管理員任務 - AWS Backup
建立核准團隊使用 共用多方核准團隊 AWS RAM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理員任務

涉及 AWS Backup 和多方概觀的數個任務需要具有管理許可和管理帳戶存取權的使用者。

建立核准團隊

組織中具有 AWS 帳戶管理員許可的使用者需要設定多方核准 (概觀中的步驟 3)。

在執行此步驟之前,建議您透過 (概觀中的步驟 1) 設定主要組織和次要組織 AWS Organizations (用於復原目的),做為最佳實務。

請參閱多方核准使用者指南中的建立核准團隊,以建立您的團隊。

aws mpa create-approval-team操作期間,其中一個參數是 policies。這是多方核准資源政策的 ARNs (Amazon Resource Name) 清單,可定義保護團隊的許可。

程序建立核准團隊多方核准使用者指南範例中顯示的政策包含["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]具有數個必要許可的政策。您可以使用 mpa list-policies傳回可用政策的清單。

展開下方以查看將建立的政策,然後透過此操作連接到您的核准團隊:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

使用 共用多方核准團隊 AWS RAM

您可以使用概觀中的步驟 4 AWS Resource Access Manager (RAM) 與其他 AWS 帳戶共用多方核准團隊。

Console
使用 共用多方核准團隊 AWS RAM

  1. 登入 AWS RAM 主控台

  2. 在導覽窗格中,選擇資源共用

  3. 選擇 Create resource share (建立資源共用)

  4. 名稱欄位中,輸入資源共享的描述性名稱。

  5. 資源類型下,從下拉式選單中選取多方核准團隊

  6. 資源下,選取您要共用的核准團隊。

  7. 委託人下,指定您要與其共用核准團隊 AWS 的帳戶。

  8. 若要與特定 AWS 帳戶共用,請選取AWS 帳戶,然後輸入 12 位數的帳戶 IDs。

  9. 若要與組織或組織單位共用,請選取組織組織單位,然後輸入適當的 ID。

  10. (選用) 在標籤下,新增您要與此資源共享建立關聯的任何標籤。

  11. 選擇 Create resource share (建立資源共用)

資源共用狀態一開始會顯示為 PENDING。一旦收件人帳戶接受邀請,狀態會變更為 ACTIVE

CLI

若要 AWS RAM 透過 CLI 使用 共用多方核准團隊,請使用下列命令:

首先,識別您要共用之核准團隊的 ARN:

aws mpa list-approval-teams --region us-east-1

使用 create-resource-share 命令建立資源共用:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

若要與組織而非特定帳戶共用:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

檢查資源共享的狀態:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

收件人帳戶將需要接受資源共享邀請:

aws ram get-resource-share-invitations --region us-east-1

在收件人帳戶中執行 以接受邀請:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

一旦接受邀請,多方核准團隊就可以在收件人帳戶中使用。

AWS 提供工具來共用帳戶存取,包括透過 AWS Resource Access Manager和多方存取。 https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html當您選擇與其他帳戶共用邏輯氣隙隔離保存庫時,請考慮下列詳細資訊:

功能 AWS RAM 型共用 多方核准型存取
存取邏輯氣隙隔離保存庫 RAM 共用完成後,即可存取保存庫。 不同帳戶的任何嘗試都必須由多方核准團隊成員的閾值核准。核准工作階段會在請求啟動後 24 小時自動過期。
存取移除 擁有邏輯氣隙隔離保存庫的帳戶可以隨時結束以 RAM 為基礎的共用。 只有對多方核准團隊的請求才能移除保存庫的存取權。
跨帳戶和/或區域複製 目前不支援。 備份可以在與復原帳戶相同的 帳戶中複製,或與相同組織中的其他 帳戶複製。
跨區域轉移帳單 跨區域傳輸費用會計入擁有還原存取備份文件庫的相同帳戶。
建議用途 主要用於資料遺失復原和還原測試。 主要用途適用於帳戶存取或安全疑似遭到入侵的情況。
區域 適用於支援 AWS 區域 邏輯氣隙隔離保存庫的所有 。 適用於支援 AWS 區域 邏輯氣隙隔離保存庫的所有 。
還原 所有支援的資源類型都可以從共用帳戶還原。 所有支援的資源類型都可以從共用帳戶還原。
設定 一旦 AWS Backup 帳戶設定 RAM 共用且接收帳戶接受共用,共用就會發生。 共用需要管理帳戶選擇加入多方核准並設定 RAM 共用。然後,管理帳戶必須建立團隊,並將該團隊指派給邏輯氣隙隔離保存庫。
共用

共用是透過相同 AWS 組織或跨 AWS 組織的 RAM 完成。

根據「推送」模型授予存取權,其中管理帳戶會先授予存取權,然後另一個帳戶接受存取權。

透過同一 AWS 組織或跨組織的 Organizations 支援的核准團隊,存取邏輯氣隙隔離保存庫。

根據 'pull' 模型授予存取權,其中接收帳戶首先請求存取,然後核准團隊授予或拒絕請求。