本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理员任务
<a name="multipartyapproval-tasks-administrator"></a>

一些涉及 AWS Backup 和多方概述的任务需要具有管理员权限和管理账户访问权限的用户。

## 创建审批团队
<a name="create-multipartyapproval-team"></a>

贵组织中拥有 AWS 账户管理员权限的用户需要[设置多方批准](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)（[概述](multipartyapproval.md#multipartyapproval-overview)中的步骤 3）。

在执行此步骤之前，建议的最佳实践是通过 AWS Organizations 设置主组织和辅助组织（用于恢复目的）（[概述](multipartyapproval.md#multipartyapproval-overview)中的第 1 步）。

要创建团队，请参阅《多方审批用户指南》**中的[创建审批团队](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)。

在 [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html) 操作过程中，其中一个参数是 `policies`。这是多方批准资源策略的 ARNs （Amazon 资源名称）列表，这些策略定义了保护团队的权限。

《多方审批用户指南》**中的[创建审批团队](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)步骤中的示例显示的策略包含具有多个必要权限的策略 `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]`。

按照以下步骤使用 `mpa list-policies` 返回可用策略列表：

1. 列出策略：

   ```
   aws mpa list-policies --region us-east-1
   ```

1. 列出所有策略版本：

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. 获取有关策略的详细信息：

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

展开下方，查看此操作将创建并附加到审批团队的策略：

### 恢复访问权限保管库策略
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## 使用共享多方审批团队 AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

您可以使用 [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) [概述](multipartyapproval.md#multipartyapproval-overview)中的步骤 4 与其他 AWS 账户共享多方审批团队。

------
#### [ Console ]

**使用共享多方审批团队 AWS RAM**

1. 登录 [AWS RAM 控制台](https://console.aws.amazon.com/ram/home?region=us-east-1)。

1. 在导航窗格中，选择**资源共享**。

1. 选择**创建资源共享**。

1. 对于**名称**字段，输入资源共享的描述性名称。

1. 在**资源类型**下，从下拉菜单中选择**多方审批团队**。

1. 在**资源**下，选择要共享的审批团队。

1. 在 “**委托人**” 下，指定要与之共享审批团队的 AWS 账户。

1. 要与特定 AWS 账户共享，请选择**AWS 账户**并输入 12 位数的账户 IDs。

1. 要与组织或组织单元共享，请选择**组织**或**组织单元**并输入相应的 ID。

1. （*可选*）在**标签**下，添加要与此资源共享关联的所有标签。

1. 选择**创建资源共享**。

资源共享状态最初将显示为 `PENDING`。接收方账户接受邀请后，状态将更改为 `ACTIVE`。

------
#### [ CLI ]

要 AWS RAM 通过 CLI 共享多方审批团队，请使用以下命令：

首先，确定要共享的审批团队的 ARN：

```
aws mpa list-approval-teams --region us-east-1
```

使用 create-resource-share以下命令创建资源共享：

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

要与组织而不是特定账户共享，请执行以下操作：

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

检查资源共享的状态：

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

接收方账户需要接受资源共享邀请：

```
aws ram get-resource-share-invitations --region us-east-1
```

在接收方账户中运行以接受邀请：

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

接受邀请后，多方审批团队即可在接收方账户中使用。

------

AWS 提供共享账户访问权限的工具，包括通过[AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)和[多方访问权限](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html)。当您选择与其他账户共享逻辑上受物理隔离的保管库时，请考虑以下细节：


| 功能 | AWS RAM 基于共享 | 基于多方审批的访问 | 
| --- | --- | --- | 
| 访问逻辑上受物理隔离的保管库 | RAM 共享完成后，便可以访问保管库。 | 其他账户的任何尝试都必须获得一定数量的多方审批团队成员的批准。审批会话将在请求启动 24 小时后自动过期。 | 
| 访问权限移除 | 拥有逻辑上受物理隔离的保管库的账户可以随时结束基于 RAM 的共享。 | 要移除对保管库的访问权限，唯一的方法是向多方审批团队发送请求。 | 
| 跨账户复制 and/or 区域 | 当前不支持。 | 可以在与恢复账户相同的账户或相同的组织中的其他账户中复制备份。 | 
| 跨区域传输账单 |  | 亚马逊向拥有恢复访问权限备份保管库的同一账户开具跨区域传输账单。 | 
| 建议用途 | 主要用于数据丢失恢复和还原测试。 | 主要用于怀疑账户访问权限或安全性受到威胁的情况。 | 
| 区域 | 适用于所有支持逻辑气隙保管库 AWS 区域 的地方。 | 适用于所有支持逻辑气隙保管库 AWS 区域 的地方。 | 
| 恢复 | 所有支持的资源类型都可以从共享账户中还原。 | 所有支持的资源类型都可以从共享账户中还原。 | 
| 设置 | 只要 AWS Backup 账户设置了 RAM 共享并且接收账户接受共享，就可以进行共享。 | 要进行共享，需要管理账户先创建团队，然后设置 RAM 共享。然后，管理账户选择加入多方审批，并将该团队分配到逻辑上受物理隔离的保管库。 | 
| 共享 |  共享是通过 RAM 在同一个 AWS 组织内或跨 AWS 组织完成的。 访问权限是根据“推送”模型授予的，即拥有逻辑上受物理隔离的保管库的账户先授予访问权限。然后，其他账户接受访问权限。  |  通过同一 AWS 组织内或跨组织的 Organizations 支持的审批团队可以访问逻辑上空隙的保管库。 访问权限是根据“拉取”模型授予的，即接收账户先请求访问权限，然后审批团队批准或拒绝请求。  |