Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Multi-party persetujuan untuk kubah celah udara secara logis
<a name="multipartyapproval"></a>



## Ikhtisar Multi-party persetujuan di brankas yang memiliki celah udara secara logis
<a name="multipartyapproval-overview"></a>

AWS Backup menawarkan Anda opsi untuk menambahkan [Multi-party persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), kemampuan dari AWS Organizations, ke brankas Anda yang memiliki celah udara secara logis. Multi-party persetujuan memberikan opsi tambahan untuk membantu melindungi operasi penting melalui proses persetujuan terdistribusi. 

Multi-party persetujuan dirancang untuk membantu melindungi sumber daya penting dan meminimalkan waktu untuk kembali beroperasi penuh, seperti gangguan yang disebabkan oleh pelaku jahat atau peristiwa malware. Pengaturan ini dapat membantu Anda memulihkan konten brankas celah udara yang secara logis yang mungkin telah dikompromikan.

[Tidak ada biaya tambahan untuk mengintegrasikan dan menggunakan tim Multi-party persetujuan dengan brankas yang memiliki AWS Backup celah udara secara logis (biaya penyimpanan dan transfer lintas wilayah berlaku, seperti yang ditunjukkan pada halaman harga).](https://aws.amazon.com/backup/pricing)

Sebagai AWS Backup pelanggan, Anda dapat menggunakan Multi-party persetujuan untuk memberikan kemampuan persetujuan dari beberapa operasi kepada sekelompok individu tepercaya yang secara kolaboratif dapat menyetujui akses ke brankas celah udara secara logis dari akun pemulihan yang dibuat secara terpisah dalam kasus dugaan aktivitas berbahaya yang dapat membahayakan penggunaan akun utama.

Langkah-langkah berikut menguraikan alur yang disarankan untuk menyiapkan AWS organisasi pemulihan, menyiapkan Multi-party persetujuan, dan kemudian menggunakan Multi-party persetujuan dengan brankas Anda yang memiliki celah udara secara logis:

1. Administrator [membuat organisasi baru melalui Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) yang akan digunakan untuk operasi pemulihan.

1. Di akun manajemen organisasi baru ini, administrator membuat dan mengonfigurasi instans Pusat Identitas IAM (IDC) (untuk mengaktifkan instans organisasi, lihat Aktifkan Pusat Identitas [IAM di Panduan Pengguna Pusat Identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) *IAM*. Lihat juga urutan untuk [Membuat sumber identitas Multi-party persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) di *Panduan Pengguna Multi-party persetujuan*.

1. Administrator kemudian akan [membuat tim persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html), kelompok inti individu tepercaya yang akan menjadi pengguna utama Multi-party persetujuan.

1. Administrator menggunakan AWS RAM untuk [berbagi tim persetujuan](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) dengan setiap akun yang memiliki brankas celah udara secara logis dan akun pemulihan yang perlu meminta akses pada brankas itu.

1. Administrator akun pemilik brankas yang memiliki celah udara secara logis [mengaitkan brankas dengan tim persetujuan.](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)

1. Akun pemulihan [meminta akses](multipartyapproval-tasks-requester.md#create-restore-access-vault) ke akun yang memiliki brankas celah udara secara logis dengan tim Multi-party persetujuan terkait (“tim”). Tim yang terkait dengan akun [menyetujui atau menolak permintaan tersebut.](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html)

1. Admin akun yang memiliki brankas celah udara secara logis dapat meminta agar [tim persetujuan dilepaskan dari](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team) brankas. Permintaan tersebut membutuhkan persetujuan tim saat ini.

1. Administrator dapat [memperbarui keanggotaan tim persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) seperlunya sesuai dengan praktik keamanan mereka atau ketika orang bergabung atau meninggalkan organisasi Anda.

## Prasyarat dan praktik terbaik untuk menggunakan Multi-party persetujuan dengan brankas yang memiliki celah udara secara logis
<a name="multipartyapproval-prerequisites"></a>

Sebelum Anda dapat secara efektif dan aman menggunakan Multi-party persetujuan dengan brankas celah udara Anda secara logis, ada prasyarat dan praktik terbaik yang direkomendasikan.

**Praktik terbaik:**
+ Dua (atau lebih) AWS organisasi melalui Organizations. Satu harus menjadi organisasi utama Anda di mana Anda memiliki satu atau lebih akun yang memiliki setidaknya satu brankas celah udara secara logis. Organisasi sekunder harus menjadi organisasi pemulihan Anda. Di organisasi inilah tim persetujuan multi-pihak Anda akan dikelola.

**Prasyarat**

1. Anda telah [Mengatur Multi-party persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) dan memiliki setidaknya satu tim persetujuan.

1. Setidaknya satu akun di organisasi utama Anda harus memiliki brankas yang memiliki celah udara secara logis (dan brankas cadangan asli).

1. Akun manajemen di organisasi utama diikutsertakan untuk disetujui. Multi-party
**Tip**  
AWS Backup merekomendasikan Anda menerapkan Kebijakan Kontrol Layanan (SCP) ke organisasi utama Anda dan mengonfigurasinya dengan izin yang sesuai untuk organisasi dan untuk setiap tim persetujuan. Lihat bagian [persyaratan Multi-party persetujuan](#multipartyapproval-terms) untuk kebijakan sampel.

1. Tim Multi-party persetujuan Anda dari organisasi (pemulihan) sekunder [dibagikan melalui](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) kedua akun Anda yang memiliki brankas AWS RAM dengan celah udara secara logis dan akun pemulihan Anda.

## Cross-Region pertimbangan dan dependensi saat menggunakan persetujuan Multi-party
<a name="multipartyapproval-cross-region"></a>

Saat Anda mengaktifkan Multi-party persetujuan dan instans Pusat Identitas IAM Anda di Wilayah yang berbeda, Multi-party persetujuan membuat panggilan di seluruh Wilayah ke Pusat Identitas IAM. Ini berarti bahwa informasi pengguna dan grup bergerak melintasi Wilayah. Multi-party Sumber daya tim persetujuan hanya dapat dibuat dan disimpan di AWS Region AS Timur (Virginia N.).

Lain AWS Region yang referensi sumber daya tim Multi-party persetujuan akan tergantung pada AWS Region US East (Virginia N.). Dengan demikian, Multi-party persetujuan akan membuat panggilan Lintas wilayah jika instans Pusat Identitas Anda and/or secara logis brankas celah udara tidak berada di AS Timur (Virginia N.).

## Multi-party persyaratan persetujuan, konsep, dan persona pengguna
<a name="multipartyapproval-terms"></a>

Multi-party persetujuan di brankas celah udara Anda secara logis adalah integrasi,, dan AWS Organizations AWS Account Management AWS Backup, bersama dengan fitur AWS Identity and Access Management (IAM) dan AWS RAM (RAM). Melalui CLI, Anda dapat berinteraksi dengan setiap layanan untuk mengirim perintah yang sesuai. Anda juga dapat menggunakan konsol, tetapi Anda harus menavigasi ke konsol layanan yang sesuai untuk menyelesaikan tugas tertentu.

Cara Anda berinteraksi dengan Multi-party persetujuan tergantung pada peran dan tanggung jawab di organisasi Anda, serta izin yang Anda miliki di AWS Backup akun Anda. 

***Seperti yang ditunjukkan dalam [Panduan Pengguna Multi-party persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), anggota organisasi Anda yang menggunakan persetujuan multi-pihak akan menjadi ***pemohon***, ***administrator***, atau pemberi persetujuan.*** Izin khusus berlaku untuk setiap [fungsi pekerjaan](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html). Sesuai dengan praktik terbaik keamanan, pengguna hanya boleh memenuhi satu fungsi pekerjaan.

 **Konsol, portal, dan sesi** 

AWS Backup akun dengan satu atau lebih brankas celah udara secara logis dapat menggunakan persetujuan multi-pihak.

Sebelum proses persetujuan multi-pihak, administrator menggunakan AWS Organizations untuk membuat organisasi sekunder untuk tujuan pemulihan (**organisasi pemulihan**) jika salah satu belum dibentuk sebelumnya.

Kemudian, administrator menggunakan AWS Resource Access Manager (RAM) untuk mengatur berbagi lintas organisasi antara organisasi utama dan organisasi pemulihan.

**Organisasi utama** adalah rumah bagi akun yang memiliki dan menggunakan brankas yang memiliki celah udara secara logis, yang menyimpan data yang dilindungi.

Organisasi pemulihan adalah rumah bagi setidaknya satu **akun pemulihan**. Akun ini memiliki titik akses yang dapat berfungsi sebagai 'pintu belakang' kritis ke brankas celah udara yang secara logis bersama. Titik akses ini disebut **restore access backup vault**. Vault akses ini tidak menyimpan data; sebagai gantinya, ini berfungsi sebagai titik akses atau mount yang mencerminkan konten sumber brankas yang secara logis bercelah udara tetapi tidak berisi data yang dapat diubah atau dihapus. Misalnya, jika pelanggan melewati proses pemulihan untuk titik pemulihan di brankas cadangan akses pemulihan, itu adalah titik pemulihan di brankas celah udara yang secara logis dipulihkan melalui pemulihan lintas akun melalui akun pemulihan.

Untuk memastikan keamanan ekstra, pelanggan menggunakan akun pemulihan ini untuk melakukan operasi yang dilindungi di akun utama, tetapi hanya setelah operasi tersebut telah diberikan persetujuan oleh [tim persetujuan terkait dalam sesi persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources). Sesi dibuat oleh AWS setelah permintaan persetujuan telah dikirim, dan sesi itu berakhir ketika ambang batas persetujuan anggota tim menyetujui atau menolak permintaan atau ketika waktu sesi yang diizinkan telah berlalu. 

Sebuah tim terdiri dari **pemberi persetujuan** (secara efektif, bagian dari Multi-party persetujuan *para pihak*) yang menerima pemberitahuan email tentang permintaan operasi yang dilindungi. Email ini mengkonfirmasi bahwa sesi persetujuan telah dimulai untuk permintaan tersebut. Persetujuan diberikan setelah ambang batas minimum persetujuan yang diperlukan tercapai. Ambang batas ini dapat ditetapkan sebagai **tim persetujuan multi-pihak** (“Tim”) dibuat.

Multi-party Tim persetujuan dikelola melalui **portal persetujuan multi-pihak** Organizations (“portal”), aplikasi AWS terkelola yang menyediakan identitas lokasi terpusat di mana anggota tim persetujuan dapat menerima dan menanggapi undangan tim persetujuan dan permintaan operasi.