관리자 작업

AWS Backup 및 다자간 개요와 관련된 여러 작업에서 관리자 권한과 관리 계정에 대한 액세스 권한이 있는 사용자가 필요했습니다.

승인 팀 생성

AWS 계정에 대한 관리자 권한이 있는 조직의 사용자는 다자간 승인을 설정해야 합니다(개요의 3단계).

이 단계를 수행하기 전에 (개요의 1 AWS Organizations 단계)를 통해 기본 조직과 보조 조직(복구 목적)을 모두 설정하는 것이 좋습니다.

팀을 생성하려면 다자간 승인 사용 설명서의 승인 팀 생성을 참조하세요.

aws mpa create-approval-team 작업 중에 파라미터 중 하나는 입니다policies. 팀을 보호하는 권한을 정의하는 다자간 승인 리소스 정책의 ARNs(Amazon 리소스 이름) 목록입니다.

승인 팀 생성 절차의 다자간 승인 사용 설명서의 예제에 표시된 정책에는 몇 가지 필요한 권한이 ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] 있는 정책이 포함되어 있습니다. https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps

mpa list-policies다음 단계에 따라를 사용하여 사용 가능한 정책 목록을 반환합니다.

1. 정책 나열:

   aws mpa list-policies --region us-east-1

2. 모든 정책 버전을 나열합니다.

   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

3. 정책에 대한 세부 정보를 가져옵니다.

   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

아래를 확장하여이 작업을 통해 생성되어 승인 팀에 연결된 정책을 확인합니다.

액세스 볼트 정책 복원

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

를 사용하여 다자간 승인 팀 공유 AWS RAM

개요의 AWS Resource Access Manager (RAM) 4단계를 사용하여 다자간 승인 팀을 다른 AWS 계정과 공유할 수 있습니다.

Console

를 사용하여 다자간 승인 팀 공유 AWS RAM

1. AWS RAM 콘솔에 로그인합니다.

2. 탐색 창에서 리소스 공유를 선택합니다.

3. 리소스 공유 생성을 선택합니다.

4. 이름 필드에 리소스 공유에 대한 설명이 포함된 이름을 입력합니다.

5. 리소스 유형의 드롭다운 메뉴에서 다자간 승인 팀을 선택합니다.

6. 리소스에서 공유할 승인 팀을 선택합니다.

7. 보안 주체에서 승인 팀을 공유할 AWS 계정을 지정합니다.

8. 특정 AWS 계정과 공유하려면 AWS 계정을 선택하고 12자리 계정 IDs 입력합니다.

9. 조직 또는 조직 단위와 공유하려면 조직 또는 조직 단위를 선택하고 적절한 ID를 입력합니다.

10. (선택 사항) 태그에서이 리소스 공유와 연결할 태그를 추가합니다.

11. 리소스 공유 생성을 선택합니다.

리소스 공유 상태는 처음에 로 표시됩니다PENDING. 수신자 계정이 초대를 수락하면 상태가 로 변경됩니다ACTIVE.

CLI

CLI를 AWS RAM 통해를 사용하여 다자간 승인 팀을 공유하려면 다음 명령을 사용합니다.

먼저 공유하려는 승인 팀의 ARN을 식별합니다.

aws mpa list-approval-teams --region us-east-1

create-resource-share 명령을 사용하여 리소스 공유를 생성합니다.

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

특정 계정 대신 조직과 공유하려면:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

리소스 공유의 상태를 확인합니다.

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

수신자 계정(들)은 리소스 공유 초대를 수락해야 합니다.

aws ram get-resource-share-invitations --region us-east-1

수신자 계정에서를 실행하여 초대를 수락합니다.

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

초대가 수락되면 수신자 계정에서 다자간 승인 팀을 사용할 수 있습니다.

AWS 는 AWS Resource Access Manager 및 다자간 액세스를 포함하여 계정 액세스를 공유하는 도구를 제공합니다. 논리적 에어 갭 저장소를 다른 계정과 공유하도록 선택한 경우 다음 세부 정보를 고려하세요.

Feature	AWS RAM 기반 공유	다자간 승인 기반 액세스
논리적 에어 갭 저장소에 대한 액세스	RAM 공유가 완료되면 볼트에 액세스할 수 있습니다.	다른 계정의 모든 시도는 임곗값 수의 다자간 승인 팀원의 승인을 받아야 합니다. 요청이 시작된 후 24시간이 지나면 승인 세션이 자동으로 만료됩니다.
액세스 제거	논리적 에어 갭 저장소를 소유한 계정은 언제든지 RAM 기반 공유를 종료할 수 있습니다.	볼트에 대한 액세스는 다자간 승인 팀에 대한 요청으로만 제거할 수 있습니다.
계정 및/또는 리전 간에 복사	현재 지원되지 않습니다.	백업은 동일한 계정 내에서 복사하거나 복구 계정과 동일한 조직의 다른 계정으로 복사할 수 있습니다.
리전 간 전송 결제		리전 간 전송은 복원 액세스 백업 볼트를 소유한 동일한 계정으로 청구됩니다.
권장 사용	기본 용도는 데이터 손실 복구 및 복원 테스트입니다.	기본 용도는 계정 액세스 또는 보안이 손상된 것으로 의심되는 상황을 위한 것입니다.
리전	논리적 에어 AWS 리전 갭 저장소가 지원되는 모든에서 사용할 수 있습니다.	논리적 에어 AWS 리전 갭 저장소가 지원되는 모든에서 사용할 수 있습니다.
복원	지원되는 모든 리소스 유형은 공유 계정에서 복원할 수 있습니다.	지원되는 모든 리소스 유형은 공유 계정에서 복원할 수 있습니다.
설정	공유는 AWS Backup 계정이 RAM 공유를 설정하고 수신 계정이 공유를 수락하는 즉시 발생할 수 있습니다.	공유하려면 관리 계정이 먼저 팀을 생성한 다음 RAM 공유를 설정해야 합니다. 그런 다음 관리 계정은 다자간 승인을 선택하고 해당 팀을 논리적 에어 갭 저장소에 할당합니다.
공유 중	공유는 동일한 AWS 조직 내 또는 조직 간에 AWS RAM을 통해 수행됩니다. 논리적 에어 갭 저장소를 소유한 계정이 먼저 액세스 권한을 부여하는 '푸시' 모델에 따라 액세스 권한이 부여됩니다. 그러면 다른 계정이 액세스를 수락합니다.	논리적 에어 갭 저장소에 대한 액세스는 동일한 AWS 조직 내 또는 조직 전체에서 Organizations가 지원하는 승인 팀을 통해 이루어집니다. 액세스 권한은 수신 계정이 먼저 액세스를 요청하는 '풀' 모델에 따라 부여되며, 승인 팀은 요청을 부여하거나 거부합니다.