기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 논리적 에어 갭 저장소에 대한 다자간 승인
<a name="multipartyapproval"></a>



## 논리적 에어 갭 저장소의 다자간 승인 개요
<a name="multipartyapproval-overview"></a>

AWS Backup 는의 기능인 [다자간 승인을](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) 논리적 에어 갭 저장소 AWS Organizations에 추가할 수 있는 옵션을 제공합니다. 다자간 승인은 분산 승인 프로세스를 통해 중요한 작업을 보호하는 데 도움이 되는 추가 옵션을 제공합니다.

다자간 승인은 중요한 리소스를 보호하고 악의적인 행위자 또는 맬웨어 이벤트로 인한 중단과 같은 전체 작업으로 돌아가는 시간을 최소화하도록 설계되었습니다. 이 설정은 손상되었을 수 있는 논리적 에어 갭 저장소의 콘텐츠를 복원하는 데 도움이 될 수 있습니다.

 AWS Backup 논리적 에어 갭 저장소와 다자간 승인 팀을 통합하고 사용하는 데 드는 추가 비용은 없습니다([요금](https://aws.amazon.com/backup/pricing) 페이지에 표시된 대로 스토리지 및 교차 리전 전송 요금 적용).

 AWS Backup 고객은 다자간 승인을 사용하여 기본 계정 사용을 손상시킬 수 있는 악의적인 활동이 의심되는 경우 별도로 생성된 복구 계정에서 논리적 에어 갭 저장소에 대한 액세스를 공동으로 승인할 수 있는 신뢰할 수 있는 개인 그룹에 일부 작업의 승인 기능을 부여할 수 있습니다.

다음 단계에서는 복구 AWS 조직 설정, 다자간 승인 설정, 논리적 에어 갭 저장소와 함께 다자간 승인 사용을 위한 권장 흐름을 간략하게 설명합니다.

1. 관리자는 복구 작업에 사용할 새 조직을 [Organizations를 통해 생성합니다](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html).

1. 이 새 조직의 관리 계정에서 관리자는 IAM Identity Center(IDC) 인스턴스를 생성하고 구성합니다(조직 인스턴스를 활성화하려면 *IAM Identity Center 사용 설명서*의 [IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)를 참조하세요. *다자간 승인 사용 설명서*의 [다자간 승인 ID 소스 생성](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) 시퀀스도 참조하세요.

1. 그런 다음 관리자는 다자간 승인의 기본 사용자가 될 신뢰할 수 있는 개인으로 구성된 핵심 그룹인 [승인 팀을 생성](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html)합니다.

1. 관리자는 AWS RAM 를 사용하여 논리적 에어 갭 저장소를 소유한 각 계정과 해당 저장소에 대한 액세스를 요청해야 하는 복구 계정과 [승인 팀을 공유합니다](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram).

1. 논리적 에어 갭 저장소 소유 계정의 관리자는 [저장소를 승인 팀과 연결합니다](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team).

1. 복구 계정은 연결된 다자간 승인 팀(“팀”)과 논리적 에어 갭 저장소가 있는 계정에 대한 [액세스를 요청합니다](multipartyapproval-tasks-requester.md#create-restore-access-vault). 계정과 연결된 팀이 [요청을 승인하거나 거부합니다](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html).

1. 논리적 에어 갭 저장소를 소유한 계정의 관리자는 [승인 팀을 저장소에서 연결 해제](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)하도록 요청할 수 있습니다. 요청을 수행하려면 현재 팀의 승인이 필요합니다.

1. 관리자는 보안 관행에 따라 필요에 따라 또는 사람들이 조직에 가입하거나 조직을 떠날 때 [승인 팀 멤버십을 업데이트할](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) 수 있습니다.

## 논리적 에어 갭 저장소에서 다자간 승인을 사용하기 위한 전제 조건 및 모범 사례
<a name="multipartyapproval-prerequisites"></a>

논리적 에어 갭 저장소에서 다자간 승인을 효과적이고 안전하게 사용하기 전에 전제 조건과 권장 모범 사례가 있습니다.

**모범 사례:**
+ Organizations를 통해 두 개(또는 그 이상)의 AWS 조직. 하나는 하나 이상의 논리적 에어 갭 저장소가 있는 계정이 있는 기본 조직이어야 합니다. 보조 조직은 복구 조직이어야 합니다. 이 조직에서는 다자간 승인 팀을 관리합니다.

**사전 조건**

1. [다자간 승인을 설정](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)했으며 하나 이상의 승인 팀이 있습니다.

1. 기본 조직의 하나 이상의 계정에 논리적 에어 갭 저장소(및 원래 백업 저장소)가 있어야 합니다.

1. 기본 조직의 관리 계정은 다자간 승인에 옵트인됩니다.
**작은 정보**  
AWS Backup 에서는 기본 조직에 서비스 제어 정책(SCP)을 적용하고 조직 및 각 승인 팀에 대한 적절한 권한으로 구성할 것을 권장합니다. 샘플 정책은 [다자간 승인 조건](#multipartyapproval-terms) 섹션을 참조하세요.

1. 보조(복구) 조직의 다자간 승인 팀은 [AWS RAM를 통해](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) 논리적 에어 갭 저장소를 소유한 계정 및 복구 계정과 공유됩니다.

## 다자간 승인 사용 시 교차 리전 고려 사항 및 종속성
<a name="multipartyapproval-cross-region"></a>

다자간 승인을 활성화하고 다른 리전의 IAM Identity Center 인스턴스를 활성화하면 다자간 승인은 리전 간에 IAM Identity Center를 호출합니다. 즉, 사용자 및 그룹 정보가 리전 간에 이동합니다. 다자간 승인 팀 리소스는 AWS 리전 미국 동부(버지니아 북부)에서만 생성하고 저장할 수 있습니다.

다자간 승인 팀 리소스를 참조 AWS 리전 하는 다른는 AWS 리전 미국 동부(버지니아 북부)에 따라 달라집니다. 따라서 Identity Center 인스턴스 및/또는 논리적 에어 갭 저장소가 미국 동부(버지니아 북부)에 있지 않은 경우 다자간 승인은 교차 리전 호출을 수행합니다.

## 다자간 승인 조건, 개념 및 사용자 페르소나
<a name="multipartyapproval-terms"></a>

논리적 에어 갭 저장소의 다자간 승인은 ( IAM) 및 AWS Identity and Access Management ( AWS RAM RAM) 기능과 AWS Backup함께 AWS Organizations AWS Account Management, 및의 통합입니다. CLI를 통해 각 서비스와 상호 작용하여 적절한 명령을 보낼 수 있습니다. 콘솔을 사용할 수도 있지만 특정 작업을 완료하려면 적절한 서비스의 콘솔로 이동해야 합니다.

다자간 승인과 상호 작용하는 방법은 조직의 역할과 책임, AWS Backup 계정에서 보유한 권한에 따라 달라집니다.

[다자간 승인 사용 설명서](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)에 표시된 대로 다자간 승인을 사용하는 조직의 구성원은 ***요청자***, ***관리자*** 또는 ***승인자***가 됩니다. 특정 권한은 각 [직무](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html)에 적용됩니다. 보안 모범 사례에 따라 사용자는 하나의 직무만 수행해야 합니다.

 **콘솔, 포털 및 세션** 

AWS Backup 논리적 에어 갭 저장소가 하나 이상 있는 계정은 다자간 승인을 사용할 수 있습니다.

다자간 승인 프로세스 전에 이전에 설정하지 않은 경우 관리자는 AWS Organizations 를 사용하여 복구를 위한 보조 조직(**복구 조직**)을 생성합니다.

그런 다음 관리자는 AWS Resource Access Manager (RAM)을 사용하여 기본 조직과 복구 조직 간의 조직 간 공유를 설정합니다.

**기본 조직**은 보호된 데이터를 저장하는 논리적 에어 갭 저장소를 소유하고 사용하는 계정이 있습니다.

복구 조직은 하나 이상의 **복구 계정**이 있습니다. 이 계정에는 공유형 논리적 에어 갭 저장소에 대한 중요한 '백도어' 역할을 할 수 있는 액세스 포인트가 있습니다. 이 액세스 포인트를 **복원 액세스 백업 저장소**라고 합니다. 이 액세스 저장소는 데이터를 저장하지 않습니다. 대신 액세스 또는 탑재 지점 역할을 하여 소스의 콘텐츠를 논리적 에어 갭 저장소로 미러링하지만 변경 또는 삭제할 수 있는 데이터는 포함하지 않습니다. 예를 들어 고객이 복원 액세스 백업 저장소의 복구 시점에 대한 복원 프로세스를 거치는 경우, 이는 논리적 에어 갭 저장소의 복구 시점으로, 복구 계정을 통해 교차 계정 복원을 통해 복원됩니다.

보안을 강화하기 위해 고객은 이 복구 계정을 사용하여 기본 계정에서 보호된 작업을 수행합니다. 단, [승인 세션에서 관련 승인 팀](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources)을 승인 받은 후에만 가능합니다. 승인 요청이 전송되고 AWS 승인 팀원의 임계값이 요청을 승인 또는 거부하거나 허용된 세션 시간이 경과하면 세션이에 의해 생성됩니다.

팀은 보호된 작업 요청에 대한 이메일 알림을 수신하는 **승인자**(효과적으로 다자간 승인의 *당사자* 부분)로 구성됩니다. 이러한 이메일은 요청에 대한 승인 세션이 시작되었음을 확인합니다. 필요한 최소 승인 임곗값에 도달하면 승인이 부여됩니다. 이 임곗값은 **다자간 승인 팀**(“팀”)이 생성될 때 설정할 수 있습니다.

다자간 승인 팀은 승인 팀원이 승인 팀 초대 및 운영 요청을 수신하고 응답할 수 있는 중앙 위치를 자격 증명에 제공하는 AWS 관리형 애플리케이션인 Organizations **다자간 승인 포털**(“포털”)을 통해 관리됩니다.