本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理員任務
<a name="multipartyapproval-tasks-administrator"></a>

涉及 AWS Backup 和多方概觀的數個任務需要具有管理許可和管理帳戶存取權的使用者。

## 建立核准團隊
<a name="create-multipartyapproval-team"></a>

組織中具有 AWS 帳戶管理員許可的使用者需要[設定多方核准](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 3)。

在執行此步驟之前，建議您透過 ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 1) 設定主要組織和次要組織 AWS Organizations （用於復原目的），做為最佳實務。

請參閱*多方*[核准使用者指南中的建立核准團隊](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)，以建立您的團隊。

在[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)操作期間，其中一個參數是 `policies`。這是多方核准資源政策的 ARNs (Amazon Resource Name) 清單，可定義保護團隊的許可。

程序建立[核准團隊](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)中*多方核准使用者指南*範例中顯示的政策包含`["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]`具有數個必要許可的政策。

請依照下列步驟，使用 傳回可用政策的清單`mpa list-policies`：

1. 列出政策：

   ```
   aws mpa list-policies --region us-east-1
   ```

1. 列出所有政策版本：

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. 取得政策的詳細資訊：

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

展開下方以查看將建立的政策，然後透過此操作連接到您的核准團隊：

### 還原存取保存庫政策
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## 使用 共用多方核准團隊 AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

您可以使用[概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 4 [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) 與其他 AWS 帳戶共用多方核准團隊。

------
#### [ Console ]

**使用 共用多方核准團隊 AWS RAM**

1. 登入 [AWS RAM 主控台](https://console.aws.amazon.com/ram/home?region=us-east-1)。

1. 在導覽窗格中，選擇**資源共用**。

1. 選擇 **Create resource share (建立資源共用)**。

1. 在**名稱**欄位中，輸入資源共享的描述性名稱。

1. 在**資源類型**下，從下拉式選單中選取**多方核准團隊**。

1. 在**資源**下，選取您要共用的核准團隊。

1. 在**委託人**下，指定您要與其共用核准團隊 AWS 的帳戶。

1. 若要與特定 AWS 帳戶共用，請選取**AWS 帳戶**，然後輸入 12 位數的帳戶 IDs。

1. 若要與組織或組織單位共用，請選取**組織**或**組織單位**，然後輸入適當的 ID。

1. (*選用*) 在**標籤**下，新增您要與此資源共享建立關聯的任何標籤。

1. 選擇 **Create resource share (建立資源共用)**。

資源共用狀態一開始會顯示為 `PENDING`。一旦收件人帳戶接受邀請，狀態會變更為 `ACTIVE`。

------
#### [ CLI ]

若要 AWS RAM 透過 CLI 使用 共用多方核准團隊，請使用下列命令：

首先，識別您要共用之核准團隊的 ARN：

```
aws mpa list-approval-teams --region us-east-1
```

使用 create-resource-share 命令建立資源共用：

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

若要與組織而非特定帳戶共用：

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

檢查資源共享的狀態：

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

收件人帳戶將需要接受資源共享邀請：

```
aws ram get-resource-share-invitations --region us-east-1
```

在收件人帳戶中執行 以接受邀請：

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

一旦接受邀請，多方核准團隊就可以在收件人帳戶中使用。

------

AWS 提供工具來共用帳戶存取，包括透過 [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)和多方存取。 [https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html)當您選擇與其他帳戶共用邏輯氣隙隔離保存庫時，請考慮下列詳細資訊：


| 功能 | AWS RAM 型共用 | 多方核准型存取 | 
| --- | --- | --- | 
| 存取邏輯氣隙隔離保存庫 | RAM 共用完成後，即可存取保存庫。 | 不同帳戶的任何嘗試都必須由多方核准團隊成員的閾值核准。核准工作階段會在啟動請求的 24 小時後自動過期。 | 
| 存取移除 | 擁有邏輯氣隙隔離保存庫的帳戶可以隨時結束以 RAM 為基礎的共用。 | 只有對多方核准團隊的請求才能移除保存庫的存取權。 | 
| 跨帳戶和/或區域複製 | 目前不支援。 | 備份可以在與復原帳戶相同的 帳戶中複製，或與相同組織中的其他 帳戶複製。 | 
| 跨區域轉移帳單 |  | 跨區域傳輸費用會計入擁有還原存取備份文件庫的相同帳戶。 | 
| 建議用途 | 主要用途是資料遺失復原和還原測試。 | 主要用途適用於帳戶存取或安全疑似遭到入侵的情況。 | 
| 區域 | 適用於支援 AWS 區域 邏輯氣隙隔離保存庫的所有 。 | 適用於支援 AWS 區域 邏輯氣隙隔離保存庫的所有 。 | 
| 還原 | 所有支援的資源類型都可以從共用帳戶還原。 | 所有支援的資源類型都可以從共用帳戶還原。 | 
| 設定 | 一旦 AWS Backup 帳戶設定 RAM 共用且接收帳戶接受共用，共用就會發生。 | 共用需要管理帳戶先建立團隊，然後設定 RAM 共用。然後，管理帳戶選擇加入多方核准，並將該團隊指派給邏輯氣隙隔離保存庫。 | 
| 共用 |  共用是透過相同 AWS 組織或跨 AWS 組織的 RAM 完成。 根據「推送」模型授予存取權，其中擁有邏輯氣隙隔離保存庫的帳戶會先授予存取權。然後，另一個帳戶接受存取。  |  透過同一 AWS 組織或跨組織的 Organizations 支援的核准團隊，存取邏輯氣隙隔離保存庫。 根據 'pull' 模型授予存取權，其中接收帳戶首先請求存取，然後核准團隊授予或拒絕請求。  |