Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tâches de l'administrateur
Plusieurs tâches impliquant AWS Backup une vue d'ensemble multipartite nécessitaient un utilisateur disposant d'autorisations d'administrateur et d'un accès au compte de gestion.
## Création d'une équipe d'approbation
Un utilisateur de votre organisation disposant d'autorisations d'administrateur pour un AWS compte doit [configurer l'approbation multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (étape 3 de l'[aperçu](multipartyapproval.md#multipartyapproval-overview)).
Avant de procéder à cette étape, il est recommandé, à titre de bonne pratique, de configurer à la fois une organisation principale et une organisation secondaire (à des fins de restauration) AWS Organizations (étape 1 de la section [Vue d'ensemble](multipartyapproval.md#multipartyapproval-overview)).
Consultez la section [Créer une équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) dans le *guide de l'utilisateur de l'approbation multipartite* pour créer votre équipe.
Pendant l'[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)opération, l'un des paramètres est`policies`. Voici une liste de ARNs (Amazon Resource Names) pour les politiques de ressources d'approbation multipartites qui définissent les autorisations qui protègent l'équipe.
La politique présentée dans l'exemple du *Guide de l'utilisateur de l'approbation multipartite* dans la procédure [Créer une équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) contient la politique `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` avec plusieurs autorisations nécessaires.
Procédez comme suit pour renvoyer une liste des politiques disponibles en utilisant `mpa list-policies` :
1. Politiques de liste :
```
aws mpa list-policies --region us-east-1
```
1. Répertoriez toutes les versions des politiques :
```
aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
```
1. Obtenez des informations sur une politique :
```
aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
```
Développez ci-dessous pour voir la politique qui sera créée puis attachée à votre équipe d'approbation par cette opération :
### Restaurer la politique du coffre d'accès
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VaultOwnerPermissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"mpa:StartSession",
"mpa:CancelSession"
],
"Condition": {
"StringEquals": {
"mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
"mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
}
]
}
```
------
## Partagez une équipe d'approbation multipartite à l'aide de AWS RAM
Vous pouvez partager une équipe d'approbation multipartite avec d'autres AWS comptes en utilisant [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), étape 4 de l'[aperçu](multipartyapproval.md#multipartyapproval-overview).
------
#### [ Console ]
**Partagez une équipe d'approbation multipartite à l'aide de AWS RAM**
1. Connectez-vous à la [console AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1).
1. Dans le volet de navigation, sélectionnez **Resource shares**.
1. Choisissez **Créer une ressource**.
1. Dans le champ **Nom**, entrez un nom descriptif pour votre partage de ressources.
1. Sous **Type de ressource**, sélectionnez **Équipe d'approbation multipartite** dans le menu déroulant.
1. Sous **Ressources**, sélectionnez l'équipe d'approbation que vous souhaitez partager.
1. Sous **Principaux**, spécifiez les AWS comptes avec lesquels vous souhaitez partager l'équipe d'approbation.
1. Pour partager avec des AWS comptes spécifiques, sélectionnez **AWS des comptes** et saisissez le compte IDs à 12 chiffres.
1. Pour partager avec une organisation ou une unité organisationnelle, sélectionnez **Organisation** ou **unité organisationnelle** et entrez l'ID approprié.
1. (*Facultatif*) Sous **Balises**, ajoutez les balises que vous souhaitez associer à ce partage de ressources.
1. Choisissez **Créer une ressource**.
L'état du partage des ressources s'affichera initialement sous la forme`PENDING`. Une fois que les comptes destinataires auront accepté l'invitation, le statut passera à`ACTIVE`.
------
#### [ CLI ]
Pour partager une équipe d'approbation multipartite AWS RAM via la CLI, utilisez les commandes suivantes :
Tout d'abord, identifiez l'ARN de l'équipe d'approbation que vous souhaitez partager :
```
aws mpa list-approval-teams --region us-east-1
```
Créez un partage de ressources à l'aide de la create-resource-share commande :
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```
Pour partager avec une organisation plutôt qu'avec des comptes spécifiques, procédez comme suit :
```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```
Vérifiez l'état de votre partage de ressources :
```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```
Le ou les comptes du destinataire devront accepter l'invitation au partage des ressources :
```
aws ram get-resource-share-invitations --region us-east-1
```
Exécutez dans le compte du destinataire pour accepter une invitation :
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```
Une fois l'invitation acceptée, l'équipe d'approbation multipartite sera disponible sur le compte du destinataire.
------
AWS propose des outils pour partager l'accès aux comptes, y compris l'accès par le biais [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)et l'[accès multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Lorsque vous choisissez de partager un coffre-fort isolé de manière logique avec un autre compte, tenez compte des informations suivantes :
| Fonctionnalité | AWS RAM partage basé | Accès basé sur l'approbation de plusieurs parties |
| --- | --- | --- |
| Accès à des coffres-forts à espacement logique | Une fois le partage de RAM terminé, les coffres-forts sont accessibles. | Toute tentative effectuée par un autre compte doit être approuvée par un certain nombre de membres de l'équipe d'approbation multipartite. La session d'approbation expire automatiquement 24 heures après le lancement de la demande. |
| Suppression de l'accès | Le compte propriétaire du coffre-fort logiquement espacé peut mettre fin au partage basé sur la RAM à tout moment. | L'accès à un coffre-fort ne peut être supprimé que sur demande adressée à l'équipe d'approbation multipartite. |
| Copier entre les comptes et and/or les régions | Cette option n'est pas prise en charge actuellement. | Les sauvegardes peuvent être copiées dans le même compte ou avec d'autres comptes de la même organisation que le compte de restauration. |
| Facturation des transferts entre régions | | Les transferts entre régions sont facturés sur le même compte qui possède le coffre de sauvegarde de l'accès à la restauration. |
| Usage recommandé | Il est principalement utilisé pour la récupération des données perdues et pour les tests de restauration. | Il est principalement utilisé dans les situations où l'accès ou la sécurité du compte sont soupçonnés d'être compromis. |
| Régions | Disponible partout Régions AWS où des coffres-forts à espacement d'air logique sont pris en charge. | Disponible partout Régions AWS où des coffres-forts à espacement d'air logique sont pris en charge. |
| Restaure | Tous les types de ressources pris en charge peuvent être restaurés à partir d'un compte partagé. | Tous les types de ressources pris en charge peuvent être restaurés à partir d'un compte partagé. |
| Configuration | Le partage peut avoir lieu dès que le AWS Backup compte configure le partage de RAM et que le compte destinataire accepte le partage. | Le partage nécessite que le compte de gestion crée d'abord une équipe, puis configure le partage de RAM. Ensuite, le compte de gestion opte pour l'approbation multipartite et assigne cette équipe à un coffre-fort isolé de manière logique. |
| Partage | Le partage s'effectue par le biais de la RAM au sein d'une même AWS organisation ou entre AWS organisations. L'accès est accordé selon le modèle « push », dans lequel le compte propriétaire du coffre-fort logiquement espacé accorde d'abord l'accès. Ensuite, l'autre compte accepte l'accès. | L'accès à un coffre-fort isolé de manière logique se fait par le biais des équipes d'approbation soutenues par les organisations au sein de la même AWS organisation ou de plusieurs organisations. L'accès est accordé selon le modèle « pull », selon lequel le compte destinataire demande d'abord l'accès, puis l'équipe d'approbation accepte ou refuse la demande. |