論理エアギャップボールトのマルチパーティー承認 - AWS Backup
マルチパーティー承認の概要前提条件とベストプラクティスマルチパーティー承認のクロスリージョンに関する考慮事項マルチパーティー承認条件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

論理エアギャップボールトのマルチパーティー承認

論理エアギャップボールトでのマルチパーティー承認の概要

AWS Backup には、 の一機能であるマルチパーティー承認 AWS Organizationsを論理エアギャップボールトに追加するオプションがあります。マルチパーティー承認には、分散承認プロセスを通じて重要なオペレーションを保護するのに役立つ追加オプションがあります。

マルチパーティー承認は、重要なリソースを保護し、悪意のある攻撃者やマルウェアイベントによる中断など、フルオペレーションに戻る時間を最小限に抑えるように設計されています。この設定は、侵害された可能性のある論理エアギャップボールトの内容を復元するのに役立ちます。

論理エアギャップボールトを使用した AWS Backup マルチパーティー承認チームの統合と使用には追加料金はかかりません (料金表ページに示すように、ストレージとクロスリージョンの転送料金が適用されます)。

AWS Backup 顧客は、マルチパーティー承認を使用して、プライマリアカウントの使用を侵害する可能性のある悪意のあるアクティビティが疑われる場合に、個別に作成された復旧アカウントから論理エアギャップボールトへのアクセスを共同で承認できる信頼された個人のグループに、一部のオペレーションの承認機能を付与できます。

次の手順では、復旧 AWS 組織を設定し、マルチパーティー承認を設定し、論理エアギャップボールトでマルチパーティー承認を使用するための推奨フローの概要を示します。

  1. 管理者は Organizations を通じて新しい組織を作成し、復旧オペレーションに使用します。

  2. この新しい組織の管理アカウントで、管理者は IAM Identity Center (IDC) インスタンスを作成して設定します (組織インスタンスを有効にするには、IAM Identity Center ユーザーガイドの「IAM Identity Center を有効にする」を参照してください。 「 Multi-party approval User Guide」の「Create a Multi-party approval identity source」のシーケンスも参照してください。

  3. 次に、管理者は、マルチパーティー承認のプライマリユーザーとなる信頼できる個人のコアグループである承認チームを作成します

  4. 管理者は を使用して、論理エアギャップボールトを少なくとも 1 つ所有する各アカウント (プライマリアカウントなど) と承認チーム AWS RAM を共有します。 を使用してマルチパーティー承認チームを共有する AWS RAMボールトを所有するアカウントとセカンダリ組織の両方に RAM を設定する必要があります。

  5. これらのアカウントの管理者は、論理エアギャップボールトを承認チームに関連付けます

  6. 復旧アカウントは、関連するマルチパーティー承認チーム (「チーム」) と論理エアギャップボールトを持つアカウントへのアクセスをリクエストします。アカウントに関連付けられたチームがリクエストを承認または拒否します

  7. 論理エアギャップボールトを所有する アカウントの管理者は、承認チームのボールトとの関連付け解除をリクエストできます。リクエストには、現在のチームの承認が必要です。

  8. 管理者は、セキュリティプラクティスに従って、またはユーザーが組織に加わったり組織を離れたりするときに、必要に応じて承認チームのメンバーシップを更新できます。

論理エアギャップボールトでマルチパーティー承認を使用するための前提条件とベストプラクティス

論理エアギャップボールトでマルチパーティー承認を効果的かつ安全に使用する前に、前提条件と推奨されるベストプラクティスがあります。

ベストプラクティス:

  • Organizations を通じて 2 つ (またはそれ以上) の AWS 組織。1 つは、論理エアギャップボールトが少なくとも 1 つある 1 つ以上のアカウントがあるプライマリ組織である必要があります。セカンダリ組織は復旧組織である必要があります。この組織では、マルチパーティー承認チームが管理されます。

前提条件

  1. マルチパーティー承認を設定し、少なくとも 1 つの承認チームがある。

  2. プライマリ組織内の少なくとも 1 つのアカウントには、論理エアギャップボールト (および元のバックアップボールト) が必要です。

  3. プライマリ組織の管理アカウントは、マルチパーティー承認にオプトインされます。

    ヒント

    AWS Backup では、サービスコントロールポリシー (SCP) をプライマリ組織に適用し、組織と各承認チームに適切なアクセス許可で設定することをお勧めします。サンプルポリシーについては、「マルチパーティー承認条件」セクションを参照してください。

  4. セカンダリ (リカバリ) 組織のマルチパーティー承認チームは、論理エアギャップボールト (複数可) を所有するアカウントとリカバリアカウントの両方と を通じて共有 AWS RAMされます。

マルチパーティー承認を使用する場合のクロスリージョンの考慮事項と依存関係

マルチパーティー承認と IAM アイデンティティセンターインスタンスを異なるリージョンで有効にすると、マルチパーティー承認はリージョン間で IAM アイデンティティセンターを呼び出します。つまり、ユーザーとグループの情報はリージョン間で移動します。マルチパーティー承認チームリソースは、 AWS リージョン 米国東部 (バージニア北部) でのみ作成および保存できます。

マルチパーティー承認チームのリソースを参照 AWS リージョン するその他の は、 AWS リージョン 米国東部 (バージニア北部) によって異なります。したがって、アイデンティティセンターインスタンスや論理エアギャップボールトが米国東部 (バージニア北部) にない場合、マルチパーティー承認はクロスリージョン呼び出しを行います。

マルチパーティー承認の用語、概念、ユーザーペルソナ

論理エアギャップボールトでのマルチパーティー承認は AWS Organizations、、 AWS アカウント管理、および を AWS Identity and Access Management ( IAM) および AWS RAM (RAM) 機能 AWS Backupと共に統合したものです。CLI を使用して、各サービスとやり取りして適切なコマンドを送信できます。コンソールを使用することもできますが、特定のタスクを完了するには、適切なサービスのコンソールに移動する必要があります。

マルチパーティー承認の操作方法は、組織での役割と責任と、 AWS Backup アカウントで持っているアクセス許可によって異なります。

「マルチパーティー承認ユーザーガイド」に示すように、マルチパーティー承認を使用する組織のメンバーは、リクエスタ管理者、または承認者のいずれかになります。特定のアクセス許可は、各ジョブ関数に適用されます。セキュリティのベストプラクティスに従って、ユーザーは 1 つの職務機能のみを満たす必要があります。

コンソール、ポータル、セッション

AWS Backup 論理エアギャップボールトが 1 つ以上の アカウントでは、マルチパーティー承認を使用できます。

マルチパーティー承認プロセスの前に、管理者は を使用して、復旧用のセカンダリ組織 (復旧組織) を以前に設定していない場合は AWS Organizations 作成します。

次に、管理者は AWS Resource Access Manager (RAM) を使用して、プライマリ組織と復旧組織間の組織間共有を設定します。

プライマリ組織には、保護されたデータを保存する論理エアギャップボールトを所有および使用するアカウントがあります。

復旧組織には、少なくとも 1 つの復旧アカウントがあります。このアカウントには、共有論理エアギャップボールトへの重要な「バックドア」として機能するアクセスポイントが格納されています。このアクセスポイントは、復元アクセスバックアップボールトと呼ばれます。このアクセスボールトはデータを保存しません。代わりに、ソースの論理エアギャップボールトの内容をミラーリングするアクセスポイントまたはマウントポイントとして機能しますが、変更または削除できるデータは含まれません。たとえば、顧客が復元アクセスバックアップボールトの復旧ポイントの復元プロセスを実行した場合、復旧アカウントを介してクロスアカウント復元によって復元される論理エアギャップボールトの復旧ポイントです。

セキュリティを強化するために、お客様はこの復旧アカウントを使用してプライマリアカウントで保護されたオペレーションを実行しますが、それらのオペレーションが承認セッションで関連する承認チームによって承認された後にのみ実行されます。セッションは、承認リクエストが送信され AWS ると によって作成され、そのセッションは、承認チームメンバーのしきい値がリクエストを承認または拒否したとき、または許可されたセッション時間が経過したときに終了します。

チームは、保護されたオペレーションリクエストの E メール通知を受け取る承認者 (実質的には、マルチパーティー承認の当事者部分) で構成されます。これらの E メールは、リクエストの承認セッションが開始されたことを確認します。必要な承認の最小しきい値に達すると、承認が付与されます。このしきい値は、マルチパーティー承認チーム (「チーム」) の作成時に設定できます。

マルチパーティー承認チームは、Organizations マルチパーティー承認ポータル (「ポータル」) を通じて管理されます。これは、承認チームメンバーが承認チームの招待やオペレーションリクエストを受信して応答できる一元的な場所を ID に提供する AWS マネージドアプリケーションです。