多方批准逻辑上存在气隙的保管库 - Amazon Backup
多方批准概述先决条件和最佳实践多方批准跨区域注意事项多方批准条款
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

多方批准逻辑上存在气隙的保管库

逻辑隔绝的保管库中的多方批准概述

Amazon Backup 为您提供向逻辑隔绝的保管库添加多方批准的选项,该功能来自于 Amazon Organizations逻辑隔绝的保管库。多方批准提供了另一个选项,可通过分布式批准流程帮助保护关键操作。

多方批准旨在帮助保护关键资源,并最大限度地缩短恢复全面运行 (RTO) 的时间,例如恶意行为者或恶意软件事件造成的中断。此设置可以帮助您恢复可能已被泄露的逻辑上存在气隙的保管库中的内容。

作为 Amazon Backup 客户,您可以使用多方批准将某些操作的批准权限授予一组受信任的个人,如果怀疑存在可能影响主账户使用的恶意活动,他们可以协作批准从单独创建的恢复账户访问逻辑上空隙的保管库。

以下步骤概述了设置恢复 Amazon 组织、设置多方批准,然后对逻辑上空隙的保管库使用多方批准的推荐流程:

  1. 管理员通过 Organizations 创建一个用于恢复操作的新组织

  2. 在这个新组织的管理账户中,管理员创建并配置一个 IAM 身份中心 (IDC) 实例(要启用组织实例,请参阅 IA M Identity Center 用户指南中的启用 IAM 身份中心)。另请参阅《多方批准用户指南》中创建多方批准身份源的顺序。

  3. 然后,管理员将创建一个审批小组,即由可信个人组成的核心小组,他们将是多方批准的主要用户。

  4. 管理员 Amazon RAM 与每个拥有至少一个逻辑上空隙的保管库(可能是您的主账户)的账户共享一个审批小组

  5. 这些账户的管理员将逻辑上隔绝的保管库与审批团队相关联

  6. 恢复账户请求访问一个账户,该账户的保管库在逻辑上是空隙的,还有一个关联的多方审批小组(“团队”)。与该账户关联的团队批准或拒绝该请求

  7. 拥有逻辑上空隙保管库的账户的管理员可以请求取消审批小组与文件库的关联。该请求需要当前团队的批准。

  8. 管理员可以在必要时根据其安全惯例或人员加入或离开您的组织时更新审批小组成员资格

在逻辑气隙保管库中使用多方批准的先决条件和最佳实践

在对逻辑隔绝的保管库进行多方批准之前,需要先具备先决条件和推荐的最佳实践。

最佳实践:

  • 通过 Organizations 创建两个(或更多) Amazon 组织。一个应该是你的主要组织,在这个组织中,你有一个或多个账户至少有一个逻辑上空隙的保管库。辅助组织应该是您的恢复组织。您的多方审批团队将在这个组织中进行管理。

先决条件

  1. 您已经设置了多方审批,并且至少有一个审批小组。

  2. 您的主组织中至少有一个账户必须拥有逻辑上空隙的保管库(以及原始备份保管库)。

  3. 主组织中的管理账户可以选择接受多方批准。

    提示

    Amazon Backup 建议您将服务控制策略 (SCP) 应用于您的主要组织,并使用该组织和每个审批小组的相应权限对其进行配置。

  4. 您来自二级(恢复)组织的多方批准团队将 Amazon RAM与拥有逻辑上空隙的保管库的账户共享

使用多方批准时的跨区域注意事项和依赖关系

当您在不同区域启用多方批准和您的 IAM Identity Center 实例时,多方批准会跨区域调用 IAM 身份中心。这意味着用户和群组信息会跨区域移动。多方审批团队资源只能 Amazon Web Services 区域 在美国东部(弗吉尼亚北部)创建和存储。

其他 Amazon Web Services 区域 参考多方审批团队资源的内容将取决于 Amazon Web Services 区域 美国东部(弗吉尼亚北部)。因此,如果您的 Identity Center 实例 and/or 逻辑上存在空隙的保管库不在美国东部(弗吉尼亚北部),则多方批准将进行跨区域调用。

多方批准条款、概念和用户角色

逻辑上隔绝的保管库中的多方批准是 Amazon Organizations Amazon 账户管理 Amazon Backup、和以及 Amazon Identity and Access Management (IAM) 和 Amazon RAM (RAM) 功能的集成。通过 CLI,您可以与每项服务交互以发送相应的命令。您也可以使用控制台,但需要导航到相应服务的控制台才能完成特定任务。

您与多方批准的互动方式取决于您在组织中的角色和职责,以及您在 Amazon Backup 账户中拥有的权限。

多方批准用户指南中所示,贵组织中使用多方批准的成员可以是申请者、管理员或批准者。特定权限适用于每个工作职能。根据安全最佳实践,用户只能履行一项工作职能。

控制台、门户和会话

Amazon Backup 具有一个或多个逻辑空隙文件库的账户可以使用多方批准。

在多方批准流程之前,管理员会利用创建用于恢复目的的辅助组织(恢复组织)(前 Amazon Organizations 提是之前尚未建立此类组织)。

然后,管理员利用 Amazon Resource Access Manager (RAM) 在主组织和恢复组织之间建立跨组织共享。

主组织是拥有并使用逻辑上隔绝的保管库的账户所在地,该保管库存储受保护的数据。

恢复组织至少有一个恢复账户。该账户包含一个接入点,该接入点可以作为共享的逻辑气隙保管库的关键 “后门”。此接入点称为恢复访问备份保管库。此访问保管库不存储数据;相反,它充当访问点或装载点,用于镜像源逻辑上空隙保管库的内容,但不包含可以更改或删除的数据。例如,如果客户在还原访问备份保管库中执行恢复点的还原过程,则逻辑上存在气隙的保管库中的恢复点将通过恢复帐户进行跨账户还原。

为了确保额外的安全性,客户使用此恢复账户在主账户中执行受保护的操作,但前提是这些操作在批准会话中获得相关审批小组的批准。会话是在批准请求发送 Amazon 后创建的,当批准团队成员达到批准或拒绝请求的阈值或允许的会话时间过去时,该会话就会结束。

团队由审批者(实际上是多方批准各方部分)组成,他们会收到有关受保护操作请求的电子邮件通知。这些电子邮件确认申请的批准会话已开始。一旦达到所需的最低批准门槛,就会获得批准。可以在创建多方审批小组(“团队”)时设置此阈值。

多方审批团队通过 Organizations 多方批准门户(“门户”) Amazon 进行管理,该门户是一个托管应用程序,为身份提供一个集中的位置,审批团队成员可以在那里接收和响应审批小组的邀请和操作请求。