Tarefas do administrador - AWS Backup
Crie uma equipe de aprovaçãoCompartilhe uma equipe de aprovação multipartidária usando AWS RAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tarefas do administrador

Várias tarefas envolvendo AWS Backup uma visão geral de várias partes exigiam um usuário com permissões de administrador e acesso à conta de gerenciamento.

Crie uma equipe de aprovação

Um usuário da sua organização com permissões de administrador para uma AWS conta precisa configurar a aprovação multipartidária (etapa 3 na Visão geral).

Antes de realizar essa etapa, é recomendável que você tenha uma organização primária e uma organização secundária (para fins de recuperação) configuradas por meio da AWS Organizations (etapa 1) em Visão geral.

Consulte Criar uma equipe de aprovação no guia do usuário de aprovação multipartidária para criar sua equipe.

Durante a aws mpa create-approval-teamoperação, um dos parâmetros épolicies. Esta é uma lista de ARNs (Amazon Resource Names) para políticas de recursos de aprovação multipartidária que definem permissões que protegem a equipe.

A política mostrada no exemplo do Guia do usuário de aprovação multipartidária no procedimento Criar uma equipe de aprovação contém a política ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] com várias permissões necessárias.

Siga estas etapas para retornar uma lista das políticas disponíveis usandompa list-policies:

  1. Políticas da lista: 

    aws mpa list-policies --region us-east-1

  2. Liste todas as versões da política: 

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. Veja detalhes sobre uma política: 

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Expanda abaixo para ver a política que será criada e anexada à sua equipe de aprovação por essa operação:

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Compartilhe uma equipe de aprovação multipartidária usando AWS RAM

Você pode compartilhar uma equipe de aprovação multipartidária com outras AWS contas usando AWS Resource Access Manager (RAM), etapa 4 na visão geral.

Console
Compartilhe uma equipe de aprovação multipartidária usando AWS RAM

  1. Faça login no console do AWS RAM.

  2. No painel de navegação, escolha Compartilhamentos de recursos.

  3. Escolha Criar compartilhamento de recursos.

  4. No campo Nome, insira um nome descritivo para seu compartilhamento de recursos.

  5. Em Tipo de recurso, selecione Equipe de aprovação multipartidária no menu suspenso.

  6. Em Recursos, selecione a equipe de aprovação que você deseja compartilhar.

  7. Em Diretores, especifique as AWS contas com as quais você deseja compartilhar a equipe de aprovação.

  8. Para compartilhar com AWS contas específicas, selecione AWS contas e insira a conta de 12 dígitos. IDs

  9. Para compartilhar com uma organização ou unidade organizacional, selecione Organização ou Unidade organizacional e insira a ID apropriada.

  10. (Opcional) Em Tags, adicione as tags que você deseja associar a esse compartilhamento de recursos.

  11. Escolha Criar compartilhamento de recursos.

O status do compartilhamento de recursos será exibido inicialmente comoPENDING. Depois que as contas dos destinatários aceitarem o convite, o status mudará paraACTIVE.

CLI

Para compartilhar uma equipe de aprovação multipartidária AWS RAM usando a CLI, use os seguintes comandos:

Primeiro, identifique o ARN da equipe de aprovação que você deseja compartilhar:

aws mpa list-approval-teams --region us-east-1

Crie um compartilhamento de recursos usando o create-resource-share comando:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Para compartilhar com uma organização em vez de contas específicas:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Verifique o status do seu compartilhamento de recursos:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

As contas do destinatário precisarão aceitar o convite de compartilhamento de recursos:

aws ram get-resource-share-invitations --region us-east-1

Execute na conta do destinatário para aceitar um convite:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Depois que o convite for aceito, a equipe de aprovação multipartidária estará disponível para uso na conta do destinatário.

AWS oferece ferramentas para compartilhar o acesso à conta, incluindo acesso direto AWS Resource Access Managere multipartidário. Ao optar por compartilhar um cofre logicamente isolado com outra conta, considere os seguintes detalhes:

Recurso AWS RAM compartilhamento baseado Acesso baseado em aprovação de várias partes
Acesso a cofres logicamente fechados Quando o compartilhamento de RAM estiver concluído, os cofres poderão ser acessados. Qualquer tentativa de uma conta diferente deve ser aprovada por um número mínimo de membros da equipe de aprovação multipartidária. A sessão de aprovação expira automaticamente 24 horas após o início da solicitação.
Remoção de acesso A conta proprietária do cofre logicamente isolado pode encerrar o compartilhamento baseado em RAM a qualquer momento. O acesso a um cofre só pode ser removido por meio de uma solicitação à equipe de aprovação multipartidária.
Copiar entre contas e and/or regiões Sem suporte no momento. Os backups podem ser copiados na mesma conta ou com outras contas na mesma organização da conta de recuperação.
Faturamento por transferência entre regiões As transferências entre regiões são cobradas na mesma conta proprietária do cofre de backup de acesso à restauração.
Uso recomendado O uso principal é para recuperação de perda de dados e testes de restauração. O uso principal é para situações em que se suspeita que o acesso ou a segurança da conta estejam comprometidos.
Regiões Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados. Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados.
Restaura Todos os tipos de recursos compatíveis podem ser restaurados a partir de uma conta compartilhada. Todos os tipos de recursos compatíveis podem ser restaurados a partir de uma conta compartilhada.
Configuração O compartilhamento pode ocorrer assim que a AWS Backup conta configurar o compartilhamento de RAM e a conta receptora aceitar o compartilhamento. O compartilhamento exige que a conta de gerenciamento primeiro crie uma equipe e, em seguida, configure o compartilhamento de RAM. Em seguida, a conta de gerenciamento opta pela aprovação multipartidária e atribui essa equipe a um cofre logicamente isolado.
Compartilhamento

O compartilhamento é feito por meio da RAM dentro AWS da mesma organização ou entre AWS organizações.

O acesso é concedido de acordo com o modelo 'push', no qual a conta proprietária do cofre logicamente isolado primeiro concede acesso. Em seguida, a outra conta aceita o acesso.

O acesso a um cofre logicamente isolado é feito por meio de equipes de aprovação apoiadas pela Organizations dentro da AWS mesma organização ou entre organizações.

O acesso é concedido de acordo com o modelo “pull”, em que a conta receptora primeiro solicita o acesso e, em seguida, a equipe de aprovação concede ou nega a solicitação.