Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Multi-party Zulassung für AWS Zahlungskryptografie
AWS Payment Cryptography ist in [Multi-party Approval](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) (MPA), eine Funktion von Amazon Web Services Organizations, integriert, um kritische Abläufe durch einen verteilten Genehmigungsprozess zu schützen. Mit MPA können Sie verlangen, dass mehrere vertrauenswürdige Personen bestimmte AWS Zahlungskryptografievorgänge genehmigen, bevor sie ausgeführt werden.
**Topics**
+ [-Übersicht](#mpa-overview)
+ [Geschützte Operationen](#mpa-protected-operations)
+ [Voraussetzungen](#mpa-prerequisites)
+ [MPA aktivieren und deaktivieren](#mpa-enable-disable)
+ [Erste Schritte](#mpa-getting-started)
+ [Beispiel: Importieren Sie ein Stammzertifikat mit aktiviertem MPA](#mpa-example)
+ [AWS CloudTrail Protokollierung von MPA-Ereignissen](#mpa-cloudtrail)
+ [Überprüfen des Anforderungsstatus und Behandlung von Fehlern](#mpa-rejected-requests)
## -Übersicht
Multi-party Die Genehmigung fügt vertraulichen AWS Zahlungskryptografieoperationen eine zusätzliche Sicherheitsebene hinzu, da die Genehmigung einer Gruppe vertrauenswürdiger Personen erforderlich ist, bevor der Vorgang fortgesetzt werden kann. Dies schützt vor unbefugten Änderungen, falls ein einziger Satz von Anmeldeinformationen kompromittiert wird, und verhindert, dass eine einzelne Person einseitig eine Änderung vornimmt.
Ein Genehmigungsteam ist eine Gruppe von Genehmigungsberechtigten innerhalb Ihrer Organisation, die Sie für die Genehmigung oder Ablehnung geschützter Vorgangsanfragen benennen. Der Genehmigungsprozess wird vollständig von den Genehmigungsberechtigten Ihrer Organisation verwaltet. An der Genehmigung oder Ablehnung von Anfragen ist kein AWS Personal beteiligt.
Wenn MPA für einen geschützten Vorgang aktiviert ist, passiert Folgendes:
1. Ein Anforderer initiiert den geschützten Vorgang.
1. MPA erstellt eine Genehmigungssitzung und benachrichtigt die Mitglieder des Genehmigungsteams.
1. Die Mitglieder des Genehmigungsteams prüfen die Anfrage und genehmigen oder lehnen sie über das MPA-Portal ab.
1. Sobald die erforderliche Mindestanzahl an Genehmigungen erreicht ist, wird der Vorgang fortgesetzt. Wenn die Anfrage vom Genehmigungsteam abgelehnt wird oder die zulässige Sitzungszeit abläuft, bevor der Genehmigungsschwellenwert erreicht ist, wird der Vorgang nicht ausgeführt. In beiden Fällen muss der Antragsteller eine neue Anfrage einreichen, um den Vorgang erneut zu versuchen.
**Anmerkung**
Beim Import eines Root-CA-Zertifikats mit aktiviertem MPA ist der `RequesterComment` Parameter obligatorisch. Dieser Kommentar ist in der Genehmigungsbenachrichtigung enthalten, die an das Genehmigungsteam gesendet wird, und stellt den Kontext für die Anfrage bereit.
## Geschützte Operationen
AWS Payment Cryptography unterstützt MPA für den folgenden Vorgang:
+ [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_ImportKey.html)mit `RootCertificatePublicKey` Schlüsselmaterial — Das Importieren eines Public-Key-Stammzertifikats ist ein kritischer Vorgang, da Stammzertifikate den Vertrauensanker für alle nachfolgenden Schlüsselimporte und -exporte mithilfe eines asymmetrischen Schlüsselaustauschs bilden, z. B. TR-34 Wenn für diesen Vorgang eine Genehmigung durch mehrere Parteien erforderlich ist, wird sichergestellt, dass keine einzelne Person die Vertrauensbasis für Ihre AWS Payment Cryptography Keys einseitig einrichten oder ändern kann.
## Voraussetzungen
Bevor Sie MPA mit AWS Zahlungskryptografie verwenden können, müssen Sie die folgenden Voraussetzungen erfüllen:
+ Richten Sie MPA in Ihrer Amazon Web Services Organizations-Umgebung ein. Anweisungen finden Sie unter [Was ist Multi-party Genehmigung?](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) im *Benutzerhandbuch Multi-party zur Genehmigung*.
+ Stellen Sie mindestens ein Genehmigungsteam mit den erforderlichen Genehmigern zusammen.
+ Teilen Sie das Genehmigungsteam mit dem Team AWS-Konto , das Ihre AWS Zahlungskryptografie-Schlüssel enthält, mit. AWS Resource Access Manager
+ Für die Multi-party Genehmigung muss das Verwaltungskonto in Ihrer Organisation aktiviert sein.
## MPA aktivieren und deaktivieren
Nachdem Sie ein Genehmigungsteam eingerichtet haben, können Sie MPA für AWS Payment Cryptography aktivieren, indem Sie das Team Ihrem Konto zuordnen. Sie können MPA auch deaktivieren, indem Sie die Zuordnung zum Team aufheben. Für die Trennung ist jedoch die Zustimmung des aktuell zugewiesenen Genehmigungsteams erforderlich.
**MPA aktivieren**
Verwenden Sie die `AssociateMpaTeam` API-Aktion oder den **associate-mpa-team** CLI-Befehl, um Ihrem AWS Payment Cryptography-Konto ein Genehmigungsteam zuzuordnen. Sobald die geschützten Operationen verknüpft sind, müssen sie vom Team genehmigt werden, bevor sie fortgesetzt werden können.
```
aws payment-cryptography associate-mpa-team \
--team-arn arn:aws:mpa:{{us-east-1}}:{{111122223333}}:team/{{my-approval-team}}
```
**MPA deaktivieren**
Verwenden Sie die `DisassociateMpaTeam` API-Aktion oder den **disassociate-mpa-team** CLI-Befehl, um die Zuordnung des Genehmigungsteams zu entfernen. Das Trennen eines Teams ist selbst ein geschützter Vorgang, für den die Genehmigung durch das aktuell zugeordnete Genehmigungsteam erforderlich ist.
```
aws payment-cryptography disassociate-mpa-team \
--team-arn arn:aws:mpa:{{us-east-1}}:{{111122223333}}:team/{{my-approval-team}}
```
**Wichtig**
Die Deaktivierung von MPA erfordert die Genehmigung durch das aktuell zugeordnete Genehmigungsteam. Dadurch wird sichergestellt, dass keine einzelne Person den Genehmigungsschutz für mehrere Parteien einseitig aufheben kann.
**Anmerkung**
Der `--requester-comment` Parameter ist optional für und. **associate-mpa-team** **disassociate-mpa-team**
## Erste Schritte
Informationen zu den ersten Schritten mit MPA for AWS Payment Cryptography finden Sie im [Multi-party Approval User Guide](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html). Dort finden Sie detaillierte Anweisungen zur Einrichtung, einschließlich der Erstellung von Genehmigungsteams, der Konfiguration von Genehmigungsrichtlinien und der Verwaltung von Genehmigungssitzungen.
## Beispiel: Importieren Sie ein Stammzertifikat mit aktiviertem MPA
Nachdem MPA aktiviert wurde und dem `ImportKey` Vorgang für ein Genehmigungsteam zugewiesen wurde`RootCertificatePublicKey`, muss die Importanforderung genehmigt werden, bevor sie fortgesetzt werden kann.
1. Ein Anforderer ruft `import-key` an, um ein Root-Public-Key-Zertifikat zu importieren. Um diesen Befehl zu verwenden, ersetzen Sie den Befehl {{italicized placeholder text}} im Beispiel durch Ihre eigenen Informationen.
```
aws payment-cryptography import-key \
--key-material='{"RootCertificatePublicKey": {
"KeyAttributes": {
"KeyAlgorithm": "RSA_4096",
"KeyClass": "PUBLIC_KEY",
"KeyModesOfUse": {"Verify": true},
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE"
},
"PublicKeyCertificate": "{{LS0tLS1CRUdJTi...}}"}}' \
--requester-comment "{{Importing new root CA certificate for TR-34 key exchange with partner XYZ}}"
```
Die Antwort gibt einen Schlüssel zurück, der auf `KeyState` gesetzt ist`CREATE_IN_PROGRESS`, was darauf hinweist, dass die Anfrage auf Genehmigung wartet. Die Antwort enthält `MpaStatus` auch Einzelheiten zur Genehmigungssitzung:
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_IN_PROGRESS",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "PENDING",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00"
}
}
}
```
1. Da MPA aktiviert ist, wird die Anfrage nicht sofort abgeschlossen. Stattdessen erstellt AWS Payment Cryptography eine Genehmigungssitzung und gibt eine Antwort zurück, die darauf hinweist, dass die Genehmigung aussteht.
1. Die Mitglieder des Genehmigungsteams erhalten eine Benachrichtigung und prüfen die Anfrage über das MPA-Portal. Sobald die erforderliche Anzahl von Genehmigern den Antrag genehmigt hat, wird der Importvorgang fortgesetzt und das Stammzertifikat wird importiert.
## AWS CloudTrail Protokollierung von MPA-Ereignissen
Wenn MPA aktiviert ist, protokolliert AWS Payment Cryptography Serviceereignisse bis zum [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)Abschluss einer Genehmigungssitzung. Diese Ereignisse zeichnen das Ergebnis des Genehmigungsprozesses auf, einschließlich der Frage, ob die Anfrage genehmigt wurde oder nicht. Sie können diese Protokolle verwenden, um die MPA-Aktivitäten zu überprüfen und den Status geschützter Operationen zu verfolgen.
MPA-related CloudTrail Ereignisse umfassen die folgenden Felder in`serviceEventDetails`:
+ `keyArn`— Der ARN des Schlüssels, der von der Operation betroffen ist.
+ `operation`— Der geschützte Vorgang, der angefordert wurde.
+ `mpaSessionArn`— Die ARN der MPA-Genehmigungssitzung.
+ `sessionStatus`— Das Ergebnis der Genehmigungssitzung (`APPROVED`oder`FAILED`).
**Genehmigte Anfrage**
Das folgende Beispiel zeigt ein CloudTrail Ereignis für eine `ImportKey` Anfrage, die vom MPA-Team genehmigt wurde:
```
{
"eventVersion": "1.11",
"eventTime": "2026-04-28T18:49:51Z",
"eventName": "ImportKey",
"eventSource": "payment-cryptography.amazonaws.com",
"eventType": "AwsServiceEvent",
"eventCategory": "Management",
"awsRegion": "us-east-1",
"readOnly": false,
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"userIdentity": {
"accountId": "{{111122223333}}",
"invokedBy": "payment-cryptography.amazonaws.com"
},
"resources": [
{
"ARN": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{spa2dclzmsihlj4o}}",
"accountId": "{{111122223333}}",
"type": "AWS::PaymentCryptography::Key"
}
],
"serviceEventDetails": {
"keyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{spa2dclzmsihlj4o}}",
"operation": "ImportKey",
"mpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{my-approval-team/44c76e07-8937-4d7d-bb9a-a646322e2a1e}}",
"sessionStatus": "APPROVED"
}
}
```
**Anfrage fehlgeschlagen**
Das folgende Beispiel zeigt ein CloudTrail Ereignis für eine `ImportKey` Anfrage, die abgelehnt wurde oder deren Zeitlimit überschritten wurde:
```
{
"eventVersion": "1.11",
"eventTime": "2026-04-28T18:50:35Z",
"eventName": "ImportKey",
"eventSource": "payment-cryptography.amazonaws.com",
"eventType": "AwsServiceEvent",
"eventCategory": "Management",
"awsRegion": "us-east-1",
"readOnly": false,
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"userIdentity": {
"accountId": "{{111122223333}}",
"invokedBy": "payment-cryptography.amazonaws.com"
},
"resources": [
{
"ARN": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{qj46ku4qimypxdo7}}",
"accountId": "{{111122223333}}",
"type": "AWS::PaymentCryptography::Key"
}
],
"serviceEventDetails": {
"keyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{qj46ku4qimypxdo7}}",
"operation": "ImportKey",
"mpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{my-approval-team/b0ac1994-14e1-47a6-bf1a-0b6fc0b845f2}}",
"sessionStatus": "FAILED"
}
}
```
Weitere Informationen AWS CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Überprüfen des Anforderungsstatus und Behandlung von Fehlern
Sie können den Status einer ausstehenden MPA-Anfrage telefonisch überprüfen [https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetKey.html](https://docs.aws.amazon.com/payment-cryptography/latest/APIReference/API_GetKey.html). Die Antwort enthält das `MpaStatus` Feld mit den Details der aktuellen Genehmigungssitzung. Um diesen Befehl zu verwenden, ersetzen Sie den Befehl {{italicized placeholder text}} im Beispiel durch Ihre eigenen Informationen.
```
aws payment-cryptography get-key \
--key-identifier arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}
```
Während die Genehmigung der Anfrage aussteht, wird die Antwort `KeyState` `MpaStatus.Status` wie `CREATE_IN_PROGRESS` folgt angezeigt`PENDING`:
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_IN_PROGRESS",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "PENDING",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00"
}
}
}
```
Sobald die erforderliche Anzahl von Genehmigern die Anfrage genehmigt hat, wird die Anfrage `KeyState` `MpaStatus.Status` verschoben `CREATE_COMPLETE` und zu`APPROVED`. Der Schlüssel ist jetzt einsatzbereit:
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_COMPLETE",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "APPROVED",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00"
}
}
}
```
Wenn die Anfrage vom Genehmigungsteam abgelehnt wird oder die Sitzung abläuft, bevor der Genehmigungsschwellenwert erreicht ist, `KeyState` ändert sich die Änderung `CREATE_FAILED` und `MpaStatus.Status` ändert sich in`FAILED`:
```
{
"Key": {
"KeyArn": "arn:aws:payment-cryptography:{{us-east-2}}:{{111122223333}}:key/{{kwapwa6qaifllw2h}}",
"KeyAttributes": {
"KeyUsage": "TR31_S0_ASYMMETRIC_KEY_FOR_DIGITAL_SIGNATURE",
"KeyClass": "PUBLIC_KEY",
"KeyAlgorithm": "RSA_4096"
},
"Enabled": true,
"KeyState": "CREATE_FAILED",
"KeyOrigin": "EXTERNAL",
"CreateTimestamp": "2026-04-27T10:15:30.000000+00:00",
"UsageStartTimestamp": "2026-04-27T10:15:29.926000+00:00",
"MpaStatus": {
"MpaSessionArn": "arn:aws:mpa:{{us-east-1}}:{{111122223333}}:session/{{abc123def456}}",
"Status": "FAILED",
"InitiationDate": "2026-04-27T10:15:30.000000+00:00",
"StatusMessage": "Approval session expired or was denied"
}
}
}
```
Ein Schlüssel im `CREATE_FAILED` Status kann nicht für kryptografische Operationen verwendet werden. Um den Import erneut zu versuchen, müssen Sie eine neue `ImportKey` Anfrage einreichen, wodurch eine neue Genehmigungssitzung erstellt wird.