管理员任务

一些涉及 AWS Backup 和多方概述的任务需要具有管理员权限和管理账户访问权限的用户。

创建审批小组

贵组织中拥有 AWS 账户管理员权限的用户需要设置多方批准（概述中的步骤 3）。

在执行此步骤之前，建议将主要组织和辅助组织（用于恢复目的）（概述中的步骤 1）设置为最佳实践。 AWS Organizations

要创建您的团队，请参阅多方批准用户指南中的创建审批小组。

在aws mpa create-approval-team操作过程中，其中一个参数是policies。这是多方批准资源策略的 ARNs （Amazon 资源名称）列表，这些策略定义了保护团队的权限。

在《多方批准用户指南》的 “创建审批小组” 过程中的示例中显示的策略包含["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]具有多个必要权限的策略。您可以使用mpa list-policies返回可用策略的列表。

展开下方，查看此操作将创建并附加到您的审批小组的政策：


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}

您可以使用 AWS Resource Access Manager (RAM) 概述中的步骤 4 与其他 AWS 账户共享多方审批团队。

Console

使用共享多方审批团队 AWS RAM

登录 AWS RAM 控制台。
在导航窗格中，选择资源共享。
选择创建资源共享。
在名称字段中，输入资源共享的描述性名称。
在 “资源类型” 下，从下拉菜单中选择 “多方审批团队”。
在 “资源” 下，选择要共享的审批小组。
在 “委托人” 下，指定要与之共享审批团队的 AWS 账户。
要与特定 AWS 账户共享，请选择AWS 账户并输入 12 位数的账户 IDs。
要与组织或组织单位共享，请选择组织或组织单位并输入相应的 ID。
（可选）在 “标签” 下，添加要与此资源共享关联的所有标签。
选择创建资源共享。

资源共享状态最初将显示为PENDING。收款人账户接受邀请后，状态将更改为ACTIVE。

CLI

要 AWS RAM 通过 CLI 共享多方审批团队，请使用以下命令：

首先，确定您要共享的审批团队的 ARN：


aws mpa list-approval-teams --region us-east-1

使用 create-resource-share以下命令创建资源共享：


aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

要与组织而不是特定账户共享，请执行以下操作：


aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

检查您的资源共享状态：


aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

收件人账户需要接受资源共享邀请：


aws ram get-resource-share-invitations --region us-east-1

在收件人账户中运行以接受邀请：


aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

邀请被接受后，多方审批团队即可在收件人账户中使用。

AWS 提供共享账户访问权限的工具，包括通过AWS Resource Access Manager和多方访问权限。当您选择与其他账户共享逻辑上存在气隙的保管库时，请考虑以下细节：

功能	AWS RAM 基于共享	基于多方批准的访问权限
访问逻辑上存在气隙的保管库	RAM 共享完成后，就可以访问存储库了。	其他账户的任何尝试都必须得到一定数量的多方批准团队成员的批准。批准会话将在请求启动 24 小时后自动过期。
移除访问权限	拥有逻辑空隙保管库的账户可以随时终止基于 RAM 的共享。	只有向多方批准团队提出申请，才能删除对文件库的访问权限。
跨账户复制 and/or 区域	当前不支持。	备份可以复制到与恢复帐户相同的帐户或同一组织中的其他帐户。
跨区域转账账单		跨区域传输的费用由拥有还原访问备份保管库的同一个账户收费。
推荐用法	主要用途是数据丢失恢复和恢复测试。	主要用于怀疑账户访问权限或安全性受到威胁的情况。
区域	在所有支持逻辑气隙保管库 AWS 区域的地方都可用。	在所有支持逻辑气隙保管库 AWS 区域的地方都可用。
恢复	所有支持的资源类型都可以从共享账户中恢复。	所有支持的资源类型都可以从共享账户中恢复。
设置	只要 AWS Backup 账户设置了 RAM 共享并且接收账户接受共享，就可以进行共享。	共享需要管理账户选择接受多方批准并设置 RAM 共享。然后，管理账户必须创建一个团队，并将该团队分配到逻辑上隔绝的保管库。
共享	共享是通过 RAM 在同一个 AWS 组织内或跨 AWS 组织完成的。访问权限是根据 “推送” 模式授予的，在这种模式中，管理账户首先授予访问权限，然后另一个账户接受访问权限。	通过同一 AWS 组织内或跨组织的 Organizations 支持的审批团队可以访问逻辑上空隙的保管库。访问权限是根据 “拉取” 模式授予的，即接收账户首先请求访问权限，然后审批团队批准或拒绝该请求。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

多方批准逻辑上存在气隙的保管库

请求者任务