기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 관리자 작업
AWS Backup 및 다자간 개요와 관련된 여러 작업에서 관리자 권한과 관리 계정에 대한 액세스 권한이 있는 사용자가 필요했습니다.
## 승인 팀 생성
AWS 계정에 대한 관리자 권한이 있는 조직의 사용자는 [다자간 승인을 설정해야](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) 합니다([개요](multipartyapproval.md#multipartyapproval-overview)의 3단계).
이 단계를 수행하기 전에 AWS Organizations ([개요](multipartyapproval.md#multipartyapproval-overview)의 1단계)를 통해 기본 조직과 보조 조직(복구 목적)을 모두 설정하는 것이 좋습니다.
팀을 생성하려면 *다자간 승인 사용 설명서*의 [승인 팀 생성](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)을 참조하세요.
[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html) 작업 과정에서 파라미터 중 하나는 `policies`입니다. 팀을 보호하는 권한을 정의하는 다자간 승인 리소스 정책의 ARN(Amazon 리소스 이름) 목록입니다.
[승인 팀 생성](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) 절차의 *다자간 승인 사용 설명서*의 예제에 표시된 정책에는 몇 가지 필요한 권한이 있는 `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` 정책이 포함되어 있습니다.
다음 단계에 따라 `mpa list-policies`를 사용하여 사용 가능한 정책 목록을 반환합니다.
1. 정책 나열:
```
aws mpa list-policies --region us-east-1
```
1. 모든 정책 버전을 나열합니다.
```
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
```
1. 정책에 대한 세부 정보를 가져옵니다.
```
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
```
이 작업을 통해 생성되어 승인 팀에 연결될 정책을 보려면 아래를 확장합니다.
### 저장소 액세스 정책 복원
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VaultOwnerPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"mpa:StartSession",
"mpa:CancelSession"
],
"Condition": {
"StringEquals": {
"mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
"mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}
```
------
## 를 사용하여 다자간 승인 팀 공유 AWS RAM
[개요](multipartyapproval.md#multipartyapproval-overview)의 [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) 4단계를 사용하여 다자간 승인 팀을 다른 AWS 계정과 공유할 수 있습니다.
------
#### [ Console ]
**를 사용하여 다자간 승인 팀 공유 AWS RAM**
1. [AWS RAM 콘솔](https://console.aws.amazon.com/ram/home?region=us-east-1)에 로그인합니다.
1. 탐색 창에서 **리소스 공유**를 선택합니다.
1. **리소스 공유 생성**을 선택합니다.
1. **이름** 필드에 리소스 공유를 설명하는 이름을 입력합니다.
1. **리소스 유형**의 드롭다운 메뉴에서 **다자간 승인 팀**을 선택합니다.
1. **리소스**에서 공유할 승인 팀을 선택합니다.
1. **보안 주체**에서 승인 팀을 공유할 AWS 계정을 지정합니다.
1. 특정 AWS 계정과 공유하려면 **AWS 계정을** 선택하고 12자리 계정 IDs 입력합니다.
1. 조직 또는 조직 단위와 공유하려면 **조직** 또는 **조직 단위**를 선택하고 적절한 ID를 입력합니다.
1. (*선택 사항*) **태그**에서 이 리소스 공유와 연결할 태그를 추가합니다.
1. **리소스 공유 생성**을 선택합니다.
리소스 공유 상태는 처음에 `PENDING`로 표시됩니다. 수신자 계정이 초대를 수락하면 상태가 `ACTIVE`로 변경됩니다.
------
#### [ CLI ]
CLI를 AWS RAM 통해를 사용하여 다자간 승인 팀을 공유하려면 다음 명령을 사용합니다.
먼저 공유하려는 승인 팀의 ARN을 식별합니다.
```
aws mpa list-approval-teams --region us-east-1
```
create-resource-share 명령을 사용하여 리소스 공유를 생성합니다.
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```
특정 계정 대신 조직과 공유하려면:
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```
리소스 공유의 상태를 확인합니다.
```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```
수신자 계정은 리소스 공유 초대를 수락해야 합니다.
```
aws ram get-resource-share-invitations --region us-east-1
```
수신자 계정에서 실행하여 초대를 수락합니다.
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```
초대가 수락되면 수신자 계정에서 다자간 승인 팀을 사용할 수 있습니다.
------
AWS 는 [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share) 및 [다자간](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html) 액세스를 포함하여 계정 액세스를 공유하는 도구를 제공합니다. 논리적 에어 갭 저장소를 다른 계정과 공유하도록 선택한 경우 다음 세부 정보를 고려하세요.
| 기능 | AWS RAM 기반 공유 | 다자간 승인 기반 액세스 |
| --- | --- | --- |
| 논리적 에어 갭 저장소에 액세스 | RAM 공유가 완료되면 저장소에 액세스할 수 있습니다. | 다른 계정의 모든 시도는 다자간 승인 팀원의 임계 수에 의해 승인되어야 합니다. 요청이 시작된 후 24시간이 지나면 승인 세션이 자동으로 만료됩니다. |
| 액세스 제거 | 논리적 에어 갭 저장소를 소유한 계정은 언제든지 RAM 기반 공유를 종료할 수 있습니다. | 저장소에 대한 액세스는 다자간 승인 팀에 대한 요청으로만 제거할 수 있습니다. |
| 계정 및/또는 리전 간에 복사 | 현재 지원되지 않습니다. | 백업은 동일한 계정 내에서 복사하거나 복구 계정과 동일한 조직의 다른 계정으로 복사할 수 있습니다. |
| 교차 리전 전송 결제 | | 교차 리전 전송은 복원 액세스 백업 저장소를 소유한 동일한 계정으로 청구됩니다. |
| 권장 용도 | 기본 용도는 데이터 손실 복구 및 복원 테스트입니다. | 기본 용도는 계정 액세스 또는 보안이 손상된 것으로 의심되는 상황을 위한 것입니다. |
| 리전 | 논리적 에어 AWS 리전 갭 저장소가 지원되는 모든에서 사용할 수 있습니다. | 논리적 에어 AWS 리전 갭 저장소가 지원되는 모든에서 사용할 수 있습니다. |
| 복원 | 지원되는 모든 리소스 유형은 공유 계정에서 복원할 수 있습니다. | 지원되는 모든 리소스 유형은 공유 계정에서 복원할 수 있습니다. |
| 설정 | 공유는 AWS Backup 계정이 RAM 공유를 설정하고 수신 계정이 공유를 수락하는 즉시 발생할 수 있습니다. | 공유하려면 먼저 관리 계정이 팀을 생성한 다음 RAM 공유를 설정해야 합니다. 그런 다음 관리 계정은 다자간 승인을 선택하고 해당 팀을 논리적 에어 갭 저장소에 할당합니다. |
| 공유 중 | 공유는 동일한 AWS 조직 내 또는 조직 간에 AWS RAM을 통해 수행됩니다. 논리적 에어 갭 저장소를 소유한 계정이 먼저 액세스 권한을 부여하는 '푸시' 모델에 따라 액세스 권한이 부여됩니다. 그러면 다른 계정이 액세스를 수락합니다. | 논리적 에어 갭 저장소에 대한 액세스는 동일한 AWS 조직 내 또는 조직 전체에서 Organizations가 지원하는 승인 팀을 통해 이루어집니다. 액세스 권한은 수신 계정이 먼저 액세스를 요청하는 '풀' 모델에 따라 부여되며, 승인 팀은 요청을 부여하거나 거부합니다. |