Amazon Backup 为逻辑气隙保管库增加了新的多方批准

今天，我们宣布全面推出一项新功能，该功能集成了经多方批准的 Amazon Backup 逻辑气隙保管库，即使您的亚马逊云科技账户因无意或恶意事件而无法访问，也能访问您的备份。Amazon Backup 是一项完全托管的服务，可集中和自动保护亚马逊云科技服务和混合工作负载的数据。它提供核心数据保护功能、勒索软件恢复功能以及数据保护政策和运营的合规性见解和分析。

作为备份管理员，您可以使用 Amazon Backup 逻辑气隙保管库安全地在账户和组织之间共享备份，在逻辑上隔离您的备份存储，并支持直接还原以帮助缩短意外或恶意事件后的恢复时间。但是，如果不良行为者或非故意的行为者获得了对您的备份账户或组织管理账户的根访问权限，您的备份会突然变得不可访问，尽管它们仍然安全地存储在逻辑上隔绝的保管库中。虽然传统账户恢复需要通过支持渠道进行，但获得多方批准的 Amazon Backup 可立即访问恢复工具，从而使您能够更快地解决问题并更好地控制恢复时间表。

多方批准 Amazon Backup 逻辑气隙保管库增加了额外的保护层，即使您的亚马逊云科技账户完全无法访问，也能恢复应用程序数据。使用多方批准，您可以创建由组织中高度信任的人员组成的审批小组，然后将他们与您的逻辑隔绝的保管库关联起来。如果您由于无意或恶意行为而被锁定在亚马逊云科技账户之外，您可以请求自己的审批团队授权从任何账户共享您的文件库，即使是您的 Amazon Organizations 账户之外的账户。获得批准后，您将获得对备份的授权访问权限，并可以开始恢复过程。

工作原理

Amazon Backup 逻辑气隙保管库的多方批准将逻辑气隙保管库的安全性与多方批准的监管相结合，创建了一种即使您的亚马逊云科技账户遭到入侵也能正常运行的恢复机制。以下是它的工作原理：

1. 创建批准团队
首先，您在 Amazon Organizations 管理账户中创建一个批准小组。如果管理账户是新的，请在创建审批团队之前先创建一个 Amazon Identity and Access Management (IAM) 身份中心实例。批准团队由可信个人（IAM 身份中心用户）组成，他们将被授权批准保管库共享请求。每位批准者都会收到通过新的批准门户加入审批团队的邀请。
创建批准团队界面

2. 保管库关联
当您的审批团队处于活动状态时，您可以使用 Amazon Resource Access Manager (Amazon RAM) 将其与拥有逻辑气隙保管库的账户共享，以防来自任意账户的批准请求。然后，备份管理员可以将该审批团队与新的或现有的逻辑隔离保管库关联起来。

3. 防止泄露
如果您的亚马逊云科技账户遭到入侵或无法访问，您可以请求从其他账户（干净的恢复账户）访问您的备份。此请求包括格式为逻辑隔离的文件库的亚马逊资源名称 (ARN) 以及可选的文件库名称arn:aws:backup:<region>:<account>:backup-vault:<name>和注释。

4. 多方批准
该请求将发送给审批小组，审批小组通过批准门户进行审核。当批准者达到所需的最低批准人数时，文件库将自动与请求账户共享。所有申请和批准都全面记录在 Amazon CloudTrail 中。

5. 恢复过程
授予访问权限后，您可以立即开始在新的恢复帐户中恢复或复制数据，而无需等待受感染的帐户得到修复。

这种方法为访问和恢复备份提供了完全独立的身份验证路径，完全独立于您的亚马逊云科技账户证书。即使不良行为者拥有您账户的超级用户访问权限，他们也无法阻止基于审批团队的恢复流程。

1. 创建新的逻辑气隙保管库
要创建新的逻辑气隙保管库，请提供名称、标签（可选）和文件库锁定属性。
创建新的逻辑气隙保管库界面