本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Multi-party 批准逻辑上存在气隙的保管库
<a name="multipartyapproval"></a>



## 逻辑气隙保管库中的 Multi-party 批准概述
<a name="multipartyapproval-overview"></a>

AWS Backup 为您提供了向逻辑上隔绝的保管库添加[Multi-party 批准](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)（一项功能）的选项。 AWS Organizations Multi-party 批准提供了另一个选项，可通过分布式批准流程帮助保护关键操作。

Multi-party 批准旨在帮助保护关键资源并最大限度地缩短恢复全面运行的时间，例如恶意行为者或恶意软件事件造成的中断。此设置可以帮助您还原可能已被损坏的逻辑上受物理隔离的保管库中的内容。

[整合和使用具有 AWS Backup 逻辑气隙的保管库的 Multi-party 审批团队无需支付额外费用（如定价页面所示，需支付存储和跨区域传输费用）。](https://aws.amazon.com/backup/pricing)

作为 AWS Backup 客户，您可以使用 Multi-party 批准将某些操作的批准权限授予一组受信任的个人，如果怀疑存在可能影响主账户使用的恶意活动，他们可以协作批准从单独创建的恢复账户访问逻辑上空隙的保管库。

以下步骤概述了设置恢复 AWS 组织、设置 Multi-party 审批，然后对逻辑上隔绝的保管 Multi-party 库进行批准的推荐流程：

1. 管理员[通过 Organizations 创建一个新组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)用于执行恢复操作。

1. 在这个新组织的管理账户中，管理员创建并配置一个 IAM Identity Center（IDC）实例（要启用组织实例，请参阅《IAM Identity Center 用户指南》**中的[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)）。另请参阅《[ Multi-party 批准*用户指南》中创建Multi-party批准*身份源的](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)顺序。

1. 然后，管理员将[创建一个审批小组](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html)，即由可信个人组成的核心小组，他们将成为 Multi-party批准的主要用户。

1. 管理员使用 AWS RAM 与每个拥有逻辑隔绝保管库的账户以及需要请求访问该保管库的恢复账户[共享审批小组](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

1. 逻辑上存在气隙的保管库所有者账户的管理员[将该文件库与审批小组关联起来](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)。

1. 恢复账户[请求访问](multipartyapproval-tasks-requester.md#create-restore-access-vault)一个账户，该账户的保管库与相关的 Multi-party 审批小组（“团队”）存在逻辑隔离。与该账户关联的团队[批准或拒绝请求](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html)。

1. 拥有逻辑上受物理隔离的保管库的账户的管理员可以请求[取消审批团队与保管库的关联](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)。请求需要当前团队的批准。

1. 管理员可以在必要时根据其安全实践或者在人员加入或离开组织时[更新审批团队成员资格](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html)。

## 在逻辑上隔绝的保管库中使用 Multi-party 批准的先决条件和最佳实践
<a name="multipartyapproval-prerequisites"></a>

在您可以有效、安全地使用逻辑气隙保管库的 Multi-party 批准之前，需要先满足一些先决条件和推荐的最佳实践。

**最佳实践：**
+ 通过 Organizations 创建两个（或更多） AWS 组织。一个应该是主组织，在这个组织中，您的一个或多个账户拥有至少一个逻辑上受物理隔离的保管库。辅助组织应该是恢复组织。多方审批团队将在这个组织中进行管理。

**先决条件**

1. 您已[设置 Multi-party 审批](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)，并且至少有一个审批小组。

1. 主组织中至少有一个账户必须拥有逻辑上受物理隔离的保管库（以及原始备份保管库）。

1. 主组织中的管理账户已选择接受批准。 Multi-party
**提示**  
AWS Backup 建议您将服务控制策略 (SCP) 应用于您的主要组织，并使用该组织和每个审批小组的相应权限对其进行配置。有关政策示例，请参阅[Multi-party 批准条款](#multipartyapproval-terms)部分。

1. 您来自二级（恢复）组织的 Multi-party 审批团队将 AWS RAM与拥有逻辑上空隙的保管库的账户和恢复账户[共享](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

## Cross-Region 使用 Multi-party 批准时的注意事项和依赖关系
<a name="multipartyapproval-cross-region"></a>

当您在不同区域启用 Multi-party 批准和您的 IAM 身份中心实例时， Multi-party 批准会跨区域调用 IAM Identity Center。这意味着用户和群组信息会跨区域移动。 Multi-party 只能 AWS 区域 在美国东部（弗吉尼亚北部）创建和存储批准团队资源。

其他 AWS 区域 参考 Multi-party 审批团队资源将取决于 AWS 区域 美国东部（弗吉尼亚北部）。因此，如果您的 Identity Center 实例 and/or 逻辑上存在空隙的保管库不在美国东部（弗吉尼亚北部），则 Multi-party 批准将进行跨区域调用。

## Multi-party 批准条款、概念和用户角色
<a name="multipartyapproval-terms"></a>

Multi-party 在逻辑上隔绝的保管库中批准是 AWS Organizations AWS 账户管理 AWS Backup、和以及 AWS Identity and Access Management (IAM) 和 AWS RAM (RAM) 功能的集成。通过 CLI，您可以与每项服务交互以发送相应的命令。您也可以使用控制台，但需要导航到相应服务的控制台才能完成特定任务。

您与 Multi-party 批准的互动方式取决于您在组织中的角色和职责，以及您在 AWS Backup 账户中拥有的权限。

***如[Multi-party 批准用户指南](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)中所示，贵组织中使用多方批准的成员可以是***申请***者、***管理员***或批准者。***特定权限应用于各项[工作职能](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html)。根据安全最佳实践，用户只能履行一项工作职能。

 **控制台、门户和会话** 

AWS Backup 具有一个或多个逻辑空隙文件库的账户可以使用多方批准。

在多方批准流程之前，管理员会利用创建用于恢复目的的辅助组织（**恢复组织**）（前 AWS Organizations 提是之前尚未建立此类组织）。

然后，管理员利用 AWS Resource Access Manager (RAM) 在主组织和恢复组织之间建立跨组织共享。

**主组织**包含拥有并使用逻辑上受物理隔离的保管库（用于存储受保护的数据）的账户。

恢复组织包含至少一个**恢复账户**。该账户具有一个接入点，该接入点可以作为共享逻辑上受物理隔离的保管库的关键“后门”。该接入点称为**恢复访问权限备份保管库**。此访问权限保管库不存储数据，而是充当接入点或挂载点，用于针对源逻辑上受物理隔离的保管库的内容执行镜像操作，但不包含可以更改或删除的数据。例如，如果客户在恢复访问权限备份保管库中执行恢复点的还原过程，则逻辑上受物理隔离的保管库中的恢复点将通过恢复账户利用跨账户还原进行还原。

为了确保获得额外的安全保护，客户使用此恢复账户在主账户中执行受保护的操作，但前提是这些操作获得了[审批会话中的关联审批团队](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources)的批准。会话是在批准请求发送 AWS 后创建的，当批准团队成员达到批准或拒绝请求的阈值或允许的会话时间过后，该会话就会结束。

团队由**批准者（实际上是批准**的*各方*部分）组成，他们会收到有关受保护操作请求的电子邮件通知。 Multi-party 这些电子邮件确认针对请求的审批会话已开始。一旦达到规定的所需最低批准人数，便会获得批准。可以在创建**多方审批团队**（简称“团队”）时设置此规定人数。

Multi-party 审批团队通过 Organizations **多方审批门**户（“门户”） AWS 进行管理，该门户是一个托管应用程序，为身份提供一个集中的位置，审批团队成员可以在那里接收和回复审批小组的邀请和操作请求。