Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Aprobación de varias partes para almacenes aislados lógicamente
## Información general sobre la aprobación de varias partes en un almacén aislado lógicamente
AWS Backup le ofrece la opción de añadir la [aprobación multipartita](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), una capacidad desde, a sus bóvedas aisladas de AWS Organizations forma lógica. La aprobación de varias partes es una opción adicional para proteger las operaciones críticas mediante un proceso de aprobación distribuido.
La aprobación de varias partes está diseñada para proteger los recursos críticos y minimizar el tiempo de inactividad, por ejemplo, en caso de una interrupción provocada por agentes malintencionados o eventos de malware. Esta configuración puede ayudarle a restaurar el contenido de un almacén aislado lógicamente que podría estar comprometido.
La integración y el uso de equipos de aprobación de varias partes con almacenes aislados lógicamente de AWS Backup no generan ningún costo adicional (se aplican cargos por almacenamiento y transferencias entre regiones, tal y como se muestra en la página de [precios](https://aws.amazon.com/backup/pricing)).
Como AWS Backup cliente, puede utilizar la aprobación de varias partes para conceder la capacidad de aprobación de algunas operaciones a un grupo de personas de confianza que puedan aprobar de forma colaborativa el acceso a un depósito cerrado de forma lógica desde una cuenta de recuperación creada por separado en caso de sospecha de actividad maliciosa que pueda comprometer el uso de la cuenta principal.
En los siguientes pasos se describe el flujo recomendado para configurar una organización de AWS de recuperación, definir la aprobación de varias partes y, a continuación, utilizar dicha aprobación con sus almacenes aislados lógicamente:
1. Un administrador [crea una nueva organización a través de Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) para utilizarla en las operaciones de recuperación.
1. En la cuenta de administración de esta nueva organización, el administrador crea y configura una instancia de IAM Identity Center (IDC) (para activar una instancia de organización, consulte [Activación del IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) en la *Guía del usuario del IAM Identity Center*). Consulte también la secuencia de [Creación de un origen de identidad de aprobación de varias partes](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) en la *Guía del usuario de aprobación de varias partes*.
1. A continuación, el administrador [creará un equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html), que es el grupo central de personas de confianza que serán los principales usuarios de la aprobación de varias partes.
1. El administrador suele AWS RAM [compartir un equipo de aprobación](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) con cada cuenta que posea una bóveda aislada de forma lógica y con la cuenta de recuperación que necesita solicitar acceso a esa bóveda.
1. El administrador de la cuenta, que es propietario de la bóveda, lógicamente vacía, [asocia](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team) la bóveda con un equipo de aprobación.
1. Una cuenta de recuperación [solicita acceder](multipartyapproval-tasks-requester.md#create-restore-access-vault) a una cuenta que tiene un almacén aislado lógicamente con un equipo de aprobación de varias partes asociado (“equipo”). El equipo asociado a la cuenta [aprueba o rechaza la solicitud](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html).
1. El administrador de la cuenta propietaria del almacén aislado lógicamente puede solicitar que [se desasocie al equipo de aprobación del almacén](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team). La solicitud requiere la aprobación del equipo actual.
1. Un administrador puede [actualizar la membresía del equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) según sea necesario de acuerdo con sus prácticas de seguridad o cuando las personas se unan o abandonen su organización.
## Requisitos previos y prácticas recomendadas para utilizar la aprobación de varias partes con un almacén aislado lógicamente
Para poder utilizar la aprobación de varias partes en sus almacenes aislados lógicamente de forma eficaz y segura, deben cumplirse una serie de requisitos previos y seguirse las prácticas recomendadas.
**Prácticas recomendadas:**
+ Dos (o más) AWS organizaciones a través de Organizations. Una de ellas debe ser la organización principal, en la que tiene una o más cuentas con al menos un almacén aislado lógicamente. La organización secundaria debe ser la organización de recuperación. Es en esta organización donde se administrará el equipo de aprobación de varias partes.
**Requisitos previos**
1. [Ha configurado la aprobación de varias partes](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) y dispone de al menos un equipo de aprobación.
1. Como mínimo, una cuenta de la organización principal debe tener un almacén aislado lógicamente (y el almacén de copias de seguridad original).
1. La cuenta de administración de la organización principal está suscrita a la aprobación de varias partes.
**sugerencia**
AWS Backup recomienda aplicar una política de control de servicios (SCP) a su organización principal y configurarla con los permisos adecuados para la organización y para cada equipo de aprobación. Consulte la sección [Términos de la aprobación de varias partes](#multipartyapproval-terms) para ver una política de ejemplo.
1. El equipo de aprobación de varias partes de la organización secundaria (de recuperación) se [comparte a través de AWS RAM](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) con ambas cuentas que poseen los almacenes aislados lógicamente y las cuentas de recuperación.
## Consideraciones y dependencias entre regiones a la hora de utilizar la aprobación de varias partes
Si activa la aprobación de varias partes y su instancia de IAM Identity Center en regiones diferentes, la aprobación de varias partes llama al IAM Identity Center desde distintas regiones. Esto significa que la información de los usuarios y los grupos se transfiere de una región a otra. Los recursos del equipo de aprobación multipartito solo se pueden crear y almacenar en Región de AWS EE. UU. Este (Virginia del Norte).
Los demás recursos del equipo de aprobación multipartito Regiones de AWS que hagan referencia dependerán de la zona Este de EE. Región de AWS UU. (Virginia del Norte). En consecuencia, la aprobación multipartita permitirá realizar llamadas entre regiones si su instancia del Centro de Identidad (bóveda, and/or lógicamente cerrada) no se encuentra en EE. UU. Este (Virginia del Norte).
## Términos, conceptos y usuarios de la aprobación de varias partes
La aprobación por parte de varias partes en una bóveda hermética y lógica es una integración de AWS Organizations las funciones (IAM) y ( AWS Account Management RAM) y AWS Backup(RAM). AWS Identity and Access Management AWS RAM A través de la CLI, puede interactuar con cada servicio para enviar los comandos correspondientes. También puede usar la consola, pero tendrá que ir a la consola del servicio correspondiente para completar tareas específicas.
La forma en que interactúes con la aprobación multipartita depende de tus funciones y responsabilidades en tus organizaciones, así como de los permisos de los que dispongas en tus cuentas. AWS Backup
Tal como se muestra en la [Guía del usuario de la aprobación de varias partes](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), los miembros de su organización que utilicen la aprobación de varias partes serán un ***solicitante***, un ***administrador*** o un ***aprobador***. Se aplican permisos específicos a cada [rol de trabajo](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html). De acuerdo con las prácticas recomendadas de seguridad, un usuario solo debe llevar a cabo un rol de trabajo.
**Consolas, portales y sesiones**
AWS Backup las cuentas con una o más bóvedas aisladas de forma lógica pueden utilizar la aprobación de varias partes.
Antes del proceso de aprobación multipartito, el administrador suele crear una organización secundaria con fines de recuperación (una organización de recuperación) si no se **ha creado ninguna** anteriormente. AWS Organizations
A continuación, el administrador utiliza la memoria AWS Resource Access Manager RAM para configurar el intercambio entre organizaciones entre la organización principal y la organización de recuperación.
La **organización principal** alberga las cuentas que poseen y utilizan un almacén aislado lógicamente en el que se almacenan los datos protegidos.
La organización de recuperación alberga al menos una **cuenta de recuperación**. Esta cuenta incluye un punto de acceso que puede utilizarse como “puerta trasera” esencial para acceder al almacén aislado lógicamente compartido. Este punto de acceso se denomina **almacén de copias de seguridad con acceso a la restauración**. Este almacén de acceso no almacena datos, sino que se utiliza como punto de acceso o montaje que refleja el contenido del almacén aislado lógicamente de origen pero no contiene datos que puedan modificarse o eliminarse. Por ejemplo, si un cliente realiza el proceso de restauración para un punto de recuperación en un almacén de copias de seguridad con acceso a la restauración, es el punto de recuperación del almacén aislado lógicamente el que se restaura mediante la restauración entre cuentas a través de la cuenta de recuperación.
Para incrementar la seguridad, los clientes utilizan esta cuenta de recuperación para llevar a cabo operaciones protegidas en la cuenta principal, pero solo después de que el [equipo de aprobación asociado haya aprobado dichas operaciones en una sesión de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources). AWS Una vez que se envía una solicitud de aprobación, se crea una sesión y esa sesión finaliza cuando un número mínimo de miembros del equipo de aprobación aprueba o deniega la solicitud o cuando ha transcurrido el tiempo de sesión permitido.
Un equipo está formado por **aprobadores** (es decir, las *partes* de la aprobación de varias partes) que reciben notificaciones por correo electrónico de las solicitudes de operaciones protegidas. Estos correos electrónicos confirman que se ha iniciado una sesión de aprobación de la solicitud. La aprobación se concede si se alcanza el umbral mínimo de aprobación requerido. Este umbral se puede establecer al crear el **equipo de aprobación de varias partes** (“Equipo”).
Los equipos de aprobación multipartitos se gestionan a través del **portal de aprobación multipartita** de Organizations («portal»), una aplicación AWS gestionada que proporciona a las identidades una ubicación centralizada donde los miembros del equipo de aprobación pueden recibir y responder a las invitaciones y solicitudes de operación del equipo de aprobación.
# Tareas del administrador
Varias tareas que implicaban AWS Backup una visión general multipartita requerían un usuario con permisos de administrador y acceso a la cuenta de administración.
## Creación de un equipo de aprobación
Un usuario de tu organización con permisos de administrador para una AWS cuenta debe [configurar la aprobación multipartita](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (paso 3 de la [descripción general](multipartyapproval.md#multipartyapproval-overview)).
Antes de realizar este paso, se recomienda configurar una organización principal y una secundaria (para la recuperación) en AWS Organizations (paso 1 de [Información general](multipartyapproval.md#multipartyapproval-overview)).
Consulte [Creación de un equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) en la *Guía del usuario de aprobación de varias partes* para crear el equipo.
Durante la operación [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html), uno de los parámetros es `policies`. Esta es una lista de ARNs (nombres de recursos de Amazon) para políticas de recursos de aprobación multipartita que definen los permisos que protegen al equipo.
La política que se muestra en el ejemplo de la *Guía del usuario de aprobación de varias partes* en el procedimiento [Creación de un equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) contiene la política `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` con varios permisos necesarios.
Siga estos pasos para obtener una lista de las políticas disponibles mediante `mpa list-policies`:
1. Enumerar las políticas:
```
aws mpa list-policies --region us-east-1
```
1. Enumerar todas las versiones de las políticas:
```
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
```
1. Obtener información detallada sobre una política:
```
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
```
Amplíe la información siguiente para ver la política que se creará y luego se asociará al equipo de aprobación mediante esta operación:
### Restauración de la política de acceso al almacén
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VaultOwnerPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"mpa:StartSession",
"mpa:CancelSession"
],
"Condition": {
"StringEquals": {
"mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
"mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}
```
------
## Comparta un equipo de aprobación multipartito mediante AWS RAM
[Puedes compartir un equipo de aprobación multipartito con otras AWS cuentas mediante [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), paso 4 de la descripción general.](multipartyapproval.md#multipartyapproval-overview)
------
#### [ Console ]
**Comparta un equipo de aprobación multipartito mediante AWS RAM**
1. Inicie sesión en la [consola de AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1).
1. En el panel de navegación, elija **Recursos compartidos**.
1. Elija **Crear recurso compartido**.
1. En el campo **Nombre**, introduzca un nombre descriptivo para el recurso compartido.
1. En **Tipo de recurso**, seleccione **Equipo de aprobación de varias partes** en el menú desplegable.
1. En **Recursos**, seleccione el equipo de aprobación que quiere compartir.
1. En **Directores**, especifique las AWS cuentas con las que quiere compartir el equipo de aprobación.
1. Para compartir con AWS cuentas específicas, selecciona las **AWS cuentas** e introduce la cuenta de 12 dígitos. IDs
1. Para compartir con una organización o unidad organizativa, seleccione **Organización** o **Unidad organizativa** e introduzca el ID correspondiente.
1. (*Opcional*) En **Etiquetas**, añada cualquier etiqueta que quiera asociar a este recurso compartido.
1. Elija **Crear recurso compartido**.
El estado del recurso compartido se mostrará inicialmente como `PENDING`. Cuando las cuentas del destinatario acepten la invitación, el estado cambiará a `ACTIVE`.
------
#### [ CLI ]
Para compartir un equipo de aprobación multipartito AWS RAM mediante la CLI, utilice los siguientes comandos:
En primer lugar, identifique el ARN del equipo de aprobación que desee compartir:
```
aws mpa list-approval-teams --region us-east-1
```
Cree un recurso compartido mediante el create-resource-share comando:
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```
Para compartir con una organización en lugar de con cuentas específicas, haga lo siguiente:
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```
Compruebe el estado del recurso compartido:
```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```
Las cuentas del destinatario deberán aceptar la invitación para el uso compartido de un recurso:
```
aws ram get-resource-share-invitations --region us-east-1
```
Inicie sesión en la cuenta del destinatario para aceptar una invitación:
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```
Después de aceptar la invitación, el equipo de aprobación de varias partes ya se podrá usar en la cuenta del destinatario.
------
AWS ofrece herramientas para compartir el acceso a la cuenta, incluido el [acceso [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)directo y multipartito](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Si decide compartir un almacén aislado lógicamente con otra cuenta, tenga en cuenta los siguientes detalles:
| Característica | AWS RAM compartición basada | Acceso basado en la aprobación de varias partes |
| --- | --- | --- |
| Acceso a almacenes aislados lógicamente | Cuando se haya completado el uso compartido de RAM, se podrá acceder a los almacenes. | Cualquier intento por parte de una cuenta diferente debe ser aprobado por un umbral mínimo de miembros del equipo de aprobación de varias partes. La sesión de aprobación caduca automáticamente 24 horas después de que se inicie la solicitud. |
| Retirada del acceso | La cuenta propietaria del almacén aislado lógicamente puede poner fin al uso compartido basado en RAM en cualquier momento. | El acceso a un almacén solo se puede eliminar mediante una solicitud al equipo de aprobación de varias partes. |
| Copia entre cuentas y and/or regiones | No se admite actualmente. | Las copias de seguridad se pueden copiar en la misma cuenta o con otras cuentas de la misma organización que la cuenta de recuperación. |
| Facturación por transferencia entre regiones | | Las transferencias entre regiones se facturan a la misma cuenta propietaria del almacén de copias de seguridad con acceso a la restauración. |
| Uso recomendado | El uso principal es para recuperar datos perdidos y para probar la restauración. | El uso principal es para situaciones en las que se sospecha que el acceso o la seguridad de la cuenta están comprometidos. |
| Regiones | Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos lógicos. | Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos de aire lógicos. |
| Restaura | Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida. | Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida. |
| Configuración | El uso compartido se puede realizar tan pronto como la AWS Backup cuenta configure el uso compartido de RAM y la cuenta receptora lo acepte. | El uso compartido requiere que la cuenta de administración primero cree un equipo y, a continuación, configure el uso compartido de RAM. A continuación, la cuenta de administración se suscribe a la aprobación de varias partes y asigna ese equipo a un almacén aislado lógicamente. |
| Uso compartido | El uso compartido se realiza a través de la RAM dentro de AWS la misma organización o entre AWS organizaciones. El acceso se concede según el modelo “push”, en el que la cuenta propietaria del almacén aislado lógicamente primero concede el acceso. Luego, la otra cuenta acepta el acceso. | El acceso a una bóveda aislada de forma lógica se realiza a través de los equipos de aprobación apoyados por Organizations dentro de la misma AWS organización o entre organizaciones. El acceso se concede siguiendo el modelo “pull”, en el que la cuenta receptora primero solicita el acceso y, a continuación, el equipo de aprobación concede o deniega la solicitud. |
# Tareas del solicitante
## Asocie un equipo de aprobación multipartito a una bóveda cerrada de forma lógica
Solicitante: **usuario con acceso a la cuenta propietaria del almacén aislado lógicamente**
Puede asociar un equipo de aprobación de varias partes a un almacén aislado lógicamente para permitir la aprobación colaborativa del acceso al almacén (paso 5 de la [Información general](multipartyapproval.md#multipartyapproval-overview)).
------
#### [ Console ]
**Asocia un equipo de aprobación multipartito a una bóveda con huecos lógicos**
1. [Abra la consola en AWS Backup /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Desplácese hasta la sección **Almacenes de copia de seguridad** en el panel de navegación izquierdo.
1. Seleccione el almacén de copias de seguridad aislado lógicamente que desee asociar a un equipo de MPA.
1. En la página **Detalles del almacén**, seleccione **Asignar equipo de aprobación**.
1. En el menú desplegable, seleccione el equipo de aprobación que desea asociar al almacén.
1. *Opcional* Escriba un comentario donde explique el motivo de la asociación.
1. Seleccione **Enviar solicitud** para enviar la solicitud de asociación.
Si es el primer equipo de aprobación que se asocia al almacén, el equipo se asociará al almacén. Si el almacén ya tiene un equipo asociado, consulte [Actualización de un equipo de aprobación de varias partes](#update-multpartyapproval-team) para ver los pasos a seguir.
------
#### [ CLI ]
Utilice el comando de CLI `associate-backup-vault-mpa-approval-team` modificado con los parámetros siguientes:
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Si es el primer equipo de aprobación que se asocia al almacén, el equipo se asociará al almacén. Si el almacén ya tiene un equipo asociado, consulte [Actualización de un equipo de aprobación de varias partes](#update-multpartyapproval-team) para ver los pasos a seguir.
------
## Solicitud de acceso a un almacén aislado lógicamente
Solicitante: **usuario con acceso a la cuenta de recuperación**
Puede solicitar el acceso a un almacén aislado lógicamente en otra cuenta (paso 6 de la [Información general](multipartyapproval.md#multipartyapproval-overview)).
Una vez que un equipo de aprobación haya accedido a la solicitud, AWS Backup crea una bóveda de respaldo con acceso de restauración en la cuenta de recuperación designada para que esa cuenta tenga acceso a los puntos de recuperación de la bóveda conectada y aislada de forma lógica.
------
#### [ Console ]
**Solicitud de acceso a un almacén aislado lógicamente**
1. [Abre la AWS Backup consola en /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Desplácese hasta la sección **Almacenes de copia de seguridad** en el panel de navegación izquierdo.
1. Seleccione la pestaña **Almacenes accesibles a través de MPA**.
1. Seleccione **Solicitar acceso al almacén**.
1. Introduzca el ARN del almacén de copias de seguridad de origen del almacén aislado lógicamente al que desea acceder.
1. Introduzca un nombre opcional para el almacén de copias de seguridad con acceso a la restauración. Si no introduce un nombre, AWS Backup se le asignará uno basado en el nombre de la bóveda con huecos de aire de forma lógica.
1. Puede escribir un comentario opcional del solicitante que explique el motivo de la solicitud de acceso.
1. Seleccione **Enviar solicitud** para enviar la solicitud de acceso.
Los miembros del equipo de aprobación asociados al almacén de origen recibirán una notificación por correo electrónico para aprobar la solicitud.
Cuando el número requerido de miembros del equipo (“umbral”) apruebe la solicitud, se creará el almacén de copias de seguridad con acceso a la restauración en la cuenta de recuperación.
------
#### [ CLI ]
Utilice el comando `create-restore-access-backup-vault` CLI:
```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Los miembros del equipo de aprobación MPA asociados al almacén de origen recibirán una notificación por correo electrónico para aprobar la solicitud. Cuando el número requerido de miembros del equipo (“umbral”) apruebe la solicitud, se creará el almacén de copias de seguridad con acceso a la restauración en la cuenta de recuperación.
También puede comprobar el estado del almacén con:
```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```
------
## Desasociación del equipo de aprobación de varias partes del almacén aislado lógicamente
Solicitante: **administrador de la cuenta propietaria del almacén aislado lógicamente**
Puede desasociar un equipo de aprobación de varias partes de un almacén aislado lógicamente (paso 7 de la [Información general](multipartyapproval.md#multipartyapproval-overview)).
------
#### [ Console ]
**Disocia al equipo de aprobación de la bóveda con espacios vacíos de forma lógica**
1. [Abra la consola en AWS Backup /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Desplácese hasta la sección **Almacenes de copia de seguridad** en el panel de navegación izquierdo.
1. Seleccione el almacén de copias de seguridad aislado lógicamente desde el que desee desasociar al equipo de aprobación.
1. En la página **Detalles del almacén**, seleccione **Desasociar equipo de aprobación**.
1. Puede escribir un comentario opcional del solicitante que explique el motivo de la desasociación.
1. Seleccione **Enviar solicitud** para enviar la solicitud de desasociación.
Los miembros actuales del equipo de aprobación recibirán una notificación para aprobar la solicitud.
Cuando el número requerido de miembros del equipo lo apruebe, se desasociará al equipo del almacén.
------
#### [ CLI ]
Utilice el comando `disassociate-backup-vault-mpa-approval-team` CLI:
```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Los miembros actuales del equipo de aprobación MPA recibirán una notificación para aprobar la solicitud. Cuando el número requerido de miembros del equipo lo apruebe, se desasociará al equipo del almacén.
------
## Revocación del almacén de copias de seguridad de acceso a la restauración
Solicitante: **administrador de la cuenta propietaria del almacén aislado lógicamente**
Puede revocar el acceso a un almacén de copias de seguridad con acceso a la restauración desde la cuenta del almacén de origen.
------
#### [ Console ]
**Revocación del almacén de copias de seguridad de acceso a la restauración**
1. Abra la AWS Backup consola en [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Desplácese hasta la sección **Almacenes de copia de seguridad** en el panel de navegación izquierdo.
1. Seleccione el almacén de copias de seguridad aislado lógicamente para el que quiere revocar el acceso.
1. En la página **Detalles del almacén**, desplácese hacia abajo hasta la sección **Acceso mediante aprobación de varias partes**.
1. Busque el almacén de copias de seguridad con acceso a la restauración que desea revocar y, a continuación, seleccione **Solicitud para eliminar el acceso al almacén**.
1. Puede escribir un comentario opcional del solicitante que explique el motivo de la revocación.
1. Seleccione **Enviar solicitud** para enviar la solicitud de revocación.
Los miembros del equipo de aprobación recibirán una notificación para aprobar la solicitud.
Cuando el número requerido de miembros del equipo apruebe la solicitud, se eliminará el almacén de copias de seguridad con acceso a la restauración de la cuenta de recuperación.
------
#### [ CLI ]
En primer lugar, enumere los almacenes con acceso a la restauración asociados a su almacén de origen:
```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```
A continuación, utilice el comando `revoke-restore-access-backup-vault` de la CLI:
```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Los miembros del equipo de aprobación recibirán una notificación para aprobar la solicitud. Cuando el número requerido de miembros del equipo apruebe la solicitud, se eliminará el almacén de copias de seguridad con acceso a la restauración de la cuenta de recuperación.
------
## Actualice el equipo de aprobación multipartito asociado a una bóveda con huecos lógicos
Solicitante: **administrador de la cuenta propietaria del almacén aislado lógicamente**
Puede actualizar el equipo de aprobación de varias partes asociado a un almacén aislado lógicamente (paso 8 de la [Información general](multipartyapproval.md#multipartyapproval-overview)).
------
#### [ Console ]
**Actualización del equipo de aprobación asociado a un almacén aislado lógicamente**
1. [Abre la consola en AWS Backup /backup. https://console.aws.amazon.com](https://console.aws.amazon.com/backup)
1. Desplácese hasta la sección **Almacenes de copia de seguridad** en el panel de navegación izquierdo.
1. Seleccione el almacén de copias de seguridad aislado lógicamente para el que quiere actualizar el equipo de aprobación.
1. En la página Detalles del almacén, seleccione **Solicitar cambio de equipo de aprobación**.
1. En el menú desplegable, seleccione el nuevo equipo de aprobación que desea asociar al almacén.
1. Puede escribir un comentario opcional del solicitante que explique el motivo del cambio.
1. Seleccione **Enviar solicitud** para enviar la solicitud de modificación.
Los miembros actuales del equipo de aprobación recibirán una notificación por correo electrónico para aprobar la solicitud.
Cuando el número requerido de miembros del equipo (umbral) del equipo de MPA actual (límite) apruebe la solicitud, el nuevo equipo se asociará al almacén.
------
#### [ CLI ]
Utilice el comando `associate-backup-vault-mpa-approval-team` de la CLI con el nuevo ARN del equipo:
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
Los miembros actuales del equipo de aprobación recibirán una notificación para aprobar la solicitud. Cuando el número requerido de miembros del equipo (umbral) actual apruebe la solicitud, el nuevo equipo de MPA se asociará al almacén.
------
# Tareas del aprobador
Un usuario que sea miembro de un equipo de aprobación de varias partes puede [aprobar o denegar solicitudes](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html) que forman parte de una sesión. Otras tareas pueden ser:
+ [Responder a las operaciones solicitadas](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [Visualizar un equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [Visualizar el historial de operaciones](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)