管理员任务

一些涉及 Amazon Backup 和多方概述的任务需要具有管理员权限和管理账户访问权限的用户。

创建审批团队

贵组织中拥有 Amazon 账户管理员权限的用户需要设置多方批准（概述中的步骤 3）。

在执行此步骤之前，建议的最佳实践是通过 Amazon Organizations 设置主组织和辅助组织（用于恢复目的）（概述中的第 1 步）。

要创建团队，请参阅《多方审批用户指南》中的创建审批团队。

在 aws mpa create-approval-team 操作过程中，其中一个参数是 policies。这是多方批准资源策略的 ARNs （Amazon 资源名称）列表，这些策略定义了保护团队的权限。

《多方审批用户指南》中的创建审批团队步骤中的示例显示的策略包含具有多个必要权限的策略 ["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]。

按照以下步骤使用 mpa list-policies 返回可用策略列表：

列出策略：


aws mpa list-policies --region us-east-1

列出所有策略版本：


aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1

获取有关策略的详细信息：


aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1

展开下方，查看此操作将创建并附加到审批团队的策略：

您可以使用 Amazon Resource Access Manager (RAM) 概述中的步骤 4 与其他 Amazon 账户共享多方审批团队。

Console

使用共享多方审批团队 Amazon RAM

登录 Amazon RAM 控制台。
在导航窗格中，选择资源共享。
选择创建资源共享。
对于名称字段，输入资源共享的描述性名称。
在资源类型下，从下拉菜单中选择多方审批团队。
在资源下，选择要共享的审批团队。
在 “委托人” 下，指定要与之共享审批团队的 Amazon 账户。
要与特定 Amazon 账户共享，请选择Amazon 账户并输入 12 位数的账户 IDs。
要与组织或组织单元共享，请选择组织或组织单元并输入相应的 ID。
（可选）在标签下，添加要与此资源共享关联的所有标签。
选择创建资源共享。

资源共享状态最初将显示为 PENDING。接收方账户接受邀请后，状态将更改为 ACTIVE。

CLI

要 Amazon RAM 通过 CLI 共享多方审批团队，请使用以下命令：

首先，确定要共享的审批团队的 ARN：


aws mpa list-approval-teams --region us-east-1

使用 create-resource-share以下命令创建资源共享：


aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1

要与组织而不是特定账户共享，请执行以下操作：


aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1

检查资源共享的状态：


aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1

接收方账户需要接受资源共享邀请：


aws ram get-resource-share-invitations --region us-east-1

在接收方账户中运行以接受邀请：


aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1

接受邀请后，多方审批团队即可在接收方账户中使用。

Amazon 提供共享账户访问权限的工具，包括通过Amazon Resource Access Manager和多方访问权限。当您选择与其他账户共享逻辑上受物理隔离的保管库时，请考虑以下细节：

功能	Amazon RAM 基于共享	基于多方审批的访问
访问逻辑上受物理隔离的保管库	RAM 共享完成后，便可以访问保管库。	其他账户的任何尝试都必须获得一定数量的多方审批团队成员的批准。审批会话将在请求启动 24 小时后自动过期。
访问权限移除	拥有逻辑上受物理隔离的保管库的账户可以随时结束基于 RAM 的共享。	要移除对保管库的访问权限，唯一的方法是向多方审批团队发送请求。
跨账户复制 and/or 区域	当前不支持。	可以在与恢复账户相同的账户或相同的组织中的其他账户中复制备份。
跨区域传输账单		亚马逊向拥有恢复访问权限备份保管库的同一账户开具跨区域传输账单。
建议用途	主要用于数据丢失恢复和还原测试。	主要用于怀疑账户访问权限或安全性受到威胁的情况。
区域	在所有支持逻辑气隙保管库 Amazon Web Services 区域的地方都可用。	在所有支持逻辑气隙保管库 Amazon Web Services 区域的地方都可用。
恢复	所有支持的资源类型都可以从共享账户中还原。	所有支持的资源类型都可以从共享账户中还原。
设置	只要 Amazon Backup 账户设置了 RAM 共享并且接收账户接受共享，就可以进行共享。	要进行共享，需要管理账户先创建团队，然后设置 RAM 共享。然后，管理账户选择加入多方审批，并将该团队分配到逻辑上受物理隔离的保管库。
共享	共享是通过 RAM 在同一个 Amazon 组织内或跨 Amazon 组织完成的。访问权限是根据“推送”模型授予的，即拥有逻辑上受物理隔离的保管库的账户先授予访问权限。然后，其他账户接受访问权限。	通过同一 Amazon 组织内或跨组织的 Organizations 支持的审批团队可以访问逻辑上空隙的保管库。访问权限是根据“拉取”模型授予的，即接收账户先请求访问权限，然后审批团队批准或拒绝请求。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

逻辑上受物理隔离的保管库的多方审批

请求者任务