Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Genehmigung durch mehrere Parteien für Tresore mit logischem Air-Gap
<a name="multipartyapproval"></a>



## Überblick über die Genehmigung durch mehrere Parteien in einem Tresor mit logischen Lücken
<a name="multipartyapproval-overview"></a>

AWS Backup bietet Ihnen die Möglichkeit, Ihren Tresoren mit logischem [Air-Gap eine Genehmigung durch mehrere Parteien](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) hinzuzufügen AWS Organizations, eine Funktion von. Die Genehmigung durch mehrere Parteien bietet eine zusätzliche Option, mit der kritische Abläufe durch ein verteiltes Genehmigungsverfahren geschützt werden können. 

Die Genehmigung durch mehrere Parteien dient dem Schutz kritischer Ressourcen und der Minimierung der Zeit bis zur Wiederherstellung des vollen Betriebs, z. B. bei Störungen durch böswillige Akteure oder Malware-Ereignisse. Diese Konfiguration kann Ihnen helfen, den Inhalt eines Tresors mit logischem Air-Gap wiederherzustellen, der möglicherweise kompromittiert wurde.

[Es fallen keine zusätzlichen Kosten für die Integration und den Einsatz von Genehmigungsteams mit mehreren Parteien und AWS Backup Logic-Air-Gap-Tresoren an (es fallen Gebühren für Speicher und regionsübergreifende Übertragungen an, wie auf der Preisseite angegeben).](https://aws.amazon.com/backup/pricing)

Als AWS Backup Kunde können Sie die Mehrparteiengenehmigung verwenden, um einer Gruppe vertrauenswürdiger Personen Genehmigungsfunktionen für einige Operationen zu gewähren, die gemeinsam den Zugriff auf einen Tresor mit logischem Air-Gap von einem separat erstellten Wiederherstellungskonto aus genehmigen können, falls der Verdacht auf böswillige Aktivitäten besteht, die die Nutzung des Hauptkontos gefährden könnten.

In den folgenden Schritten wird der empfohlene Ablauf für die Einrichtung einer AWS Wiederherstellungsorganisation, die Einrichtung der Mehrparteiengenehmigung und die anschließende Verwendung der Mehrparteiengenehmigung mit Ihren Tresoren mit logischen Air-Gaps beschrieben:

1. Ein Administrator [erstellt über Organizations eine neue Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html), die für Wiederherstellungsvorgänge verwendet wird.

1. *Im Verwaltungskonto dieser neuen Organisation erstellt und konfiguriert der Administrator eine IAM Identity Center (IDC) -Instanz (Informationen zur Aktivierung einer Organisationsinstanz finden Sie unter [Aktivieren von IAM Identity Center im IAM Identity Center-Benutzerhandbuch](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)).* *Weitere Informationen finden Sie im Benutzerhandbuch für die Genehmigung [mehrerer Parteien in der Reihenfolge „Identitätsquelle für die Genehmigung durch mehrere Parteien erstellen](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)“.*

1. Anschließend stellt der Administrator [ein Genehmigungsteam zusammen. Dabei handelt es sich um](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html) die Kerngruppe vertrauenswürdiger Personen, die die Hauptnutzer von Multi-Party Approval sein werden.

1. Der Administrator [teilt AWS RAM sich ein Genehmigungsteam](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) für jedes Konto, das einen Tresor mit logischem Air-Gap besitzt, sowie für das Wiederherstellungskonto, das Zugriff auf diesen Tresor beantragen muss.

1. Ein Administrator des Accounts, der den Tresor mit logischem Air-Gap besitzt, [ordnet](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team) den Tresor einem Genehmigungsteam zu.

1. Ein Wiederherstellungskonto [fordert Zugriff auf](multipartyapproval-tasks-requester.md#create-restore-access-vault) ein Konto an, das über einen Tresor mit logischem Air-Gap verfügt, dem ein Genehmigungsteam („Team“) mit mehreren Parteien zugeordnet ist. Das dem Konto zugeordnete Team [genehmigt](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html) die Anfrage oder lehnt sie ab.

1. Der Administrator des Accounts, dem der Tresor mit logischem Air-Gap gehört, kann beantragen, dass das [Genehmigungsteam vom Tresor getrennt wird](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team). Für die Anfrage ist eine aktuelle Genehmigung durch das Team erforderlich.

1. Ein Administrator kann die [Mitglieder des Genehmigungsteams bei Bedarf entsprechend seinen Sicherheitspraktiken aktualisieren](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) oder wenn Personen Ihrer Organisation beitreten oder sie verlassen.

## Voraussetzungen und bewährte Methoden für die Verwendung der Genehmigung durch mehrere Parteien bei einem Tresor mit logischem Air-Gap
<a name="multipartyapproval-prerequisites"></a>

Bevor Sie die Genehmigung durch mehrere Parteien effektiv und sicher für Ihre Datenspeicher mit logischen Air-Gaps nutzen können, müssen zunächst einige Voraussetzungen und empfohlene bewährte Verfahren erfüllt sein.

**Bewährte Verfahren:**
+ Zwei (oder mehr) AWS Organizations über Organisationen. Eines sollte Ihre primäre Organisation sein, in der Sie über ein oder mehrere Konten verfügen, die über mindestens einen Tresor mit logischem Air-Gap verfügen. Die sekundäre Organisation sollte Ihre Wiederherstellungsorganisation sein. In dieser Organisation wird Ihr Genehmigungsteam für mehrere Parteien verwaltet.

**Voraussetzungen**

1. Sie haben die [Genehmigung durch mehrere Parteien eingerichtet](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) und verfügen über mindestens ein Genehmigungsteam.

1. Mindestens ein Konto in Ihrer primären Organisation muss über einen Tresor mit logischem Air-Gap (und den ursprünglichen Backup-Tresor) verfügen.

1. Für das Verwaltungskonto in der primären Organisation wurde die Genehmigung durch mehrere Parteien aktiviert.
**Tipp**  
AWS Backup empfiehlt, eine Service Control Policy (SCP) auf Ihre primäre Organisation anzuwenden und diese mit den entsprechenden Berechtigungen für die Organisation und jedes Genehmigungsteam zu konfigurieren. Ein Beispiel für eine Richtlinie finden Sie im Abschnitt [Bedingungen für die Genehmigung durch mehrere Parteien](#multipartyapproval-terms).

1. Ihr Mehrparteien-Genehmigungsteam aus der sekundären Organisation (Wiederherstellung) wird sowohl AWS RAM mit Ihren [Konten geteilt](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram), denen die Logic Air-Gapped Tresore gehören, als auch mit Ihren Wiederherstellungskonten.

## Regionalübergreifende Überlegungen und Abhängigkeiten bei der Verwendung der Genehmigung durch mehrere Parteien
<a name="multipartyapproval-cross-region"></a>

Wenn Sie die Genehmigung durch mehrere Parteien aktivieren und Ihre IAM Identity Center-Instanz in verschiedenen Regionen aktiviert haben, werden bei der Genehmigung durch mehrere Parteien regionsübergreifend Anrufe an IAM Identity Center weitergeleitet. Das bedeutet, dass Benutzer- und Gruppeninformationen zwischen den Regionen übertragen werden. Ressourcen des Genehmigungsteams mit mehreren Parteien können nur in AWS-Region USA Ost (Nord-Virginia) erstellt und gespeichert werden.

Andere AWS-Regionen , die sich auf Ressourcen des Genehmigungsteams mehrerer Parteien beziehen, hängen von AWS-Region US East (Nord-Virginia) ab. Dementsprechend werden bei der Genehmigung durch mehrere Parteien regionsübergreifende Anrufe getätigt, wenn sich Ihr Identity Center-Instance and/or logischerweise Air-Gap-Tresor nicht in USA Ost (Nord-Virginia) befindet.

## Bedingungen, Konzepte und Benutzerpersönlichkeiten für die Genehmigung durch mehrere Parteien
<a name="multipartyapproval-terms"></a>

Die Genehmigung durch mehrere Parteien in Ihrem Tresor mit logischem Air-Gap ist eine Integration von AWS Organizations, und AWS -Kontenverwaltung AWS Backup, zusammen mit AWS Identity and Access Management (IAM) - und (RAM) -Funktionen. AWS RAM Über die CLI können Sie mit jedem Dienst interagieren, um die entsprechenden Befehle zu senden. Sie können auch die Konsole verwenden, müssen jedoch zur Konsole des entsprechenden Dienstes navigieren, um bestimmte Aufgaben auszuführen.

Wie Sie mit der Genehmigung durch mehrere Parteien umgehen, hängt von Ihren Rollen und Verantwortlichkeiten in Ihren Organisationen sowie von den Berechtigungen ab, die Sie in Ihren AWS Backup Konten haben. 

***Wie im [Benutzerhandbuch für Mehrparteiengenehmigungen beschrieben, handelt](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) es sich bei Mitgliedern Ihrer Organisation, die die Mehrparteiengenehmigung verwenden, entweder um ***Antragsteller***, ***Administrator*** oder Genehmiger.*** [Für jede Stellenfunktion gelten spezifische Berechtigungen.](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html) Gemäß den bewährten Sicherheitsmethoden sollte ein Benutzer nur eine Jobfunktion erfüllen.

 **Konsolen, Portale und Sitzungen** 

AWS Backup Konten mit einem oder mehreren Tresoren mit logischem Air-Gap können von mehreren Parteien genehmigt werden.

Vor dem Genehmigungsprozess durch mehrere Parteien erstellt ein Administrator für Wiederherstellungszwecke eine sekundäre Organisation (eine **Wiederherstellungsorganisation**), sofern noch keine solche eingerichtet wurde. AWS Organizations 

Anschließend verwendet der Administrator AWS Resource Access Manager (RAM), um die organisationsübergreifende gemeinsame Nutzung zwischen der primären Organisation und der Wiederherstellungsorganisation einzurichten.

In der **primären Organisation befinden** sich Konten, die über einen Tresor mit logischem Air-Gap verfügen und diesen nutzen, in dem die geschützten Daten gespeichert werden.

**In der Wiederherstellungsorganisation gibt es mindestens ein Wiederherstellungskonto.** Dieses Konto beherbergt einen Zugriffspunkt, der als wichtige „Hintertür“ zum gemeinsam genutzten Tresor mit logischem Air-Gap dienen kann. **Dieser Zugriffspunkt wird als Backup-Tresor mit Wiederherstellungszugriff bezeichnet.** Dieser Access Vault speichert keine Daten, sondern dient als Zugriffs- oder Bereitstellungspunkt, der den Inhalt des Quell-Tresors mit logischem Air-Gap wiedergibt, aber keine Daten enthält, die geändert oder gelöscht werden können. Wenn ein Kunde beispielsweise den Wiederherstellungsprozess für einen Recovery Point in einem Backup-Tresor mit Wiederherstellungszugriff durchläuft, ist es der Recovery Point im Tresor mit logischem Air-Gap, der durch eine kontenübergreifende Wiederherstellung über das Wiederherstellungskonto wiederhergestellt wird.

Um zusätzliche Sicherheit zu gewährleisten, verwenden Kunden dieses Wiederherstellungskonto, um geschützte Vorgänge im Hauptkonto durchzuführen, jedoch erst, nachdem diese Vorgänge vom zugehörigen [Genehmigungsteam in einer Genehmigungssitzung genehmigt](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources) wurden. Eine Sitzung wird erstellt, AWS sobald eine Genehmigungsanfrage gesendet wurde. Diese Sitzung endet, wenn eine bestimmte Anzahl von Mitgliedern des Genehmigungsteams die Anfrage genehmigt oder ablehnt oder wenn die zulässige Sitzungszeit abgelaufen ist. 

Ein Team besteht aus **Genehmigungsberechtigten** (also die Parteien sind Teil der Genehmigung durch mehrere *Parteien*), die E-Mail-Benachrichtigungen über geschützte Operationsanfragen erhalten. Diese E-Mails bestätigen, dass eine Genehmigungssitzung für die Anfrage begonnen hat. Die Genehmigung wird erteilt, sobald die erforderliche Mindestgenehmigungsschwelle erreicht ist. Dieser Schwellenwert kann bei der Erstellung des **Genehmigungsteams mit mehreren Parteien** („Team“) festgelegt werden.

Genehmigungsteams mit mehreren Parteien werden über das **Mehrparteien-Genehmigungsportal („Portal**“) von Organizations verwaltet, eine AWS verwaltete Anwendung, die Identitäten einen zentralen Ort bietet, an dem Mitglieder des Genehmigungsteams Einladungen und Vorgangsanfragen des Genehmigungsteams empfangen und darauf antworten können.

# Aufgaben des Administrators
<a name="multipartyapproval-tasks-administrator"></a>

Für mehrere Aufgaben, die AWS Backup einen Überblick über mehrere Parteien erforderten, war ein Benutzer mit Administratorberechtigungen und Zugriff auf das Verwaltungskonto erforderlich.

## Stellen Sie ein Genehmigungsteam zusammen
<a name="create-multipartyapproval-team"></a>

Ein Benutzer in Ihrer Organisation mit Administratorberechtigungen für ein AWS Konto muss die [Genehmigung durch mehrere Parteien einrichten](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (Schritt 3 in der [Übersicht](multipartyapproval.md#multipartyapproval-overview)).

Bevor Sie diesen Schritt ausführen, empfiehlt es sich als bewährte Methode, sowohl eine primäre Organisation als auch eine sekundäre Organisation (für Wiederherstellungszwecke) einzurichten AWS Organizations (Schritt 1 in der [Übersicht](multipartyapproval.md#multipartyapproval-overview)).

Informationen zur [Erstellung Ihres Teams finden Sie unter Erstellen eines Genehmigungsteams](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) *im Benutzerhandbuch zur Genehmigung mehrerer Parteien*.

Während der [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)Operation ist `policies` einer der Parameter. Dies ist eine Liste von Ressourcenrichtlinien ARNs (Amazon Resource Names) für die Genehmigung durch mehrere Parteien, die Berechtigungen zum Schutz des Teams definieren.

Die Richtlinie, die im Beispiel im *Benutzerhandbuch für die Genehmigung mehrerer Parteien* im Verfahren [Ein Genehmigungsteam erstellen](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) dargestellt ist, enthält die Richtlinie `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` mit mehreren erforderlichen Berechtigungen. 

Gehen Sie wie folgt vor, um eine Liste der verfügbaren Richtlinien zurückzugeben, indem Sie Folgendes verwenden`mpa list-policies`:

1. Richtlinien auflisten: 

   ```
   aws mpa list-policies --region us-east-1
   ```

1. Alle Richtlinienversionen auflisten: 

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. Einzelheiten zu einer Richtlinie abrufen: 

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

Weiter unten finden Sie die Richtlinie, die im Rahmen dieses Vorgangs erstellt und dann Ihrem Genehmigungsteam zugewiesen wird:

### Access Vault-Richtlinie wiederherstellen
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## Teilen Sie sich ein Genehmigungsteam mit mehreren Parteien unter AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

[Mithilfe von [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), Schritt 4 in der Übersicht, können Sie ein Mehrparteien-Genehmigungsteam mit anderen AWS Accounts teilen.](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Teilen Sie ein Mehrparteien-Genehmigungsteam mit AWS RAM**

1. Melden Sie sich bei der [AWS RAM -Konsole](https://console.aws.amazon.com/ram/home?region=us-east-1) an.

1. Wählen Sie im Navigationsbereich **Resource Shares** aus.

1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus.

1. Geben Sie im Feld **Name** einen aussagekräftigen Namen für Ihre Ressourcenfreigabe ein.

1. Wählen Sie im Dropdownmenü unter **Ressourcentyp** die Option **Genehmigungsteam für mehrere Parteien** aus.

1. Wählen Sie unter **Ressourcen** das Genehmigungsteam aus, das Sie gemeinsam nutzen möchten.

1. Geben Sie unter **Principals** die AWS Accounts an, mit denen Sie das Genehmigungsteam teilen möchten.

1. Um die Daten für bestimmte AWS Konten freizugeben, wählen Sie **AWS Konten** aus und geben Sie das 12-stellige Konto ein. IDs

1. Um Inhalte mit einer Organisation oder Organisationseinheit zu teilen, wählen Sie **Organisation** oder **Organisationseinheit** aus und geben Sie die entsprechende ID ein.

1. (*Optional*) Fügen Sie unter **Tags** alle Tags hinzu, die Sie dieser gemeinsamen Ressource zuordnen möchten.

1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus.

Der Status der Ressourcenfreigabe wird zunächst als angezeigt`PENDING`. Sobald die Empfängerkonten die Einladung annehmen, ändert sich der Status auf`ACTIVE`.

------
#### [ CLI ]

Verwenden Sie die folgenden Befehle, um ein Genehmigungsteam mit mehreren Parteien gemeinsam AWS RAM über die CLI zu verwenden:

Identifizieren Sie zunächst den ARN des Genehmigungsteams, das Sie teilen möchten:

```
aws mpa list-approval-teams --region us-east-1
```

Erstellen Sie eine Ressourcenfreigabe mit dem create-resource-share folgenden Befehl:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

Um sie mit einer Organisation statt mit bestimmten Konten zu teilen:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

Prüfen Sie den Status Ihrer gemeinsam genutzten Ressource:

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

Die Empfängerkonten müssen die Einladung zur gemeinsamen Nutzung von Ressourcen annehmen:

```
aws ram get-resource-share-invitations --region us-east-1
```

Führen Sie das Empfängerkonto aus, um eine Einladung anzunehmen:

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

Sobald die Einladung angenommen wurde, steht das Team für die Genehmigung mehrerer Parteien im Empfängerkonto zur Verfügung.

------

AWS bietet Tools für den gemeinsamen Kontozugriff, einschließlich Durchgangs [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)- und [Mehrparteienzugriff](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Wenn Sie sich dafür entscheiden, einen Tresor mit logischem Air-Gap gemeinsam mit einem anderen Konto zu nutzen, sollten Sie die folgenden Details berücksichtigen:


| Feature | AWS RAM basiertes Teilen | Auf Genehmigung durch mehrere Parteien basierender Zugriff | 
| --- | --- | --- | 
| Zugriff auf Tresore mit logischem Air-Gap | Sobald die gemeinsame Nutzung des RAM abgeschlossen ist, kann auf die Tresore zugegriffen werden. | Jeder Versuch mit einem anderen Konto muss von einer bestimmten Anzahl von Mitgliedern des Genehmigungsteams für mehrere Parteien genehmigt werden. Die Genehmigungssitzung läuft automatisch 24 Stunden nach der Initiierung der Anfrage ab. | 
| Entfernung des Zugriffs | Das Konto, dem der Tresor mit logischem Air-Gap gehört, kann die RAM-basierte gemeinsame Nutzung jederzeit beenden. | Der Zugriff auf einen Tresor kann nur durch eine Anfrage an das Genehmigungsteam für mehrere Parteien entzogen werden. | 
| Zwischen Konten and/or und Regionen kopieren | Wird derzeit nicht unterstützt. | Backups können innerhalb desselben Kontos oder mit anderen Konten in derselben Organisation wie das Wiederherstellungskonto kopiert werden. | 
| Abrechnung bei regionsübergreifender Überweisung |  | Regionsübergreifende Übertragungen werden demselben Konto in Rechnung gestellt, dem der Backup-Tresor mit Wiederherstellungszugriff gehört. | 
| Empfohlene Verwendung | Es wird hauptsächlich für die Wiederherstellung nach Datenverlust und für Wiederherstellungstests verwendet. | Hauptsächlich wird es in Situationen verwendet, in denen der Verdacht besteht, dass der Kontozugriff oder die Sicherheit gefährdet sind. | 
| Regionen | Verfügbar in allen Bereichen, in AWS-Regionen denen Tresore mit logischem Air-Gap unterstützt werden. | Verfügbar in allen Bereichen, in AWS-Regionen denen Tresore mit logischem Air-Gap unterstützt werden. | 
| Wiederherstellungen | Alle unterstützten Ressourcentypen können von einem gemeinsamen Konto aus wiederhergestellt werden. | Alle unterstützten Ressourcentypen können von einem gemeinsamen Konto aus wiederhergestellt werden. | 
| Einrichtung | Die gemeinsame Nutzung kann erfolgen, sobald das AWS Backup Konto die RAM-Sharing eingerichtet hat und das Empfängerkonto die gemeinsame Nutzung akzeptiert. | Für die gemeinsame Nutzung muss das Verwaltungskonto zuerst ein Team erstellen und dann die RAM-Sharing einrichten. Anschließend entscheidet sich das Verwaltungskonto für die Genehmigung durch mehrere Parteien und weist das Team einem Tresor mit logischem Air-Gap zu. | 
| Teilen |  Die gemeinsame Nutzung erfolgt über RAM innerhalb derselben AWS Organisation oder zwischen AWS Organisationen. Der Zugriff wird nach dem „Push“ -Modell gewährt, bei dem das Konto, dem der Tresor mit logischem Air-Gap gehört, zuerst Zugriff gewährt. Dann akzeptiert das andere Konto den Zugriff.  |  Der Zugriff auf einen Tresor mit logischem Air-Gap erfolgt über von Organizations unterstützte Genehmigungsteams innerhalb derselben AWS Organisation oder organisationsübergreifend. Der Zugriff wird nach dem „Pull“ -Modell gewährt, bei dem das empfangende Konto zuerst Zugriff anfordert und dann das Genehmigungsteam die Anfrage gewährt oder ablehnt.  | 

# Aufgaben des Anfragenden
<a name="multipartyapproval-tasks-requester"></a>

## Ordnen Sie einem Tresor mit logischem Air-Gap ein Genehmigungsteam mit mehreren Parteien zu
<a name="associate-multipartyapproval-team"></a>

Anforderer: **Benutzer mit Zugriff auf das Konto, dem der Tresor mit logischem Air-Gap gehört**.

[Sie können einem Tresor mit logischem Air-Gap ein Genehmigungsteam mit mehreren Parteien zuordnen, um gemeinsam den Zugriff auf den Tresor genehmigen zu können (Schritt 5 in der Übersicht).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Ordnen Sie einem Tresor mit logischen Lücken ein Genehmigungsteam mit mehreren Parteien zu**

1. [Öffnen Sie die Konsole unter AWS Backup /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Navigieren Sie im linken Navigationsbereich zum Abschnitt **Backup-Tresore**.

1. Wählen Sie den Backup-Tresor mit logischem Air-Gap aus, den Sie einem MPA-Team zuordnen möchten.

1. Wählen Sie auf der Seite mit den **Tresordetails** die Option Genehmigungsteam **zuweisen** aus.

1. Wählen Sie im Dropdownmenü das Genehmigungsteam aus, das Sie dem Tresor zuordnen möchten

1. *Optional* Geben Sie einen Kommentar ein, in dem der Grund für die Zuordnung erläutert wird.

1. Wählen Sie **Anfrage senden** aus, um die Zuordnungsanfrage einzureichen.

Wenn dies das erste Genehmigungsteam ist, das dem Tresor zugeordnet wird, wird das Team dem Tresor zugeordnet. Falls dem Tresor bereits ein Team zugeordnet ist, finden Sie die entsprechenden Schritte unter [Genehmigungsteam für mehrere Parteien aktualisieren](#update-multpartyapproval-team).

------
#### [ CLI ]

Verwenden Sie den CLI-Befehl`associate-backup-vault-mpa-approval-team`, der mit den folgenden Parametern geändert wurde:

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Wenn dies das erste Genehmigungsteam ist, das dem Tresor zugeordnet wird, wird das Team dem Tresor zugeordnet. Falls dem Tresor bereits ein Team zugeordnet ist, finden Sie die entsprechenden Schritte unter [Genehmigungsteam für mehrere Parteien aktualisieren](#update-multpartyapproval-team).

------

## Beantragen Sie Zugriff auf einen Tresor mit logischem Air-Gap
<a name="create-restore-access-vault"></a>

Anforderer: **Benutzer mit Zugriff auf** das Wiederherstellungskonto.

[Sie können den Zugriff auf einen Tresor mit logischem Air-Gap in einem anderen Konto beantragen (Schritt 6 in der Übersicht).](multipartyapproval.md#multipartyapproval-overview)

Nachdem ein Genehmigungsteam der Anfrage stattgegeben hat, AWS Backup erstellt es in Ihrem angegebenen Wiederherstellungskonto einen Backup-Tresor mit Wiederherstellungszugriff, sodass dieses Konto Zugriff auf Wiederherstellungspunkte im verbundenen Tresor mit logischem Air-Gap hat.

------
#### [ Console ]

**Beantragen Sie den Zugriff auf einen Tresor mit logischem Air-Gap**

1. [Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Navigieren Sie im linken Navigationsbereich zum Abschnitt **Backup-Tresore**

1. Wählen Sie die **Tresore, auf die Sie über die Registerkarte MPA zugreifen** können

1. Wählen Sie **Tresorzugriff anfordern** aus.

1. Geben Sie den ARN des Quell-Backup-Tresors des Tresors mit logischem Air-Gap ein, auf den Sie zugreifen möchten.

1. Geben Sie einen optionalen Namen für den Backup-Tresor mit Wiederherstellungszugriff ein. Wenn Sie keinen Namen eingeben, AWS Backup wird ein Name zugewiesen, der auf dem Namen des Tresors mit logischem Air-Gap basiert.

1. Geben Sie optional einen Kommentar des Anforderers ein, in dem der Grund für die Zugriffsanfrage erläutert wird.

1. Wählen Sie **Anfrage senden** aus, um die Zugriffsanfrage einzureichen.

Die Mitglieder des Genehmigungsteams, die dem Quelltresor zugeordnet sind, erhalten eine E-Mail-Benachrichtigung zur Genehmigung der Anfrage.

Sobald die Anfrage von der erforderlichen Anzahl („Schwellenwert“) von Teammitgliedern genehmigt wurde, wird der Backup-Tresor für den Wiederherstellungszugriff im Wiederherstellungskonto erstellt.

------
#### [ CLI ]

Verwendung des `create-restore-access-backup-vault`-CLI-Befehls:

```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Die Mitglieder des MPA-Genehmigungsteams, die dem Quell-Tresor zugeordnet sind, erhalten eine Benachrichtigung zur Genehmigung der Anfrage. Sobald die Anfrage von der erforderlichen Anzahl („Schwellenwert“) von Teammitgliedern genehmigt wurde, wird der Backup-Tresor für den Wiederherstellungszugriff im Wiederherstellungskonto erstellt.

Sie können den Status des Tresors wie folgt überprüfen:

```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```

------

## Trennen Sie das aus mehreren Parteien bestehende Genehmigungsteam vom Tresor mit logischem Air-Gapped
<a name="disassociate-multipartyapproval-team"></a>

Anforderer: **Administrator des Kontos, dem der Tresor mit logischem Air-Gap gehört**.

[Sie können die Zuordnung eines Genehmigungsteams mit mehreren Parteien zu einem Tresor mit logischem Air-Gap trennen (Schritt 7 in der Übersicht).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Trennen Sie die Zuordnung des Genehmigungsteams zu einem Tresor mit logischem Air-Gap**

1. [Öffnen Sie die Konsole unter /backup AWS Backup . https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Navigieren Sie im linken Navigationsbereich zum Abschnitt **Backup-Tresore**.

1. Wählen Sie den Backup-Tresor mit logischem Air-Gap aus, von dem Sie die Verbindung zum Genehmigungsteam trennen möchten.

1. **Wählen Sie auf der Seite mit den **Tresordetails** die Option Genehmigungsteam trennen aus.**

1. Geben Sie optional einen Kommentar des Anforderers ein, in dem der Grund für die Trennung erläutert wird.

1. Wählen Sie **Anfrage senden** aus, um die Anfrage zur Trennung einzureichen.

Die aktuellen Mitglieder des Genehmigungsteams erhalten eine Benachrichtigung zur Genehmigung der Anfrage.

Nach der Genehmigung durch die erforderliche Anzahl von Teammitgliedern wird das Team vom Tresor getrennt.

------
#### [ CLI ]

Verwendung des `disassociate-backup-vault-mpa-approval-team`-CLI-Befehls:

```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Die aktuellen Mitglieder des MPA-Genehmigungsteams erhalten eine Benachrichtigung zur Genehmigung des Antrags. Nach der Genehmigung durch die erforderliche Anzahl von Teammitgliedern wird das Team vom Tresor getrennt.

------

## Widerrufen und Zugriff auf Backup-Tresor wiederherstellen
<a name="revoke-restore-access-vault"></a>

Anforderer: **Administrator des Kontos, dem der Tresor mit logischem Air-Gap gehört**.

Sie können den Zugriff auf einen Backup-Tresor mit Wiederherstellungszugriff vom Quelltresorkonto aus widerrufen.

------
#### [ Console ]

**Den Zugriff auf den Backup-Tresor mit Wiederherstellung**

1. Öffnen Sie die AWS Backup Konsole unter [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)

1. Navigieren Sie im linken Navigationsbereich zum Abschnitt **Backup-Tresore**.

1. Wählen Sie den Backup-Tresor mit logischem Air-Gap aus, für den Sie den Zugriff widerrufen möchten.

1. Scrollen Sie auf der Seite mit den **Tresordetails** nach unten zum Abschnitt **Zugriff durch Genehmigung durch mehrere Parteien**.

1. Suchen Sie den Backup-Tresor mit Wiederherstellungszugriff, den Sie entziehen möchten, und wählen Sie dann **Anfrage zum Entfernen des Tresorzugriffs** aus.

1. Geben Sie optional einen Kommentar des Anforderers ein, in dem der Grund für den Widerruf erläutert wird.

1. Wählen Sie **Anfrage senden** aus, um die Widerrufsanfrage einzureichen.

Die Mitglieder des Genehmigungsteams erhalten eine Benachrichtigung zur Genehmigung der Anfrage.

Nach der Genehmigung durch die erforderliche Anzahl von Teammitgliedern wird der Backup-Tresor mit Wiederherstellungszugriff aus dem Wiederherstellungskonto gelöscht

------
#### [ CLI ]

Führen Sie zunächst die Backup-Tresore mit Wiederherstellungszugriff auf, die Ihrem Quell-Tresor zugeordnet sind:

```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```

Verwenden Sie dann den CLI-Befehl`revoke-restore-access-backup-vault`:

```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Die Mitglieder des Genehmigungsteams erhalten eine Benachrichtigung zur Genehmigung der Anfrage. Nach der Genehmigung durch die erforderliche Anzahl von Teammitgliedern wird der Backup-Tresor mit Wiederherstellungszugriff aus dem Wiederherstellungskonto gelöscht.

------

## Aktualisieren Sie das Genehmigungsteam für mehrere Parteien, das einem Tresor mit logischem Air-Gap zugeordnet ist
<a name="update-multpartyapproval-team"></a>

Anforderer: **Administrator des Kontos, dem der Tresor mit logischem Air-Gap gehört**.

[Sie können das Genehmigungsteam für mehrere Parteien, das einem Tresor mit logischem Air-Gap zugeordnet ist, auf den neuesten Stand bringen (Schritt 8 in der Übersicht).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Aktualisieren Sie das Genehmigungsteam, das einem Tresor mit logischen Air-Gaps zugeordnet ist**

1. [Öffnen Sie die AWS Backup Konsole unter /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)

1. Navigieren Sie im linken Navigationsbereich zum Abschnitt **Backup-Tresore**.

1. Wählen Sie den Backup-Tresor mit logischem Air-Gap aus, für den Sie das Genehmigungsteam aktualisieren möchten.

1. Wählen Sie auf der Seite mit den Tresordetails die Option Änderung des **Genehmigungsteams beantragen** aus.

1. Wählen Sie im Dropdownmenü das neue Genehmigungsteam aus, das Sie dem Tresor zuordnen möchten.

1. Geben Sie optional einen Kommentar des Anforderers ein, in dem der Grund für die Änderung erläutert wird.

1. Wählen Sie **Anfrage senden** aus, um die Änderungsanfrage einzureichen.

Die aktuellen Mitglieder des Genehmigungsteams erhalten eine E-Mail-Benachrichtigung zur Genehmigung der Anfrage.

Nach der Genehmigung durch die erforderliche Anzahl von Teammitgliedern (Schwellenwert) aus dem aktuellen MPA-Team wird das neue Team dem Tresor zugeordnet.

------
#### [ CLI ]

Verwenden Sie den CLI-Befehl `associate-backup-vault-mpa-approval-team` mit dem neuen Team-ARN:

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Die aktuellen Mitglieder des Genehmigungsteams erhalten eine Benachrichtigung zur Genehmigung der Anfrage. Sobald die erforderliche Anzahl von Teammitgliedern (Schwellenwert) aus dem aktuellen Team die Genehmigung erteilt hat, wird das neue MPA-Team dem Tresor zugeordnet.

------

# Aufgaben des Genehmigers
<a name="multipartyapproval-tasks-approver"></a>

Ein Benutzer, der Mitglied eines Genehmigungsteams mit mehreren Parteien ist, kann [Anfragen, die Teil einer Sitzung sind, genehmigen oder ablehnen](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html). Zu den weiteren Aufgaben gehören:
+ [Reagieren Sie auf angeforderte Operationen](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [Sehen Sie sich ein Genehmigungsteam an](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [Vorgangsverlauf anzeigen](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)