View a markdown version of this page

Multi-party approbation pour les coffres-forts à espacement d'air logique - AWS Backup
Vue d'ensemble de Multi-party l'approbationConditions préalables et meilleures pratiquesMulti-party approbation Considérations interrégionalesMulti-party conditions d'approbation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Multi-party approbation pour les coffres-forts à espacement d'air logique

Vue d'ensemble de Multi-party l'approbation dans un coffre hermétique

AWS Backup vous offre la possibilité d'ajouter une Multi-party approbation, une fonctionnalité provenant de AWS Organizations, à vos coffres-forts à espacement logique. Multi-party l'approbation fournit une option supplémentaire pour protéger les opérations critiques par le biais d'un processus d'approbation distribué.

Multi-party l'approbation est conçue pour aider à protéger les ressources critiques et à minimiser le délai de retour à une exploitation complète, par exemple en cas d'interruption causée par des acteurs malveillants ou des événements malveillants. Cette configuration peut vous aider à restaurer le contenu d'un coffre-fort logiquement isolé qui a peut-être été compromis.

Il n'y a aucun coût supplémentaire pour intégrer et utiliser des équipes Multi-party d'approbation dotées de coffres-forts AWS Backup logiquement espacés (des frais de stockage et de transferts entre régions s'appliquent, comme indiqué sur la page de tarification).

En tant que AWS Backup client, vous pouvez utiliser Multi-party l'approbation pour accorder la capacité d'approbation de certaines opérations à un groupe de personnes de confiance qui peuvent approuver de manière collaborative l'accès à un coffre-fort isolé à partir d'un compte de récupération créé séparément en cas de suspicion d'activité malveillante susceptible de compromettre l'utilisation du compte principal.

Les étapes suivantes décrivent le flux recommandé pour configurer une AWS organisation de reprise, configurer l' Multi-party approbation, puis utiliser l' Multi-party approbation avec vos coffres-forts logiquement espacés :

  1. Un administrateur crée une nouvelle organisation via Organizations à utiliser pour les opérations de restauration.

  2. Dans le compte de gestion de cette nouvelle organisation, l'administrateur crée et configure une instance IAM Identity Center (IDC) (pour activer une instance d'organisation, voir Activer le centre d'identité IAM dans le guide de l'utilisateur de l'IAM Identity Center). Consultez également la séquence de création d'une source d'identité d' Multi-party approbation dans le guide de Multi-party l'utilisateur d'approbation.

  3. L'administrateur créera ensuite une équipe d'approbation, le groupe principal de personnes de confiance qui seront les principaux utilisateurs de Multi-party l'approbation.

  4. L'administrateur a l'habitude de AWS RAM partager une équipe d'approbation avec chaque compte propriétaire d'un coffre-fort logiquement isolé et avec le compte de récupération qui doit demander l'accès à ce coffre-fort.

  5. Un administrateur du compte propriétaire du coffre-fort logiquement isolé associe le coffre-fort à une équipe d'approbation.

  6. Un compte de récupération demande l'accès à un compte doté d'un coffre-fort logiquement isolé auquel est associée une équipe d' Multi-party approbation (« équipe »). L'équipe associée au compte approuve ou refuse la demande.

  7. L'administrateur du compte propriétaire du coffre-fort logiquement isolé peut demander que l'équipe d'approbation soit dissociée du coffre-fort. La demande nécessite l'approbation actuelle de l'équipe.

  8. Un administrateur peut mettre à jour la composition de l'équipe d'approbation si nécessaire conformément à ses pratiques de sécurité ou lorsque des personnes rejoignent ou quittent votre organisation.

Conditions préalables et meilleures pratiques pour utiliser l' Multi-party approbation avec un coffre-fort à espacement logique

Avant de pouvoir utiliser efficacement et en toute sécurité Multi-party l'approbation avec vos coffres-forts à espacement logique, il existe des conditions préalables et des meilleures pratiques recommandées.

Bonnes pratiques :

  • Deux organisations (ou plus) par le biais AWS d'Organizations. Il doit s'agir de votre organisation principale dans laquelle vous possédez un ou plusieurs comptes dotés d'au moins un coffre-fort logiquement isolé. L'organisation secondaire doit être votre organisation de reprise. C'est dans cette organisation que votre équipe d'approbation multipartite sera gérée.

Conditions préalables

  1. Vous avez configuré Multi-party l'approbation et disposez d'au moins une équipe d'approbation.

  2. Au moins un compte de votre organisation principale doit disposer d'un coffre-fort isolé logiquement (et du coffre-fort de sauvegarde d'origine).

  3. Le compte de gestion de l'organisation principale est activé pour approbation. Multi-party

    Astuce

    AWS Backup vous recommande d'appliquer une politique de contrôle des services (SCP) à votre organisation principale et de la configurer avec les autorisations appropriées pour l'organisation et pour chaque équipe d'approbation. Consultez la section sur les conditions d'Multi-party approbation pour un exemple de politique.

  4. Votre équipe Multi-party d'approbation de l'organisation secondaire (de restauration) est partagée à la fois AWS RAM avec vos comptes propriétaires du ou des coffres-forts logiquement séparés et avec vos comptes de récupération.

Cross-Region considérations et dépendances lors de l'utilisation de l' Multi-party approbation

Lorsque vous activez Multi-party l'approbation et votre instance IAM Identity Center dans différentes régions, Multi-party l'approbation fait passer des appels à IAM Identity Center dans toutes les régions. Cela signifie que les informations relatives aux utilisateurs et aux groupes sont transférées d'une région à l'autre. Multi-party approbation Les ressources de l'équipe ne peuvent être créées et stockées que dans l'est des Région AWS États-Unis (Virginie du Nord).

À part Régions AWS cela, les ressources de l'équipe d' Multi-party approbation dépendront de l'est des Région AWS États-Unis (Virginie du Nord). En conséquence, Multi-party l'approbation effectuera des appels interrégionaux si votre instance Identity Center and/or logiquement isolée ne se trouve pas dans l'est des États-Unis (Virginie du Nord).

Multi-party conditions d'approbation, concepts et personnalités des utilisateurs

Multi-party l'approbation dans votre coffre-fort logiquement espacé est une intégration des fonctionnalités AWS Organizations Gestion des identités et des accès AWS (IAM) et AWS Backup(RAM) et AWS RAM (RAM). Gestion de compte AWS Grâce à la CLI, vous pouvez interagir avec chaque service pour envoyer les commandes appropriées. Vous pouvez également utiliser la console, mais vous devrez accéder à la console du service approprié pour effectuer des tâches spécifiques.

La manière dont vous interagissez avec Multi-party l'approbation dépend de vos rôles et responsabilités au sein de vos organisations, ainsi que des autorisations dont vous disposez dans vos AWS Backup comptes.

Comme indiqué dans le guide de l'utilisateur d'Multi-party approbation, les membres de votre organisation qui utilisent l'approbation multipartite seront soit demandeurs, administrateurs, soit approbateurs. Des autorisations spécifiques s'appliquent à chaque fonction. Conformément aux meilleures pratiques en matière de sécurité, un utilisateur ne doit remplir qu'une seule fonction.

Consoles, portails et sessions

AWS Backup les comptes dotés d'un ou de plusieurs coffres-forts séparés de manière logique peuvent faire l'objet d'une approbation multipartite.

Avant le processus d'approbation multipartite, un administrateur crée une organisation secondaire AWS Organizations à des fins de reprise (une organisation de reprise) si aucune organisation n'a été configurée auparavant.

L'administrateur utilise ensuite AWS Resource Access Manager (RAM) pour configurer le partage interorganisationnel entre l'organisation principale et l'organisation de reprise.

L'organisation principale héberge des comptes qui possèdent et utilisent un coffre-fort logiquement isolé dans lequel sont stockées les données protégées.

L'organisation de recouvrement héberge au moins un compte de recouvrement. Ce compte héberge un point d'accès qui peut servir de « porte dérobée » essentielle au coffre-fort partagé logiquement séparé. Ce point d'accès est appelé coffre de sauvegarde pour l'accès à la restauration. Ce coffre d'accès ne stocke pas de données ; il sert plutôt de point d'accès ou de montage qui reflète le contenu du coffre-fort source logiquement espacé, mais ne contient aucune donnée pouvant être modifiée ou supprimée. Par exemple, si un client suit le processus de restauration d'un point de restauration dans un coffre-fort de sauvegarde avec accès à la restauration, c'est le point de restauration situé dans le coffre-fort isolé de manière logique qui est restauré par le biais d'une restauration entre comptes via le compte de récupération.

Pour garantir une sécurité accrue, les clients utilisent ce compte de récupération pour effectuer des opérations protégées sur le compte principal, mais uniquement après que ces opérations ont été approuvées par l'équipe d'approbation associée lors d'une session d'approbation. Une session est créée une AWS fois qu'une demande d'approbation a été envoyée, et cette session se termine lorsqu'un seuil de membres de l'équipe d'approbation approuve ou refuse la demande ou lorsque le temps de session autorisé est dépassé.

Une équipe est composée d'approbateurs (en fait, la partie de l' Multi-party approbation réservée aux parties) qui reçoivent des notifications par e-mail concernant les demandes d'opérations protégées. Ces e-mails confirment qu'une session d'approbation a commencé pour la demande. L'approbation est accordée une fois que le seuil d'approbation minimum requis est atteint. Ce seuil peut être défini lors de la création de l'équipe d'approbation multipartite (« Équipe »).

Multi-party les équipes d'approbation sont gérées via le portail d'approbation multipartite des Organisations (« portail »), une application AWS gérée qui fournit aux identités un emplacement centralisé où les membres de l'équipe d'approbation peuvent recevoir et répondre aux invitations des équipes d'approbation et aux demandes d'opérations.