM 的共享。 要移除对保管库的访问权限,唯一的方法是向多方审批团队发送请求。
跨账户和/或区域复制 当前不支持。 可以在与恢复账户相同的账户或相同的组织中的其他账户中复制备份。
跨区域传输账单 亚马逊向拥有恢复访问权限备份保管库的同一账户开具跨区域传输账单。
建议用途 主要用于数据丢失恢复和还原测试。 主要用于怀疑账户访问权限或安全性受到威胁的情况。
区域 在支持逻辑上受物理隔离的保管库的所有 AWS 区域可用。 在支持逻辑上受物理隔离的保管库的所有 AWS 区域可用。
还原 所有支持的资源类型都可以从共享账户中还原。 所有支持的资源类型都可以从共享账户中还原。
设置 只要 AWS Backup 账户设置了 RAM 共享并且接收账户接受共享,就可以进行共享。 要进行共享,需要管理账户先创建团队,然后设置 RAM 共享。然后,管理账户选择加入多方审批,并将该团队分配到逻辑上受物理隔离的保管库。
共享

通过 RAM 在同一 AWS 组织中或跨 AWS 组织完成共享。

访问权限是根据“推送”模型授予的,即拥有逻辑上受物理隔离的保管库的账户先授予访问权限。然后,其他账户接受访问权限。

通过同一 AWS 组织中或跨组织的 Organizations 支持的审批团队访问逻辑上受物理隔离的保管库。

访问权限是根据“拉取”模型授予的,即接收账户先请求访问权限,然后审批团队批准或拒绝请求。