本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 逻辑上受物理隔离的保管库的多方审批
<a name="multipartyapproval"></a>



## 逻辑上受物理隔离的保管库中的多方审批概述
<a name="multipartyapproval-overview"></a>

AWS Backup 为您提供向逻辑隔绝的保管库添加[多方批准](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)的选项，该功能来自于 AWS Organizations逻辑隔绝的保管库。多方审批提供一个额外的选项，可通过分布式审批流程帮助保护关键操作。

多方审批旨在帮助保护关键资源，并最大限度地缩短恢复全面运行的时间，例如恶意行为者或恶意软件事件造成的中断。此设置可以帮助您还原可能已被损坏的逻辑上受物理隔离的保管库中的内容。

集成和结合使用多方审批团队与 AWS Backup 逻辑上受物理隔离的保管库无需支付额外费用（如[定价](https://aws.amazon.com/backup/pricing)页面所示，亚马逊将收取存储和跨区域传输费用）。

作为 AWS Backup 客户，您可以使用多方批准将某些操作的批准权限授予一组受信任的个人，如果怀疑存在可能影响主账户使用的恶意活动，他们可以协作批准从单独创建的恢复账户访问逻辑上空隙的保管库。

以下步骤概述了设置恢复 AWS 组织，设置多方审批，然后结合使用多方审批和逻辑上受物理隔离的保管库的建议流程：

1. 管理员[通过 Organizations 创建一个新组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)用于执行恢复操作。

1. 在这个新组织的管理账户中，管理员创建并配置一个 IAM Identity Center（IDC）实例（要启用组织实例，请参阅《IAM Identity Center 用户指南》**中的[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)）。另请参阅《多方审批用户指南》**中的[创建多方审批身份源](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)，了解操作顺序。

1. 然后，管理员将[创建一个审批团队](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html)，这个核心小组由可信任的个人组成，他们将是多方审批的主要用户。

1. 管理员使用 AWS RAM 与每个拥有逻辑上隔绝的保管库的账户以及需要请求访问该保管库的恢复账户[共享一个审批小组](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

1. 逻辑上存在气隙的保管库拥有账户的管理员[将该文件库与审批小组关联起来](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)。

1. 恢复账户[请求访问](multipartyapproval-tasks-requester.md#create-restore-access-vault)一个账户，该账户的逻辑上受物理隔离的保管库与多方审批团队（简称“团队”）相关联。与该账户关联的团队[批准或拒绝请求](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html)。

1. 拥有逻辑上受物理隔离的保管库的账户的管理员可以请求[取消审批团队与保管库的关联](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)。请求需要当前团队的批准。

1. 管理员可以在必要时根据其安全实践或者在人员加入或离开组织时[更新审批团队成员资格](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html)。

## 结合使用多方审批和逻辑上受物理隔离的保管库的先决条件和最佳实践
<a name="multipartyapproval-prerequisites"></a>

您需要具备先决条件并遵循建议的最佳实践，才能有效且安全地结合使用多方审批和逻辑上受物理隔离的保管库。

**最佳实践：**
+ 通过 Organizations 创建两个（或更多） AWS 组织。一个应该是主组织，在这个组织中，您的一个或多个账户拥有至少一个逻辑上受物理隔离的保管库。辅助组织应该是恢复组织。多方审批团队将在这个组织中进行管理。

**先决条件**

1. 您已[设置多方审批](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)，并且拥有至少一个审批团队。

1. 主组织中至少有一个账户必须拥有逻辑上受物理隔离的保管库（以及原始备份保管库）。

1. 主组织中的管理账户可以选择加入多方审批。
**提示**  
AWS Backup 建议您将服务控制策略 (SCP) 应用于您的主要组织，并使用该组织和每个审批小组的相应权限对其进行配置。有关示例策略，请参阅[多方审批术语](#multipartyapproval-terms)部分。

1. 辅助（恢复）组织中的多方审批团队与拥有逻辑上受物理隔离的保管库的账户和恢复账户[通过 AWS RAM共享](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

## 使用多方审批时的跨区域注意事项和依赖项
<a name="multipartyapproval-cross-region"></a>

当您在不同的区域中启用多方审批和 IAM Identity Center 实例时，多方审批会跨区域调用 IAM Identity Center。这意味着用户和组信息会跨区域移动。多方审批团队资源只能 AWS 区域 在美国东部（弗吉尼亚北部）创建和存储。

其他 AWS 区域 参考多方审批团队资源的内容将取决于 AWS 区域 美国东部（弗吉尼亚北部）。因此，如果您的 Identity Center 实例 and/or 逻辑上存在空隙的保管库不在美国东部（弗吉尼亚北部），则多方批准将进行跨区域调用。

## 多方审批术语、概念和用户角色
<a name="multipartyapproval-terms"></a>

逻辑上隔绝的保管库中的多方批准是 AWS Organizations AWS 账户管理 AWS Backup、和以及 AWS Identity and Access Management (IAM) 和 AWS RAM (RAM) 功能的集成。通过 CLI，您可以与每项服务交互以发送相应的命令。您也可以使用控制台，但需要导航到相应服务的控制台才能完成特定任务。

您与多方批准的互动方式取决于您在组织中的角色和职责，以及您在 AWS Backup 账户中拥有的权限。

如[《多方审批用户指南》](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)中所示，组织中使用多方审批的成员可以是***请求者***、***管理员***或***审批者***。特定权限应用于各项[工作职能](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html)。根据安全最佳实践，用户只能履行一项工作职能。

 **控制台、门户和会话** 

AWS Backup 拥有一个或多个逻辑空隙文件库的账户可以使用多方批准。

在多方批准流程之前，管理员会利用创建用于恢复目的的辅助组织（**恢复组织**）（前 AWS Organizations 提是之前尚未建立此类组织）。

然后，管理员利用 AWS Resource Access Manager (RAM) 在主组织和恢复组织之间建立跨组织共享。

**主组织**包含拥有并使用逻辑上受物理隔离的保管库（用于存储受保护的数据）的账户。

恢复组织包含至少一个**恢复账户**。该账户具有一个接入点，该接入点可以作为共享逻辑上受物理隔离的保管库的关键“后门”。该接入点称为**恢复访问权限备份保管库**。此访问权限保管库不存储数据，而是充当接入点或挂载点，用于针对源逻辑上受物理隔离的保管库的内容执行镜像操作，但不包含可以更改或删除的数据。例如，如果客户在恢复访问权限备份保管库中执行恢复点的还原过程，则逻辑上受物理隔离的保管库中的恢复点将通过恢复账户利用跨账户还原进行还原。

为了确保获得额外的安全保护，客户使用此恢复账户在主账户中执行受保护的操作，但前提是这些操作获得了[审批会话中的关联审批团队](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources)的批准。会话是在批准请求发送 AWS 后创建的，当批准团队成员达到批准或拒绝请求的阈值或允许的会话时间过后，该会话就会结束。

团队由**审批者**（实际上是多方审批的*各方*部分）组成，他们会收到有关受保护操作请求的电子邮件通知。这些电子邮件确认针对请求的审批会话已开始。一旦达到规定的所需最低批准人数，便会获得批准。可以在创建**多方审批团队**（简称“团队”）时设置此规定人数。

多方审批团队通过 Organizations **多方审批门户**（“门户”） AWS 进行管理，该门户是一个托管应用程序，为身份提供一个集中的位置，审批团队成员可以在那里接收和回复审批小组的邀请和操作请求。

# 管理员任务
<a name="multipartyapproval-tasks-administrator"></a>

一些涉及 AWS Backup 和多方概述的任务需要具有管理员权限和管理账户访问权限的用户。

## 创建审批团队
<a name="create-multipartyapproval-team"></a>

贵组织中拥有 AWS 账户管理员权限的用户需要[设置多方批准](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)（[概述](multipartyapproval.md#multipartyapproval-overview)中的步骤 3）。

在执行此步骤之前，建议的最佳实践是通过 AWS Organizations 设置主组织和辅助组织（用于恢复目的）（[概述](multipartyapproval.md#multipartyapproval-overview)中的第 1 步）。

要创建团队，请参阅《多方审批用户指南》**中的[创建审批团队](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)。

在 [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html) 操作过程中，其中一个参数是 `policies`。这是多方批准资源策略的 ARNs （Amazon 资源名称）列表，这些策略定义了保护团队的权限。

《多方审批用户指南》**中的[创建审批团队](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)步骤中的示例显示的策略包含具有多个必要权限的策略 `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]`。

按照以下步骤使用 `mpa list-policies` 返回可用策略列表：

1. 列出策略：

   ```
   aws mpa list-policies --region us-east-1
   ```

1. 列出所有策略版本：

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. 获取有关策略的详细信息：

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

展开下方，查看此操作将创建并附加到审批团队的策略：

### 恢复访问权限保管库策略
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## 使用共享多方审批团队 AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

您可以使用 [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) [概述](multipartyapproval.md#multipartyapproval-overview)中的步骤 4 与其他 AWS 账户共享多方审批团队。

------
#### [ Console ]

**使用共享多方审批团队 AWS RAM**

1. 登录 [AWS RAM 控制台](https://console.aws.amazon.com/ram/home?region=us-east-1)。

1. 在导航窗格中，选择**资源共享**。

1. 选择**创建资源共享**。

1. 对于**名称**字段，输入资源共享的描述性名称。

1. 在**资源类型**下，从下拉菜单中选择**多方审批团队**。

1. 在**资源**下，选择要共享的审批团队。

1. 在 “**委托人**” 下，指定要与之共享审批团队的 AWS 账户。

1. 要与特定 AWS 账户共享，请选择**AWS 账户**并输入 12 位数的账户 IDs。

1. 要与组织或组织单元共享，请选择**组织**或**组织单元**并输入相应的 ID。

1. （*可选*）在**标签**下，添加要与此资源共享关联的所有标签。

1. 选择**创建资源共享**。

资源共享状态最初将显示为 `PENDING`。接收方账户接受邀请后，状态将更改为 `ACTIVE`。

------
#### [ CLI ]

要 AWS RAM 通过 CLI 共享多方审批团队，请使用以下命令：

首先，确定要共享的审批团队的 ARN：

```
aws mpa list-approval-teams --region us-east-1
```

使用 create-resource-share以下命令创建资源共享：

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

要与组织而不是特定账户共享，请执行以下操作：

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

检查资源共享的状态：

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

接收方账户需要接受资源共享邀请：

```
aws ram get-resource-share-invitations --region us-east-1
```

在接收方账户中运行以接受邀请：

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

接受邀请后，多方审批团队即可在接收方账户中使用。

------

AWS 提供共享账户访问权限的工具，包括通过[AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)和[多方访问权限](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html)。当您选择与其他账户共享逻辑上受物理隔离的保管库时，请考虑以下细节：


| 功能 | AWS RAM 基于共享 | 基于多方审批的访问 | 
| --- | --- | --- | 
| 访问逻辑上受物理隔离的保管库 | RAM 共享完成后，便可以访问保管库。 | 其他账户的任何尝试都必须获得一定数量的多方审批团队成员的批准。审批会话将在请求启动 24 小时后自动过期。 | 
| 访问权限移除 | 拥有逻辑上受物理隔离的保管库的账户可以随时结束基于 RAM 的共享。 | 要移除对保管库的访问权限，唯一的方法是向多方审批团队发送请求。 | 
| 跨账户复制 and/or 区域 | 当前不支持。 | 可以在与恢复账户相同的账户或相同的组织中的其他账户中复制备份。 | 
| 跨区域传输账单 |  | 亚马逊向拥有恢复访问权限备份保管库的同一账户开具跨区域传输账单。 | 
| 建议用途 | 主要用于数据丢失恢复和还原测试。 | 主要用于怀疑账户访问权限或安全性受到威胁的情况。 | 
| 区域 | 适用于所有支持逻辑气隙保管库 AWS 区域 的地方。 | 适用于所有支持逻辑气隙保管库 AWS 区域 的地方。 | 
| 恢复 | 所有支持的资源类型都可以从共享账户中还原。 | 所有支持的资源类型都可以从共享账户中还原。 | 
| 设置 | 只要 AWS Backup 账户设置了 RAM 共享并且接收账户接受共享，就可以进行共享。 | 要进行共享，需要管理账户先创建团队，然后设置 RAM 共享。然后，管理账户选择加入多方审批，并将该团队分配到逻辑上受物理隔离的保管库。 | 
| 共享 |  共享是通过 RAM 在同一个 AWS 组织内或跨 AWS 组织完成的。 访问权限是根据“推送”模型授予的，即拥有逻辑上受物理隔离的保管库的账户先授予访问权限。然后，其他账户接受访问权限。  |  通过同一 AWS 组织内或跨组织的 Organizations 支持的审批团队可以访问逻辑上空隙的保管库。 访问权限是根据“拉取”模型授予的，即接收账户先请求访问权限，然后审批团队批准或拒绝请求。  | 

# 请求者任务
<a name="multipartyapproval-tasks-requester"></a>

## 将多方审批团队与逻辑上隔绝的保管库关联起来
<a name="associate-multipartyapproval-team"></a>

请求者：**有权访问拥有逻辑上受物理隔离的保管库的账户的用户**。

您可以将多方审批团队与逻辑上受物理隔离的保管库关联起来，以针对访问保管库的操作启用协作审批流程（[概述](multipartyapproval.md#multipartyapproval-overview)中的第 5 步）。

------
#### [ Console ]

**将多方审批团队与逻辑上隔绝的保管库关联起来**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在左侧导航窗格中，导航到**备份保管库**部分。

1. 选择要与 MPA 团队关联的逻辑上受物理隔离的备份保管库。

1. 在**保管库详细信息**页面上，选择**分配审批团队**。

1. 从下拉菜单中，选择要与保管库关联的审批团队

1. （*可选*）输入解释关联原因的备注。

1. 选择**发送请求**以提交关联请求。

如果这是第一个与保管库关联的审批团队，该团队将与保管库关联。如果保管库已有关联的团队，请参阅[更新多方审批团队](#update-multpartyapproval-team)了解相关步骤。

------
#### [ CLI ]

使用 CLI 命令 `associate-backup-vault-mpa-approval-team`，该命令用以下参数进行了修改：

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

如果这是第一个与保管库关联的审批团队，该团队将与保管库关联。如果保管库已有关联的团队，请参阅[更新多方审批团队](#update-multpartyapproval-team)了解相关步骤。

------

## 请求访问逻辑上受物理隔离的保管库
<a name="create-restore-access-vault"></a>

请求者：**有权访问恢复账户的用户**。

您可以请求在其他账户中访问逻辑上受物理隔离的保管库（[概述](multipartyapproval.md#multipartyapproval-overview)中的第 6 步）。

审批小组批准请求后，在您指定的恢复账户中 AWS Backup 创建一个还原访问备份保管库，以便该账户可以访问连接的逻辑空隙保管库中的恢复点。

------
#### [ Console ]

**请求访问逻辑上受物理隔离的保管库**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在左侧导航窗格中，导航到**备份保管库**部分

1. 选择**可通过 MPA 访问的保管库**选项卡

1. 选择**申请保管库访问权限**。

1. 输入要访问的逻辑上受物理隔离的保管库的源备份保管库 ARN。

1. 输入恢复访问权限备份保管库的可选名称。如果您不输入名称，则 AWS Backup 将根据逻辑上存在空气间隙的保管库的名称分配一个名称。

1. 输入解释请求访问权限原因的请求者备注，此操作是可选的。

1. 选择**发送请求**以提交访问权限请求。

与源保管库关联的审批团队成员将收到有关批准请求的电子邮件通知。

请求获得所需数量（“规定人数”）的团队成员的批准后，系统将在恢复账户中创建恢复访问权限备份保管库。

------
#### [ CLI ]

使用 `create-restore-access-backup-vault` CLI 命令：

```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

与源保管库关联的 MPA 审批团队成员将收到有关批准请求的通知。请求获得所需数量（“规定人数”）的团队成员的批准后，系统将在恢复账户中创建恢复访问权限备份保管库。

您也可以使用以下方法查看保管库的状态：

```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```

------

## 取消多方审批团队与逻辑上受物理隔离的保管库的关联
<a name="disassociate-multipartyapproval-team"></a>

请求者：**拥有逻辑上受物理隔离的保管库的账户的管理员**。

您可以取消多方审批团队与逻辑上受物理隔离的保管库的关联（[概述](multipartyapproval.md#multipartyapproval-overview)中的第 7 步）。

------
#### [ Console ]

**取消审批团队与逻辑上隔绝的保管库的关联**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在左侧导航窗格中，导航到**备份保管库**部分。

1. 选择要取消与审批团队关联的逻辑上受物理隔离的备份保管库。

1. 在**保管库详细信息**页面上，选择**取消关联审批团队**。

1. 输入解释取消关联原因的请求者备注，此操作是可选的。

1. 选择**发送请求**以提交取消关联请求。

当前的审批团队成员将收到有关批准请求的通知。

获得所需数量的团队成员的批准后，系统将取消审批团队与保管库的关联。

------
#### [ CLI ]

使用 `disassociate-backup-vault-mpa-approval-team` CLI 命令：

```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

当前的 MPA 审批团队成员将收到有关批准请求的通知。获得所需数量的团队成员的批准后，系统将取消审批团队与保管库的关联。

------

## 撤消恢复访问权限备份保管库
<a name="revoke-restore-access-vault"></a>

请求者：**拥有逻辑上受物理隔离的保管库的账户的管理员**。

您可以从源保管库账户撤消对恢复访问权限备份保管库的访问权限。

------
#### [ Console ]

**撤消恢复访问权限备份保管库**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在左侧导航窗格中，导航到**备份保管库**部分。

1. 选择要撤消访问权限的逻辑上受物理隔离的备份保管库。

1. 在**保管库详细信息**页面上，向下滚动至**通过多方审批进行访问**部分。

1. 找到要撤消的恢复访问权限备份保管库，然后选择**请求移除保管库访问权限**。

1. 输入解释撤消原因的请求者备注，此操作是可选的。

1. 选择**发送请求**以提交撤消请求。

审批团队成员将收到有关批准请求的通知。

获得所需数量的团队成员的批准后，系统将从恢复账户中删除恢复访问权限备份保管库。

------
#### [ CLI ]

首先，列出与源保管库关联的恢复访问权限备份存储库：

```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```

然后，使用 CLI 命令 `revoke-restore-access-backup-vault`：

```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

审批团队成员将收到有关批准请求的通知。获得所需数量的团队成员的批准后，系统将从恢复账户中删除恢复访问权限备份保管库。

------

## 更新与逻辑上隔绝的保管库关联的多方审批团队
<a name="update-multpartyapproval-team"></a>

请求者：**拥有逻辑上受物理隔离的保管库的账户的管理员**。

您可以更新与逻辑上受物理隔离的保管库关联的多方审批团队（[概述](multipartyapproval.md#multipartyapproval-overview)中的第 8 步）。

------
#### [ Console ]

**更新与逻辑上受物理隔离的保管库关联的审批团队**

1. 在 [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 上打开 AWS Backup 控制台。

1. 在左侧导航窗格中，导航到**备份保管库**部分。

1. 选择要更新审批团队的逻辑上受物理隔离的备份保管库。

1. 在保管库详细信息页面上，选择**请求审批团队更改**。

1. 从下拉菜单中，选择要与保管库关联的新审批团队。

1. 输入解释更改原因的请求者备注，此操作是可选的。

1. 选择**发送请求**以提交更改请求。

当前的审批团队成员将收到有关批准请求的电子邮件通知。

获得所需数量（规定人数）的当前 MPA 团队成员的批准后，系统将把新团队与保管库关联。

------
#### [ CLI ]

利用新团队 ARN 使用 CLI 命令 `associate-backup-vault-mpa-approval-team`：

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

当前的审批团队成员将收到有关批准请求的通知。获得所需数量（规定人数）的当前团队成员的批准后，系统将把新 MPA 团队与保管库关联。

------

# 审批者任务
<a name="multipartyapproval-tasks-approver"></a>

作为多方审批团队成员的用户可以[批准或拒绝会话中的请求](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html)。其他任务包括：
+ [响应请求的操作](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [查看审批团队](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [查看操作历史记录](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)