翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 管理タスク
AWS Backup とマルチパーティーの概要に関連するいくつかのタスクでは、管理者アクセス許可と管理アカウントへのアクセス権を持つユーザーが必要です。
## 承認チームを作成する
AWS アカウントの管理者権限を持つ組織のユーザーは、[マルチパーティー承認を設定](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)する必要があります ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 3)。
このステップを実行する前に、 AWS Organizations ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 1) を通じてプライマリ組織とセカンダリ組織の両方を設定しておくことがベストプラクティスとして推奨されます。
「*マルチパーティー承認ユーザーガイド*」の「[Create an approval team](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)」を参照してチームを作成します。
[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html) オペレーションにおいて、パラメータの 1 つに `policies` があります。これは、チームを保護するアクセス許可を定義するマルチパーティー承認リソースポリシーの ARN (Amazon リソースネーム) のリストです。
「*マルチパーティー承認ユーザーガイド*」の「[Create an approval team](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)」の手順の例に示すポリシーには、必要ないくつかのアクセス許可を持つ `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` ポリシーが含まれています。
`mpa list-policies` を使用して使用可能なポリシーのリストを返すには、次の手順に従います。
1. ポリシーのリストを取得します。
```
aws mpa list-policies --region us-east-1
```
1. すべてのポリシーバージョンのリストを取得します。
```
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
```
1. ポリシーの詳細を取得します。
```
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
```
以下を展開して、このオペレーションによって作成され、承認チームにアタッチされるポリシーを確認してください。
### アクセスボールトポリシーを復元する
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VaultOwnerPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"mpa:StartSession",
"mpa:CancelSession"
],
"Condition": {
"StringEquals": {
"mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
"mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}
```
------
## を使用してマルチパーティー承認チームを共有する AWS RAM
[AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) [の概要](multipartyapproval.md#multipartyapproval-overview)のステップ 4 を使用して、マルチパーティー承認チームを他の AWS アカウントと共有できます。
------
#### [ Console ]
**を使用してマルチパーティー承認チームを共有する AWS RAM**
1. [AWS RAM コンソール](https://console.aws.amazon.com/ram/home?region=us-east-1) にサインインします。
1. ナビゲーションペインで、**[リソース共有]** を選択します。
1. **[リソースの共有の作成]** を選択します。
1. **[名前]** にリソース共有のわかりやすい名前を入力します。
1. **[リソースタイプ]** で、ドロップダウンメニューから **[複数当事者承認チーム]** を選択します。
1. **[リソース]** で、共有する承認チームを選択します。
1. **プリンシパル**で、承認チームを共有する AWS アカウントを指定します。
1. 特定の AWS アカウントと共有するには、**AWS アカウント**を選択し、12 桁のアカウント IDsを入力します。
1. 組織または組織単位と共有するには、**[組織]** または **[組織単位]** を選択し、適切な ID を入力します。
1. (*オプション*) **[タグ]** で、このリソース共有に関連付けるタグを追加します。
1. **[リソースの共有の作成]** を選択します。
リソース共有のステータスは、最初は `PENDING` と表示されます。受信者アカウントが招待を承諾すると、ステータスは `ACTIVE` に変わります。
------
#### [ CLI ]
CLI AWS RAM を使用してマルチパーティー承認チームを共有するには、次のコマンドを使用します。
まず、共有する承認チームの ARN を特定します。
```
aws mpa list-approval-teams --region us-east-1
```
create-resource-share コマンドを使用してリソース共有を作成します。
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```
特定のアカウントではなく組織と共有するには、次のコマンドを使用します。
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```
作成したリソース共有のステータスを確認します。
```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```
受信者アカウントでリソース共有の招待を承諾する必要があります。
```
aws ram get-resource-share-invitations --region us-east-1
```
受信者アカウントで招待を承諾します。
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```
招待が承諾されると、マルチパーティー承認チームが受信者アカウントで使用できるようになります。
------
AWS には、 [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)や[マルチパーティー](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html)アクセスなど、アカウントアクセスを共有するためのツールが用意されています。論理エアギャップボールトを別のアカウントと共有する場合は、次の詳細を考慮してください。
| 機能 | AWS RAM ベースの共有 | マルチパーティー承認ベースのアクセス |
| --- | --- | --- |
| 論理エアギャップボールトへのアクセス | RAM による共有が完了すると、ボールトにアクセスできます。 | 別のアカウントによる試行は、所定数のマルチパーティー承認チームメンバーによって承認される必要があります。承認セッションは、リクエストが開始されてから 24 時間後に自動的に期限切れになります。 |
| アクセスの削除 | 論理エアギャップボールトを所有するアカウントは、いつでも RAM ベースの共有を終了できます。 | ボールトへのアクセスは、マルチパーティー承認チームへのリクエストによってのみ削除できます。 |
| アカウントやリージョン間でのコピー | 現在サポートされていません。 | バックアップは、同じアカウント内でコピーすることも、復旧アカウントと同じ組織内の他のアカウントにコピーすることもできます。 |
| クロスリージョン転送の料金請求 | | クロスリージョン転送の料金は、復元アクセスバックアップボールトを所有するのと同じアカウントに請求されます。 |
| 推奨用途 | 主な用途は、データ損失の復旧と復元テストです。 | 主な用途は、アカウントアクセスやセキュリティが侵害された疑いがある状況です。 |
| リージョン | AWS リージョン 論理エアギャップボールトがサポートされているすべての で使用できます。 | AWS リージョン 論理エアギャップボールトがサポートされているすべての で使用できます。 |
| 復元 | サポートされているすべてのリソースタイプは、共有アカウントから復元できます。 | サポートされているすべてのリソースタイプは、共有アカウントから復元できます。 |
| セットアップ | 共有は、 AWS Backup アカウントが RAM 共有を設定し、受信側アカウントが共有を受け入れるとすぐに発生する可能性があります。 | 共有するには、管理アカウントがまずチームを作成し、次に RAM 共有を設定する必要があります。次に、管理アカウントはマルチパーティー承認にオプトインし、そのチームを論理エアギャップボールトに割り当てます。 |
| 共有 | 共有は、同じ AWS 組織内または AWS 組織全体の RAM を通じて行われます。 アクセスは、論理エアギャップボールトを所有するアカウントが最初にアクセスを許可する「プッシュ」モデルに従って付与されます。次に、もう一方のアカウントでアクセスを承諾します。 | 論理エアギャップボールトへのアクセスは、同じ AWS 組織内または組織全体の Organizations がサポートする承認チームを通じて行われます。 アクセスは「プル」モデルに従って付与されます。このモデルでは、受信側アカウントが最初にアクセスをリクエストし、承認チームがリクエストを許可または拒否します。 |