如何通过多方审批团队在 AWS Backup 中创建逻辑上受物理隔离的保管库？

解决方法

设置多方审批并创建您的审批团队

完成以下步骤：

1. 激活 AWS IAM Identity Center 实例。
2. 打开 AWS Organizations 控制台。
3. 在导航窗格中，选择 Multi-party approval（多方审批），然后选择 Set up multi-party approval（设置多方审批）。
4. 选择您的 IAM Identity Center 实例，然后选择 Complete setup（完成设置）。
5. 在 Multi-party approval（多方审批）页面的 Approval teams（审批团队）部分中，选择 Create team（创建团队）。
6. 对于 Name（名称），输入您的审批团队名称，对于 Description（描述），输入您的团队的描述。
7. 选择 Add approvers（添加审批者）。在 Assign users（分配用户）对话框中，选择要分配的用户，然后选择 Done（完成）。
   **注意：**您的审批团队必须至少包含 3 个审批者，最多可包含 20 个审批者。
8. 对于 Minimum required approvals（所需的最低审批次数），输入至少两个审批者。
9. 选择 Create team（创建团队）。

Organizations 会向您的审批团队中的用户发送电子邮件邀请。如果您的所有用户都接受了邀请，则审批团队将变为活动状态。如果至少有一个审批者拒绝了邀请，则审批团队将处于非活动状态。邀请将在 24 小时后过期。

**重要事项：**请提醒您审批团队中的用户接受他们的邀请。要接受邀请，用户必须以 AWS Identity and Access Management (IAM) 用户身份登录 AWS 管理控制台。

与您的逻辑上受物理隔离的保管库账户共享您的多方审批团队

完成以下步骤：

1. 打开 AWS Organizations 控制台。
2. 在导航窗格中，选择 Multi-party-approval（多方审批）。
3. 在 Approval teams（审批团队）部分中，选择 Manage sharing（管理共享）。这将打开 AWS Resource Access Manager (AWS RAM) 控制台。
4. 在 Resource shares（资源共享）部分中，选择 Create resource share（创建资源共享）。
5. 在 Specify resource share details（指定资源共享详细信息）页面的 Resource share name（资源共享名称）部分中，对于 Name（名称），输入您的资源共享的名称。
6. 在 Resources（资源）部分中，选择 Multi-Party Approval Team（多方审批团队）。
7. 选择显示的新团队的 Amazon 资源名称 (ARN)，然后选择 Next（下一步）。
8. 在 Associate managed permissions（关联托管式权限）页面上，选择默认的 AWSMultiPartyApprovalDefaultPermission，然后选择 Next（下一步）。
   **注意：**要创建您自己的权限（例如列出、读取或写入权限），请选择 Create customer managed permissions（创建客户托管式权限）。
9. 在 Principals（主体）部分中，对于 Select principal type（选择主体类型），选择当前托管您的逻辑上受物理隔离的保管库的 AWS 账户或组织。然后，输入账户 ID 或您组织的 ID。
10. 选择 Next（下一步），然后选择 Create resource share（创建资源共享）。

相关信息

AWS Backup adds new Multi-party approval for logically air-gapped vaults（AWS Backup 为逻辑上受物理隔离的保管库新增了多方审批功能）

Improve recovery resilience with AWS Backup support for Multi-party approval（借助 AWS Backup 对多方审批的支持，提升恢复弹性）

逻辑上受物理隔离的保管库

What is Multi-party approval?（什么是多方审批？）