本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 逻辑上受物理隔离的保管库的多方审批
<a name="multipartyapproval"></a>



## 逻辑上受物理隔离的保管库中的多方审批概述
<a name="multipartyapproval-overview"></a>

Amazon Backup 为您提供向逻辑隔绝的保管库添加[多方批准](https://docs.amazonaws.cn/mpa/latest/userguide/what-is.html)的选项，该功能来自于 Amazon Organizations逻辑隔绝的保管库。多方审批提供一个额外的选项，可通过分布式审批流程帮助保护关键操作。

多方审批旨在帮助保护关键资源，并最大限度地缩短恢复全面运行的时间，例如恶意行为者或恶意软件事件造成的中断。此设置可以帮助您还原可能已被损坏的逻辑上受物理隔离的保管库中的内容。

集成和结合使用多方审批团队与 Amazon Backup 逻辑上受物理隔离的保管库无需支付额外费用（如[定价](https://www.amazonaws.cn/backup/pricing)页面所示，亚马逊将收取存储和跨区域传输费用）。

作为 Amazon Backup 客户，您可以使用多方批准将某些操作的批准权限授予一组受信任的个人，如果怀疑存在可能影响主账户使用的恶意活动，他们可以协作批准从单独创建的恢复账户访问逻辑上空隙的保管库。

以下步骤概述了设置恢复 Amazon 组织，设置多方审批，然后结合使用多方审批和逻辑上受物理隔离的保管库的建议流程：

1. 管理员[通过 Organizations 创建一个新组织](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_getting-started.html)用于执行恢复操作。

1. 在这个新组织的管理账户中，管理员创建并配置一个 IAM Identity Center（IDC）实例（要启用组织实例，请参阅《IAM Identity Center 用户指南》**中的[启用 IAM Identity Center](https://docs.amazonaws.cn/singlesignon/latest/userguide/enable-identity-center.html)）。另请参阅《多方审批用户指南》**中的[创建多方审批身份源](https://docs.amazonaws.cn/mpa/latest/userguide/setting-up.html)，了解操作顺序。

1. 然后，管理员将[创建一个审批团队](https://docs.amazonaws.cn/mpa/latest/userguide/create-team.html)，这个核心小组由可信任的个人组成，他们将是多方审批的主要用户。

1. 管理员使用 Amazon RAM 与每个拥有逻辑上隔绝的保管库的账户以及需要请求访问该保管库的恢复账户[共享一个审批小组](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

1. 逻辑上存在气隙的保管库拥有账户的管理员[将该文件库与审批小组关联起来](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team)。

1. 恢复账户[请求访问](multipartyapproval-tasks-requester.md#create-restore-access-vault)一个账户，该账户的逻辑上受物理隔离的保管库与多方审批团队（简称“团队”）相关联。与该账户关联的团队[批准或拒绝请求](https://docs.amazonaws.cn/mpa/latest/userguide/respond-request.html)。

1. 拥有逻辑上受物理隔离的保管库的账户的管理员可以请求[取消审批团队与保管库的关联](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team)。请求需要当前团队的批准。

1. 管理员可以在必要时根据其安全实践或者在人员加入或离开组织时[更新审批团队成员资格](https://docs.amazonaws.cn/mpa/latest/userguide/update-team.html)。

## 结合使用多方审批和逻辑上受物理隔离的保管库的先决条件和最佳实践
<a name="multipartyapproval-prerequisites"></a>

您需要具备先决条件并遵循建议的最佳实践，才能有效且安全地结合使用多方审批和逻辑上受物理隔离的保管库。

**最佳实践：**
+ 通过 Organizations 创建两个（或更多） Amazon 组织。一个应该是主组织，在这个组织中，您的一个或多个账户拥有至少一个逻辑上受物理隔离的保管库。辅助组织应该是恢复组织。多方审批团队将在这个组织中进行管理。

**先决条件**

1. 您已[设置多方审批](https://docs.amazonaws.cn/mpa/latest/userguide/setting-up.html)，并且拥有至少一个审批团队。

1. 主组织中至少有一个账户必须拥有逻辑上受物理隔离的保管库（以及原始备份保管库）。

1. 主组织中的管理账户可以选择加入多方审批。
**提示**  
Amazon Backup 建议您将服务控制策略 (SCP) 应用于您的主要组织，并使用该组织和每个审批小组的相应权限对其进行配置。有关示例策略，请参阅[多方审批术语](#multipartyapproval-terms)部分。

1. 辅助（恢复）组织中的多方审批团队与拥有逻辑上受物理隔离的保管库的账户和恢复账户[通过 Amazon RAM共享](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram)。

## 使用多方审批时的跨区域注意事项和依赖项
<a name="multipartyapproval-cross-region"></a>

当您在不同的区域中启用多方审批和 IAM Identity Center 实例时，多方审批会跨区域调用 IAM Identity Center。这意味着用户和组信息会跨区域移动。多方审批团队资源只能 Amazon Web Services 区域 在美国东部（弗吉尼亚北部）创建和存储。

其他 Amazon Web Services 区域 参考多方审批团队资源的内容将取决于 Amazon Web Services 区域 美国东部（弗吉尼亚北部）。因此，如果您的 Identity Center 实例 and/or 逻辑上存在空隙的保管库不在美国东部（弗吉尼亚北部），则多方批准将进行跨区域调用。

## 多方审批术语、概念和用户角色
<a name="multipartyapproval-terms"></a>

逻辑上隔绝的保管库中的多方批准是 Amazon Organizations Amazon 账户管理 Amazon Backup、和以及 Amazon Identity and Access Management (IAM) 和 Amazon RAM (RAM) 功能的集成。通过 CLI，您可以与每项服务交互以发送相应的命令。您也可以使用控制台，但需要导航到相应服务的控制台才能完成特定任务。

您与多方批准的互动方式取决于您在组织中的角色和职责，以及您在 Amazon Backup 账户中拥有的权限。

如[《多方审批用户指南》](https://docs.amazonaws.cn/mpa/latest/userguide/what-is.html)中所示，组织中使用多方审批的成员可以是***请求者***、***管理员***或***审批者***。特定权限应用于各项[工作职能](https://docs.amazonaws.cn/mpa/latest/userguide/mpa-concepts.html)。根据安全最佳实践，用户只能履行一项工作职能。

 **控制台、门户和会话** 

Amazon Backup 拥有一个或多个逻辑空隙文件库的账户可以使用多方批准。

在多方批准流程之前，管理员会利用创建用于恢复目的的辅助组织（**恢复组织**）（前 Amazon Organizations 提是之前尚未建立此类组织）。

然后，管理员利用 Amazon Resource Access Manager (RAM) 在主组织和恢复组织之间建立跨组织共享。

**主组织**包含拥有并使用逻辑上受物理隔离的保管库（用于存储受保护的数据）的账户。

恢复组织包含至少一个**恢复账户**。该账户具有一个接入点，该接入点可以作为共享逻辑上受物理隔离的保管库的关键“后门”。该接入点称为**恢复访问权限备份保管库**。此访问权限保管库不存储数据，而是充当接入点或挂载点，用于针对源逻辑上受物理隔离的保管库的内容执行镜像操作，但不包含可以更改或删除的数据。例如，如果客户在恢复访问权限备份保管库中执行恢复点的还原过程，则逻辑上受物理隔离的保管库中的恢复点将通过恢复账户利用跨账户还原进行还原。

为了确保获得额外的安全保护，客户使用此恢复账户在主账户中执行受保护的操作，但前提是这些操作获得了[审批会话中的关联审批团队](https://docs.amazonaws.cn/mpa/latest/userguide/mpa-concepts.html#mpa-resources)的批准。会话是在批准请求发送 Amazon 后创建的，当批准团队成员达到批准或拒绝请求的阈值或允许的会话时间过后，该会话就会结束。

团队由**审批者**（实际上是多方审批的*各方*部分）组成，他们会收到有关受保护操作请求的电子邮件通知。这些电子邮件确认针对请求的审批会话已开始。一旦达到规定的所需最低批准人数，便会获得批准。可以在创建**多方审批团队**（简称“团队”）时设置此规定人数。

多方审批团队通过 Organizations **多方审批门户**（“门户”） Amazon 进行管理，该门户是一个托管应用程序，为身份提供一个集中的位置，审批团队成员可以在那里接收和回复审批小组的邀请和操作请求。