Tareas del administrador - AWS Backup
Creación de un equipo de aprobaciónComparta un equipo de aprobación multipartito mediante AWS RAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tareas del administrador

Varias tareas que implicaban AWS Backup una visión general multipartita requerían un usuario con permisos de administrador y acceso a la cuenta de administración.

Creación de un equipo de aprobación

Un usuario de tu organización con permisos de administrador para una AWS cuenta debe configurar la aprobación multipartita (paso 3 de la descripción general).

Antes de realizar este paso, se recomienda configurar una organización principal y una secundaria (para la recuperación) en AWS Organizations (paso 1 de Información general).

Consulte Creación de un equipo de aprobación en la Guía del usuario de aprobación de varias partes para crear el equipo.

Durante la operación aws mpa create-approval-team, uno de los parámetros es policies. Esta es una lista de ARNs (nombres de recursos de Amazon) para políticas de recursos de aprobación multipartita que definen los permisos que protegen al equipo.

La política que se muestra en el ejemplo de la Guía del usuario de aprobación de varias partes en el procedimiento Creación de un equipo de aprobación contiene la política ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"] con varios permisos necesarios.

Siga estos pasos para obtener una lista de las políticas disponibles mediante mpa list-policies:

  1. Enumerar las políticas: 

    aws mpa list-policies --region us-east-1

  2. Enumerar todas las versiones de las políticas: 

    aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

  3. Obtener información detallada sobre una política: 

    aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

Amplíe la información siguiente para ver la política que se creará y luego se asociará al equipo de aprobación mediante esta operación:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

Comparta un equipo de aprobación multipartito mediante AWS RAM

Puedes compartir un equipo de aprobación multipartito con otras AWS cuentas mediante AWS Resource Access Manager (RAM), paso 4 de la descripción general.

Console
Comparta un equipo de aprobación multipartito mediante AWS RAM

  1. Inicie sesión en la consola de AWS RAM.

  2. En el panel de navegación, elija Recursos compartidos.

  3. Elija Crear recurso compartido.

  4. En el campo Nombre, introduzca un nombre descriptivo para el recurso compartido.

  5. En Tipo de recurso, seleccione Equipo de aprobación de varias partes en el menú desplegable.

  6. En Recursos, seleccione el equipo de aprobación que quiere compartir.

  7. En Directores, especifique las AWS cuentas con las que quiere compartir el equipo de aprobación.

  8. Para compartir con AWS cuentas específicas, selecciona las AWS cuentas e introduce la cuenta de 12 dígitos. IDs

  9. Para compartir con una organización o unidad organizativa, seleccione Organización o Unidad organizativa e introduzca el ID correspondiente.

  10. (Opcional) En Etiquetas, añada cualquier etiqueta que quiera asociar a este recurso compartido.

  11. Elija Crear recurso compartido.

El estado del recurso compartido se mostrará inicialmente como PENDING. Cuando las cuentas del destinatario acepten la invitación, el estado cambiará a ACTIVE.

CLI

Para compartir un equipo de aprobación multipartito AWS RAM mediante la CLI, utilice los siguientes comandos:

En primer lugar, identifique el ARN del equipo de aprobación que desee compartir:

aws mpa list-approval-teams --region us-east-1

Cree un recurso compartido mediante el create-resource-share comando:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

Para compartir con una organización en lugar de con cuentas específicas, haga lo siguiente:

aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

Compruebe el estado del recurso compartido:

aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

Las cuentas del destinatario deberán aceptar la invitación para el uso compartido de un recurso:

aws ram get-resource-share-invitations --region us-east-1

Inicie sesión en la cuenta del destinatario para aceptar una invitación:

aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

Después de aceptar la invitación, el equipo de aprobación de varias partes ya se podrá usar en la cuenta del destinatario.

AWS ofrece herramientas para compartir el acceso a la cuenta, incluido el acceso AWS Resource Access Managerdirecto y multipartito. Si decide compartir un almacén aislado lógicamente con otra cuenta, tenga en cuenta los siguientes detalles:

Característica AWS RAM uso compartido basado Acceso basado en la aprobación de varias partes
Acceso a almacenes aislados lógicamente Cuando se haya completado el uso compartido de RAM, se podrá acceder a los almacenes. Cualquier intento por parte de una cuenta diferente debe ser aprobado por un umbral mínimo de miembros del equipo de aprobación de varias partes. La sesión de aprobación caduca automáticamente 24 horas después de que se inicie la solicitud.
Retirada del acceso La cuenta propietaria del almacén aislado lógicamente puede poner fin al uso compartido basado en RAM en cualquier momento. El acceso a un almacén solo se puede eliminar mediante una solicitud al equipo de aprobación de varias partes.
Copia entre cuentas y and/or regiones No se admite actualmente. Las copias de seguridad se pueden copiar en la misma cuenta o con otras cuentas de la misma organización que la cuenta de recuperación.
Facturación por transferencia entre regiones Las transferencias entre regiones se facturan a la misma cuenta propietaria del almacén de copias de seguridad con acceso a la restauración.
Uso recomendado El uso principal es para recuperar datos perdidos y para probar la restauración. El uso principal es para situaciones en las que se sospecha que el acceso o la seguridad de la cuenta están comprometidos.
Regiones Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos lógicos. Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos de aire lógicos.
Restaura Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida. Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida.
Configuración El uso compartido se puede realizar tan pronto como la AWS Backup cuenta configure el uso compartido de RAM y la cuenta receptora lo acepte. El uso compartido requiere que la cuenta de administración primero cree un equipo y, a continuación, configure el uso compartido de RAM. A continuación, la cuenta de administración se suscribe a la aprobación de varias partes y asigna ese equipo a un almacén aislado lógicamente.
Uso compartido

El uso compartido se realiza a través de la RAM dentro de AWS la misma organización o entre AWS organizaciones.

El acceso se concede según el modelo “push”, en el que la cuenta propietaria del almacén aislado lógicamente primero concede el acceso. Luego, la otra cuenta acepta el acceso.

El acceso a una bóveda aislada de forma lógica se realiza a través de los equipos de aprobación apoyados por Organizations dentro de la misma AWS organización o entre organizaciones.

El acceso se concede siguiendo el modelo “pull”, en el que la cuenta receptora primero solicita el acceso y, a continuación, el equipo de aprobación concede o deniega la solicitud.