Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Aprobación de varias partes para almacenes aislados lógicamente
Información general sobre la aprobación de varias partes en un almacén aislado lógicamente
AWS Backup le ofrece la opción de añadir la aprobación multipartita, una capacidad desde, a sus bóvedas aisladas de AWS Organizations forma lógica. La aprobación de varias partes es una opción adicional para proteger las operaciones críticas mediante un proceso de aprobación distribuido.
La aprobación de varias partes está diseñada para proteger los recursos críticos y minimizar el tiempo de inactividad, por ejemplo, en caso de una interrupción provocada por agentes malintencionados o eventos de malware. Esta configuración puede ayudarle a restaurar el contenido de un almacén aislado lógicamente que podría estar comprometido.
La integración y el uso de equipos de aprobación de varias partes con almacenes aislados lógicamente de AWS Backup
no generan ningún costo adicional (se aplican cargos por almacenamiento y transferencias entre regiones, tal y como se muestra en la página de precios
Como AWS Backup cliente, puede utilizar la aprobación de varias partes para conceder la capacidad de aprobación de algunas operaciones a un grupo de personas de confianza que puedan aprobar de forma colaborativa el acceso a un depósito cerrado de forma lógica desde una cuenta de recuperación creada por separado en caso de sospecha de actividad maliciosa que pueda comprometer el uso de la cuenta principal.
En los siguientes pasos se describe el flujo recomendado para configurar una organización de AWS de recuperación, definir la aprobación de varias partes y, a continuación, utilizar dicha aprobación con sus almacenes aislados lógicamente:
-
Un administrador crea una nueva organización a través de Organizations para utilizarla en las operaciones de recuperación.
-
En la cuenta de administración de esta nueva organización, el administrador crea y configura una instancia de IAM Identity Center (IDC) (para activar una instancia de organización, consulte Activación del IAM Identity Center en la Guía del usuario del IAM Identity Center). Consulte también la secuencia de Creación de un origen de identidad de aprobación de varias partes en la Guía del usuario de aprobación de varias partes.
-
A continuación, el administrador creará un equipo de aprobación, que es el grupo central de personas de confianza que serán los principales usuarios de la aprobación de varias partes.
-
El administrador suele AWS RAM compartir un equipo de aprobación con cada cuenta que posea al menos un depósito cerrado de forma lógica (probablemente tu cuenta principal). Tanto la cuenta propietaria del almacén como la organización secundaria deben tener la RAM configurada.
-
El administrador de esas cuentas asocia un almacén aislado lógicamente con un equipo de aprobación.
-
Una cuenta de recuperación solicita acceder a una cuenta que tiene un almacén aislado lógicamente con un equipo de aprobación de varias partes asociado (“equipo”). El equipo asociado a la cuenta aprueba o rechaza la solicitud.
-
El administrador de la cuenta propietaria del almacén aislado lógicamente puede solicitar que se desasocie al equipo de aprobación del almacén. La solicitud requiere la aprobación del equipo actual.
-
Un administrador puede actualizar la membresía del equipo de aprobación según sea necesario de acuerdo con sus prácticas de seguridad o cuando las personas se unan o abandonen su organización.
Requisitos previos y prácticas recomendadas para utilizar la aprobación de varias partes con un almacén aislado lógicamente
Para poder utilizar la aprobación de varias partes en sus almacenes aislados lógicamente de forma eficaz y segura, deben cumplirse una serie de requisitos previos y seguirse las prácticas recomendadas.
Prácticas recomendadas:
-
Dos (o más) AWS organizaciones a través de Organizations. Una de ellas debe ser la organización principal, en la que tiene una o más cuentas con al menos un almacén aislado lógicamente. La organización secundaria debe ser la organización de recuperación. Es en esta organización donde se administrará el equipo de aprobación de varias partes.
Requisitos previos
-
Ha configurado la aprobación de varias partes y dispone de al menos un equipo de aprobación.
-
Como mínimo, una cuenta de la organización principal debe tener un almacén aislado lógicamente (y el almacén de copias de seguridad original).
-
La cuenta de administración de la organización principal está suscrita a la aprobación de varias partes.
sugerencia
AWS Backup recomienda aplicar una política de control de servicios (SCP) a su organización principal y configurarla con los permisos adecuados para la organización y para cada equipo de aprobación. Consulte la sección Términos de la aprobación de varias partes para ver una política de ejemplo.
-
El equipo de aprobación de varias partes de la organización secundaria (de recuperación) se comparte a través de AWS RAM con ambas cuentas que poseen los almacenes aislados lógicamente y las cuentas de recuperación.
Consideraciones y dependencias entre regiones a la hora de utilizar la aprobación de varias partes
Si activa la aprobación de varias partes y su instancia de IAM Identity Center en regiones diferentes, la aprobación de varias partes llama al IAM Identity Center desde distintas regiones. Esto significa que la información de los usuarios y los grupos se transfiere de una región a otra. Los recursos del equipo de aprobación multipartito solo se pueden crear y almacenar en Región de AWS EE. UU. Este (Virginia del Norte).
Los demás recursos del equipo de aprobación multipartito Regiones de AWS que hagan referencia dependerán de la zona Este de EE. Región de AWS UU. (Virginia del Norte). En consecuencia, la aprobación multipartita permitirá realizar llamadas entre regiones si su instancia del Centro de Identidad (bóveda, and/or lógicamente cerrada) no se encuentra en EE. UU. Este (Virginia del Norte).
Términos, conceptos y usuarios de la aprobación de varias partes
La aprobación por parte de varias partes en una bóveda hermética es una integración de AWS Organizations las funciones (IAM) y ( AWS Account Management RAM) y AWS Backup(RAM). AWS Identity and Access Management AWS RAM A través de la CLI, puede interactuar con cada servicio para enviar los comandos correspondientes. También puede usar la consola, pero tendrá que ir a la consola del servicio correspondiente para completar tareas específicas.
La forma en que interactúes con la aprobación multipartita depende de tus funciones y responsabilidades en tus organizaciones, así como de los permisos que tengas en tus cuentas. AWS Backup
Tal como se muestra en la Guía del usuario de la aprobación de varias partes, los miembros de su organización que utilicen la aprobación de varias partes serán un solicitante, un administrador o un aprobador. Se aplican permisos específicos a cada rol de trabajo. De acuerdo con las prácticas recomendadas de seguridad, un usuario solo debe llevar a cabo un rol de trabajo.
Consolas, portales y sesiones
AWS Backup las cuentas con una o más bóvedas aisladas de forma lógica pueden utilizar la aprobación de varias partes.
Antes del proceso de aprobación multipartito, el administrador suele crear una organización secundaria con fines de recuperación (una organización de recuperación) si no se ha creado ninguna anteriormente. AWS Organizations
A continuación, el administrador utiliza la memoria AWS Resource Access Manager RAM para configurar el intercambio entre organizaciones entre la organización principal y la organización de recuperación.
La organización principal alberga las cuentas que poseen y utilizan un almacén aislado lógicamente en el que se almacenan los datos protegidos.
La organización de recuperación alberga al menos una cuenta de recuperación. Esta cuenta incluye un punto de acceso que puede utilizarse como “puerta trasera” esencial para acceder al almacén aislado lógicamente compartido. Este punto de acceso se denomina almacén de copias de seguridad con acceso a la restauración. Este almacén de acceso no almacena datos, sino que se utiliza como punto de acceso o montaje que refleja el contenido del almacén aislado lógicamente de origen pero no contiene datos que puedan modificarse o eliminarse. Por ejemplo, si un cliente realiza el proceso de restauración para un punto de recuperación en un almacén de copias de seguridad con acceso a la restauración, es el punto de recuperación del almacén aislado lógicamente el que se restaura mediante la restauración entre cuentas a través de la cuenta de recuperación.
Para incrementar la seguridad, los clientes utilizan esta cuenta de recuperación para llevar a cabo operaciones protegidas en la cuenta principal, pero solo después de que el equipo de aprobación asociado haya aprobado dichas operaciones en una sesión de aprobación. AWS Una vez que se envía una solicitud de aprobación, se crea una sesión y esa sesión finaliza cuando un número mínimo de miembros del equipo de aprobación aprueba o deniega la solicitud o cuando ha transcurrido el tiempo de sesión permitido.
Un equipo está formado por aprobadores (es decir, las partes de la aprobación de varias partes) que reciben notificaciones por correo electrónico de las solicitudes de operaciones protegidas. Estos correos electrónicos confirman que se ha iniciado una sesión de aprobación de la solicitud. La aprobación se concede si se alcanza el umbral mínimo de aprobación requerido. Este umbral se puede establecer al crear el equipo de aprobación de varias partes (“Equipo”).
Los equipos de aprobación multipartitos se gestionan a través del portal de aprobación multipartita de Organizations («portal»), una aplicación AWS gestionada que proporciona a las identidades una ubicación centralizada donde los miembros del equipo de aprobación pueden recibir y responder a las invitaciones y solicitudes de operación del equipo de aprobación.
