逻辑上受物理隔离的保管库的多方审批 - AWS Backup
多方审批概述先决条件和最佳实践多方审批跨区域注意事项多方审批术语

逻辑上受物理隔离的保管库的多方审批

逻辑上受物理隔离的保管库中的多方审批概述

AWS Backup 为您提供向逻辑上受物理隔离的保管库添加多方审批(AWS Organizations 中的一项功能)的选项。多方审批提供一个额外的选项,可通过分布式审批流程帮助保护关键操作。

多方审批旨在帮助保护关键资源,并最大限度地缩短恢复全面运行的时间,例如恶意行为者或恶意软件事件造成的中断。此设置可以帮助您还原可能已被损坏的逻辑上受物理隔离的保管库中的内容。

集成和结合使用多方审批团队与 AWS Backup 逻辑上受物理隔离的保管库无需支付额外费用(如定价页面所示,亚马逊将收取存储和跨区域传输费用)。

作为 AWS Backup 客户,您可以使用多方审批将某些操作的审批权限授予一组受信任的个人,如果怀疑存在可能影响主账户使用的恶意活动,他们可以协作审批从单独创建的恢复账户访问逻辑上受物理隔离的保管库的操作。

以下步骤概述了设置恢复 AWS 组织,设置多方审批,然后结合使用多方审批和逻辑上受物理隔离的保管库的建议流程:

  1. 管理员通过 Organizations 创建一个新组织用于执行恢复操作。

  2. 在这个新组织的管理账户中,管理员创建并配置一个 IAM Identity Center(IDC)实例(要启用组织实例,请参阅《IAM Identity Center 用户指南》中的启用 IAM Identity Center)。另请参阅《Multi-party approval User Guide》中的 Create a Multi-party approval identity source,了解操作顺序。

  3. 然后,管理员将创建一个审批团队,这个核心小组由可信任的个人组成,他们将是多方审批的主要用户。

  4. 管理员使用 AWS RAM 与每个拥有至少一个逻辑上受物理隔离的保管库的账户(可能是主账户)共享审批团队。拥有保管库的账户和辅助组织都需要设置 RAM。

  5. 这些账户的管理员会将逻辑上受物理隔离的保管库与审批团队关联起来

  6. 恢复账户请求访问一个账户,该账户的逻辑上受物理隔离的保管库与多方审批团队(简称“团队”)相关联。与该账户关联的团队批准或拒绝请求

  7. 拥有逻辑上受物理隔离的保管库的账户的管理员可以请求取消审批团队与保管库的关联。请求需要当前团队的批准。

  8. 管理员可以在必要时根据其安全实践或者在人员加入或离开组织时更新审批团队成员资格

结合使用多方审批和逻辑上受物理隔离的保管库的先决条件和最佳实践

您需要具备先决条件并遵循建议的最佳实践,才能有效且安全地结合使用多方审批和逻辑上受物理隔离的保管库。

最佳实践

  • 通过 Organizations 创建两个(或更多)AWS 组织。一个应该是主组织,在这个组织中,您的一个或多个账户拥有至少一个逻辑上受物理隔离的保管库。辅助组织应该是恢复组织。多方审批团队将在这个组织中进行管理。

先决条件

  1. 您已设置多方审批,并且拥有至少一个审批团队。

  2. 主组织中至少有一个账户必须拥有逻辑上受物理隔离的保管库(以及原始备份保管库)。

  3. 主组织中的管理账户可以选择加入多方审批。

    提示

    AWS Backup 建议您将服务控制策略(SCP)应用于主组织,并使用该组织和每个审批团队的相应权限对其进行配置。有关示例策略,请参阅多方审批术语部分。

  4. 辅助(恢复)组织中的多方审批团队与拥有逻辑上受物理隔离的保管库的账户和恢复账户通过 AWS RAM 共享

使用多方审批时的跨区域注意事项和依赖项

当您在不同的区域中启用多方审批和 IAM Identity Center 实例时,多方审批会跨区域调用 IAM Identity Center。这意味着用户和组信息会跨区域移动。多方审批团队资源只能在 AWS 区域美国东部(弗吉尼亚州北部)创建和存储。

其他引用多方审批团队资源的 AWS 区域将取决于 AWS 区域美国东部(弗吉尼亚州北部)。因此,如果 Identity Center 实例和/或逻辑上受物理隔离的保管库不在美国东部(弗吉尼亚州北部),则多方审批将进行跨区域调用。

多方审批术语、概念和用户角色

逻辑上受物理隔离的保管库中的多方审批是 AWS Organizations、AWS Account Management 和 AWS Backup 以及 AWS Identity and Access Management(IAM)和 AWS RAM(RAM)功能的集成。通过 CLI,您可以与每项服务交互以发送相应的命令。您也可以使用控制台,但需要导航到相应服务的控制台才能完成特定任务。

您与多方审批的交互方式取决于您在组织中的角色和职责,以及您在 AWS Backup 账户中拥有的权限。

《Multi-party approval User Guide》中所示,组织中使用多方审批的成员可以是请求者管理员审批者。特定权限应用于各项工作职能。根据安全最佳实践,用户只能履行一项工作职能。

控制台、门户和会话

拥有一个或多个逻辑上受物理隔离的保管库的 AWS Backup 账户可以使用多方审批。

在执行多方审批流程之前,如果之前尚未设置辅助组织,管理员会使用 AWS Organizations 创建辅助组织(恢复组织)用于恢复目的。

然后,管理员会使用 AWS Resource Access Manager(RAM)在主组织和恢复组织之间设置跨组织共享。

主组织包含拥有并使用逻辑上受物理隔离的保管库(用于存储受保护的数据)的账户。

恢复组织包含至少一个恢复账户。该账户具有一个接入点,该接入点可以作为共享逻辑上受物理隔离的保管库的关键“后门”。该接入点称为恢复访问权限备份保管库。此访问权限保管库不存储数据,而是充当接入点或挂载点,用于针对源逻辑上受物理隔离的保管库的内容执行镜像操作,但不包含可以更改或删除的数据。例如,如果客户在恢复访问权限备份保管库中执行恢复点的还原过程,则逻辑上受物理隔离的保管库中的恢复点将通过恢复账户利用跨账户还原进行还原。

为了确保获得额外的安全保护,客户使用此恢复账户在主账户中执行受保护的操作,但前提是这些操作获得了审批会话中的关联审批团队的批准。会话是在审批请求发送后由 AWS 创建的,当达到规定人数的审批团队成员批准或拒绝请求或允许的会话时间超过后,该会话便会结束。

团队由审批者(实际上是多方审批的各方部分)组成,他们会收到有关受保护操作请求的电子邮件通知。这些电子邮件确认针对请求的审批会话已开始。一旦达到规定的所需最低批准人数,便会获得批准。可以在创建多方审批团队(简称“团队”)时设置此规定人数。

多方审批团队通过 Organizations 多方审批门户(简称“门户”)进行管理,该门户是一个 AWS 托管的应用程序,为身份提供一个集中的位置,审批团队成员可以在这里接收和回复审批团队邀请及操作请求。