Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Multi-party Genehmigung für Tresore mit logischem Air-Gap
## Überblick über die Multi-party Genehmigung in einem Tresor mit logischen Zwischenräumen
AWS Backup bietet Ihnen die Möglichkeit, Ihren Tresoren mit logischem Air-Gap eine [Multi-party Genehmigung](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) AWS Organizations, also eine Funktion von, hinzuzufügen. Multi-party Die Genehmigung bietet eine zusätzliche Option, mit der kritische Abläufe durch einen verteilten Genehmigungsprozess geschützt werden können.
Multi-party Die Genehmigung soll dazu beitragen, wichtige Ressourcen zu schützen und die Zeit bis zur Wiederherstellung des vollen Betriebs zu minimieren, z. B. bei Störungen durch böswillige Akteure oder Malware-Ereignisse. Diese Konfiguration kann Ihnen helfen, den Inhalt eines Tresors mit logischem Air-Gap wiederherzustellen, der möglicherweise kompromittiert wurde.
[Es fallen keine zusätzlichen Kosten für die Integration und den Einsatz von Multi-party Genehmigungsteams mit Tresoren mit AWS Backup logischem Air-Gap an (es fallen Gebühren für Speicher und regionsübergreifende Übertragungen an, wie auf der Preisseite angegeben).](https://aws.amazon.com/backup/pricing)
Als AWS Backup Kunde können Sie die Multi-party Genehmigung verwenden, um einer Gruppe vertrauenswürdiger Personen Genehmigungsfunktionen für einige Operationen zu gewähren, die gemeinsam den Zugriff auf einen Tresor mit logischem Air-Gap von einem separat erstellten Wiederherstellungskonto aus genehmigen können, falls der Verdacht auf böswillige Aktivitäten besteht, die die Nutzung des Hauptkontos gefährden könnten.
In den folgenden Schritten wird der empfohlene Ablauf für die Einrichtung einer AWS Wiederherstellungsorganisation, die Einrichtung der Genehmigung und die anschließende Verwendung Multi-party der Multi-party Genehmigung mit Ihren Tresoren mit logischem Air-Gap beschrieben:
1. Ein Administrator [erstellt über Organizations eine neue Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html), die für Wiederherstellungsvorgänge verwendet wird.
1. *Im Verwaltungskonto dieser neuen Organisation erstellt und konfiguriert der Administrator eine IAM Identity Center (IDC) -Instanz (Informationen zur Aktivierung einer Organisationsinstanz finden Sie unter [Aktivieren von IAM Identity Center im IAM Identity Center-Benutzerhandbuch](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)).* *Weitere Informationen finden Sie im Genehmigungsbenutzerhandbuch in der Anleitung zur [Erstellung einer Multi-party Genehmigungsidentität](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html). Multi-party*
1. Der Administrator [erstellt dann ein Genehmigungsteam](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html), die Kerngruppe vertrauenswürdiger Personen, die die Hauptbenutzer von Multi-party Approval sein werden.
1. Der Administrator [teilt AWS RAM sich ein Genehmigungsteam](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) für jedes Konto, das einen Tresor mit logischem Air-Gap besitzt, sowie für das Wiederherstellungskonto, das Zugriff auf diesen Tresor beantragen muss.
1. Ein Administrator des Accounts, der den Tresor mit logischem Air-Gap besitzt, [ordnet](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team) den Tresor einem Genehmigungsteam zu.
1. Ein Wiederherstellungskonto [fordert Zugriff auf](multipartyapproval-tasks-requester.md#create-restore-access-vault) ein Konto an, das über einen Tresor mit logischem Air-Gap verfügt, dem ein Multi-party Genehmigungsteam („Team“) zugeordnet ist. Das dem Konto zugeordnete Team [genehmigt die Anfrage oder](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html) lehnt sie ab.
1. Der Administrator des Accounts, dem der Tresor mit logischem Air-Gap gehört, kann beantragen, dass das [Genehmigungsteam vom Tresor getrennt wird](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team). Für die Anfrage ist eine aktuelle Genehmigung durch das Team erforderlich.
1. Ein Administrator kann die [Mitglieder des Genehmigungsteams bei Bedarf entsprechend seinen Sicherheitspraktiken aktualisieren](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) oder wenn Personen Ihrer Organisation beitreten oder sie verlassen.
## Voraussetzungen und bewährte Methoden für die Verwendung von Multi-party Genehmigungsverfahren mit einem Tresor mit logischem Air-Gap
Bevor Sie Multi-party Approval mit Ihren Tresoren mit logischen Air-Gaps effektiv und sicher nutzen können, müssen zunächst einige Voraussetzungen und empfohlene bewährte Verfahren erfüllt sein.
**Bewährte Verfahren:**
+ Zwei (oder mehr) AWS Organizations über Organisationen. Eines sollte Ihre primäre Organisation sein, in der Sie über ein oder mehrere Konten verfügen, die über mindestens einen Tresor mit logischem Air-Gap verfügen. Die sekundäre Organisation sollte Ihre Wiederherstellungsorganisation sein. In dieser Organisation wird Ihr Genehmigungsteam für mehrere Parteien verwaltet.
**Voraussetzungen**
1. Sie haben die [ Multi-party Genehmigung eingerichtet](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) und verfügen über mindestens ein Genehmigungsteam.
1. Mindestens ein Konto in Ihrer primären Organisation muss über einen Tresor mit logischem Air-Gap (und den ursprünglichen Backup-Tresor) verfügen.
1. Für das Verwaltungskonto in der primären Organisation wurde die Genehmigung aktiviert. Multi-party
**Tipp**
AWS Backup empfiehlt, eine Service Control Policy (SCP) auf Ihre primäre Organisation anzuwenden und diese mit den entsprechenden Berechtigungen für die Organisation und jedes Genehmigungsteam zu konfigurieren. Ein Beispiel für eine Richtlinie finden Sie im Abschnitt mit den [Multi-party Genehmigungsbedingungen](#multipartyapproval-terms).
1. Ihr Multi-party Genehmigungsteam aus der sekundären Organisation (Wiederherstellung) wird sowohl AWS RAM mit Ihren [Konten geteilt](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram), die Eigentümer der Tresore mit logischem Air-Gap sind, als auch mit Ihren Wiederherstellungskonten.
## Cross-Region Überlegungen und Abhängigkeiten bei der Verwendung von Genehmigungen Multi-party
Wenn Sie die Multi-party Genehmigung und Ihre IAM Identity Center-Instanz in verschiedenen Regionen aktivieren, werden bei der Multi-party Genehmigung regionsübergreifende Aufrufe an IAM Identity Center weitergeleitet. Das bedeutet, dass Benutzer- und Gruppeninformationen zwischen den Regionen übertragen werden. Multi-party Genehmigungsteamressourcen können nur in AWS-Region USA Ost (Nord-Virginia) erstellt und gespeichert werden.
Ansonsten hängen AWS-Regionen die Ressourcen Multi-party des Genehmigungsteams von AWS-Region US East (Nord-Virginia) ab. Dementsprechend werden bei der Multi-party Genehmigung regionsübergreifende Anrufe getätigt, wenn sich Ihr Identity Center-Instance and/or logischerweise Air-Gap-Tresor nicht in USA Ost (Nord-Virginia) befindet.
## Multi-party Genehmigungsbedingungen, Konzepte und Benutzerpersönlichkeiten
Multi-party Die Genehmigung in Ihrem Tresor mit logischem Air-Gapped ist eine Integration von AWS Organizations, und AWS -Kontenverwaltung AWS Backup, zusammen mit AWS Identity and Access Management (IAM) - und AWS RAM (RAM) -Funktionen. Über die CLI können Sie mit jedem Dienst interagieren, um die entsprechenden Befehle zu senden. Sie können auch die Konsole verwenden, müssen jedoch zur Konsole des entsprechenden Dienstes navigieren, um bestimmte Aufgaben auszuführen.
Wie Sie mit der Multi-party Genehmigung umgehen, hängt von Ihren Rollen und Verantwortlichkeiten in Ihren Organisationen sowie von den Berechtigungen ab, die Sie in Ihren AWS Backup Konten haben.
***Wie im [Benutzerhandbuch für Multi-party Genehmigungen beschrieben, handelt](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html) es sich bei Mitgliedern Ihrer Organisation, die die Genehmigung durch mehrere Parteien verwenden, entweder um ***Antragsteller***, ***Administrator*** oder Genehmiger.*** [Für jede Jobfunktion gelten spezifische Berechtigungen.](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html) Gemäß den bewährten Sicherheitsmethoden sollte ein Benutzer nur eine Jobfunktion erfüllen.
**Konsolen, Portale und Sitzungen**
AWS Backup Für Konten mit einem oder mehreren Tresoren mit logischem Air-Gap kann eine Genehmigung durch mehrere Parteien erforderlich sein.
Vor dem Genehmigungsprozess durch mehrere Parteien erstellt ein Administrator für Wiederherstellungszwecke eine sekundäre Organisation (eine **Wiederherstellungsorganisation**), sofern noch keine solche eingerichtet wurde. AWS Organizations
Anschließend verwendet der Administrator AWS Resource Access Manager (RAM), um die organisationsübergreifende gemeinsame Nutzung zwischen der primären Organisation und der Wiederherstellungsorganisation einzurichten.
In der **primären Organisation befinden** sich Konten, die über einen Tresor mit logischem Air-Gap verfügen und diesen nutzen, in dem die geschützten Daten gespeichert werden.
**In der Wiederherstellungsorganisation gibt es mindestens ein Wiederherstellungskonto.** Dieses Konto beherbergt einen Zugriffspunkt, der als wichtige „Hintertür“ zum gemeinsam genutzten Tresor mit logischem Air-Gap dienen kann. **Dieser Zugriffspunkt wird als Backup-Tresor mit Wiederherstellungszugriff bezeichnet.** Dieser Access Vault speichert keine Daten, sondern dient als Zugriffs- oder Bereitstellungspunkt, der den Inhalt des Quell-Tresors mit logischem Air-Gap wiedergibt, aber keine Daten enthält, die geändert oder gelöscht werden können. Wenn ein Kunde beispielsweise den Wiederherstellungsprozess für einen Recovery Point in einem Backup-Tresor mit Wiederherstellungszugriff durchläuft, ist es der Recovery Point im Tresor mit logischem Air-Gap, der durch eine kontenübergreifende Wiederherstellung über das Wiederherstellungskonto wiederhergestellt wird.
Um zusätzliche Sicherheit zu gewährleisten, verwenden Kunden dieses Wiederherstellungskonto, um geschützte Vorgänge im Hauptkonto durchzuführen, jedoch erst, nachdem diese Vorgänge vom zugehörigen [Genehmigungsteam in einer Genehmigungssitzung genehmigt](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources) wurden. Eine Sitzung wird erstellt, AWS sobald eine Genehmigungsanfrage gesendet wurde. Diese Sitzung endet, wenn eine bestimmte Anzahl von Mitgliedern des Genehmigungsteams die Anfrage genehmigt oder ablehnt oder wenn die zulässige Sitzungszeit abgelaufen ist.
Ein Team besteht aus **Genehmigungsberechtigten** (also dem Teil der Multi-party Genehmigung durch die *Parteien*), die E-Mail-Benachrichtigungen über geschützte Vorgangsanfragen erhalten. Diese E-Mails bestätigen, dass eine Genehmigungssitzung für die Anfrage begonnen hat. Die Genehmigung wird erteilt, sobald die erforderliche Mindestgenehmigungsschwelle erreicht ist. Dieser Schwellenwert kann bei der Erstellung des **Genehmigungsteams mit mehreren Parteien** („Team“) festgelegt werden.
Multi-party Genehmigungsteams werden über das **Mehrparteien-Genehmigungsportal („Portal**“) der Organizations verwaltet, eine AWS verwaltete Anwendung, die Identitäten einen zentralen Ort bietet, an dem Mitglieder des Genehmigungsteams Einladungen und Betriebsanfragen des Genehmigungsteams empfangen und darauf antworten können.