管理员任务

涉及 AWS Backup 和 Multi-party 概述的几项任务需要具有管理员权限和管理帐户访问权限的用户。

创建审批团队

贵组织中拥有 AWS 账户管理员权限的用户需要设置 Multi-party 批准（概述中的步骤 3）。

在执行此步骤之前，建议的最佳实践是通过 AWS Organizations 设置主组织和辅助组织（用于恢复目的）（概述中的第 1 步）。

要创建您的团队，请参阅Multi-party 审批用户指南中的创建审批小组。

在 aws mpa create-approval-team 操作过程中，其中一个参数是 policies。这是 Multi-party批准资源策略的 ARN（Amazon 资源名称）列表，这些策略定义了保护团队的权限。

在《Multi-party 批准用户指南》的 “创建审批小组” 过程中示例中显示的策略包含["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]具有多个必要权限的策略。

按照以下步骤使用 mpa list-policies 返回可用策略列表：

列出策略：


aws mpa list-policies --region us-east-1

列出所有策略版本：


aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

获取有关策略的详细信息：


aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

展开下方，查看此操作将创建并附加到审批团队的策略：

您可以使用概述中的第 4 步 AWS Resource Access Manager (RAM) 与其他 AWS 账户共享 Multi-party 审批团队。

Console

使用共享 Multi-party 审批团队 AWS RAM

登录 AWS RAM 控制台。
在导航窗格中，选择资源共享。
选择创建资源共享。
对于名称字段，输入资源共享的描述性名称。
在资源类型下，从下拉菜单中选择Multi-party审批团队。
在资源下，选择要共享的审批团队。
在 “委托人” 下，指定要与之共享审批团队的 AWS 账户。
要与特定 AWS 账户共享，请选择AWS 账户并输入 12 位数的账户 ID。
要与组织或组织单元共享，请选择组织或组织单元并输入相应的 ID。
（可选）在标签下，添加要与此资源共享关联的所有标签。
选择创建资源共享。

资源共享状态最初将显示为 PENDING。接收方账户接受邀请后，状态将更改为 ACTIVE。

CLI

要 AWS RAM 通过 CLI 共享 Multi-party 审批团队，请使用以下命令：

首先，确定要共享的审批团队的 ARN：


aws mpa list-approval-teams --region us-east-1

使用 create-resource-share 命令创建资源共享：


aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

要与组织而不是特定账户共享，请执行以下操作：


aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

检查资源共享的状态：


aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

接收方账户需要接受资源共享邀请：


aws ram get-resource-share-invitations --region us-east-1

在接收方账户中运行以接受邀请：


aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

邀请被接受后，审 Multi-party 批小组即可在收件人账户中使用。

AWS 提供共享账户访问权限的工具，包括通过AWS Resource Access Manager和Multi-party 访问权限。当您选择与其他账户共享逻辑上受物理隔离的保管库时，请考虑以下细节：

功能	AWS RAM 基于共享	Multi-party 基于批准的访问权限
访问逻辑上受物理隔离的保管库	RAM 共享完成后，便可以访问保管库。	其他账户的任何尝试都必须得到一定数量的 Multi-party 审批团队成员的批准。审批会话将在请求启动 24 小时后自动过期。
访问权限移除	拥有逻辑上受物理隔离的保管库的账户可以随时结束基于 RAM 的共享。	只有向 Multi-party审批小组提出申请，才能删除对文件库的访问权限。
跨账户复制 and/or 区域	当前不支持。	可以在与恢复账户相同的账户或相同的组织中的其他账户中复制备份。
Cross-Region 转账账单		Cross-Region 传输费用由拥有还原访问备份保管库的同一个账户收费。
建议用途	主要用于数据丢失恢复和还原测试。	主要用于怀疑账户访问权限或安全性受到威胁的情况。
区域	在所有支持逻辑气隙保管库 AWS 区域的地方都可用。	在所有支持逻辑气隙保管库 AWS 区域的地方都可用。
恢复	所有支持的资源类型都可以从共享账户中还原。	所有支持的资源类型都可以从共享账户中还原。
设置	只要 AWS Backup 账户设置了 RAM 共享并且接收账户接受共享，就可以进行共享。	要进行共享，需要管理账户先创建团队，然后设置 RAM 共享。然后，管理账户选择 Multi-party 批准并将该团队分配到逻辑上存在气隙的保管库。
共享	共享是通过 RAM 在同一个 AWS 组织内或跨 AWS 组织完成的。访问权限是根据“推送”模型授予的，即拥有逻辑上受物理隔离的保管库的账户先授予访问权限。然后，其他账户接受访问权限。	通过同一 AWS 组织内或跨组织的 Organizations 支持的审批团队可以访问逻辑上空隙的保管库。访问权限是根据“拉取”模型授予的，即接收账户先请求访问权限，然后审批团队批准或拒绝请求。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Multi-party 批准逻辑上存在气隙的保管库

请求者任务