As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Tarefas do administrador
<a name="multipartyapproval-tasks-administrator"></a>

Várias tarefas envolvendo AWS Backup uma visão geral de várias partes exigiam um usuário com permissões de administrador e acesso à conta de gerenciamento.

## Criar uma regra de aprovação
<a name="create-multipartyapproval-team"></a>

Um usuário da sua organização com permissões de administrador para uma AWS conta precisa [configurar a aprovação multipartidária](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (etapa 3 na [Visão geral](multipartyapproval.md#multipartyapproval-overview)).

Antes de realizar essa etapa, é recomendável que você tenha uma organização primária e uma organização secundária (para fins de recuperação) configuradas por meio do AWS Organizations (etapa 1) da [Visão geral](multipartyapproval.md#multipartyapproval-overview).

Consulte [Criar uma equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) no *Guia do usuário da aprovação multilateral* para criar sua equipe.

Durante a operação [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html), um dos parâmetros é `policies`. Esta é uma lista de ARNs (Amazon Resource Names) para políticas de recursos de aprovação multipartidária que definem permissões que protegem a equipe.

A política mostrada no exemplo do *Guia do usuário da aprovação multilateral* no procedimento [Criar uma equipe de aprovação](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) contém a política `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` com várias permissões necessárias. 

Siga estas etapas para exibir uma lista das políticas disponíveis usando `mpa list-policies`:

1. Listar políticas: 

   ```
   aws mpa list-policies --region us-east-1
   ```

1. Listar todas as versões da política: 

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. Consultar detalhes sobre uma política: 

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

Expanda o conteúdo abaixo para ver a política que será criada e anexada à sua equipe de aprovação por essa operação:

### Restaurar a política do cofre de acesso
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## Compartilhe uma equipe de aprovação multipartidária usando AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

Você pode compartilhar uma equipe de aprovação multipartidária com outras AWS contas usando [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), etapa 4 na [visão geral](multipartyapproval.md#multipartyapproval-overview).

------
#### [ Console ]

**Compartilhe uma equipe de aprovação multipartidária usando AWS RAM**

1. Faça login no [console do AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1).

1. No painel de navegação, escolha **Compartilhamentos de recursos**.

1. Escolha **Criar compartilhamento de recursos**.

1. No campo **Nome**, insira um nome descritivo para o compartilhamento de recursos.

1. Em **Tipo de recurso**, selecione **Equipe de aprovação multilateral** no menu suspenso.

1. Em **Recursos**, selecione a equipe de aprovação que você deseja compartilhar.

1. Em **Diretores**, especifique as AWS contas com as quais você deseja compartilhar a equipe de aprovação.

1. Para compartilhar com AWS contas específicas, selecione **AWS contas** e insira a conta de 12 dígitos. IDs

1. Para compartilhar com uma organização ou unidade organizacional, selecione **Organização** ou **Unidade organizacional** e insira o ID apropriado.

1. (*Opcional*) Em **Tags**, adicione as tags que você deseja associar a esse compartilhamento de recursos.

1. Escolha **Criar compartilhamento de recursos**.

O status do compartilhamento de recursos será exibido inicialmente como `PENDING`. Depois que as contas dos destinatários aceitarem o convite, o status mudará para `ACTIVE`.

------
#### [ CLI ]

Para compartilhar uma equipe de aprovação multipartidária AWS RAM usando a CLI, use os seguintes comandos:

Primeiro, identifique o ARN da equipe de aprovação que você deseja compartilhar:

```
aws mpa list-approval-teams --region us-east-1
```

Crie um compartilhamento de recursos usando o create-resource-share comando:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

Para compartilhar com uma organização em vez de contas específicas:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

Verifique o status do compartilhamento de recursos:

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

As contas dos destinatários precisarão aceitar o convite para o compartilhamento de recursos:

```
aws ram get-resource-share-invitations --region us-east-1
```

Execute na conta do destinatário para aceitar um convite:

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

Depois que o convite é aceito, a equipe de aprovação multilateral fica disponível para uso na conta do destinatário.

------

AWS oferece ferramentas para compartilhar o acesso à conta, incluindo [acesso direto [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)e multipartidário](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Ao optar por compartilhar um cofre logicamente isolado com outra conta, considere os seguintes detalhes:


| Recurso | AWS RAM compartilhamento baseado | Acesso com base na aprovação multilateral | 
| --- | --- | --- | 
| Acesso a cofres logicamente isolados | Quando o compartilhamento do RAM é concluído, os cofres podem ser acessados. | Qualquer tentativa de acesso por parte de uma conta diferente deve ser aprovada por um número mínimo de membros da equipe de aprovação multilateral. A sessão de aprovação expira automaticamente 24 horas após o início da solicitação. | 
| Remoção de acesso | A conta proprietária do cofre logicamente isolado pode encerrar o compartilhamento baseado no RAM a qualquer momento. | O acesso a um cofre só pode ser removido por meio de uma solicitação à equipe de aprovação multilateral. | 
| Copiar entre contas e and/or regiões | Sem suporte no momento. | Os backups podem ser copiados na mesma conta ou em outras contas na mesma organização da conta de recuperação. | 
| Faturamento por transferência entre regiões |  | As transferências entre regiões são cobradas na mesma conta proprietária do cofre de backup de acesso à restauração. | 
| Uso recomendado | O uso principal é para recuperação de perda de dados e testes de restauração. | O uso principal é para situações em que se suspeita que o acesso ou a segurança da conta tenham sido comprometidos. | 
| Regiões | Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados. | Disponível em todos os Regiões da AWS lugares onde há suporte para cofres logicamente isolados. | 
| Restaura | Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada. | Todos os tipos de recursos compatíveis podem ser restaurados em uma conta compartilhada. | 
| Configuração | O compartilhamento pode ocorrer assim que a AWS Backup conta configurar o compartilhamento de RAM e a conta receptora aceitar o compartilhamento. | O compartilhamento exige que a conta gerencial primeiro crie uma equipe e, depois, configure o compartilhamento do RAM. Em seguida, a conta gerencial opta pela aprovação multilateral e atribui essa equipe a um cofre logicamente isolado. | 
| Compartilhamento |  O compartilhamento é feito por meio da RAM dentro AWS da mesma organização ou entre AWS organizações. O acesso é concedido de acordo com o modelo “push”, no qual a conta proprietária do cofre logicamente isolado concede acesso. Depois, a outra conta aceita o acesso.  |  O acesso a um cofre logicamente isolado é feito por meio de equipes de aprovação apoiadas pela Organizations dentro da AWS mesma organização ou entre organizações. O acesso é concedido de acordo com o modelo “pull”, em que a conta receptora primeiro solicita o acesso e, depois, a equipe de aprovação concede ou nega a solicitação.  |