기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 논리적 에어 갭 저장소에 대한 다자간 승인
## 논리적 에어 갭 저장소의 다자간 승인 개요
AWS Backup 는의 기능인 [다자간 승인을](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) 논리적 에어 갭 저장소 AWS Organizations에 추가할 수 있는 옵션을 제공합니다. 다자간 승인은 분산 승인 프로세스를 통해 중요한 작업을 보호하는 데 도움이 되는 추가 옵션을 제공합니다.
다자간 승인은 중요한 리소스를 보호하고 악의적인 행위자 또는 맬웨어 이벤트로 인한 중단과 같은 전체 작업으로 돌아가는 시간을 최소화하도록 설계되었습니다. 이 설정은 손상되었을 수 있는 논리적 에어 갭 저장소의 콘텐츠를 복원하는 데 도움이 될 수 있습니다.
AWS Backup 논리적 에어 갭 저장소와 다자간 승인 팀을 통합하고 사용하는 데 드는 추가 비용은 없습니다([요금](https://aws.amazon.com/backup/pricing) 페이지에 표시된 대로 스토리지 및 교차 리전 전송 요금 적용).
AWS Backup 고객은 다자간 승인을 사용하여 기본 계정 사용을 손상시킬 수 있는 악의적인 활동이 의심되는 경우 별도로 생성된 복구 계정에서 논리적 에어 갭 저장소에 대한 액세스를 공동으로 승인할 수 있는 신뢰할 수 있는 개인 그룹에 일부 작업의 승인 기능을 부여할 수 있습니다.
다음 단계에서는 복구 AWS 조직 설정, 다자간 승인 설정, 논리적 에어 갭 저장소와 함께 다자간 승인 사용을 위한 권장 흐름을 간략하게 설명합니다.
1. 관리자는 복구 작업에 사용할 새 조직을 [Organizations를 통해 생성합니다](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html).
1. 이 새 조직의 관리 계정에서 관리자는 IAM Identity Center(IDC) 인스턴스를 생성하고 구성합니다(조직 인스턴스를 활성화하려면 *IAM Identity Center 사용 설명서*의 [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)를 참조하세요. *다자간 승인 사용 설명서*의 [다자간 승인 ID 소스 생성](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) 시퀀스도 참조하세요.
1. 그런 다음 관리자는 다자간 승인의 기본 사용자가 될 신뢰할 수 있는 개인으로 구성된 핵심 그룹인 [승인 팀을 생성](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html)합니다.
1. 관리자는 AWS RAM 를 사용하여 논리적 에어 갭 저장소를 소유한 각 계정과 해당 저장소에 대한 액세스를 요청해야 하는 복구 계정과 [승인 팀을 공유합니다](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram).
1. 논리적 에어 갭 저장소 소유 계정의 관리자는 [저장소를 승인 팀과 연결합니다](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team).
1. 복구 계정은 연결된 다자간 승인 팀(“팀”)과 논리적 에어 갭 저장소가 있는 계정에 대한 [액세스를 요청합니다](multipartyapproval-tasks-requester.md#create-restore-access-vault). 계정과 연결된 팀이 [요청을 승인하거나 거부합니다](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html).
1. 논리적 에어 갭 저장소를 소유한 계정의 관리자는 [승인 팀을 저장소에서 연결 해제](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)하도록 요청할 수 있습니다. 요청을 수행하려면 현재 팀의 승인이 필요합니다.
1. 관리자는 보안 관행에 따라 필요에 따라 또는 사람들이 조직에 가입하거나 조직을 떠날 때 [승인 팀 멤버십을 업데이트할](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) 수 있습니다.
## 논리적 에어 갭 저장소에서 다자간 승인을 사용하기 위한 전제 조건 및 모범 사례
논리적 에어 갭 저장소에서 다자간 승인을 효과적이고 안전하게 사용하기 전에 전제 조건과 권장 모범 사례가 있습니다.
**모범 사례:**
+ Organizations를 통해 두 개(또는 그 이상)의 AWS 조직. 하나는 하나 이상의 논리적 에어 갭 저장소가 있는 계정이 있는 기본 조직이어야 합니다. 보조 조직은 복구 조직이어야 합니다. 이 조직에서는 다자간 승인 팀을 관리합니다.
**사전 조건**
1. [다자간 승인을 설정](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)했으며 하나 이상의 승인 팀이 있습니다.
1. 기본 조직의 하나 이상의 계정에 논리적 에어 갭 저장소(및 원래 백업 저장소)가 있어야 합니다.
1. 기본 조직의 관리 계정은 다자간 승인에 옵트인됩니다.
**작은 정보**
AWS Backup 에서는 기본 조직에 서비스 제어 정책(SCP)을 적용하고 조직 및 각 승인 팀에 대한 적절한 권한으로 구성할 것을 권장합니다. 샘플 정책은 [다자간 승인 조건](#multipartyapproval-terms) 섹션을 참조하세요.
1. 보조(복구) 조직의 다자간 승인 팀은 [AWS RAM를 통해](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) 논리적 에어 갭 저장소를 소유한 계정 및 복구 계정과 공유됩니다.
## 다자간 승인 사용 시 교차 리전 고려 사항 및 종속성
다자간 승인을 활성화하고 다른 리전의 IAM Identity Center 인스턴스를 활성화하면 다자간 승인은 리전 간에 IAM Identity Center를 호출합니다. 즉, 사용자 및 그룹 정보가 리전 간에 이동합니다. 다자간 승인 팀 리소스는 AWS 리전 미국 동부(버지니아 북부)에서만 생성하고 저장할 수 있습니다.
다자간 승인 팀 리소스를 참조 AWS 리전 하는 다른는 AWS 리전 미국 동부(버지니아 북부)에 따라 달라집니다. 따라서 Identity Center 인스턴스 및/또는 논리적 에어 갭 저장소가 미국 동부(버지니아 북부)에 있지 않은 경우 다자간 승인은 교차 리전 호출을 수행합니다.
## 다자간 승인 조건, 개념 및 사용자 페르소나
논리적 에어 갭 저장소의 다자간 승인은 ( IAM) 및 AWS Identity and Access Management ( AWS RAM RAM) 기능과 AWS Backup함께 AWS Organizations AWS Account Management, 및의 통합입니다. CLI를 통해 각 서비스와 상호 작용하여 적절한 명령을 보낼 수 있습니다. 콘솔을 사용할 수도 있지만 특정 작업을 완료하려면 적절한 서비스의 콘솔로 이동해야 합니다.
다자간 승인과 상호 작용하는 방법은 조직의 역할과 책임, AWS Backup 계정에서 보유한 권한에 따라 달라집니다.
[다자간 승인 사용 설명서](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)에 표시된 대로 다자간 승인을 사용하는 조직의 구성원은 ***요청자***, ***관리자*** 또는 ***승인자***가 됩니다. 특정 권한은 각 [직무](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html)에 적용됩니다. 보안 모범 사례에 따라 사용자는 하나의 직무만 수행해야 합니다.
**콘솔, 포털 및 세션**
AWS Backup 논리적 에어 갭 저장소가 하나 이상 있는 계정은 다자간 승인을 사용할 수 있습니다.
다자간 승인 프로세스 전에 이전에 설정하지 않은 경우 관리자는 AWS Organizations 를 사용하여 복구 목적으로 보조 조직(**복구 조직**)을 생성합니다.
그런 다음 관리자는 AWS Resource Access Manager (RAM)을 사용하여 기본 조직과 복구 조직 간의 조직 간 공유를 설정합니다.
**기본 조직**은 보호된 데이터를 저장하는 논리적 에어 갭 저장소를 소유하고 사용하는 계정이 있습니다.
복구 조직은 하나 이상의 **복구 계정**이 있습니다. 이 계정에는 공유형 논리적 에어 갭 저장소에 대한 중요한 '백도어' 역할을 할 수 있는 액세스 포인트가 있습니다. 이 액세스 포인트를 **복원 액세스 백업 저장소**라고 합니다. 이 액세스 저장소는 데이터를 저장하지 않습니다. 대신 액세스 또는 탑재 지점 역할을 하여 소스의 콘텐츠를 논리적 에어 갭 저장소로 미러링하지만 변경 또는 삭제할 수 있는 데이터는 포함하지 않습니다. 예를 들어 고객이 복원 액세스 백업 저장소의 복구 시점에 대한 복원 프로세스를 거치는 경우, 이는 논리적 에어 갭 저장소의 복구 시점으로, 복구 계정을 통해 교차 계정 복원을 통해 복원됩니다.
보안을 강화하기 위해 고객은 이 복구 계정을 사용하여 기본 계정에서 보호된 작업을 수행합니다. 단, [승인 세션에서 관련 승인 팀](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources)을 승인 받은 후에만 가능합니다. 승인 요청이 전송되고 AWS 승인 팀원의 임계값이 요청을 승인 또는 거부하거나 허용된 세션 시간이 경과하면 세션이에 의해 생성됩니다.
팀은 보호된 작업 요청에 대한 이메일 알림을 수신하는 **승인자**(효과적으로 다자간 승인의 *당사자* 부분)로 구성됩니다. 이러한 이메일은 요청에 대한 승인 세션이 시작되었음을 확인합니다. 필요한 최소 승인 임곗값에 도달하면 승인이 부여됩니다. 이 임곗값은 **다자간 승인 팀**(“팀”)이 생성될 때 설정할 수 있습니다.
다자간 승인 팀은 승인 팀원이 승인 팀 초대 및 운영 요청을 수신하고 응답할 수 있는 중앙 위치를 자격 증명에 제공하는 AWS 관리형 애플리케이션인 Organizations **다자간 승인 포털**(“포털”)을 통해 관리됩니다.
# 관리자 작업
AWS Backup 및 다자간 개요와 관련된 여러 작업에서 관리자 권한과 관리 계정에 대한 액세스 권한이 있는 사용자가 필요했습니다.
## 승인 팀 생성
AWS 계정에 대한 관리자 권한이 있는 조직의 사용자는 [다자간 승인을 설정해야](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) 합니다([개요](multipartyapproval.md#multipartyapproval-overview)의 3단계).
이 단계를 수행하기 전에 AWS Organizations ([개요](multipartyapproval.md#multipartyapproval-overview)의 1단계)를 통해 기본 조직과 보조 조직(복구 목적)을 모두 설정하는 것이 좋습니다.
팀을 생성하려면 *다자간 승인 사용 설명서*의 [승인 팀 생성](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)을 참조하세요.
[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html) 작업 과정에서 파라미터 중 하나는 `policies`입니다. 팀을 보호하는 권한을 정의하는 다자간 승인 리소스 정책의 ARN(Amazon 리소스 이름) 목록입니다.
[승인 팀 생성](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) 절차의 *다자간 승인 사용 설명서*의 예제에 표시된 정책에는 몇 가지 필요한 권한이 있는 `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` 정책이 포함되어 있습니다.
다음 단계에 따라 `mpa list-policies`를 사용하여 사용 가능한 정책 목록을 반환합니다.
1. 정책 나열:
```
aws mpa list-policies --region us-east-1
```
1. 모든 정책 버전을 나열합니다.
```
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
```
1. 정책에 대한 세부 정보를 가져옵니다.
```
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
```
이 작업을 통해 생성되어 승인 팀에 연결될 정책을 보려면 아래를 확장합니다.
### 저장소 액세스 정책 복원
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VaultOwnerPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"mpa:StartSession",
"mpa:CancelSession"
],
"Condition": {
"StringEquals": {
"mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
"mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}
```
------
## 를 사용하여 다자간 승인 팀 공유 AWS RAM
[개요](multipartyapproval.md#multipartyapproval-overview)의 [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) 4단계를 사용하여 다자간 승인 팀을 다른 AWS 계정과 공유할 수 있습니다.
------
#### [ Console ]
**를 사용하여 다자간 승인 팀 공유 AWS RAM**
1. [AWS RAM 콘솔](https://console.aws.amazon.com/ram/home?region=us-east-1)에 로그인합니다.
1. 탐색 창에서 **리소스 공유**를 선택합니다.
1. **리소스 공유 생성**을 선택합니다.
1. **이름** 필드에 리소스 공유를 설명하는 이름을 입력합니다.
1. **리소스 유형**의 드롭다운 메뉴에서 **다자간 승인 팀**을 선택합니다.
1. **리소스**에서 공유할 승인 팀을 선택합니다.
1. **보안 주체**에서 승인 팀을 공유할 AWS 계정을 지정합니다.
1. 특정 AWS 계정과 공유하려면 **AWS 계정을** 선택하고 12자리 계정 IDs 입력합니다.
1. 조직 또는 조직 단위와 공유하려면 **조직** 또는 **조직 단위**를 선택하고 적절한 ID를 입력합니다.
1. (*선택 사항*) **태그**에서 이 리소스 공유와 연결할 태그를 추가합니다.
1. **리소스 공유 생성**을 선택합니다.
리소스 공유 상태는 처음에 `PENDING`로 표시됩니다. 수신자 계정이 초대를 수락하면 상태가 `ACTIVE`로 변경됩니다.
------
#### [ CLI ]
CLI를 AWS RAM 통해를 사용하여 다자간 승인 팀을 공유하려면 다음 명령을 사용합니다.
먼저 공유하려는 승인 팀의 ARN을 식별합니다.
```
aws mpa list-approval-teams --region us-east-1
```
create-resource-share 명령을 사용하여 리소스 공유를 생성합니다.
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```
특정 계정 대신 조직과 공유하려면:
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```
리소스 공유의 상태를 확인합니다.
```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```
수신자 계정은 리소스 공유 초대를 수락해야 합니다.
```
aws ram get-resource-share-invitations --region us-east-1
```
수신자 계정에서 실행하여 초대를 수락합니다.
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```
초대가 수락되면 수신자 계정에서 다자간 승인 팀을 사용할 수 있습니다.
------
AWS 는 [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share) 및 [다자간](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html) 액세스를 포함하여 계정 액세스를 공유하는 도구를 제공합니다. 논리적 에어 갭 저장소를 다른 계정과 공유하도록 선택한 경우 다음 세부 정보를 고려하세요.
| 기능 | AWS RAM 기반 공유 | 다자간 승인 기반 액세스 |
| --- | --- | --- |
| 논리적 에어 갭 저장소에 액세스 | RAM 공유가 완료되면 저장소에 액세스할 수 있습니다. | 다른 계정의 모든 시도는 다자간 승인 팀원의 임계 수에 의해 승인되어야 합니다. 요청이 시작된 후 24시간이 지나면 승인 세션이 자동으로 만료됩니다. |
| 액세스 제거 | 논리적 에어 갭 저장소를 소유한 계정은 언제든지 RAM 기반 공유를 종료할 수 있습니다. | 저장소에 대한 액세스는 다자간 승인 팀에 대한 요청으로만 제거할 수 있습니다. |
| 계정 및/또는 리전 간에 복사 | 현재 지원되지 않습니다. | 백업은 동일한 계정 내에서 복사하거나 복구 계정과 동일한 조직의 다른 계정으로 복사할 수 있습니다. |
| 교차 리전 전송 결제 | | 교차 리전 전송은 복원 액세스 백업 저장소를 소유한 동일한 계정으로 청구됩니다. |
| 권장 용도 | 기본 용도는 데이터 손실 복구 및 복원 테스트입니다. | 기본 용도는 계정 액세스 또는 보안이 손상된 것으로 의심되는 상황을 위한 것입니다. |
| 리전 | 논리적 에어 AWS 리전 갭 저장소가 지원되는 모든에서 사용할 수 있습니다. | 논리적 에어 AWS 리전 갭 저장소가 지원되는 모든에서 사용할 수 있습니다. |
| 복원 | 지원되는 모든 리소스 유형은 공유 계정에서 복원할 수 있습니다. | 지원되는 모든 리소스 유형은 공유 계정에서 복원할 수 있습니다. |
| 설정 | 공유는 AWS Backup 계정이 RAM 공유를 설정하고 수신 계정이 공유를 수락하는 즉시 발생할 수 있습니다. | 공유하려면 먼저 관리 계정이 팀을 생성한 다음 RAM 공유를 설정해야 합니다. 그런 다음 관리 계정은 다자간 승인을 선택하고 해당 팀을 논리적 에어 갭 저장소에 할당합니다. |
| 공유 중 | 공유는 동일한 AWS 조직 내 또는 조직 간에 AWS RAM을 통해 수행됩니다. 논리적 에어 갭 저장소를 소유한 계정이 먼저 액세스 권한을 부여하는 '푸시' 모델에 따라 액세스 권한이 부여됩니다. 그러면 다른 계정이 액세스를 수락합니다. | 논리적 에어 갭 저장소에 대한 액세스는 동일한 AWS 조직 내 또는 조직 전체에서 Organizations가 지원하는 승인 팀을 통해 이루어집니다. 액세스 권한은 수신 계정이 먼저 액세스를 요청하는 '풀' 모델에 따라 부여되며, 승인 팀은 요청을 부여하거나 거부합니다. |
# 요청자 작업
## 다자간 승인 팀을 논리적 에어 갭 저장소와 연결
요청자: **논리적 에어 갭 저장소를 소유한 계정에 액세스할 수 있는 사용자**입니다.
다자간 승인 팀을 논리적 에어 갭 저장소와 연결하여 저장소에 대한 액세스를 공동 승인할 수 있습니다([개요](multipartyapproval.md#multipartyapproval-overview)의 5단계).
------
#### [ Console ]
**다자간 승인 팀을 논리적 에어 갭 저장소와 연결**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **백업 저장소** 섹션으로 이동합니다.
1. MPA 팀과 연결할 논리적 에어 갭 백업 저장소를 선택합니다.
1. **저장소 세부 정보** 페이지에서 **승인 팀 할당**을 선택합니다.
1. 드롭다운 메뉴에서 저장소와 연결할 승인 팀을 선택합니다.
1. *선택 사항* 연결 이유를 설명하는 설명을 입력합니다.
1. **요청 전송**을 선택하여 연결 요청을 제출합니다.
저장소와 연결할 첫 번째 승인 팀인 경우 팀은 저장소와 연결됩니다. 저장소에 이미 연결된 팀이 있는 경우 단계는 [다자간 승인 팀 업데이트](#update-multpartyapproval-team)를 참조하세요.
------
#### [ CLI ]
다음 파라미터를 통해 수정한 `associate-backup-vault-mpa-approval-team` CLI 명령을 사용합니다.
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
저장소와 연결할 첫 번째 승인 팀인 경우 팀은 저장소와 연결됩니다. 저장소에 이미 연결된 팀이 있는 경우 단계는 [다자간 승인 팀 업데이트](#update-multpartyapproval-team)를 참조하세요.
------
## 논리적 에어 갭 저장소에 대한 액세스 요청
요청자: **복구 계정에 액세스할 수 있는 사용자**입니다.
다른 계정의 논리적 에어 갭 저장소에 대한 액세스를 요청할 수 있습니다([개요](multipartyapproval.md#multipartyapproval-overview)의 6단계).
승인 팀이 요청을 부여한 후는 지정된 복구 계정에 복원 액세스 백업 저장소를 AWS Backup 생성하여 계정이 연결된 논리적 에어 갭 저장소의 복구 시점에 액세스할 수 있도록 합니다.
------
#### [ Console ]
**논리적 에어 갭 저장소에 대한 액세스 요청**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **백업 저장소** 섹션으로 이동
1. **MPA를 통해 액세스할 수 있는 저장소** 탭 선택
1. **저장소 액세스 요청**을 선택합니다.
1. 액세스하려는 논리적 에어 갭 저장소의 소스 백업 저장소 ARN을 입력합니다.
1. 복원 액세스 백업 저장소의 선택적 이름을 입력합니다. 이름을 입력하지 않으면 AWS Backup 는 논리적 에어 갭 저장소의 이름을 기반으로 이름을 할당합니다.
1. 액세스 요청의 이유를 설명하는 선택적 요청자 설명을 입력합니다.
1. **요청 전송**을 선택하여 액세스 요청을 제출합니다.
소스 저장소와 연결된 승인 팀원은 요청을 승인하라는 이메일 알림을 받게 됩니다.
필요한 팀원 수("임곗값")가 요청을 승인하면 복구 계정에 복원 액세스 백업 저장소가 생성됩니다.
------
#### [ CLI ]
`create-restore-access-backup-vault` CLI 명령을 사용합니다.
```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
소스 저장소와 연결된 MPA 승인 팀원은 요청을 승인하라는 알림을 받게 됩니다. 필요한 팀원 수("임곗값")가 요청을 승인하면 복구 계정에 복원 액세스 백업 저장소가 생성됩니다.
다음을 사용하여 저장소 상태를 확인할 수 있습니다.
```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```
------
## 논리적 에어 갭 저장소에서 다자간 승인 팀 연결 해제
요청자: **논리적 에어 갭 저장소를 소유한 계정의 관리자**입니다.
논리적 에어 갭 저장소에서 다자간 승인 팀의 연결을 해제할 수 있습니다([개요](multipartyapproval.md#multipartyapproval-overview)의 7단계).
------
#### [ Console ]
**논리적 에어 갭 저장소에서 승인 팀 연결 해제**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **백업 저장소** 섹션으로 이동합니다.
1. 승인 팀의 연결을 해제하려는 논리적 에어 갭 백업 저장소를 선택합니다.
1. **저장소 세부 정보** 페이지에서 **승인 팀 연결 해제**를 선택합니다.
1. 연결 해제 이유를 설명하는 선택적 요청자 설명을 입력합니다.
1. **요청 전송**을 선택하여 연결 해제 요청을 제출합니다.
현재 승인 팀원은 요청을 승인하라는 알림을 받게 됩니다.
필요한 수의 팀원이 승인하면 팀이 저장소에서 연결 해제됩니다.
------
#### [ CLI ]
`disassociate-backup-vault-mpa-approval-team` CLI 명령을 사용합니다.
```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
현재 MPA 승인 팀원은 요청을 승인하라는 알림을 받게 됩니다. 필요한 수의 팀원이 승인하면 팀이 저장소에서 연결 해제됩니다.
------
## 복원 액세스 백업 저장소 취소
요청자: **논리적 에어 갭 저장소를 소유한 계정의 관리자**입니다.
소스 저장소 계정에서 복원 액세스 백업 저장소에 대한 액세스를 취소할 수 있습니다.
------
#### [ Console ]
**복원 액세스 백업 저장소 취소**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **백업 저장소** 섹션으로 이동합니다.
1. 액세스를 취소하려는 논리적 에어 갭 백업 저장소를 선택합니다.
1. **저장소 세부 정보** 페이지에서 아래로 스크롤하여 **다자간 승인을 통한 액세스** 섹션으로 이동합니다.
1. 취소하려는 복원 액세스 백업 저장소를 찾은 다음 **요청을 선택하여 저장소 액세스를 제거합니다**.
1. 취소 이유를 설명하는 선택적 요청자 설명을 입력합니다.
1. **요청 전송**을 선택하여 해지 요청을 제출합니다.
승인 팀원은 요청을 승인하라는 알림을 받게 됩니다.
필요한 수의 팀원이 승인하면 복원 액세스 백업 저장소가 복구 계정에서 삭제됩니다
------
#### [ CLI ]
먼저 소스 저장소와 연결된 복원 액세스 백업 저장소를 나열합니다.
```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```
그런 다음 CLI 명령 `revoke-restore-access-backup-vault`을 사용합니다.
```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
승인 팀원은 요청을 승인하라는 알림을 받게 됩니다. 필요한 수의 팀원이 승인하면 복원 액세스 백업 저장소가 복구 계정에서 삭제됩니다.
------
## 논리적 에어 갭 저장소와 연결된 다자간 승인 팀 업데이트
요청자: **논리적 에어 갭 저장소를 소유한 계정의 관리자**입니다.
논리적 에어 갭 저장소와 연결된 다자간 승인 팀을 업데이트할 수 있습니다([개요](multipartyapproval.md#multipartyapproval-overview)의 8단계).
------
#### [ Console ]
**논리적 에어 갭 저장소와 연결된 승인 팀 업데이트**
1. [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) AWS Backup 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **백업 저장소** 섹션으로 이동합니다.
1. 승인 팀을 업데이트하려는 논리적 에어 갭 백업 저장소를 선택합니다.
1. 저장소 세부 정보 페이지에서 **승인 팀 변경 요청**을 선택합니다.
1. 드롭다운 메뉴에서 저장소와 연결할 새 승인 팀을 선택합니다.
1. 변경 이유를 설명하는 선택적 요청자 설명을 입력합니다.
1. **요청 전송**을 선택하여 변경 요청을 제출합니다.
현재 승인 팀원은 요청을 승인하라는 이메일 알림을 받게 됩니다.
현재 MPA 팀에서 필요한 수의 팀원(임곗값)이 승인하면 새 팀이 저장소와 연결됩니다.
------
#### [ CLI ]
CLI 명령 `associate-backup-vault-mpa-approval-team`을 새 팀 ARN과 함께 사용합니다.
```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```
현재 승인 팀원은 요청을 승인하라는 알림을 받게 됩니다. 현재 팀에서 필요한 수의 팀원(임곗값)이 승인하면 새 MPA 팀이 저장소와 연결됩니다.
------
# 승인자 작업
다자간 승인 팀의 구성원인 사용자는 세션의 일부인 [요청을 승인하거나 거부할](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html) 수 있습니다. 다른 작업은 다음과 같습니다.
+ [요청된 작업에 응답](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [승인 팀 보기](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [작업 기록 보기](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)