本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 邏輯氣隙隔離保存庫的多方核准
<a name="multipartyapproval"></a>



## 邏輯氣隙隔離保存庫中的多方核准概觀
<a name="multipartyapproval-overview"></a>

AWS Backup 可讓您選擇將[多方核准](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)、來自 的功能 AWS Organizations新增至邏輯氣隙隔離保存庫。多方核准提供額外的選項，以協助透過分散式核准程序保護關鍵操作。

多方核准旨在協助保護關鍵資源，並將返回完整操作的時間降至最低，例如惡意行為者或惡意軟體事件造成的中斷。此設定可協助您還原可能已洩露的邏輯氣隙隔離保存庫的內容。

整合和使用具有 AWS Backup 邏輯氣隙隔離保存庫的多方核准團隊無需額外費用 （需支付儲存和跨區域轉移費用，如[定價](https://aws.amazon.com/backup/pricing)頁面所示）。

 AWS Backup 客戶可以使用多方核准，將某些操作的核准功能授予一組信任的個人，這些人員可以協同核准從個別建立的復原帳戶存取邏輯氣隙隔離保存庫，以防可疑的惡意活動危及主要帳戶的使用。

下列步驟概述設定復原 AWS 組織、設定多方核准，以及搭配邏輯氣隙隔離保存庫使用多方核准的建議流程：

1. 管理員[會透過 Organizations 建立新的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)，以用於復原操作。

1. 在此新組織的管理帳戶中，管理員會建立和設定 IAM Identity Center (IDC) 執行個體 （若要啟用組織執行個體，請參閱《[IAM Identity Center 使用者指南》中的啟用](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) *IAM Identity Center*。另請參閱[多方核准使用者指南中的建立多方核准身分來源](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)的順序。 **

1. 然後，管理員將[建立核准團隊](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html)，這是信任的個人的核心群組，這些人員將是多方核准的主要使用者。

1. 管理員使用 與擁有邏輯氣隙隔離保存庫的每個帳戶以及需要請求該保存庫存取權的復原帳戶 AWS RAM [共用核准團隊](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

1. 邏輯氣隙隔離保存庫擁有帳戶的管理員[會將保存庫與核准團隊建立關聯](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)。

1. 復原帳戶[請求存取](multipartyapproval-tasks-requester.md#create-restore-access-vault)具有邏輯氣隙隔離保存庫的帳戶，該保存庫與相關聯的多方核准團隊 (「團隊」)。與帳戶相關聯的團隊[核准或拒絕請求](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html)。

1. 擁有邏輯氣隙隔離保存庫的 帳戶管理員可以請求[取消核准團隊與保存庫的關聯](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)。請求需要目前的團隊核准。

1. 管理員可以根據其安全實務或當人員加入或離開您的組織時，視需要[更新核准團隊成員資格](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html)。

## 使用多方核准搭配邏輯氣隙隔離保存庫的先決條件和最佳實務
<a name="multipartyapproval-prerequisites"></a>

在您的邏輯氣隙隔離保存庫中有效且安全地使用多方核准之前，有先決條件和建議的最佳實務。

**最佳實務：**
+ 透過 AWS Organizations 的兩個 （或更多） 組織。一個 應該是您的主要組織，其中您有一或多個帳戶至少具有一個邏輯氣隙隔離保存庫。次要組織應該是您的復原組織。其位於此組織中，您的多方核准團隊將受到管理。

**先決條件**

1. 您已[設定多方核准](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)，且至少有一個核准團隊。

1. 主要組織中至少有一個帳戶必須具有邏輯氣隙隔離保存庫 （和原始備份保存庫）。

1. 主要組織中的管理帳戶已選擇加入多方核准。
**提示**  
AWS Backup 建議您將服務控制政策 (SCP) 套用至您的主要組織，並使用適當的許可將其設定為組織和每個核准團隊。如需範例政策，請參閱[多方核准條款](#multipartyapproval-terms)一節。

1. 來自次要 （復原） 組織的多方核准團隊會透過 與擁有邏輯氣隙隔離保存庫的帳戶 （兩個） 和您的復原帳戶[共用 AWS RAM](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

## 使用多方核准時的跨區域考量和相依性
<a name="multipartyapproval-cross-region"></a>

當您在不同區域中啟用多方核准和 IAM Identity Center 執行個體時，多方核准會跨區域呼叫 IAM Identity Center。這表示使用者和群組資訊會跨區域移動。多方核准 團隊資源只能在 AWS 區域 美國東部 （維吉尼亞北部） 建立和存放。

 AWS 區域 參考多方核准團隊資源的其他資源將取決於 AWS 區域 美國東部 （維吉尼亞北部）。因此，如果您的 Identity Center 執行個體和/或邏輯氣隙隔離保存庫不在美國東部 （維吉尼亞北部），多方核准將會進行跨區域呼叫。

## 多方核准條款、概念和使用者角色
<a name="multipartyapproval-terms"></a>

邏輯氣隙隔離保存庫中的多方核准是 AWS Organizations、 AWS 帳戶管理和 AWS Backup，以及 AWS Identity and Access Management ( IAM) 和 AWS RAM (RAM) 功能的整合。透過 CLI，您可以與每個服務互動，以傳送適當的命令。您也可以使用 主控台，但您需要導覽至適當的服務主控台來完成特定任務。

您與多方核准的互動方式取決於您在組織中的角色和責任，以及您 AWS Backup 帳戶中的許可。

如[多方核准使用者指南](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)所示，使用多方核准的組織成員可以是***申請者***、***管理員***或***核准***者。特定許可適用於每個[任務函數](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html)。根據安全最佳實務，使用者應該只完成一個任務函數。

 **主控台、入口網站和工作階段** 

AWS Backup 具有一或多個邏輯氣隙隔離保存庫的帳戶可以使用多方核准。

在多方核准程序之前，如果尚未設定次要組織，管理員會利用 AWS Organizations 建立次要組織以進行復原 (**復原組織**)。

然後，管理員利用 AWS Resource Access Manager (RAM) 來設定主要組織與復原組織之間的跨組織共用。

**主要組織**是擁有並使用邏輯氣隙隔離保存庫的帳戶所在，該保存庫存放受保護的資料。

復原組織至少有一個**復原帳戶的**所在位置。此帳戶包含存取點，可做為共用邏輯氣隙隔離保存庫的關鍵「後門」。此存取點稱為**還原存取備份文件庫**。此存取文件庫不會存放資料；而是做為可鏡射來源邏輯氣隙隔離文件庫內容的存取或掛載點，但不包含可變更或刪除的資料。例如，如果客戶在還原存取備份文件庫中經歷復原點的還原程序，則它是邏輯氣隙隔離文件庫中的復原點，透過復原帳戶透過跨帳戶還原進行還原。

為了確保額外的安全性，客戶會使用此復原帳戶在主要帳戶中執行受保護的操作，但只有在相關[核准團隊在核准工作階段中](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources)核准這些操作之後。一旦傳送核准請求 AWS ，工作階段就會由 建立，當核准團隊成員的閾值核准或拒絕請求，或經過允許的工作階段時間時，該工作階段就會結束。

團隊由**核准者** （實際上是多方核准的*當事*方部分） 組成，他們會收到受保護操作請求的電子郵件通知。這些電子郵件確認請求的核准工作階段已開始。一旦達到必要的核准最低閾值，就會授予核准。此閾值可設定為建立**多方核准團隊** (「團隊」)。

多方核准團隊是透過 Organizations **多方核准入口網站** (「入口網站」) 進行管理，此 AWS 受管應用程式為身分提供一個集中的位置，核准團隊成員可以在其中接收和回應核准團隊邀請和操作請求。

# 管理員任務
<a name="multipartyapproval-tasks-administrator"></a>

涉及 AWS Backup 和多方概觀的數個任務需要具有管理許可和管理帳戶存取權的使用者。

## 建立核准團隊
<a name="create-multipartyapproval-team"></a>

組織中具有 AWS 帳戶管理員許可的使用者需要[設定多方核准](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 3)。

在執行此步驟之前，建議您透過 ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 1) 設定主要組織和次要組織 AWS Organizations （用於復原目的），做為最佳實務。

請參閱*多方*[核准使用者指南中的建立核准團隊](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)，以建立您的團隊。

在[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)操作期間，其中一個參數是 `policies`。這是多方核准資源政策的 ARNs (Amazon Resource Name) 清單，可定義保護團隊的許可。

程序建立[核准團隊](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps)中*多方核准使用者指南*範例中顯示的政策包含`["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]`具有數個必要許可的政策。

請依照下列步驟，使用 傳回可用政策的清單`mpa list-policies`：

1. 列出政策：

   ```
   aws mpa list-policies --region us-east-1
   ```

1. 列出所有政策版本：

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. 取得政策的詳細資訊：

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

展開下方以查看將建立的政策，然後透過此操作連接到您的核准團隊：

### 還原存取保存庫政策
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## 使用 共用多方核准團隊 AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

您可以使用[概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 4 [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) 與其他 AWS 帳戶共用多方核准團隊。

------
#### [ Console ]

**使用 共用多方核准團隊 AWS RAM**

1. 登入 [AWS RAM 主控台](https://console.aws.amazon.com/ram/home?region=us-east-1)。

1. 在導覽窗格中，選擇**資源共用**。

1. 選擇 **Create resource share (建立資源共用)**。

1. 在**名稱**欄位中，輸入資源共享的描述性名稱。

1. 在**資源類型**下，從下拉式選單中選取**多方核准團隊**。

1. 在**資源**下，選取您要共用的核准團隊。

1. 在**委託人**下，指定您要與其共用核准團隊 AWS 的帳戶。

1. 若要與特定 AWS 帳戶共用，請選取**AWS 帳戶**，然後輸入 12 位數的帳戶 IDs。

1. 若要與組織或組織單位共用，請選取**組織**或**組織單位**，然後輸入適當的 ID。

1. (*選用*) 在**標籤**下，新增您要與此資源共享建立關聯的任何標籤。

1. 選擇 **Create resource share (建立資源共用)**。

資源共用狀態一開始會顯示為 `PENDING`。一旦收件人帳戶接受邀請，狀態會變更為 `ACTIVE`。

------
#### [ CLI ]

若要 AWS RAM 透過 CLI 使用 共用多方核准團隊，請使用下列命令：

首先，識別您要共用之核准團隊的 ARN：

```
aws mpa list-approval-teams --region us-east-1
```

使用 create-resource-share 命令建立資源共用：

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

若要與組織而非特定帳戶共用：

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

檢查資源共享的狀態：

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

收件人帳戶將需要接受資源共享邀請：

```
aws ram get-resource-share-invitations --region us-east-1
```

在收件人帳戶中執行 以接受邀請：

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

一旦接受邀請，多方核准團隊就可以在收件人帳戶中使用。

------

AWS 提供工具來共用帳戶存取，包括透過 [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)和多方存取。 [https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html)當您選擇與其他帳戶共用邏輯氣隙隔離保存庫時，請考慮下列詳細資訊：


| 功能 | AWS RAM 型共用 | 多方核准型存取 | 
| --- | --- | --- | 
| 存取邏輯氣隙隔離保存庫 | RAM 共用完成後，即可存取保存庫。 | 不同帳戶的任何嘗試都必須由多方核准團隊成員的閾值核准。核准工作階段會在啟動請求的 24 小時後自動過期。 | 
| 存取移除 | 擁有邏輯氣隙隔離保存庫的帳戶可以隨時結束以 RAM 為基礎的共用。 | 只有對多方核准團隊的請求才能移除保存庫的存取權。 | 
| 跨帳戶和/或區域複製 | 目前不支援。 | 備份可以在與復原帳戶相同的 帳戶中複製，或與相同組織中的其他 帳戶複製。 | 
| 跨區域轉移帳單 |  | 跨區域傳輸費用會計入擁有還原存取備份文件庫的相同帳戶。 | 
| 建議用途 | 主要用途是資料遺失復原和還原測試。 | 主要用途適用於帳戶存取或安全疑似遭到入侵的情況。 | 
| 區域 | 適用於支援 AWS 區域 邏輯氣隙隔離保存庫的所有 。 | 適用於支援 AWS 區域 邏輯氣隙隔離保存庫的所有 。 | 
| 還原 | 所有支援的資源類型都可以從共用帳戶還原。 | 所有支援的資源類型都可以從共用帳戶還原。 | 
| 設定 | 一旦 AWS Backup 帳戶設定 RAM 共用且接收帳戶接受共用，共用就會發生。 | 共用需要管理帳戶先建立團隊，然後設定 RAM 共用。然後，管理帳戶選擇加入多方核准，並將該團隊指派給邏輯氣隙隔離保存庫。 | 
| 共用 |  共用是透過相同 AWS 組織或跨 AWS 組織的 RAM 完成。 根據「推送」模型授予存取權，其中擁有邏輯氣隙隔離保存庫的帳戶會先授予存取權。然後，另一個帳戶接受存取。  |  透過同一 AWS 組織或跨組織的 Organizations 支援的核准團隊，存取邏輯氣隙隔離保存庫。 根據 'pull' 模型授予存取權，其中接收帳戶首先請求存取，然後核准團隊授予或拒絕請求。  | 

# 申請者任務
<a name="multipartyapproval-tasks-requester"></a>

## 將多方核准團隊與邏輯氣隙隔離保存庫建立關聯
<a name="associate-multipartyapproval-team"></a>

申請者：**可存取擁有邏輯氣隙隔離保存庫之帳戶的使用者**。

您可以將多方核准團隊與邏輯氣隙隔離保存庫建立關聯，以啟用存取保存庫的協作核准 ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 5)。

------
#### [ Console ]

**將多方核准團隊與邏輯氣隙隔離保存庫建立關聯**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 導覽至左側導覽窗格中的**備份保存庫**區段。

1. 選取您想要與 MPA 團隊建立關聯的邏輯氣隙隔離備份保存庫。

1. 在**保存庫詳細資訊**頁面上，選取**指派核准團隊**。

1. 從下拉式選單中，選取要與保存庫建立關聯的核准團隊

1. *選用* 輸入註解，說明關聯的原因。

1. 選取**傳送請求**以提交關聯請求。

如果這是第一個與保存庫相關聯的核准團隊，則該團隊將與保存庫相關聯。如果保存庫已有相關聯的團隊，請參閱[更新多方核准團隊](#update-multpartyapproval-team)以取得步驟。

------
#### [ CLI ]

使用以下列參數`associate-backup-vault-mpa-approval-team`修改的 CLI 命令 ：

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

如果這是第一個與保存庫相關聯的核准團隊，則該團隊將與保存庫相關聯。如果保存庫已有相關聯的團隊，請參閱[更新多方核准團隊](#update-multpartyapproval-team)以取得步驟。

------

## 請求存取邏輯氣隙隔離保存庫
<a name="create-restore-access-vault"></a>

申請者：**可存取復原帳戶的使用者**。

您可以請求存取另一個帳戶中邏輯氣隙隔離保存庫 ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 6)。

核准團隊授予請求後， 會在您指定的復原帳戶中 AWS Backup 建立還原存取備份文件庫，讓帳戶能夠存取連線邏輯氣隙隔離文件庫中的復原點。

------
#### [ Console ]

**請求存取邏輯氣隙隔離保存庫**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 導覽至左側導覽窗格中的**備份保存庫**區段

1. 選取**可透過 MPA 存取的保存庫**索引標籤

1. 選取**請求保存庫存取**。

1. 輸入您要存取之邏輯氣隙隔離保存庫的來源備份保存庫 ARN。

1. 輸入還原存取備份文件庫的選用名稱。如果您未輸入名稱， AWS Backup 會根據邏輯氣隙保存庫的名稱來指派名稱。

1. 輸入選用的請求者註解，說明存取請求的原因。

1. 選取**傳送請求**以提交存取請求。

與來源保存庫相關聯的核准團隊成員會收到電子郵件通知，以核准請求。

一旦團隊成員的所需數量 (「閾值」) 核准請求，還原存取備份文件庫將在復原帳戶中建立。

------
#### [ CLI ]

使用 `create-restore-access-backup-vault` CLI 命令：

```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

與來源保存庫相關聯的 MPA 核准團隊成員會收到核准請求的通知。一旦團隊成員的所需數量 (「閾值」) 核准請求，還原存取備份文件庫將在復原帳戶中建立。

您可以使用下列方式檢查保存庫的狀態：

```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```

------

## 取消多方核准團隊與邏輯氣隙疏鬆保存庫的關聯
<a name="disassociate-multipartyapproval-team"></a>

申請者：**擁有邏輯氣隙隔離保存庫的帳戶管理員**。

您可以將多方核准團隊與邏輯氣隙隔離保存庫取消關聯 ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 7)。

------
#### [ Console ]

**取消核准團隊與邏輯氣隙隔離保存庫的關聯**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 導覽至左側導覽窗格中的**備份保存庫**區段。

1. 選取您想要與核准團隊取消關聯的邏輯氣隙隔離備份保存庫。

1. 在**保存庫詳細資訊**頁面上，選取**取消關聯核准團隊**。

1. 輸入選用的申請者註解，說明取消關聯的原因。

1. 選取**傳送請求**以提交取消關聯請求。

目前的核准團隊成員將收到核准請求的通知。

一旦獲得所需人數的團隊成員核准，團隊將與保存庫取消關聯。

------
#### [ CLI ]

使用 `disassociate-backup-vault-mpa-approval-team` CLI 命令：

```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

目前的 MPA 核准團隊成員會收到核准請求的通知。一旦獲得所需人數的團隊成員核准，團隊將與保存庫取消關聯。

------

## 撤銷還原存取備份文件庫
<a name="revoke-restore-access-vault"></a>

申請者：**擁有邏輯氣隙隔離保存庫的帳戶管理員**。

您可以從來源保存庫帳戶撤銷還原存取備份保存庫的存取權。

------
#### [ Console ]

**撤銷還原存取備份文件庫**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 導覽至左側導覽窗格中的**備份保存庫**區段。

1. 選取您想要撤銷存取權的邏輯氣隙隔離備份文件庫。

1. 在**保存庫詳細資訊**頁面上，向下捲動至**透過多方核准存取**區段。

1. 尋找您要撤銷的還原存取備份保存庫，然後選取**請求以移除保存庫存取**。

1. 輸入選用的請求者註解，說明撤銷的原因。

1. 選取**傳送請求**以提交撤銷請求。

核准團隊成員會收到核准請求的通知。

一旦獲得所需團隊成員人數的核准，還原存取備份文件庫將從復原帳戶刪除

------
#### [ CLI ]

首先，列出與您的來源保存庫相關聯的還原存取備份保存庫：

```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```

然後，使用 CLI 命令 `revoke-restore-access-backup-vault`：

```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

核准團隊成員會收到核准請求的通知。一旦獲得所需團隊成員人數的核准，還原存取備份文件庫將從復原帳戶刪除。

------

## 更新與邏輯氣隙隔離保存庫相關聯的多方核准團隊
<a name="update-multpartyapproval-team"></a>

申請者：**擁有邏輯氣隙隔離保存庫的帳戶管理員**。

您可以更新與邏輯氣隙隔離保存庫相關聯的多方核准團隊 ([概觀](multipartyapproval.md#multipartyapproval-overview)中的步驟 8)。

------
#### [ Console ]

**更新與邏輯氣隙隔離保存庫相關聯的核准團隊**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 導覽至左側導覽窗格中的**備份保存庫**區段。

1. 選取您想要更新核准團隊的邏輯氣隙隔離備份文件庫。

1. 在保存庫詳細資訊頁面上，選取**請求核准團隊變更**。

1. 從下拉式選單中，選取要與保存庫建立關聯的新核准團隊。

1. 輸入選用的申請者註解，說明變更的原因。

1. 選取**傳送請求**以提交變更請求。

目前的核准團隊成員將收到核准請求的電子郵件通知。

一旦獲得目前 MPA 團隊所需團隊成員人數 （閾值） 的核准，新團隊就會與保存庫建立關聯。

------
#### [ CLI ]

使用 CLI 命令`associate-backup-vault-mpa-approval-team`搭配新的團隊 ARN：

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

目前的核准團隊成員將收到核准請求的通知。一旦獲得目前團隊所需的團隊成員人數 （閾值） 核准，新的 MPA 團隊就會與保存庫建立關聯。

------

# 核准者任務
<a name="multipartyapproval-tasks-approver"></a>

身為多方核准團隊成員的使用者可以[核准或拒絕屬於工作階段的請求](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html)。其他任務包括：
+ [回應請求的操作](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [檢視核准團隊](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [檢視操作歷史記錄](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)