Tâches de l'administrateur - AWS Backup
Création d'une équipe d'approbationPartagez une équipe d'approbation multipartite à l'aide de AWS RAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tâches de l'administrateur

Plusieurs tâches impliquant AWS Backup une vue d'ensemble multipartite nécessitaient un utilisateur disposant d'autorisations d'administrateur et d'un accès au compte de gestion.

Création d'une équipe d'approbation

Un utilisateur de votre organisation disposant d'autorisations d'administrateur pour un AWS compte doit configurer l'approbation multipartite (étape 3 de l'aperçu).

Avant de procéder à cette étape, il est recommandé, à titre de bonne pratique, de configurer à la fois une organisation principale et une organisation secondaire (à des fins de restauration) AWS Organizations (étape 1 de la section Vue d'ensemble).

Consultez la section Créer une équipe d'approbation dans le guide de l'utilisateur de l'approbation multipartite pour créer votre équipe.

Pendant l'aws mpa create-approval-teamopération, l'un des paramètres estpolicies. Voici une liste de ARNs (Amazon Resource Names) pour les politiques de ressources d'approbation multipartites qui définissent les autorisations qui protègent l'équipe.

La politique présentée dans l'exemple du Guide de l'utilisateur de l'approbation multipartite dans la procédure Créer une équipe d'approbation contient la politique ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] avec plusieurs autorisations nécessaires.

Procédez comme suit pour renvoyer une liste des politiques disponibles en utilisant mpa list-policies :

  1. Politiques de liste : 

    aws mpa list-policies --region us-east-1

  2. Répertoriez toutes les versions des politiques : 

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. Obtenez des informations sur une politique : 

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Développez ci-dessous pour voir la politique qui sera créée puis attachée à votre équipe d'approbation par cette opération :

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Partagez une équipe d'approbation multipartite à l'aide de AWS RAM

Vous pouvez partager une équipe d'approbation multipartite avec d'autres AWS comptes en utilisant AWS Resource Access Manager (RAM), étape 4 de l'aperçu.

Console
Partagez une équipe d'approbation multipartite à l'aide de AWS RAM

  1. Connectez-vous à la console AWS RAM.

  2. Dans le volet de navigation, sélectionnez Resource shares.

  3. Choisissez Créer une ressource.

  4. Dans le champ Nom, entrez un nom descriptif pour votre partage de ressources.

  5. Sous Type de ressource, sélectionnez Équipe d'approbation multipartite dans le menu déroulant.

  6. Sous Ressources, sélectionnez l'équipe d'approbation que vous souhaitez partager.

  7. Sous Principaux, spécifiez les AWS comptes avec lesquels vous souhaitez partager l'équipe d'approbation.

  8. Pour partager avec des AWS comptes spécifiques, sélectionnez AWS des comptes et saisissez le compte IDs à 12 chiffres.

  9. Pour partager avec une organisation ou une unité organisationnelle, sélectionnez Organisation ou unité organisationnelle et entrez l'ID approprié.

  10. (Facultatif) Sous Balises, ajoutez les balises que vous souhaitez associer à ce partage de ressources.

  11. Choisissez Créer une ressource.

L'état du partage des ressources s'affichera initialement sous la formePENDING. Une fois que les comptes destinataires auront accepté l'invitation, le statut passera àACTIVE.

CLI

Pour partager une équipe d'approbation multipartite AWS RAM via la CLI, utilisez les commandes suivantes :

Tout d'abord, identifiez l'ARN de l'équipe d'approbation que vous souhaitez partager :

aws mpa list-approval-teams --region us-east-1

Créez un partage de ressources à l'aide de la create-resource-share commande :

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Pour partager avec une organisation plutôt qu'avec des comptes spécifiques, procédez comme suit :

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Vérifiez l'état de votre partage de ressources :

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

Le ou les comptes du destinataire devront accepter l'invitation au partage des ressources :

aws ram get-resource-share-invitations --region us-east-1

Exécutez dans le compte du destinataire pour accepter une invitation :

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Une fois l'invitation acceptée, l'équipe d'approbation multipartite sera disponible sur le compte du destinataire.

AWS propose des outils pour partager l'accès aux comptes, y compris l'accès par le biais AWS Resource Access Manageret l'accès multipartite. Lorsque vous choisissez de partager un coffre-fort isolé de manière logique avec un autre compte, tenez compte des informations suivantes :

Fonctionnalité AWS RAM partage basé Accès basé sur l'approbation de plusieurs parties
Accès à des coffres-forts à espacement logique Une fois le partage de RAM terminé, les coffres-forts sont accessibles. Toute tentative effectuée par un autre compte doit être approuvée par un certain nombre de membres de l'équipe d'approbation multipartite. La session d'approbation expire automatiquement 24 heures après le lancement de la demande.
Suppression de l'accès Le compte propriétaire du coffre-fort logiquement espacé peut mettre fin au partage basé sur la RAM à tout moment. L'accès à un coffre-fort ne peut être supprimé que sur demande adressée à l'équipe d'approbation multipartite.
Copier entre les comptes et and/or les régions Cette option n'est pas prise en charge actuellement. Les sauvegardes peuvent être copiées dans le même compte ou avec d'autres comptes de la même organisation que le compte de restauration.
Facturation des transferts entre régions Les transferts entre régions sont facturés sur le même compte qui possède le coffre de sauvegarde de l'accès à la restauration.
Utilisation recommandée Il est principalement utilisé pour la récupération des données perdues et pour les tests de restauration. Il est principalement utilisé dans les situations où l'accès ou la sécurité du compte sont soupçonnés d'être compromis.
Régions Disponible partout Régions AWS où des coffres-forts à espacement d'air logique sont pris en charge. Disponible partout Régions AWS où des coffres-forts à espacement d'air logique sont pris en charge.
Restaure Tous les types de ressources pris en charge peuvent être restaurés à partir d'un compte partagé. Tous les types de ressources pris en charge peuvent être restaurés à partir d'un compte partagé.
Configuration Le partage peut avoir lieu dès que le AWS Backup compte configure le partage de RAM et que le compte destinataire accepte le partage. Le partage nécessite que le compte de gestion crée d'abord une équipe, puis configure le partage de RAM. Ensuite, le compte de gestion opte pour l'approbation multipartite et assigne cette équipe à un coffre-fort isolé de manière logique.
Partage

Le partage s'effectue via la RAM au sein d' AWS une même organisation ou entre AWS organisations.

L'accès est accordé selon le modèle « push », dans lequel le compte propriétaire du coffre-fort logiquement espacé accorde d'abord l'accès. Ensuite, l'autre compte accepte l'accès.

L'accès à un coffre-fort isolé de manière logique se fait par le biais des équipes d'approbation soutenues par les organisations au sein de la même AWS organisation ou de plusieurs organisations.

L'accès est accordé selon le modèle « pull », selon lequel le compte destinataire demande d'abord l'accès, puis l'équipe d'approbation accepte ou refuse la demande.