今天，我们宣布推出一项新功能的全面可用性：AWS Backup逻辑隔离存储库与多方审批集成，即使因意外或恶意事件导致AWS账户不可访问，仍能提供备份访问权限。AWS Backup是一项全托管服务，可集中化和自动化AWS服务及混合工作负载的数据保护，提供核心数据保护功能、勒索软件恢复能力，以及对数据保护策略和操作的合规洞察与分析。

作为备份管理员，您可以使用AWS Backup逻辑隔离存储库安全地跨账户和组织共享备份，逻辑隔离备份存储，并支持直接恢复以减少意外或恶意事件后的恢复时间。然而，如果恶意或意外行为者获得备份账户或组织管理账户的根访问权限，即使备份仍安全存储在逻辑隔离存储库中，也会突然变得不可访问。传统的账户恢复需要通过支持渠道处理，而具备多方审批的AWS Backup可立即访问恢复工具，使您能够更快解决问题并更好地控制恢复时间线。

AWS Backup逻辑隔离存储库的多方审批功能增加了一层额外保护，即使AWS账户完全不可访问，也能恢复应用程序数据。使用多方审批，您可以创建由组织中高度可信人员组成的审批团队，并将其与逻辑隔离存储库关联。如果因意外或恶意操作被锁定AWS账户，您可以请求自己的审批团队授权从任何账户（包括AWS Organizations账户之外的账户）共享存储库。一旦获得批准，您将获得备份的授权访问权限并开始恢复过程。

工作原理

AWS Backup逻辑隔离存储库的多方审批结合了逻辑隔离存储库的安全性和多方审批的治理，创建了一种即使在AWS账户受损时也能工作的恢复机制。工作原理如下：

1. 审批团队创建
   首先，在AWS Organizations管理账户中创建审批团队。如果管理账户是新的，需先创建AWS Identity and Access Management (IAM) Identity Center实例，再创建审批团队。审批团队由可信人员（IAM Identity Center用户）组成，他们将有权批准存储库共享请求。每个审批者通过新的审批门户接收加入审批团队的邀请。

2. 存储库关联
   审批团队激活后，使用AWS Resource Access Manager (AWS RAM)将其与拥有逻辑隔离存储库的账户共享，以防止任意账户的审批请求。备份管理员随后可以将此审批团队与新的或现有的逻辑隔离存储库关联。

3. 防泄露保护
   如果AWS账户受损或不可访问，您可以从其他账户（干净的恢复账户）请求访问备份。该请求包括逻辑隔离存储库的Amazon Resource Name (ARN)，格式为arn:aws:backup:<region>:<account>:backup-vault:<name>，以及可选的存储库名称和注释。

4. 多方审批
   请求发送给审批团队，他们通过审批门户进行审核。当达到最低所需审批人数授权请求时，存储库会自动与请求账户共享。所有请求和批准都会在AWS CloudTrail中全面记录。

5. 恢复过程
   获得访问权限后，您可以立即在新的恢复账户中开始恢复或复制数据，而无需等待受损账户修复。

这种方法提供了一条完全独立的认证路径来访问和恢复备份，完全独立于AWS账户凭证。即使恶意行为者拥有账户的根访问权限，也无法阻止基于审批团队的恢复过程。

操作指南

1. 创建新的逻辑隔离存储库
   提供名称、标签（可选）和存储库锁定属性以创建新的逻辑隔离存储库。

2. 分配审批团队
   存储库创建后，选择“分配审批团队”将其与现有审批团队关联。
   从下拉菜单中选择现有审批团队，然后选择“提交”以完成分配。
   现在您的审批团队已分配给逻辑隔离存储库。

注意事项

在实际紧急情况前测试恢复过程至关重要：

• 从其他AWS账户使用AWS Backup控制台或API，通过提供存储库ID和ARN请求共享逻辑隔离存储库。
• 请求审批团队批准您的请求。
• 一旦批准，验证您可以在测试账户中访问和恢复存储库中的备份。

作为最佳实践，使用AWS Backup Audit Manager定期监控审批团队的健康状况，确保有足够的活跃参与者以满足审批阈值。

多方审批增强云治理

今天，我们还宣布推出一项新功能的全面可用性：AWS账户管理员可使用多方审批为其产品添加该功能。如本文所述，AWS Backup是首个集成此功能的服