Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Tugas administrator
<a name="multipartyapproval-tasks-administrator"></a>

Beberapa tugas yang melibatkan AWS Backup dan ikhtisar Multi-pihak membutuhkan pengguna dengan izin admin dan akses ke akun manajemen.

## Buat tim persetujuan
<a name="create-multipartyapproval-team"></a>

Pengguna di organisasi Anda dengan izin admin untuk AWS akun perlu [menyiapkan persetujuan multi-pihak](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (langkah 3 dalam [Ikhtisar](multipartyapproval.md#multipartyapproval-overview)).

Sebelum melakukan langkah ini, disarankan sebagai praktik terbaik Anda memiliki organisasi primer dan organisasi sekunder (untuk tujuan pemulihan) yang diatur melalui AWS Organizations (langkah 1 dalam [Ikhtisar](multipartyapproval.md#multipartyapproval-overview).

Lihat [Membuat tim persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) dalam *panduan pengguna persetujuan multi-pihak* untuk membuat tim Anda.

Selama [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)operasi, salah satu parameternya adalah`policies`. Ini adalah daftar ARNs (Nama Sumber Daya Amazon) untuk kebijakan sumber daya persetujuan multi-pihak yang menentukan izin yang melindungi tim.

Kebijakan yang ditampilkan dalam contoh di *Panduan Pengguna persetujuan multi-pihak* dalam prosedur [Membuat tim persetujuan](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) berisi kebijakan `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` dengan beberapa izin yang diperlukan. 

Ikuti langkah-langkah berikut untuk mengembalikan daftar kebijakan yang tersedia dengan menggunakan`mpa list-policies`:

1. Daftar Kebijakan: 

   ```
   aws mpa list-policies --region us-east-1
   ```

1. Daftar semua versi kebijakan: 

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. Dapatkan detail tentang kebijakan: 

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

Perluas di bawah ini untuk melihat kebijakan yang akan dibuat kemudian dilampirkan ke tim persetujuan Anda melalui operasi ini:

### Mengembalikan kebijakan akses vault
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## Bagikan tim persetujuan Multi-pihak menggunakan AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

Anda dapat berbagi tim persetujuan multi-pihak dengan AWS akun lain menggunakan [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), langkah 4 dalam [ikhtisar](multipartyapproval.md#multipartyapproval-overview).

------
#### [ Console ]

**Bagikan tim persetujuan Multi-pihak menggunakan AWS RAM**

1. Masuk ke [konsol AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1) tersebut.

1. Di panel navigasi, pilih **Pembagian sumber daya**.

1. Pilih **Buat berbagi sumber daya**.

1. Di bidang **Nama**, masukkan nama deskriptif untuk berbagi sumber daya Anda.

1. Di bawah **Jenis sumber daya**, pilih **Tim persetujuan multi-pihak** dari menu tarik-turun.

1. Di bawah **Sumber daya**, pilih tim persetujuan yang ingin Anda bagikan.

1. Di bawah **Prinsipal**, tentukan AWS akun dengan siapa Anda ingin berbagi tim persetujuan.

1. Untuk berbagi dengan AWS akun tertentu, pilih **AWS akun** dan masukkan akun IDs 12 digit.

1. Untuk berbagi dengan organisasi atau unit organisasi, pilih **Organisasi** atau **Unit Organisasi** dan masukkan ID yang sesuai.

1. (*Opsional*) Di bawah **Tag**, tambahkan tag apa pun yang ingin Anda kaitkan dengan pembagian sumber daya ini.

1. Pilih **Buat berbagi sumber daya**.

Status pembagian sumber daya awalnya akan ditampilkan sebagai`PENDING`. Setelah akun penerima menerima undangan, status akan berubah menjadi`ACTIVE`.

------
#### [ CLI ]

Untuk berbagi tim persetujuan Multi-pihak menggunakan AWS RAM melalui CLI, gunakan perintah berikut:

Pertama, identifikasi ARN dari tim persetujuan yang ingin Anda bagikan:

```
aws mpa list-approval-teams --region {{us-east-1}}
```

Buat berbagi sumber daya menggunakan create-resource-share perintah:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:{{us-east-1}}:{{ACCOUNT_ID}}:approval-team/{{TEAM_ID}}" \
--principals "{{ACCOUNT_ID_TO_SHARE_WITH}}" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region {{us-east-1}}
```

Untuk berbagi dengan organisasi, bukan akun tertentu:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:{{us-east-1}}:{{ACCOUNT_ID}}:approval-team/{{TEAM_ID}}" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region {{us-east-1}}
```

Periksa status pembagian sumber daya Anda:

```
aws ram get-resource-shares \
--resource-owner SELF \
--region {{us-east-1}}
```

Akun penerima harus menerima undangan berbagi sumber daya:

```
aws ram get-resource-share-invitations --region {{us-east-1}}
```

Jalankan di akun penerima untuk menerima undangan:

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:{{REGION}}:{{ACCOUNT_ID}}:resource-share-invitation/{{INVITATION_ID}}" \
--region {{us-east-1}}
```

Setelah undangan diterima, tim persetujuan Multi-pihak akan tersedia untuk digunakan di akun penerima.

------

AWS menawarkan alat untuk berbagi akses akun, termasuk melalui [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)dan [akses Multi-pihak](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Saat Anda memilih untuk berbagi brankas yang memiliki celah udara secara logis dengan akun lain, pertimbangkan detail berikut:


| Fitur | AWS RAM berbagi berbasis | Akses berbasis persetujuan multi-pihak | 
| --- | --- | --- | 
| Akses ke brankas yang memiliki celah udara secara logis | Setelah pembagian RAM selesai, brankas dapat diakses. | Setiap upaya oleh akun yang berbeda harus disetujui oleh jumlah ambang batas anggota tim persetujuan Multi-pihak. Sesi persetujuan secara otomatis berakhir 24 jam setelah permintaan dimulai. | 
| Penghapusan akses | Akun yang memiliki brankas dengan celah udara secara logis dapat mengakhiri berbagi berbasis RAM kapan saja. | Akses ke vault hanya dapat dihapus dengan permintaan ke tim persetujuan Multi-pihak. | 
| Salin di seluruh akun and/or Wilayah | Saat ini tidak didukung. | Cadangan dapat disalin dalam akun yang sama atau dengan akun lain di organisasi yang sama dengan akun pemulihan. | 
| Tagihan transfer lintas wilayah |  | Transfer Lintas Wilayah ditagih ke akun yang sama yang memiliki brankas cadangan akses pemulihan. | 
| Penggunaan yang disarankan | Penggunaan utama adalah untuk pemulihan kehilangan data dan untuk pengujian pemulihan. | Penggunaan utama adalah untuk situasi di mana akses akun atau keamanan diduga dikompromikan. | 
| Daerah | Tersedia di semua Wilayah AWS tempat yang didukung secara logis kubah celah udara. | Tersedia di semua Wilayah AWS tempat yang didukung secara logis kubah celah udara. | 
| Mengembalikan | Semua jenis sumber daya yang didukung dapat dipulihkan dari akun bersama. | Semua jenis sumber daya yang didukung dapat dipulihkan dari akun bersama. | 
| Pengaturan | Berbagi dapat terjadi segera setelah AWS Backup akun mengatur berbagi RAM dan akun penerima menerima pembagian. | Berbagi mengharuskan akun manajemen untuk membuat tim terlebih dahulu, lalu mengatur berbagi RAM. Kemudian, akun manajemen memilih persetujuan Multi-pihak dan menugaskan tim itu ke brankas yang memiliki celah udara secara logis. | 
| Berbagi | Berbagi dilakukan melalui RAM dalam AWS organisasi yang sama atau lintas AWS organisasi.<br />Akses diberikan sesuai dengan model 'push', di mana akun yang memiliki brankas celah udara secara logis pertama kali memberikan akses. Kemudian, akun lain menerima akses. | Akses ke brankas yang memiliki celah udara secara logis adalah melalui tim persetujuan yang didukung Organisasi dalam organisasi yang sama atau di seluruh AWS organisasi.<br />Akses diberikan sesuai dengan model 'tarik', di mana akun penerima pertama meminta akses, kemudian tim persetujuan memberikan atau menolak permintaan tersebut. |