Tareas administrativas - AWS Backup
Crea un equipo de aprobaciónComparta un equipo de aprobación multipartito utilizando AWS RAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tareas administrativas

Varias tareas que implicaban AWS Backup una visión general multipartita requerían un usuario con permisos de administrador y acceso a la cuenta de administración.

Crea un equipo de aprobación

Un usuario de tu organización con permisos de administrador para una AWS cuenta debe configurar la aprobación multipartita (paso 3 de la descripción general).

Antes de realizar este paso, se recomienda configurar una organización principal y una secundaria (con fines de recuperación) siguiendo el paso 1 de la descripción general. AWS Organizations

Consulte Crear un equipo de aprobación en la guía del usuario de aprobación multipartita para crear su equipo.

Durante la aws mpa create-approval-teamoperación, uno de los parámetros espolicies. Esta es una lista de ARNs (nombres de recursos de Amazon) para políticas de recursos de aprobación multipartita que definen los permisos que protegen al equipo.

La política que se muestra en el ejemplo de la Guía del usuario de aprobación multipartita, en el procedimiento Crear un equipo de aprobación, contiene la política ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] con varios permisos necesarios.

Siga estos pasos para obtener una lista de las políticas disponibles mediantempa list-policies:

  1. Enumere las políticas: 

    aws mpa list-policies --region us-east-1

  2. Enumere todas las versiones de la política: 

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. Obtenga detalles sobre una política: 

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Amplíe la información siguiente para ver la política que se creará y luego se adjuntará a su equipo de aprobación mediante esta operación:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Comparta un equipo de aprobación multipartito utilizando AWS RAM

Puedes compartir un equipo de aprobación multipartito con otras AWS cuentas mediante AWS Resource Access Manager (RAM), paso 4 de la descripción general.

Console
Comparta un equipo de aprobación multipartito mediante AWS RAM

  1. Inicie sesión en la consola de AWS RAM.

  2. En el panel de navegación, selecciona Recursos compartidos.

  3. Elija Crear recurso compartido.

  4. En el campo Nombre, introduzca un nombre descriptivo para el recurso compartido.

  5. En Tipo de recurso, selecciona Equipo de aprobación multipartito en el menú desplegable.

  6. En Recursos, selecciona el equipo de aprobación que quieres compartir.

  7. En Directores, especifique las AWS cuentas con las que quiere compartir el equipo de aprobación.

  8. Para compartir con AWS cuentas específicas, selecciona las AWS cuentas e introduce la cuenta de 12 dígitos. IDs

  9. Para compartir con una organización o unidad organizativa, selecciona Organización o unidad organizativa e introduce el ID correspondiente.

  10. (Opcional) En Etiquetas, agrega cualquier etiqueta que desees asociar a este recurso compartido.

  11. Elija Crear recurso compartido.

El estado del recurso compartido se mostrará inicialmente comoPENDING. Una vez que las cuentas receptoras acepten la invitación, el estado cambiará aACTIVE.

CLI

Para compartir un equipo de aprobación multipartito AWS RAM mediante la CLI, utilice los siguientes comandos:

En primer lugar, identifique el ARN del equipo de aprobación que desee compartir:

aws mpa list-approval-teams --region us-east-1

Cree un recurso compartido mediante el create-resource-share comando:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Para compartir con una organización en lugar de con cuentas específicas:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Compruebe el estado de su recurso compartido:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

Las cuentas receptoras deberán aceptar la invitación a compartir recursos:

aws ram get-resource-share-invitations --region us-east-1

Inicie sesión en la cuenta del destinatario para aceptar una invitación:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Una vez que se acepte la invitación, el equipo de aprobación multipartito estará disponible para su uso en la cuenta del destinatario.

AWS ofrece herramientas para compartir el acceso a la cuenta, incluido el acceso directo AWS Resource Access Managery multipartito. Cuando decidas compartir una bóveda cerrada de forma lógica con otra cuenta, ten en cuenta los siguientes detalles:

Característica AWS RAM compartición basada Acceso basado en la aprobación de múltiples partes
Acceso a bóvedas cerradas de forma lógica Una vez que se haya completado el uso compartido de RAM, se podrá acceder a las bóvedas. Cualquier intento por parte de una cuenta diferente debe ser aprobado por un número mínimo de miembros del equipo de aprobación multipartito. La sesión de aprobación caduca automáticamente 24 horas después de que se inicie la solicitud.
Eliminación del acceso La cuenta propietaria de la bóveda, lógicamente aislada, puede poner fin al uso compartido de RAM en cualquier momento. El acceso a una bóveda solo se puede eliminar mediante una solicitud al equipo de aprobación multipartito.
Copia en todas las cuentas and/or y regiones No se admite actualmente. Las copias de seguridad se pueden copiar en la misma cuenta o con otras cuentas de la misma organización que la cuenta de recuperación.
Facturación por transferencias entre regiones Las transferencias entre regiones se facturan a la misma cuenta propietaria del almacén de copias de seguridad con acceso a la restauración.
Uso recomendado El uso principal es para la recuperación de pérdidas de datos y para las pruebas de restauración. El uso principal es para situaciones en las que se sospecha que el acceso o la seguridad de la cuenta están comprometidos.
Regiones Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos de ventilación lógica. Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos de aire lógicos.
Restaura Todos los tipos de recursos compatibles se pueden restaurar desde una cuenta compartida. Todos los tipos de recursos compatibles se pueden restaurar desde una cuenta compartida.
Configuración El uso compartido se puede realizar tan pronto como la AWS Backup cuenta configure el uso compartido de RAM y la cuenta receptora lo acepte. El uso compartido requiere que la cuenta de administración cree primero un equipo y, a continuación, configure el uso compartido de RAM. A continuación, la cuenta de administración opta por la aprobación multipartita y asigna ese equipo a una bóveda aislada de forma lógica.
Uso compartido

El uso compartido se realiza a través de la memoria RAM dentro de la misma organización o entre organizaciones. AWS AWS

El acceso se concede según el modelo «push», en el que primero concede el acceso la cuenta propietaria de la bóveda, que se encuentra dentro de un espacio cerrado de forma lógica. A continuación, la otra cuenta acepta el acceso.

El acceso a una bóveda aislada de forma lógica se realiza a través de los equipos de aprobación apoyados por Organizations dentro de la misma AWS organización o entre organizaciones.

El acceso se concede de acuerdo con el modelo «de atracción», en el que la cuenta receptora primero solicita el acceso y, a continuación, el equipo de aprobación concede o deniega la solicitud.