Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Tareas del administrador
<a name="multipartyapproval-tasks-administrator"></a>

Varias tareas que implicaban AWS Backup una Multi-party visión general requerían que un usuario tuviera permisos de administrador y acceso a la cuenta de administración.

## Creación de un equipo de aprobación
<a name="create-multipartyapproval-team"></a>

Un usuario de tu organización con permisos de administrador para una AWS cuenta debe [configurar la Multi-party aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (paso 3 de la [descripción general](multipartyapproval.md#multipartyapproval-overview)).

Antes de realizar este paso, se recomienda configurar una organización principal y una secundaria (para la recuperación) en AWS Organizations (paso 1 de [Información general](multipartyapproval.md#multipartyapproval-overview)).

Consulte [Crear un equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) en la *guía del usuario de Multi-party aprobación* para crear su equipo.

Durante la operación [https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html), uno de los parámetros es `policies`. Esta es una lista de ARN (nombres de recursos de Amazon) para políticas de recursos de Multi-party aprobación que definen los permisos que protegen al equipo.

La política que se muestra en el ejemplo de la *Guía del usuario de Multi-party aprobación*, en el procedimiento [Crear un equipo de aprobación](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps), contiene la política `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` con varios permisos necesarios. 

Siga estos pasos para obtener una lista de las políticas disponibles mediante `mpa list-policies`:

1. Enumerar las políticas: 

   ```
   aws mpa list-policies --region us-east-1
   ```

1. Enumerar todas las versiones de las políticas: 

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. Obtener información detallada sobre una política: 

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

Amplíe la información siguiente para ver la política que se creará y luego se asociará al equipo de aprobación mediante esta operación:

### Restauración de la política de acceso al almacén
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## Comparta un equipo de Multi-party aprobación mediante AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

Puedes compartir un equipo de Multi-party aprobación con otras AWS cuentas mediante [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), paso 4 de la [descripción general](multipartyapproval.md#multipartyapproval-overview).

------
#### [ Console ]

**Comparta un equipo de Multi-party aprobación mediante AWS RAM**

1. Inicie sesión en la [consola de AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1).

1. En el panel de navegación, elija **Recursos compartidos**.

1. Elija **Crear recurso compartido**.

1. En el campo **Nombre**, introduzca un nombre descriptivo para el recurso compartido.

1. En **Tipo de recurso**, selecciona **Equipo de Multi-party aprobación** en el menú desplegable.

1. En **Recursos**, seleccione el equipo de aprobación que quiere compartir.

1. En **Directores**, especifique las AWS cuentas con las que quiere compartir el equipo de aprobación.

1. Para compartir con AWS cuentas específicas, selecciona las **AWS cuentas** e introduce los ID de cuenta de 12 dígitos.

1. Para compartir con una organización o unidad organizativa, seleccione **Organización** o **Unidad organizativa** e introduzca el ID correspondiente.

1. (*Opcional*) En **Etiquetas**, añada cualquier etiqueta que quiera asociar a este recurso compartido.

1. Elija **Crear recurso compartido**.

El estado del recurso compartido se mostrará inicialmente como `PENDING`. Cuando las cuentas del destinatario acepten la invitación, el estado cambiará a `ACTIVE`.

------
#### [ CLI ]

Para compartir un equipo de Multi-party aprobación AWS RAM mediante la CLI, utilice los siguientes comandos:

En primer lugar, identifique el ARN del equipo de aprobación que desee compartir:

```
aws mpa list-approval-teams --region {{us-east-1}}
```

Cree un recurso compartido con el comando create-resource-share:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:{{us-east-1}}:{{ACCOUNT_ID}}:approval-team/{{TEAM_ID}}" \
--principals "{{ACCOUNT_ID_TO_SHARE_WITH}}" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region {{us-east-1}}
```

Para compartir con una organización en lugar de con cuentas específicas, haga lo siguiente:

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:{{us-east-1}}:{{ACCOUNT_ID}}:approval-team/{{TEAM_ID}}" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region {{us-east-1}}
```

Compruebe el estado del recurso compartido:

```
aws ram get-resource-shares \
--resource-owner SELF \
--region {{us-east-1}}
```

Las cuentas del destinatario deberán aceptar la invitación para el uso compartido de un recurso:

```
aws ram get-resource-share-invitations --region {{us-east-1}}
```

Inicie sesión en la cuenta del destinatario para aceptar una invitación:

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:{{REGION}}:{{ACCOUNT_ID}}:resource-share-invitation/{{INVITATION_ID}}" \
--region {{us-east-1}}
```

Una vez aceptada la invitación, el equipo de Multi-party aprobación estará disponible para su uso en la cuenta del destinatario.

------

AWS ofrece herramientas para compartir el acceso a la cuenta, incluso a través [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)de [Multi-party ella](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Si decide compartir un almacén aislado lógicamente con otra cuenta, tenga en cuenta los siguientes detalles:


| Característica | AWS RAM compartición basada | Multi-party acceso basado en la aprobación | 
| --- | --- | --- | 
| Acceso a almacenes aislados lógicamente | Cuando se haya completado el uso compartido de RAM, se podrá acceder a los almacenes. | Cualquier intento realizado por una cuenta diferente debe ser aprobado por un número mínimo de miembros del equipo de Multi-party aprobación. La sesión de aprobación caduca automáticamente 24 horas después de que se inicie la solicitud. | 
| Retirada del acceso | La cuenta propietaria del almacén aislado lógicamente puede poner fin al uso compartido basado en RAM en cualquier momento. | El acceso a una bóveda solo se puede eliminar mediante una solicitud al equipo de Multi-party aprobación. | 
| Copia entre cuentas y and/or regiones. | No se admite actualmente. | Las copias de seguridad se pueden copiar en la misma cuenta o con otras cuentas de la misma organización que la cuenta de recuperación. | 
| Cross-Region transferir facturación |  | Cross-Region las transferencias se facturan a la misma cuenta propietaria del almacén de copias de seguridad con acceso a la restauración. | 
| Uso recomendado | El uso principal es para recuperar datos perdidos y para probar la restauración. | El uso principal es para situaciones en las que se sospecha que el acceso o la seguridad de la cuenta están comprometidos. | 
| Regiones | Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos lógicos. | Disponible en todos los Regiones de AWS lugares donde se admiten bóvedas con huecos de aire lógicos. | 
| Restaura | Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida. | Todos los tipos de recurso compatibles se pueden restaurar desde una cuenta compartida. | 
| Configuración | El uso compartido se puede realizar en cuanto la AWS Backup cuenta configure el uso compartido de RAM y la cuenta receptora lo acepte. | El uso compartido requiere que la cuenta de administración primero cree un equipo y, a continuación, configure el uso compartido de RAM. A continuación, la cuenta de administración opta por la Multi-party aprobación y asigna a ese equipo a una bóveda cerrada de forma lógica. | 
| Uso compartido | El uso compartido se realiza a través de la memoria RAM dentro de la misma AWS organización o entre organizaciones. AWS <br />El acceso se concede según el modelo “push”, en el que la cuenta propietaria del almacén aislado lógicamente primero concede el acceso. Luego, la otra cuenta acepta el acceso. | El acceso a una bóveda aislada de forma lógica se realiza a través de los equipos de aprobación apoyados por Organizations dentro de la misma AWS organización o entre organizaciones.<br />El acceso se concede siguiendo el modelo “pull”, en el que la cuenta receptora primero solicita el acceso y, a continuación, el equipo de aprobación concede o deniega la solicitud. |