Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Aufgaben des Administrators
Für mehrere Aufgaben, die eine Multi-party Übersicht betrafen AWS Backup , war ein Benutzer mit Administratorberechtigungen und Zugriff auf das Verwaltungskonto erforderlich.
## Stellen Sie ein Genehmigungsteam zusammen
Ein Benutzer in Ihrer Organisation mit Administratorberechtigungen für ein AWS Konto muss die [ Multi-party Genehmigung einrichten](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (Schritt 3 in der [Übersicht](multipartyapproval.md#multipartyapproval-overview)).
Bevor Sie diesen Schritt ausführen, empfiehlt es sich als bewährte Methode, sowohl eine primäre Organisation als auch eine sekundäre Organisation (für Wiederherstellungszwecke) einzurichten AWS Organizations (Schritt 1 in der [Übersicht](multipartyapproval.md#multipartyapproval-overview)).
Informationen zur [Erstellung Ihres Teams finden Sie unter Erstellen eines Multi-party Genehmigungsteams](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) *im Genehmigungsbenutzerhandbuch*.
Während der [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)Operation ist einer der Parameter`policies`. Dies ist eine Liste von ARNs (Amazon Resource Names) für Multi-party Genehmigungsressourcenrichtlinien, die Berechtigungen zum Schutz des Teams definieren.
Die Richtlinie, die in dem Beispiel im *Multi-party Genehmigungsbenutzerhandbuch* im Verfahren [Ein Genehmigungsteam erstellen](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) dargestellt ist, enthält die Richtlinie `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` mit mehreren erforderlichen Berechtigungen.
Gehen Sie wie folgt vor, um eine Liste der verfügbaren Richtlinien zurückzugeben, indem Sie Folgendes verwenden`mpa list-policies`:
1. Richtlinien auflisten:
```
aws mpa list-policies --region us-east-1
```
1. Alle Richtlinienversionen auflisten:
```
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
```
1. Einzelheiten zu einer Richtlinie abrufen:
```
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
```
Weiter unten finden Sie die Richtlinie, die im Rahmen dieses Vorgangs erstellt und dann Ihrem Genehmigungsteam zugewiesen wird:
### Access Vault-Richtlinie wiederherstellen
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VaultOwnerPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"mpa:StartSession",
"mpa:CancelSession"
],
"Condition": {
"StringEquals": {
"mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
"mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}
```
------
## Teilen Sie ein Multi-party Genehmigungsteam mit AWS RAM
Mithilfe von [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), Schritt 4 in der [Übersicht](multipartyapproval.md#multipartyapproval-overview), können Sie ein Multi-party Genehmigungsteam mit anderen AWS Accounts teilen.
------
#### [ Console ]
**Teilen Sie ein Multi-party Genehmigungsteam mit AWS RAM**
1. Melden Sie sich bei der [AWS RAM -Konsole](https://console.aws.amazon.com/ram/home?region=us-east-1) an.
1. Wählen Sie im Navigationsbereich **Resource Shares** aus.
1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus.
1. Geben Sie im Feld **Name** einen aussagekräftigen Namen für Ihre Ressourcenfreigabe ein.
1. Wählen Sie unter **Ressourcentyp** im Dropdownmenü die Option **Multi-partyGenehmigungsteam** aus.
1. Wählen Sie unter **Ressourcen** das Genehmigungsteam aus, das Sie teilen möchten.
1. Geben Sie unter **Principals** die AWS Accounts an, mit denen Sie das Genehmigungsteam teilen möchten.
1. Um die Daten für bestimmte AWS Konten freizugeben, wählen Sie **AWS Konten** aus und geben Sie die 12-stelligen Konto-IDs ein.
1. Um Inhalte mit einer Organisation oder Organisationseinheit zu teilen, wählen Sie **Organisation** oder **Organisationseinheit** aus und geben Sie die entsprechende ID ein.
1. (*Optional*) Fügen Sie unter **Tags** alle Tags hinzu, die Sie dieser gemeinsamen Ressource zuordnen möchten.
1. Wählen Sie **Create resource share (Ressourcenfreigabe erstellen)** aus.
Der Status der Ressourcenfreigabe wird zunächst als angezeigt`PENDING`. Sobald die Empfängerkonten die Einladung annehmen, ändert sich der Status auf`ACTIVE`.
------
#### [ CLI ]
Verwenden Sie die folgenden Befehle, um ein Multi-party Genehmigungsteam AWS RAM über die CLI gemeinsam zu nutzen:
Identifizieren Sie zunächst den ARN des Genehmigungsteams, das Sie teilen möchten:
```
aws mpa list-approval-teams --region {{us-east-1}}
```
Erstellen Sie mit dem Befehl create-resource-share eine Ressourcenfreigabe:
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:{{us-east-1}}:{{ACCOUNT_ID}}:approval-team/{{TEAM_ID}}" \
--principals "{{ACCOUNT_ID_TO_SHARE_WITH}}" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region {{us-east-1}}
```
So teilen Sie Inhalte mit einer Organisation statt mit bestimmten Konten:
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:{{us-east-1}}:{{ACCOUNT_ID}}:approval-team/{{TEAM_ID}}" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region {{us-east-1}}
```
Prüfen Sie den Status Ihrer gemeinsam genutzten Ressource:
```
aws ram get-resource-shares \
--resource-owner SELF \
--region {{us-east-1}}
```
Die Empfängerkonten müssen die Einladung zur gemeinsamen Nutzung von Ressourcen annehmen:
```
aws ram get-resource-share-invitations --region {{us-east-1}}
```
Führen Sie das Empfängerkonto aus, um eine Einladung anzunehmen:
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:{{REGION}}:{{ACCOUNT_ID}}:resource-share-invitation/{{INVITATION_ID}}" \
--region {{us-east-1}}
```
Sobald die Einladung angenommen wurde, steht das Multi-party Genehmigungsteam im Empfängerkonto zur Verfügung.
------
AWS bietet Tools zur gemeinsamen Nutzung des Kontozugriffs, auch durch [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)und durch [Multi-party Zugriff](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Wenn Sie sich dafür entscheiden, einen Tresor mit logischem Air-Gap gemeinsam mit einem anderen Konto zu nutzen, sollten Sie die folgenden Details berücksichtigen:
| Feature | AWS RAM basiertes Teilen | Multi-party genehmigungsbasierter Zugriff |
| --- | --- | --- |
| Zugriff auf Tresore mit logischem Air-Gap | Sobald die gemeinsame Nutzung des RAM abgeschlossen ist, kann auf die Tresore zugegriffen werden. | Jeder Versuch mit einem anderen Konto muss von einer bestimmten Anzahl von Mitgliedern des Multi-party Genehmigungsteams genehmigt werden. Die Genehmigungssitzung läuft automatisch 24 Stunden nach der Initiierung der Anfrage ab. |
| Entfernung des Zugriffs | Das Konto, dem der Tresor mit logischem Air-Gap gehört, kann die RAM-basierte gemeinsame Nutzung jederzeit beenden. | Der Zugriff auf einen Tresor kann nur durch eine Anfrage an das Multi-party Genehmigungsteam entzogen werden. |
| Zwischen Konten und and/or Regionen kopieren | Wird derzeit nicht unterstützt. | Backups können innerhalb desselben Kontos oder mit anderen Konten in derselben Organisation wie das Wiederherstellungskonto kopiert werden. |
| Cross-Region Abrechnung übertragen | | Cross-Region Überweisungen werden demselben Konto in Rechnung gestellt, dem der Backup-Tresor mit Wiederherstellungszugriff gehört. |
| Empfohlene Verwendung | Es wird hauptsächlich für die Wiederherstellung nach Datenverlust und für Wiederherstellungstests verwendet. | Hauptsächlich wird es in Situationen verwendet, in denen der Verdacht besteht, dass der Kontozugriff oder die Sicherheit gefährdet sind. |
| Regionen | Verfügbar in allen Bereichen, in AWS-Regionen denen Tresore mit logischem Air-Gap unterstützt werden. | Verfügbar in allen Bereichen, in AWS-Regionen denen Tresore mit logischem Air-Gap unterstützt werden. |
| Wiederherstellungen | Alle unterstützten Ressourcentypen können von einem gemeinsamen Konto aus wiederhergestellt werden. | Alle unterstützten Ressourcentypen können von einem gemeinsamen Konto aus wiederhergestellt werden. |
| Einrichtung | Die gemeinsame Nutzung kann erfolgen, sobald das AWS Backup Konto die RAM-Sharing eingerichtet hat und das Empfängerkonto die gemeinsame Nutzung akzeptiert. | Für die gemeinsame Nutzung muss das Verwaltungskonto zuerst ein Team erstellen und dann die RAM-Sharing einrichten. Anschließend stimmt das Verwaltungskonto der Multi-party Genehmigung zu und weist das Team einem Tresor mit logischem Air-Gap zu. |
| Teilen | Die gemeinsame Nutzung erfolgt über RAM innerhalb derselben AWS Organisation oder zwischen AWS Organisationen.
Der Zugriff wird nach dem „Push“ -Modell gewährt, bei dem das Konto, dem der Tresor mit logischem Air-Gap gehört, zuerst Zugriff gewährt. Dann akzeptiert das andere Konto den Zugriff. | Der Zugriff auf einen Tresor mit logischem Air-Gap erfolgt über von Organizations unterstützte Genehmigungsteams innerhalb derselben AWS Organisation oder organisationsübergreifend.
Der Zugriff wird nach dem „Pull“ -Modell gewährt, bei dem das empfangende Konto zuerst Zugriff anfordert und dann das Genehmigungsteam die Anfrage gewährt oder ablehnt. |