翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 論理エアギャップボールトのマルチパーティー承認
<a name="multipartyapproval"></a>



## 論理エアギャップボールトでのマルチパーティー承認の概要
<a name="multipartyapproval-overview"></a>

AWS Backup には、 の機能である[マルチパーティー承認](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) AWS Organizationsを論理エアギャップボールトに追加するオプションがあります。マルチパーティー承認には、分散承認プロセスを通じて重要なオペレーションを保護するのに役立つ追加のオプションがあります。

マルチパーティー承認は、重要なリソースを保護し、悪意のある攻撃者やマルウェアイベントによる中断など、フルオペレーションに戻るまでの時間を最小限に抑えるように設計されています。この設定は、侵害された可能性のある論理エアギャップボールトの内容を復元するのに役立ちます。

 AWS Backup の論理エアギャップボールトを使用したマルチパーティー承認チームの統合と使用には追加料金はかかりません ([料金](https://aws.amazon.com/backup/pricing)ページに示されているように、ストレージとクロスリージョンの転送料金が適用されます)。

 AWS Backup 顧客は、マルチパーティー承認を使用して、プライマリアカウントの使用を侵害する可能性のある悪意のあるアクティビティが疑われる場合に、個別に作成された復旧アカウントから論理エアギャップボールトへのアクセスを共同で承認できる信頼された個人のグループに、一部のオペレーションの承認機能を付与できます。

次の手順では、復旧用の AWS 組織を設定し、マルチパーティー承認を設定し、論理エアギャップボールトでマルチパーティー承認を使用するための推奨フローの概要を示します。

1. 管理者は [Organizations で新しい組織を作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)し、復旧オペレーションに使用します。

1. この新しい組織の管理アカウントで、管理者は IAM アイデンティティセンター (IDC) インスタンスを作成して設定します (組織インスタンスを有効にするには、「*IAM Identity Center ユーザーガイド*」の「[IAM アイデンティティセンターを有効にする](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)」を参照してください。「*マルチパーティー承認ユーザーガイド*」の「[マルチパーティー承認の ID ソースを作成する](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)」のシーケンスも参照してください。

1. 次に、管理者は、マルチパーティー承認のプライマリユーザーとなる信頼できる個人のコアグループである[承認チームを作成します](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html)。

1. 管理者は AWS RAM を使用して[、論理エアギャップボールトを所有する各アカウントと、そのボールトへのアクセスをリクエストする必要がある復旧アカウントと承認チームを共有](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)します。

1. 論理エアギャップボールト所有アカウントの管理者は、[ボールトを承認チームに関連付け](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)ます。

1. 復旧アカウントは、関連するマルチパーティー承認チーム (「チーム」) と論理エアギャップボールトを持つアカウントへの[アクセスをリクエストします](multipartyapproval-tasks-requester.md#create-restore-access-vault)。アカウントに関連付けられたチームが[リクエストを承認または拒否します](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html)。

1. 論理エアギャップボールトを所有するアカウントの管理者は、[承認チームとボールトの関連付け解除](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)をリクエストできます。リクエストには、現在のチームの承認が必要です。

1. 管理者は、セキュリティプラクティスに従って、またはユーザーが組織に加わったり組織を離れたりするときに、必要に応じて[承認チームのメンバーシップを更新](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html)できます。

## 論理エアギャップボールトでマルチパーティー承認を使用するための前提条件とベストプラクティス
<a name="multipartyapproval-prerequisites"></a>

論理エアギャップボールトでマルチパーティー承認を効果的かつ安全に使用するには、前提条件と推奨されるベストプラクティスがあります。

**ベストプラクティス:**
+ Organizations を通じて 2 つ (またはそれ以上) の AWS 組織。1 つは、論理エアギャップボールトが 1 つ以上のアカウントがあるプライマリ組織である必要があります。セカンダリ組織は復旧組織である必要があります。この組織では、マルチパーティー承認チームが管理されます。

**前提条件**

1. [マルチパーティー承認を設定](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)し、少なくとも 1 つの承認チームがある。

1. プライマリ組織内の少なくとも 1 つのアカウントには、論理エアギャップボールト (および元のバックアップボールト) が必要です。

1. プライマリ組織の管理アカウントは、マルチパーティー承認にオプトインされます。
**ヒント**  
AWS Backup では、サービスコントロールポリシー (SCP) をプライマリ組織に適用し、組織と各承認チームに適切なアクセス許可で設定することをお勧めします。サンプルポリシーについては、「[マルチパーティー承認の用語](#multipartyapproval-terms)」セクションを参照してください。

1. セカンダリ (復旧) 組織のマルチパーティー承認チームは、論理エアギャップボールトを所有するアカウントおよび復旧アカウントの両方と[AWS RAMを通じて共有されます](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

## マルチパーティー承認を使用する場合のクロスリージョンの考慮事項と依存関係
<a name="multipartyapproval-cross-region"></a>

マルチパーティー承認と IAM アイデンティティセンターインスタンスを異なるリージョンで有効にすると、マルチパーティー承認はリージョン間で IAM アイデンティティセンターを呼び出します。つまり、ユーザーとグループの情報はリージョン間で転送されます。マルチパーティー承認チームリソースは、 AWS リージョン 米国東部 (バージニア北部) でのみ作成および保存できます。

マルチパーティー承認チームのリソースを参照 AWS リージョン するその他の は、 AWS リージョン 米国東部 (バージニア北部) によって異なります。したがって、アイデンティティセンターインスタンスや論理エアギャップボールトが米国東部 (バージニア北部) にない場合、マルチパーティー承認はクロスリージョン呼び出しを行います。

## マルチパーティー承認の用語、概念、ユーザーペルソナ
<a name="multipartyapproval-terms"></a>

論理エアギャップボールトでのマルチパーティ承認は AWS Organizations、、 AWS Account Management、および AWS Backupを AWS Identity and Access Management (IAM) および AWS RAM (RAM) 機能と共に統合したものです。CLI を使用することで、各サービスとやり取りして適切なコマンドを送信できます。コンソールを使用することもできますが、特定のタスクを完了するには、適切なサービスのコンソールに移動する必要があります。

マルチパーティー承認の操作方法は、組織での役割と責任と、 AWS Backup アカウントで持っているアクセス許可によって異なります。

「[マルチパーティー承認ユーザーガイド](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)」に示されているように、マルチパーティー承認を使用する組織のメンバーは、***リクエスタ***、***管理者***、または***承認者***のいずれかになります。特定のアクセス許可は、各[職務機能](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html)に適用されます。セキュリティのベストプラクティスに従って、ユーザーは 1 つの職務機能のみを遂行する必要があります。

 **コンソール、ポータル、セッション** 

AWS Backup 論理エアギャップボールトが 1 つ以上の アカウントでは、マルチパーティー承認を使用できます。

マルチパーティー承認プロセスの前に、管理者は を使用して、復旧用のセカンダリ組織 (**復旧組織**) を以前に設定していない場合は AWS Organizations 作成します。

次に、管理者は AWS Resource Access Manager (RAM) を使用して、プライマリ組織と復旧組織間の組織間共有を設定します。

**プライマリ組織**は、保護されたデータを保存する論理エアギャップボールトを所有および使用するアカウントのホームです。

復旧組織には、少なくとも 1 つの**復旧アカウント**があります。このアカウントには、共有される論理エアギャップボールトへの重要な「バックドア」として機能するアクセスポイントが格納されています。このアクセスポイントは、**復元アクセスバックアップボールト**と呼ばれます。このアクセスボールトはデータを保存しません。代わりに、ソースの論理エアギャップボールトの内容をミラーリングするアクセスポイントまたはマウントポイントとして機能しますが、変更または削除できるデータは含まれません。例えば、お客様が復元アクセスバックアップボールトの復旧ポイントの復元プロセスを実行した場合、復旧アカウントを介してクロスアカウント復元によって復元されるのは論理エアギャップボールトの復旧ポイントです。

セキュリティを強化するために、お客様はこの復旧アカウントを使用してプライマリアカウントで保護されたオペレーションを実行しますが、それらのオペレーションは[承認セッションで関連する承認チーム](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources)によって承認された後にのみ実行されます。セッションは、承認リクエストが送信され AWS ると によって作成され、そのセッションは、承認チームメンバーのしきい値がリクエストを承認または拒否したとき、または許可されたセッション時間が経過したときに終了します。

チームは、保護されたオペレーションリクエストの E メール通知を受け取る**承認者** (実質的には、マルチパーティー承認の*当事者*部分) で構成されます。これらの E メールは、リクエストの承認セッションが開始されたことを確認します。承認に必要な最少人数に達すると承認が付与されます。この人数のしきい値は、**マルチパーティー承認チーム** (「チーム」) の作成時に設定できます。

マルチパーティー承認チームは、Organizations **マルチパーティー承認ポータル** (「ポータル」) を通じて管理されます。これは、承認チームのメンバーが承認チームの招待やオペレーションリクエストを受信して応答できる一元的な場所を ID に提供する AWS マネージドアプリケーションです。