翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 論理エアギャップボールトのマルチパーティー承認
## 論理エアギャップボールトでのマルチパーティー承認の概要
AWS Backup には、 の機能である[マルチパーティー承認](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) AWS Organizationsを論理エアギャップボールトに追加するオプションがあります。マルチパーティー承認には、分散承認プロセスを通じて重要なオペレーションを保護するのに役立つ追加のオプションがあります。
マルチパーティー承認は、重要なリソースを保護し、悪意のある攻撃者やマルウェアイベントによる中断など、フルオペレーションに戻るまでの時間を最小限に抑えるように設計されています。この設定は、侵害された可能性のある論理エアギャップボールトの内容を復元するのに役立ちます。
AWS Backup の論理エアギャップボールトを使用したマルチパーティー承認チームの統合と使用には追加料金はかかりません ([料金](https://aws.amazon.com/backup/pricing)ページに示されているように、ストレージとクロスリージョンの転送料金が適用されます)。
AWS Backup 顧客は、マルチパーティー承認を使用して、プライマリアカウントの使用を侵害する可能性のある悪意のあるアクティビティが疑われる場合に、個別に作成された復旧アカウントから論理エアギャップボールトへのアクセスを共同で承認できる信頼された個人のグループに、一部のオペレーションの承認機能を付与できます。
次の手順では、復旧用の AWS 組織を設定し、マルチパーティー承認を設定し、論理エアギャップボールトでマルチパーティー承認を使用するための推奨フローの概要を示します。
1. 管理者は [Organizations で新しい組織を作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)し、復旧オペレーションに使用します。
1. この新しい組織の管理アカウントで、管理者は IAM アイデンティティセンター (IDC) インスタンスを作成して設定します (組織インスタンスを有効にするには、「*IAM Identity Center ユーザーガイド*」の「[IAM アイデンティティセンターを有効にする](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)」を参照してください。「*マルチパーティー承認ユーザーガイド*」の「[マルチパーティー承認の ID ソースを作成する](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)」のシーケンスも参照してください。
1. 次に、管理者は、マルチパーティー承認のプライマリユーザーとなる信頼できる個人のコアグループである[承認チームを作成します](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html)。
1. 管理者は AWS RAM を使用して[、論理エアギャップボールトを所有する各アカウントと、そのボールトへのアクセスをリクエストする必要がある復旧アカウントと承認チームを共有](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)します。
1. 論理エアギャップボールト所有アカウントの管理者は、[ボールトを承認チームに関連付け](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)ます。
1. 復旧アカウントは、関連するマルチパーティー承認チーム (「チーム」) と論理エアギャップボールトを持つアカウントへの[アクセスをリクエストします](multipartyapproval-tasks-requester.md#create-restore-access-vault)。アカウントに関連付けられたチームが[リクエストを承認または拒否します](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html)。
1. 論理エアギャップボールトを所有するアカウントの管理者は、[承認チームとボールトの関連付け解除](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)をリクエストできます。リクエストには、現在のチームの承認が必要です。
1. 管理者は、セキュリティプラクティスに従って、またはユーザーが組織に加わったり組織を離れたりするときに、必要に応じて[承認チームのメンバーシップを更新](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html)できます。
## 論理エアギャップボールトでマルチパーティー承認を使用するための前提条件とベストプラクティス
論理エアギャップボールトでマルチパーティー承認を効果的かつ安全に使用するには、前提条件と推奨されるベストプラクティスがあります。
**ベストプラクティス:**
+ Organizations を通じて 2 つ (またはそれ以上) の AWS 組織。1 つは、論理エアギャップボールトが 1 つ以上のアカウントがあるプライマリ組織である必要があります。セカンダリ組織は復旧組織である必要があります。この組織では、マルチパーティー承認チームが管理されます。
**前提条件**
1. [マルチパーティー承認を設定](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)し、少なくとも 1 つの承認チームがある。
1. プライマリ組織内の少なくとも 1 つのアカウントには、論理エアギャップボールト (および元のバックアップボールト) が必要です。
1. プライマリ組織の管理アカウントは、マルチパーティー承認にオプトインされます。
**ヒント**
AWS Backup では、サービスコントロールポリシー (SCP) をプライマリ組織に適用し、組織と各承認チームに適切なアクセス許可で設定することをお勧めします。サンプルポリシーについては、「[マルチパーティー承認の用語](#multipartyapproval-terms)」セクションを参照してください。
1. セカンダリ (復旧) 組織のマルチパーティー承認チームは、論理エアギャップボールトを所有するアカウントおよび復旧アカウントの両方と[AWS RAMを通じて共有されます](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。
## マルチパーティー承認を使用する場合のクロスリージョンの考慮事項と依存関係
マルチパーティー承認と IAM アイデンティティセンターインスタンスを異なるリージョンで有効にすると、マルチパーティー承認はリージョン間で IAM アイデンティティセンターを呼び出します。つまり、ユーザーとグループの情報はリージョン間で転送されます。マルチパーティー承認チームリソースは、 AWS リージョン 米国東部 (バージニア北部) でのみ作成および保存できます。
マルチパーティー承認チームのリソースを参照 AWS リージョン するその他の は、 AWS リージョン 米国東部 (バージニア北部) によって異なります。したがって、アイデンティティセンターインスタンスや論理エアギャップボールトが米国東部 (バージニア北部) にない場合、マルチパーティー承認はクロスリージョン呼び出しを行います。
## マルチパーティー承認の用語、概念、ユーザーペルソナ
論理エアギャップボールトでのマルチパーティー承認は AWS Organizations、、 AWS アカウント管理、および を AWS Identity and Access Management (IAM) および AWS RAM (RAM) 機能 AWS Backupと共に統合したものです。CLI を使用することで、各サービスとやり取りして適切なコマンドを送信できます。コンソールを使用することもできますが、特定のタスクを完了するには、適切なサービスのコンソールに移動する必要があります。
マルチパーティー承認の操作方法は、組織での役割と責任と、 AWS Backup アカウントで持っているアクセス許可によって異なります。
「[マルチパーティー承認ユーザーガイド](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)」に示されているように、マルチパーティー承認を使用する組織のメンバーは、***リクエスタ***、***管理者***、または***承認者***のいずれかになります。特定のアクセス許可は、各[職務機能](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html)に適用されます。セキュリティのベストプラクティスに従って、ユーザーは 1 つの職務機能のみを遂行する必要があります。
**コンソール、ポータル、セッション**
AWS Backup 論理エアギャップボールトが 1 つ以上の アカウントでは、マルチパーティー承認を使用できます。
マルチパーティー承認プロセスの前に、管理者は を使用して、復旧用のセカンダリ組織 (**復旧組織**) を以前に設定していない場合は AWS Organizations 作成します。
次に、管理者は AWS Resource Access Manager (RAM) を使用して、プライマリ組織と復旧組織間の組織間共有を設定します。
**プライマリ組織**は、保護されたデータを保存する論理エアギャップボールトを所有および使用するアカウントのホームです。
復旧組織には、少なくとも 1 つの**復旧アカウント**があります。このアカウントには、共有される論理エアギャップボールトへの重要な「バックドア」として機能するアクセスポイントが格納されています。このアクセスポイントは、**復元アクセスバックアップボールト**と呼ばれます。このアクセスボールトはデータを保存しません。代わりに、ソースの論理エアギャップボールトの内容をミラーリングするアクセスポイントまたはマウントポイントとして機能しますが、変更または削除できるデータは含まれません。例えば、お客様が復元アクセスバックアップボールトの復旧ポイントの復元プロセスを実行した場合、復旧アカウントを介してクロスアカウント復元によって復元されるのは論理エアギャップボールトの復旧ポイントです。
セキュリティを強化するために、お客様はこの復旧アカウントを使用してプライマリアカウントで保護されたオペレーションを実行しますが、それらのオペレーションは[承認セッションで関連する承認チーム](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources)によって承認された後にのみ実行されます。セッションは、承認リクエストが送信され AWS ると によって作成され、そのセッションは、承認チームメンバーのしきい値がリクエストを承認または拒否したとき、または許可されたセッション時間が経過したときに終了します。
チームは、保護されたオペレーションリクエストの E メール通知を受け取る**承認者** (実質的には、マルチパーティー承認の*当事者*部分) で構成されます。これらの E メールは、リクエストの承認セッションが開始されたことを確認します。承認に必要な最少人数に達すると承認が付与されます。この人数のしきい値は、**マルチパーティー承認チーム** (「チーム」) の作成時に設定できます。
マルチパーティー承認チームは、Organizations **マルチパーティー承認ポータル** (「ポータル」) を通じて管理されます。これは、承認チームメンバーが承認チームの招待やオペレーションリクエストを受信して応答できる一元的な場所を ID に提供する AWS マネージドアプリケーションです。
# 管理タスク
AWS Backup とマルチパーティーの概要に関連するいくつかのタスクでは、管理者アクセス許可と管理アカウントへのアクセス権を持つユーザーが必要です。
## 承認チームを作成する
AWS アカウントの管理者権限を持つ組織のユーザーは、[マルチパーティー承認を設定](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)する必要があります ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 3)。
このステップを実行する前に、 AWS Organizations ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 1) を通じてプライマリ組織とセカンダリ組織の両方を設定しておくことがベストプラクティスとして推奨されます。
「*マルチパーティー承認ユーザーガイド*」の「[Create an approval team](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)」を参照してチームを作成します。
[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html) オペレーションにおいて、パラメータの 1 つに `policies` があります。これは、チームを保護するアクセス許可を定義するマルチパーティー承認リソースポリシーの ARN (Amazon リソースネーム) のリストです。
「*マルチパーティー承認ユーザーガイド*」の「[Create an approval team](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)」の手順の例に示すポリシーには、必要ないくつかのアクセス許可を持つ `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` ポリシーが含まれています。
`mpa list-policies` を使用して使用可能なポリシーのリストを返すには、次の手順に従います。
1. ポリシーのリストを取得します。
```
aws mpa list-policies --region us-east-1
```
1. すべてのポリシーバージョンのリストを取得します。
```
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
```
1. ポリシーの詳細を取得します。
```
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
```
以下を展開して、このオペレーションによって作成され、承認チームにアタッチされるポリシーを確認してください。
### アクセスボールトポリシーを復元する
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VaultOwnerPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"mpa:StartSession",
"mpa:CancelSession"
],
"Condition": {
"StringEquals": {
"mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
"mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}
```
------
## を使用してマルチパーティー承認チームを共有する AWS RAM
[AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) [の概要](multipartyapproval.md#multipartyapproval-overview)のステップ 4 を使用して、マルチパーティー承認チームを他の AWS アカウントと共有できます。
------
#### [ Console ]
**を使用してマルチパーティー承認チームを共有する AWS RAM**
1. [AWS RAM コンソール](https://console.aws.amazon.com/ram/home?region=us-east-1) にサインインします。
1. ナビゲーションペインで、**[リソース共有]** を選択します。
1. **[リソースの共有の作成]** を選択します。
1. **[名前]** にリソース共有のわかりやすい名前を入力します。
1. **[リソースタイプ]** で、ドロップダウンメニューから **[複数当事者承認チーム]** を選択します。
1. **[リソース]** で、共有する承認チームを選択します。
1. **プリンシパル**で、承認チームを共有する AWS アカウントを指定します。
1. 特定の AWS アカウントと共有するには、**AWS アカウント**を選択し、12 桁のアカウント IDsを入力します。
1. 組織または組織単位と共有するには、**[組織]** または **[組織単位]** を選択し、適切な ID を入力します。
1. (*オプション*) **[タグ]** で、このリソース共有に関連付けるタグを追加します。
1. **[リソースの共有の作成]** を選択します。
リソース共有のステータスは、最初は `PENDING` と表示されます。受信者アカウントが招待を承諾すると、ステータスは `ACTIVE` に変わります。
------
#### [ CLI ]
CLI AWS RAM を使用してマルチパーティー承認チームを共有するには、次のコマンドを使用します。
まず、共有する承認チームの ARN を特定します。
```
aws mpa list-approval-teams --region us-east-1
```
create-resource-share コマンドを使用してリソース共有を作成します。
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```
特定のアカウントではなく組織と共有するには、次のコマンドを使用します。
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```
作成したリソース共有のステータスを確認します。
```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```
受信者アカウントでリソース共有の招待を承諾する必要があります。
```
aws ram get-resource-share-invitations --region us-east-1
```
受信者アカウントで招待を承諾します。
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```
招待が承諾されると、マルチパーティー承認チームが受信者アカウントで使用できるようになります。
------
AWS には、 [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)や[マルチパーティー](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html)アクセスなど、アカウントアクセスを共有するためのツールが用意されています。論理エアギャップボールトを別のアカウントと共有する場合は、次の詳細を考慮してください。
| 機能 | AWS RAM ベースの共有 | マルチパーティー承認ベースのアクセス |
| --- | --- | --- |
| 論理エアギャップボールトへのアクセス | RAM による共有が完了すると、ボールトにアクセスできます。 | 別のアカウントによる試行は、所定数のマルチパーティー承認チームメンバーによって承認される必要があります。承認セッションは、リクエストが開始されてから 24 時間後に自動的に期限切れになります。 |
| アクセスの削除 | 論理エアギャップボールトを所有するアカウントは、いつでも RAM ベースの共有を終了できます。 | ボールトへのアクセスは、マルチパーティー承認チームへのリクエストによってのみ削除できます。 |
| アカウントやリージョン間でのコピー | 現在サポートされていません。 | バックアップは、同じアカウント内でコピーすることも、復旧アカウントと同じ組織内の他のアカウントにコピーすることもできます。 |
| クロスリージョン転送の料金請求 | | クロスリージョン転送の料金は、復元アクセスバックアップボールトを所有するのと同じアカウントに請求されます。 |
| 推奨用途 | 主な用途は、データ損失の復旧と復元テストです。 | 主な用途は、アカウントアクセスやセキュリティが侵害された疑いがある状況です。 |
| リージョン | AWS リージョン 論理エアギャップボールトがサポートされているすべての で使用できます。 | AWS リージョン 論理エアギャップボールトがサポートされているすべての で使用できます。 |
| 復元 | サポートされているすべてのリソースタイプは、共有アカウントから復元できます。 | サポートされているすべてのリソースタイプは、共有アカウントから復元できます。 |
| セットアップ | 共有は、 AWS Backup アカウントが RAM 共有を設定し、受信側アカウントが共有を受け入れるとすぐに発生する可能性があります。 | 共有するには、管理アカウントがまずチームを作成し、次に RAM 共有を設定する必要があります。次に、管理アカウントはマルチパーティー承認にオプトインし、そのチームを論理エアギャップボールトに割り当てます。 |
| 共有 | 共有は、同じ AWS 組織内または AWS 組織全体の RAM を通じて行われます。 アクセスは、論理エアギャップボールトを所有するアカウントが最初にアクセスを許可する「プッシュ」モデルに従って付与されます。次に、もう一方のアカウントでアクセスを承諾します。 | 論理エアギャップボールトへのアクセスは、同じ AWS 組織内または組織全体の Organizations がサポートする承認チームを通じて行われます。 アクセスは「プル」モデルに従って付与されます。このモデルでは、受信側アカウントが最初にアクセスをリクエストし、承認チームがリクエストを許可または拒否します。 |
# リクエスタタスク
## マルチパーティー承認チームを論理エアギャップボールトに関連付ける
リクエスタ: **論理エアギャップボールトを所有するアカウントへのアクセス権を持つユーザー**。
マルチパーティー承認チームを論理エアギャップボールトに関連付けて、ボールトへのアクセスに対する共同承認を有効にすることができます ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 5)。
------
#### [ Console ]
**マルチパーティー承認チームを論理エアギャップボールトに関連付ける**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. 左側のナビゲーションペインの **[バックアップボールト]** セクションに移動します。
1. MPA チームに関連付ける論理エアギャップバックアップボールトを選択します。
1. **[ボールトの詳細]** ページで、**[承認チームを割り当て]** を選択します。
1. ドロップダウンメニューから、ボールトに関連付ける承認チームを選択します。
1. *オプション* 関連付けの理由を説明するコメントを入力します。
1. **[リクエストを送信]** を選択して、関連付けリクエストを送信します。
これがボールトに関連付けられた最初の承認チームである場合、チームはボールトに関連付けられます。ボールトに既に関連付けられたチームがある場合は、「[マルチパーティー承認チームを更新する](#update-multpartyapproval-team)」の手順を参照してください。
------
#### [ CLI ]
CLI コマンド `associate-backup-vault-mpa-approval-team` を、以下のパラメータで変更して使用します。
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
これがボールトに関連付けられた最初の承認チームである場合、チームはボールトに関連付けられます。ボールトに既に関連付けられたチームがある場合は、「[マルチパーティー承認チームを更新する](#update-multpartyapproval-team)」の手順を参照してください。
------
## 論理エアギャップボールトへのアクセスをリクエストする
リクエスタ: **復旧アカウントにアクセスできるユーザー**。
別のアカウントの論理エアギャップボールトへのアクセスをリクエストできます ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 6)。
承認チームがリクエストを付与すると、 は指定された復旧アカウントに復元アクセスバックアップボールト AWS Backup を作成し、接続された論理エアギャップボールトの復旧ポイントにアカウントがアクセスできるようにします。
------
#### [ Console ]
**論理エアギャップボールトへのアクセスをリクエストする**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. 左側のナビゲーションペインの **[バックアップボールト]** セクションに移動します。
1. **[MPA を通じてアクセス可能なボールト]** タブを選択します。
1. **[ボールトアクセスをリクエスト]** を選択します。
1. アクセスする論理エアギャップボールトのソースバックアップボールト ARN を入力します。
1. 復元アクセスバックアップボールトのオプションの名前を入力します。名前を入力しない場合、 AWS Backup は論理エアギャップボールトの名前に基づいて名前を割り当てます。
1. アクセスリクエストの理由を説明する、任意のリクエスタコメントを入力します。
1. **[リクエストを送信]** を選択して、アクセスリクエストを送信します。
ソースボールトに関連付けられた承認チームメンバーは、リクエストを承認するための E メール通知を受け取ります。
リクエストが必要な数 (「しきい値」) のチームメンバーによって承認されると、復元アクセスバックアップボールトが復旧アカウントに作成されます。
------
#### [ CLI ]
`create-restore-access-backup-vault` CLI コマンドを使用します。
```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
ソースボールトに関連付けられた MPA 承認チームメンバーは、リクエストを承認するための通知を受け取ります。リクエストが必要な数 (「しきい値」) のチームメンバーによって承認されると、復元アクセスバックアップボールトが復旧アカウントに作成されます。
また、次のコマンドを使用してボールトのステータスを確認できます。
```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```
------
## マルチパーティー承認チームの論理エアギャップボールトとの関連付けを解除する
リクエスタ: **論理エアギャップボールトを所有するアカウントの管理者**。
マルチパーティー承認チームの論理エアギャップボールトとの関連付けを解除できます ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 7)。
------
#### [ Console ]
**論理エアギャップボールトから承認チームの関連付けを解除する**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. 左側のナビゲーションペインの **[バックアップボールト]** セクションに移動します。
1. 承認チームの関連付けを解除する論理エアギャップバックアップボールトを選択します。
1. **[ボールトの詳細]** ページで、**[承認チームの関連付けを解除]** を選択します。
1. 関連付け解除の理由を説明する、任意のリクエスタコメントを入力します。
1. **[リクエストを送信]** を選択して、関連付け解除リクエストを送信します。
現在の承認チームメンバーは、リクエストを承認するための通知を受け取ります。
必要な数のチームメンバーによって承認されると、チームのボールトとの関連付けが解除されます。
------
#### [ CLI ]
`disassociate-backup-vault-mpa-approval-team` CLI コマンドを使用します。
```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
現在の MPA 承認チームメンバーは、リクエストを承認するための通知を受け取ります。必要な数のチームメンバーによって承認されると、チームのボールトとの関連付けが解除されます。
------
## 復元アクセスバックアップボールトを取り消す
リクエスタ: **論理エアギャップボールトを所有するアカウントの管理者**。
ソースボールトアカウントから復元アクセスバックアップボールトへのアクセスを取り消すことができます。
------
#### [ Console ]
**復元アクセスバックアップボールトを取り消す**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. 左側のナビゲーションペインの **[バックアップボールト]** セクションに移動します。
1. アクセスを取り消す論理エアギャップバックアップボールトを選択します。
1. **[ボールトの詳細]**ページで、**[複数当事者承認によるアクセス]** セクションまで下へスクロールします。
1. 取り消す復元アクセスバックアップボールトを選択し、**[ボールトアクセスの削除をリクエスト]** を選択します。
1. 取り消しの理由を説明する、任意のリクエスタコメントを入力します。
1. **[リクエストを送信]** を選択して、取り消しリクエストを送信します。
承認チームメンバーは、リクエストを承認するための通知を受け取ります。
必要な数のチームメンバーによって承認されると、復元アクセスバックアップボールトは復旧アカウントから削除されます。
------
#### [ CLI ]
まず、ソースボールトに関連付けられた復元アクセスバックアップボールトのリストを表示します。
```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```
`revoke-restore-access-backup-vault` CLI コマンドを使用します。
```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
承認チームメンバーは、リクエストを承認するための通知を受け取ります。必要な数のチームメンバーによって承認されると、復元アクセスバックアップボールトは復旧アカウントから削除されます。
------
## 論理エアギャップボールトに関連付けられたマルチパーティー承認チームを更新する
リクエスタ: **論理エアギャップボールトを所有するアカウントの管理者**。
論理エアギャップボールトに関連付けられたマルチパーティー承認チームを更新できます ([概要](multipartyapproval.md#multipartyapproval-overview)のステップ 8)。
------
#### [ Console ]
**論理エアギャップボールトに関連付けられた承認チームを更新する**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) で AWS Backup コンソールを開きます。
1. 左側のナビゲーションペインの **[バックアップボールト]** セクションに移動します。
1. 承認チームを更新する論理エアギャップバックアップボールトを選択します。
1. [ボールトの詳細] ページで、**[承認チームの変更をリクエスト]** を選択します。
1. ドロップダウンメニューから、ボールトに関連付ける新しい承認チームを選択します。
1. 変更の理由を説明する、任意のリクエスタコメントを入力します。
1. **[リクエストを送信]** を選択して、変更リクエストを送信します。
現在の承認チームメンバーは、リクエストを承認するための E メール通知を受け取ります。
現在の MPA チームから必要な数 (しきい値) のチームメンバーによって承認されると、新しいチームはボールトに関連付けられます。
------
#### [ CLI ]
新しいチームの ARN を指定して `associate-backup-vault-mpa-approval-team` CLI コマンドを使用します。
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
現在の承認チームメンバーは、リクエストを承認するための通知を受け取ります。現在のチームから必要な数 (しきい値) のチームメンバーによって承認されると、新しい MPA チームがボールトに関連付けられます。
------
# 承認者タスク
マルチパーティー承認チームのメンバーであるユーザーは、セッションに含まれる[リクエストを承認または拒否](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html)できます。その他のタスクは次のとおりです。
+ [リクエストされたオペレーションに応答する](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [承認チームを表示する](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [オペレーション履歴を表示する](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)