Tugas administrator - AWS Backup
Buat tim persetujuanBagikan tim persetujuan Multi-pihak menggunakan AWS RAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tugas administrator

Beberapa tugas yang melibatkan AWS Backup dan ikhtisar Multi-pihak membutuhkan pengguna dengan izin admin dan akses ke akun manajemen.

Buat tim persetujuan

Pengguna di organisasi Anda dengan izin admin untuk AWS akun perlu menyiapkan persetujuan multi-pihak (langkah 3 dalam Ikhtisar).

Sebelum melakukan langkah ini, disarankan sebagai praktik terbaik Anda memiliki organisasi primer dan organisasi sekunder (untuk tujuan pemulihan) yang diatur melalui AWS Organizations (langkah 1 dalam Ikhtisar.

Lihat Membuat tim persetujuan dalam panduan pengguna persetujuan multi-pihak untuk membuat tim Anda.

Selama aws mpa create-approval-teamoperasi, salah satu parameternya adalahpolicies. Ini adalah daftar ARNs (Nama Sumber Daya Amazon) untuk kebijakan sumber daya persetujuan multi-pihak yang menentukan izin yang melindungi tim.

Kebijakan yang ditampilkan dalam contoh di Panduan Pengguna persetujuan multi-pihak dalam prosedur Membuat tim persetujuan berisi kebijakan ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] dengan beberapa izin yang diperlukan.

Ikuti langkah-langkah berikut untuk mengembalikan daftar kebijakan yang tersedia dengan menggunakanmpa list-policies:

  1. Daftar Kebijakan: 

    aws mpa list-policies --region us-east-1

  2. Daftar semua versi kebijakan: 

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. Dapatkan detail tentang kebijakan: 

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Perluas di bawah ini untuk melihat kebijakan yang akan dibuat kemudian dilampirkan ke tim persetujuan Anda melalui operasi ini:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Bagikan tim persetujuan Multi-pihak menggunakan AWS RAM

Anda dapat berbagi tim persetujuan multi-pihak dengan AWS akun lain menggunakan AWS Resource Access Manager (RAM), langkah 4 dalam ikhtisar.

Console
Bagikan tim persetujuan Multi-pihak menggunakan AWS RAM

  1. Masuk ke konsol AWS RAM tersebut.

  2. Di panel navigasi, pilih Pembagian sumber daya.

  3. Pilih Buat berbagi sumber daya.

  4. Di bidang Nama, masukkan nama deskriptif untuk berbagi sumber daya Anda.

  5. Di bawah Jenis sumber daya, pilih Tim persetujuan multi-pihak dari menu tarik-turun.

  6. Di bawah Sumber daya, pilih tim persetujuan yang ingin Anda bagikan.

  7. Di bawah Prinsipal, tentukan AWS akun dengan siapa Anda ingin berbagi tim persetujuan.

  8. Untuk berbagi dengan AWS akun tertentu, pilih AWS akun dan masukkan akun IDs 12 digit.

  9. Untuk berbagi dengan organisasi atau unit organisasi, pilih Organisasi atau Unit Organisasi dan masukkan ID yang sesuai.

  10. (Opsional) Di bawah Tag, tambahkan tag apa pun yang ingin Anda kaitkan dengan pembagian sumber daya ini.

  11. Pilih Buat berbagi sumber daya.

Status pembagian sumber daya awalnya akan ditampilkan sebagaiPENDING. Setelah akun penerima menerima undangan, status akan berubah menjadiACTIVE.

CLI

Untuk berbagi tim persetujuan Multi-pihak menggunakan AWS RAM melalui CLI, gunakan perintah berikut:

Pertama, identifikasi ARN dari tim persetujuan yang ingin Anda bagikan:

aws mpa list-approval-teams --region us-east-1

Buat berbagi sumber daya menggunakan create-resource-share perintah:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Untuk berbagi dengan organisasi, bukan akun tertentu:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Periksa status pembagian sumber daya Anda:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

Akun penerima harus menerima undangan berbagi sumber daya:

aws ram get-resource-share-invitations --region us-east-1

Jalankan di akun penerima untuk menerima undangan:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Setelah undangan diterima, tim persetujuan Multi-pihak akan tersedia untuk digunakan di akun penerima.

AWS menawarkan alat untuk berbagi akses akun, termasuk melalui AWS Resource Access Managerdan akses Multi-pihak. Saat Anda memilih untuk berbagi brankas yang memiliki celah udara secara logis dengan akun lain, pertimbangkan detail berikut:

Fitur AWS RAM berbagi berbasis Akses berbasis persetujuan multi-pihak
Akses ke brankas yang memiliki celah udara secara logis Setelah pembagian RAM selesai, brankas dapat diakses. Setiap upaya oleh akun yang berbeda harus disetujui oleh jumlah ambang batas anggota tim persetujuan Multi-pihak. Sesi persetujuan secara otomatis berakhir 24 jam setelah permintaan dimulai.
Penghapusan akses Akun yang memiliki brankas air-gapped secara logis dapat mengakhiri berbagi berbasis RAM kapan saja. Akses ke vault hanya dapat dihapus dengan permintaan ke tim persetujuan Multi-pihak.
Salin di seluruh akun and/or Wilayah Saat ini tidak didukung. Cadangan dapat disalin dalam akun yang sama atau dengan akun lain di organisasi yang sama dengan akun pemulihan.
Tagihan transfer lintas wilayah Transfer Lintas Wilayah ditagih ke akun yang sama yang memiliki brankas cadangan akses pemulihan.
Penggunaan yang disarankan Penggunaan utama adalah untuk pemulihan kehilangan data dan untuk pengujian pemulihan. Penggunaan utama adalah untuk situasi di mana akses akun atau keamanan diduga dikompromikan.
Daerah Tersedia di semua Wilayah AWS tempat yang didukung secara logis kubah celah udara. Tersedia di semua Wilayah AWS tempat yang didukung secara logis kubah celah udara.
Mengembalikan Semua jenis sumber daya yang didukung dapat dipulihkan dari akun bersama. Semua jenis sumber daya yang didukung dapat dipulihkan dari akun bersama.
Pengaturan Berbagi dapat terjadi segera setelah AWS Backup akun mengatur berbagi RAM dan akun penerima menerima pembagian. Berbagi mengharuskan akun manajemen untuk membuat tim terlebih dahulu, lalu mengatur berbagi RAM. Kemudian, akun manajemen memilih persetujuan Multi-pihak dan menugaskan tim itu ke brankas yang memiliki celah udara secara logis.
Berbagi

Berbagi dilakukan melalui RAM dalam AWS organisasi yang sama atau lintas AWS organisasi.

Akses diberikan sesuai dengan model 'push', di mana akun yang memiliki brankas celah udara secara logis pertama kali memberikan akses. Kemudian, akun lain menerima akses.

Akses ke brankas yang memiliki celah udara secara logis adalah melalui tim persetujuan yang didukung Organisasi dalam organisasi yang sama atau di seluruh AWS organisasi.

Akses diberikan sesuai dengan model 'tarik', di mana akun penerima pertama meminta akses, kemudian tim persetujuan memberikan atau menolak permintaan tersebut.