本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 邏輯氣隙隔離保存庫的多方核准
<a name="multipartyapproval"></a>



## 邏輯氣隙隔離保存庫中的多方核准概觀
<a name="multipartyapproval-overview"></a>

AWS Backup 可讓您選擇將[來自 的多方核准](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)功能 AWS Organizations新增至邏輯氣隙隔離保存庫。多方核准提供額外的選項，以協助透過分散式核准程序保護關鍵操作。

多方核准旨在協助保護關鍵資源，並將返回完整操作的時間降至最低，例如惡意行為者或惡意軟體事件造成的中斷。此設定可協助您還原邏輯氣隙隔離保存庫可能已遭入侵的內容。

整合和使用具有 AWS Backup 邏輯氣隙隔離保存庫的多方核准團隊無需額外費用 （需支付儲存和跨區域轉移費用，如[定價](https://aws.amazon.com/backup/pricing)頁面所示）。

 AWS Backup 客戶可以使用多方核准，將某些操作的核准功能授予一組信任的個人，這些人員可以協同核准從個別建立的復原帳戶存取邏輯氣隙隔離保存庫，以防可疑的惡意活動危及主要帳戶的使用。

下列步驟概述設定復原 AWS 組織、設定多方核准，以及搭配邏輯氣隙隔離保存庫使用多方核准的建議流程：

1. 管理員[會透過 Organizations 建立新的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)，以用於復原操作。

1. 在此新組織的管理帳戶中，管理員會建立和設定 IAM Identity Center (IDC) 執行個體 （若要啟用組織執行個體，請參閱《[IAM Identity Center 使用者指南》中的啟用](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html) *IAM Identity Center*。另請參閱[多方核准使用者指南中的建立多方核准身分來源](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)的順序。 **

1. 然後，管理員將[建立核准團隊](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html)，這是信任的個人的核心群組，這些人員將是多方核准的主要使用者。

1. 管理員使用 與擁有邏輯氣隙隔離保存庫的每個帳戶，以及需要請求存取該保存庫的復原帳戶 AWS RAM [共用核准團隊](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

1. 邏輯氣隙隔離保存庫擁有帳戶的管理員[會將保存庫與核准團隊建立關聯](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)。

1. 復原帳戶[請求存取](multipartyapproval-tasks-requester.md#create-restore-access-vault)具有邏輯氣隙隔離保存庫的帳戶，該保存庫與相關聯的多方核准團隊 (「團隊」)。與帳戶相關聯的團隊[會核准或拒絕請求](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html)。

1. 擁有邏輯氣隙隔離保存庫的 帳戶管理員可以請求[取消核准團隊與保存庫的關聯](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)。請求需要目前的團隊核准。

1. 當人員加入或離開您的組織時，管理員可以視需要根據其安全實務[更新核准團隊成員成員資格](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html)。

## 搭配邏輯氣隙隔離保存庫使用多方核准的先決條件和最佳實務
<a name="multipartyapproval-prerequisites"></a>

在您的邏輯氣隙隔離保存庫中有效且安全地使用多方核准之前，有先決條件和建議的最佳實務。

**最佳實務：**
+ 透過 AWS Organizations 的兩個 （或更多） 組織。其中一個應該是您的主要組織，其中您有一或多個帳戶至少具有一個邏輯氣隙隔離保存庫。次要組織應該是您的復原組織。在這個組織中，您的多方核准團隊將受到管理。

**先決條件**

1. 您已[設定多方核准](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html)，且至少有一個核准團隊。

1. 主要組織中至少有一個帳戶必須具有邏輯氣隙隔離保存庫 （和原始備份保存庫）。

1. 主要組織中的管理帳戶已選擇加入多方核准。
**提示**  
AWS Backup 建議您將服務控制政策 (SCP) 套用至您的主要組織，並使用適當的許可將其設定為組織和每個核准團隊。如需範例政策，請參閱[多方核准條款](#multipartyapproval-terms)一節。

1. 來自次要 （復原） 組織的多方核准團隊會透過 與擁有邏輯氣隙隔離保存庫的帳戶 （兩個） 和您的復原帳戶[共用 AWS RAM](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

## 使用多方核准時的跨區域考量和相依性
<a name="multipartyapproval-cross-region"></a>

當您在不同區域中啟用多方核准和 IAM Identity Center 執行個體時，多方核准會跨區域呼叫 IAM Identity Center。這表示使用者和群組資訊會跨區域移動。多方核准 團隊資源只能在 AWS 區域 美國東部 （維吉尼亞北部） 建立和存放。

 AWS 區域 參考多方核准團隊資源的其他資源將取決於 AWS 區域 美國東部 （維吉尼亞北部）。因此，如果您的 Identity Center 執行個體和/或邏輯氣隙隔離保存庫不在美國東部 （維吉尼亞北部），多方核准將會進行跨區域呼叫。

## 多方核准條款、概念和使用者角色
<a name="multipartyapproval-terms"></a>

邏輯氣隙隔離保存庫中的多方核准是 AWS Organizations、 AWS Account Management和 AWS Backup，以及 AWS Identity and Access Management ( IAM) 和 AWS RAM (RAM) 功能的整合。透過 CLI，您可以與每個服務互動，以傳送適當的命令。您也可以使用 主控台，但您需要導覽至適當的服務主控台來完成特定任務。

您與多方核准的互動方式取決於您在組織中的角色和責任，以及您 AWS Backup 帳戶中的許可。

如[多方核准使用者指南](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html)所示，使用多方核准的組織成員可以是***申請者***、***管理員***或***核准***者。特定許可適用於每個[任務函數](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html)。根據安全最佳實務，使用者應該只完成一個任務函數。

 **主控台、入口網站和工作階段** 

AWS Backup 具有一或多個邏輯氣隙隔離保存庫的帳戶可以使用多方核准。

在多方核准程序之前，如果尚未設定次要組織，管理員會利用 AWS Organizations 來建立次要組織以進行復原 (**復原組織**)。

然後，管理員利用 AWS Resource Access Manager (RAM) 來設定主要組織與復原組織之間的跨組織共用。

**主要組織**是擁有並使用邏輯氣隙隔離保存庫的帳戶所在，該保存庫存放受保護的資料。

復原組織至少有一個**復原帳戶的**所在位置。此帳戶包含一個存取點，可做為共用邏輯氣隙隔離保存庫的關鍵「後門」。此存取點稱為**還原存取備份文件庫**。此存取文件庫不會存放資料；而是做為可鏡射來源邏輯氣隙隔離文件庫內容的存取或掛載點，但不包含可變更或刪除的資料。例如，如果客戶在還原存取備份文件庫中經歷復原點的還原程序，則它是邏輯氣隙隔離文件庫中的復原點，透過復原帳戶透過跨帳戶還原進行還原。

為了確保額外的安全性，客戶會使用此復原帳戶在主要帳戶中執行受保護的操作，但只有在相關[核准團隊在核准工作階段中](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources)核准這些操作之後。一旦傳送核准請求 AWS ，工作階段就會由 建立，當核准團隊成員的閾值核准或拒絕請求，或經過允許的工作階段時間時，該工作階段就會結束。

團隊由**核准者** （實際上是多方核准的*當事*方部分） 組成，他們會收到受保護操作請求的電子郵件通知。這些電子郵件確認請求的核准工作階段已開始。一旦達到所需的核准最低閾值，就會授予核准。此閾值可設定為建立**多方核准團隊** (「團隊」)。

多方核准團隊是透過 Organizations **多方核准入口網站** (「入口網站」) 進行管理，此 AWS 受管應用程式為身分提供一個集中的位置，核准團隊成員可以接收和回應核准團隊邀請和操作請求。