As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Multi-party aprovação para cofres logicamente isolados
<a name="multipartyapproval"></a>



## Visão geral da Multi-party aprovação em um cofre logicamente fechado
<a name="multipartyapproval-overview"></a>

AWS Backup oferece a opção de adicionar [Multi-party aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), uma capacidade de AWS Organizations, aos seus cofres logicamente fechados. Multi-party a aprovação fornece uma opção adicional para ajudar a proteger operações críticas por meio de um processo de aprovação distribuído. 

Multi-party a aprovação foi projetada para ajudar a proteger recursos essenciais e minimizar o tempo de retorno à operação total, como uma interrupção causada por agentes maliciosos ou eventos de malware. Essa configuração pode ajudar a restaurar o conteúdo de um cofre logicamente isolado que pode ter sido comprometido.

[Não há custo adicional para integrar e usar equipes de Multi-party aprovação com cofres AWS Backup logicamente isolados (taxas de armazenamento e transferências entre regiões se aplicam, conforme mostrado na página de preços).](https://aws.amazon.com/backup/pricing)

Como AWS Backup cliente, você pode usar a Multi-party aprovação para conceder recursos de aprovação de algumas operações a um grupo de pessoas confiáveis que podem aprovar de forma colaborativa o acesso a um cofre logicamente isolado a partir de uma conta de recuperação criada separadamente no caso de suspeita de atividade maliciosa que possa comprometer o uso da conta principal.

As etapas a seguir descrevem o fluxo recomendado para configurar uma AWS organização de recuperação, configurar a Multi-party aprovação e, em seguida, usar a Multi-party aprovação com seus cofres logicamente fechados:

1. Um administrador [cria uma organização por meio do Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) para ser usada em operações de recuperação.

1. Na conta gerencial dessa nova organização, o administrador cria e configura uma instância do Centro de Identidade do IAM (IDC). Para saber como ativar uma instância da organização, consulte [Ativar o Centro de Identidade do IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) no *Guia do usuário do Centro de Identidade do IAM*. Veja também a sequência para [Criar uma fonte de identidade de Multi-party aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) no *Guia do usuário de Multi-party aprovação*.

1. Em seguida, o administrador [criará uma equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html), o grupo principal de pessoas confiáveis que serão os principais usuários da Multi-party aprovação.

1. O administrador costuma AWS RAM [compartilhar uma equipe de aprovação](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) com cada conta que possui um cofre logicamente isolado e com a conta de recuperação que precisa solicitar acesso a esse cofre.

1. Um administrador da conta proprietária do cofre, logicamente isolado, [associa](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team) o cofre a uma equipe de aprovação.

1. Uma conta de recuperação [solicita acesso](multipartyapproval-tasks-requester.md#create-restore-access-vault) a uma conta que tem um cofre logicamente isolado com uma equipe de Multi-party aprovação associada (“equipe”). A equipe associada à conta [aprova ou nega a solicitação](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html).

1. O administrador da conta que possui o cofre logicamente isolado pode solicitar que a [equipe de aprovação seja desassociada do cofre](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team). A solicitação exige a aprovação da equipe atual.

1. Um administrador pode [atualizar a associação à equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) conforme necessário, de acordo com as práticas de segurança ou quando pessoas entram ou saem da organização.

## Pré-requisitos e melhores práticas para usar a Multi-party aprovação com um cofre logicamente isolado
<a name="multipartyapproval-prerequisites"></a>

Antes que você possa usar a Multi-party aprovação de forma eficaz e segura com seus cofres com lacunas lógicas, existem pré-requisitos e práticas recomendadas.

**Práticas recomendadas:**
+ Duas (ou mais) AWS organizações por meio de Organizations. Uma delas deve ser sua organização principal, na qual você tem uma ou mais contas que possuam pelo menos um cofre logicamente isolado. A organização secundária deve ser a organização de recuperação. É nessa organização que a equipe de aprovação multilateral será gerenciada.

**Pré-requisitos**

1. Você [configurou a Multi-party aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) e tem pelo menos uma equipe de aprovação.

1. Pelo menos uma conta na organização principal deve ter um cofre logicamente isolado (e o cofre de backup original).

1. A conta de gerenciamento na organização principal está autorizada a ser aprovada. Multi-party
**dica**  
AWS Backup recomenda que você aplique uma Política de Controle de Serviços (SCP) à sua organização principal e a configure com as permissões apropriadas para a organização e para cada equipe de aprovação. Consulte a seção de [termos de Multi-party aprovação](#multipartyapproval-terms) para ver um exemplo de política.

1. Sua equipe de Multi-party aprovação da organização secundária (de recuperação) é [compartilhada AWS RAM](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) com suas contas que possuem os cofres logicamente isolados e com suas contas de recuperação.

## Cross-Region considerações e dependências ao usar a aprovação Multi-party
<a name="multipartyapproval-cross-region"></a>

Quando você ativa a Multi-party aprovação e sua instância do IAM Identity Center em diferentes regiões, a Multi-party aprovação faz chamadas entre regiões para o IAM Identity Center. Isso significa que as informações do usuário e do grupo se movem entre as regiões. Multi-party aprovação Os recursos da equipe só podem ser criados e armazenados no Leste Região da AWS dos EUA (Norte da Virgínia).

Além Regiões da AWS disso, os recursos da equipe de Multi-party aprovação de referência dependerão do Leste Região da AWS dos EUA (Norte da Virgínia). Assim, a Multi-party aprovação fará chamadas entre regiões se seu cofre and/or logicamente isolado da instância do Identity Center não estiver no Leste dos EUA (Norte da Virgínia).

## Multi-party termos de aprovação, conceitos e personas de usuário
<a name="multipartyapproval-terms"></a>

Multi-party a aprovação em seu cofre logicamente isolado é uma integração dos AWS Organizations recursos AWS Gerenciamento de contas AWS Identity and Access Management (IAM) e AWS Backup AWS RAM (RAM). Por meio da CLI, é possível interagir com cada serviço para enviar os comandos apropriados. Você também pode usar o console, mas precisará acessar o console do serviço apropriado para concluir tarefas específicas.

A forma como você interage com a Multi-party aprovação depende de suas funções e responsabilidades em suas organizações, bem como das permissões que você tem em suas AWS Backup contas. 

***Conforme mostrado no [Guia do usuário de Multi-party aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), os membros da sua organização que usam a aprovação multipartidária serão ***solicitantes***, ***administradores*** ou aprovadores.*** Permissões específicas se aplicam a cada [função de trabalho](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html). De acordo com as práticas recomendadas de segurança, um usuário deve realizar apenas uma função de trabalho.

 **Consoles, portais e sessões** 

AWS Backup contas com um ou mais cofres logicamente isolados podem usar a aprovação de várias partes.

Antes do processo de aprovação de várias partes, um administrador pode criar AWS Organizations uma organização secundária para fins de recuperação (uma **organização de recuperação**), caso não tenha sido configurada anteriormente.

Em seguida, o administrador utiliza AWS Resource Access Manager (RAM) para configurar o compartilhamento entre organizações entre a organização principal e a organização de recuperação.

A **organização principal** abrange as contas que possuem e usam um cofre logicamente isolado, que armazena os dados protegidos.

A organização de recuperação contém pelo menos uma **conta de recuperação**. Essa conta possui um ponto de acesso que pode servir como um acesso alternativo fundamental para o cofre logicamente isolado compartilhado. Esse ponto de acesso é chamado de **cofre de backup de acesso para restauração**. Esse cofre de acesso não armazena dados; em vez disso, ele serve como um ponto de acesso ou de montagem que espelha o conteúdo do cofre logicamente isolado de origem, mas não contém dados que possam ser alterados ou excluídos. Por exemplo, se um cliente passa pelo processo de restauração de um ponto de recuperação em um cofre de backup de acesso para restauração, é o ponto de recuperação no cofre logicamente isolado que é restaurado por meio da restauração entre contas usando a conta de recuperação.

Para garantir mais segurança, os clientes usam essa conta de recuperação para realizar operações protegidas na conta principal, mas somente após essas operações terem sido aprovadas pela [equipe de aprovação associada em uma sessão de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources). Uma sessão é criada AWS quando uma solicitação de aprovação é enviada, e essa sessão termina quando um limite de membros da equipe de aprovação aprova ou nega a solicitação ou quando o tempo permitido para a sessão tiver passado. 

Uma equipe consiste em **aprovadores** (efetivamente, a parte da Multi-party aprovação das *partes*) que recebem notificações por e-mail sobre solicitações de operação protegidas. Esses e-mails confirmam que uma sessão de aprovação foi iniciada em resposta à solicitação. A aprovação é concedida quando o limite mínimo exigido para aprovação é atingido. Esse limite pode ser definido ao criar a **equipe de aprovação multilateral** (“Equipe”).

Multi-party as equipes de aprovação são gerenciadas por meio do **portal de aprovação multipartidário** (“portal”) da Organizations, um aplicativo AWS gerenciado que fornece identidades em um local centralizado onde os membros da equipe de aprovação podem receber e responder aos convites da equipe de aprovação e às solicitações de operação.