Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Approbation multipartite pour les coffres-forts à espacement logique
<a name="multipartyapproval"></a>



## Vue d'ensemble de l'approbation multipartite dans un coffre-fort hermétique
<a name="multipartyapproval-overview"></a>

AWS Backup vous offre la possibilité d'ajouter l'[approbation multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), une fonctionnalité provenant de AWS Organizations, à vos coffres-forts logiquement espacés. L'approbation multipartite fournit une option supplémentaire pour protéger les opérations critiques par le biais d'un processus d'approbation distribué. 

L'approbation multipartite est conçue pour aider à protéger les ressources critiques et à minimiser le délai de retour à une exploitation complète, par exemple en cas d'interruption causée par des acteurs malveillants ou des événements malveillants. Cette configuration peut vous aider à restaurer le contenu d'un coffre-fort logiquement isolé qui a peut-être été compromis.

[Il n'y a aucun coût supplémentaire pour intégrer et utiliser des équipes d'approbation multipartites dotées de coffres-forts AWS Backup hermétiques (des frais de stockage et de transferts entre régions s'appliquent, comme indiqué sur la page de tarification).](https://aws.amazon.com/backup/pricing)

En tant que AWS Backup client, vous pouvez utiliser l'approbation multipartite pour accorder la capacité d'approbation de certaines opérations à un groupe de personnes de confiance qui peuvent approuver de manière collaborative l'accès à un coffre-fort isolé à partir d'un compte de récupération créé séparément en cas d'activité malveillante présumée susceptible de compromettre l'utilisation du compte principal.

Les étapes suivantes décrivent le flux recommandé pour configurer une AWS organisation de reprise, configurer l'approbation multipartite, puis utiliser l'approbation multipartite avec vos coffres-forts logiquement séparés :

1. Un administrateur [crée une nouvelle organisation via Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) à utiliser pour les opérations de restauration.

1. Dans le compte de gestion de cette nouvelle organisation, l'administrateur crée et configure une instance IAM Identity Center (IDC) (pour activer une instance d'organisation, voir [Activer le centre d'identité IAM dans le guide de l'utilisateur de l'*IAM* Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center.html)). Consultez également la séquence de [création d'une source d'identité d'approbation multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) dans le Guide de l'*utilisateur de l'approbation multipartite*.

1. L'administrateur [créera ensuite une équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html), le groupe principal de personnes de confiance qui seront les principaux utilisateurs de l'approbation multipartite.

1. L'administrateur a l'habitude de AWS RAM [partager une équipe d'approbation](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) avec chaque compte propriétaire d'un coffre-fort logiquement isolé et avec le compte de récupération qui doit demander l'accès à ce coffre-fort.

1. Un administrateur du compte propriétaire du coffre-fort logiquement isolé [associe le coffre-fort à une équipe d'approbation](multipartyapproval-tasks-requester.md#associate-multipartyapproval-team).

1. Un compte de récupération [demande l'accès](multipartyapproval-tasks-requester.md#create-restore-access-vault) à un compte doté d'un coffre-fort logiquement isolé auquel est associée une équipe d'approbation multipartite (« équipe »). L'équipe associée au compte [approuve ou refuse la demande](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request.html).

1. L'administrateur du compte propriétaire du coffre-fort logiquement isolé peut demander que [l'équipe d'approbation soit dissociée du](multipartyapproval-tasks-requester.md#disassociate-multipartyapproval-team) coffre-fort. La demande nécessite l'approbation actuelle de l'équipe.

1. Un administrateur peut [mettre à jour la composition de l'équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/update-team.html) si nécessaire conformément à ses pratiques de sécurité ou lorsque des personnes rejoignent ou quittent votre organisation.

## Conditions préalables et meilleures pratiques pour utiliser l'approbation multipartite avec un coffre-fort hermétique
<a name="multipartyapproval-prerequisites"></a>

Avant de pouvoir utiliser efficacement et en toute sécurité l'approbation multipartite avec vos coffres-forts à espacement logique, il existe des conditions préalables et des meilleures pratiques recommandées.

**Bonnes pratiques :**
+ Deux organisations (ou plus) par le biais AWS d'Organizations. Il doit s'agir de votre organisation principale dans laquelle vous possédez un ou plusieurs comptes dotés d'au moins un coffre-fort logiquement isolé. L'organisation secondaire doit être votre organisation de reprise. C'est dans cette organisation que votre équipe d'approbation multipartite sera gérée.

**Conditions préalables**

1. Vous avez [configuré l'approbation multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) et disposez d'au moins une équipe d'approbation.

1. Au moins un compte de votre organisation principale doit disposer d'un coffre-fort isolé logiquement (et du coffre-fort de sauvegarde d'origine).

1. Le compte de gestion de l'organisation principale est activé pour l'approbation multipartite.
**Astuce**  
AWS Backup vous recommande d'appliquer une politique de contrôle des services (SCP) à votre organisation principale et de la configurer avec les autorisations appropriées pour l'organisation et pour chaque équipe d'approbation. Consultez la section [Conditions d'approbation multipartite](#multipartyapproval-terms) pour un exemple de politique.

1. Votre équipe d'approbation multipartite de l'organisation secondaire (de restauration) est [partagée à](multipartyapproval-tasks-administrator.md#share-multipartyapproval-team-using-ram) la fois AWS RAM avec vos comptes propriétaires du ou des coffres-forts séparés de manière logique et avec vos comptes de récupération.

## Considérations et dépendances entre régions lors de l'utilisation de l'approbation multipartite
<a name="multipartyapproval-cross-region"></a>

Lorsque vous activez l'approbation multipartite et votre instance IAM Identity Center dans différentes régions, l'approbation multipartite permet d'appeler IAM Identity Center dans toutes les régions. Cela signifie que les informations relatives aux utilisateurs et aux groupes sont transférées d'une région à l'autre. Approbation multipartite Les ressources de l'équipe ne peuvent être créées et stockées que dans l'est des Région AWS États-Unis (Virginie du Nord).

Les autres ressources Régions AWS faisant référence à des équipes d'approbation multipartites dépendront de l'est des Région AWS États-Unis (Virginie du Nord). En conséquence, l'approbation multipartite effectuera des appels interrégionaux si votre instance Identity Center and/or logiquement isolée ne se trouve pas dans l'est des États-Unis (Virginie du Nord).

## Termes d'approbation multipartites, concepts et profils d'utilisateurs
<a name="multipartyapproval-terms"></a>

L'approbation multipartite dans votre coffre-fort logiquement espacé est une intégration des AWS Organizations fonctionnalités Gestion des identités et des accès AWS (IAM) et AWS Backup(RAM) et AWS RAM (RAM). Gestion de compte AWS Grâce à la CLI, vous pouvez interagir avec chaque service pour envoyer les commandes appropriées. Vous pouvez également utiliser la console, mais vous devrez accéder à la console du service approprié pour effectuer des tâches spécifiques.

La manière dont vous interagissez avec l'approbation multipartite dépend de vos rôles et responsabilités au sein de vos organisations, ainsi que des autorisations dont vous disposez dans vos AWS Backup comptes. 

***Comme indiqué dans le [Guide de l'utilisateur de l'approbation multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/what-is.html), les membres de votre organisation qui utilisent l'approbation multipartite seront soit ***demandeurs, ***administrateurs******, soit approbateurs.*** Des autorisations spécifiques s'appliquent à [chaque fonction](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html). Conformément aux meilleures pratiques de sécurité, un utilisateur ne doit remplir qu'une seule fonction.

 **Consoles, portails et sessions** 

AWS Backup les comptes dotés d'un ou de plusieurs coffres-forts séparés de manière logique peuvent faire l'objet d'une approbation multipartite.

Avant le processus d'approbation multipartite, un administrateur crée une organisation secondaire AWS Organizations à des fins de reprise (une organisation de **reprise) si aucune organisation** n'a été configurée auparavant.

L'administrateur utilise ensuite AWS Resource Access Manager (RAM) pour configurer le partage interorganisationnel entre l'organisation principale et l'organisation de reprise.

L'**organisation principale** héberge des comptes qui possèdent et utilisent un coffre-fort logiquement isolé dans lequel sont stockées les données protégées.

L'organisation de recouvrement héberge au moins un **compte de recouvrement**. Ce compte héberge un point d'accès qui peut servir de « porte dérobée » essentielle au coffre-fort partagé logiquement séparé. Ce point d'accès est appelé **coffre de sauvegarde pour l'accès à la restauration**. Ce coffre d'accès ne stocke pas de données ; il sert plutôt de point d'accès ou de montage qui reflète le contenu du coffre-fort source logiquement espacé, mais ne contient aucune donnée pouvant être modifiée ou supprimée. Par exemple, si un client suit le processus de restauration d'un point de restauration dans un coffre-fort de sauvegarde avec accès à la restauration, c'est le point de restauration situé dans le coffre-fort isolé de manière logique qui est restauré par le biais d'une restauration entre comptes via le compte de récupération.

Pour garantir une sécurité accrue, les clients utilisent ce compte de récupération pour effectuer des opérations protégées sur le compte principal, mais uniquement après que ces opérations ont été approuvées par l'[équipe d'approbation associée lors d'une session d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/mpa-concepts.html#mpa-resources). Une session est créée une AWS fois qu'une demande d'approbation a été envoyée, et cette session se termine lorsqu'un seuil de membres de l'équipe d'approbation approuve ou refuse la demande ou lorsque le temps de session autorisé est dépassé. 

Une équipe est composée d'**approbateurs** (en fait, la partie de l'approbation multipartite réservée *aux parties*) qui reçoivent des notifications par e-mail concernant les demandes d'opérations protégées. Ces e-mails confirment qu'une session d'approbation a commencé pour la demande. L'approbation est accordée une fois que le seuil d'approbation minimum requis est atteint. Ce seuil peut être défini lors de la création de **l'équipe d'approbation multipartite** (« Équipe »).

Les équipes d'approbation multipartites sont gérées via le **portail d'approbation multipartite** des Organisations (« portail »), une application AWS gérée qui fournit aux identités un emplacement centralisé où les membres de l'équipe d'approbation peuvent recevoir et répondre aux invitations des équipes d'approbation et aux demandes d'opérations.

# Tâches de l'administrateur
<a name="multipartyapproval-tasks-administrator"></a>

Plusieurs tâches impliquant AWS Backup une vue d'ensemble multipartite nécessitaient un utilisateur disposant d'autorisations d'administrateur et d'un accès au compte de gestion.

## Création d'une équipe d'approbation
<a name="create-multipartyapproval-team"></a>

Un utilisateur de votre organisation disposant d'autorisations d'administrateur pour un AWS compte doit [configurer l'approbation multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/setting-up.html) (étape 3 de l'[aperçu](multipartyapproval.md#multipartyapproval-overview)).

Avant de procéder à cette étape, il est recommandé, à titre de bonne pratique, de configurer à la fois une organisation principale et une organisation secondaire (à des fins de restauration) AWS Organizations (étape 1 de la section [Vue d'ensemble](multipartyapproval.md#multipartyapproval-overview)).

Consultez la section [Créer une équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) dans le *guide de l'utilisateur de l'approbation multipartite* pour créer votre équipe.

Pendant l'[https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html](https://docs.aws.amazon.com/mpa/latest/APIReference/API_CreateApprovalTeam.html)opération, l'un des paramètres est`policies`. Voici une liste de ARNs (Amazon Resource Names) pour les politiques de ressources d'approbation multipartites qui définissent les autorisations qui protègent l'équipe.

La politique présentée dans l'exemple du *Guide de l'utilisateur de l'approbation multipartite* dans la procédure [Créer une équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/create-team.html#create-team-steps) contient la politique `["arn:aws:mpa::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault"]` avec plusieurs autorisations nécessaires. 

Procédez comme suit pour renvoyer une liste des politiques disponibles en utilisant `mpa list-policies` :

1. Politiques de liste : 

   ```
   aws mpa list-policies --region us-east-1
   ```

1. Répertoriez toutes les versions des politiques : 

   ```
   aws mpa list-policy-versions --policy-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault --region us-east-1
   ```

1. Obtenez des informations sur une politique : 

   ```
   aws mpa get-policy-version --policy-version-arn arn:aws:mpa:::aws:policy/backup.amazonaws.com/CreateRestoreAccessVault/1 --region us-east-1
   ```

Développez ci-dessous pour voir la politique qui sera créée puis attachée à votre équipe d'approbation par cette opération :

### Restaurer la politique du coffre d'accès
<a name="restoreaccessvaultpolicy"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VaultOwnerPermissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "mpa:StartSession",
        "mpa:CancelSession"
      ],
      "Condition": {
        "StringEquals": {
          "mpa:RequestedOperation": "backup:RevokeRestoreAccessBackupVault",
          "mpa:ProtectedResourceAccount": "${aws:PrincipalAccount}"
        },
        "Bool": {
          "aws:ViaAWSService": "true"
        }
      }
    }
  ]
}
```

------

## Partagez une équipe d'approbation multipartite à l'aide de AWS RAM
<a name="share-multipartyapproval-team-using-ram"></a>

Vous pouvez partager une équipe d'approbation multipartite avec d'autres AWS comptes en utilisant [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html), étape 4 de l'[aperçu](multipartyapproval.md#multipartyapproval-overview).

------
#### [ Console ]

**Partagez une équipe d'approbation multipartite à l'aide de AWS RAM**

1. Connectez-vous à la [console AWS RAM](https://console.aws.amazon.com/ram/home?region=us-east-1).

1. Dans le volet de navigation, sélectionnez **Resource shares**.

1. Choisissez **Créer une ressource**.

1. Dans le champ **Nom**, entrez un nom descriptif pour votre partage de ressources.

1. Sous **Type de ressource**, sélectionnez **Équipe d'approbation multipartite** dans le menu déroulant.

1. Sous **Ressources**, sélectionnez l'équipe d'approbation que vous souhaitez partager.

1. Sous **Principaux**, spécifiez les AWS comptes avec lesquels vous souhaitez partager l'équipe d'approbation.

1. Pour partager avec des AWS comptes spécifiques, sélectionnez **AWS des comptes** et saisissez le compte IDs à 12 chiffres.

1. Pour partager avec une organisation ou une unité organisationnelle, sélectionnez **Organisation** ou **unité organisationnelle** et entrez l'ID approprié.

1. (*Facultatif*) Sous **Balises**, ajoutez les balises que vous souhaitez associer à ce partage de ressources.

1. Choisissez **Créer une ressource**.

L'état du partage des ressources s'affichera initialement sous la forme`PENDING`. Une fois que les comptes destinataires auront accepté l'invitation, le statut passera à`ACTIVE`.

------
#### [ CLI ]

Pour partager une équipe d'approbation multipartite AWS RAM via la CLI, utilisez les commandes suivantes :

Tout d'abord, identifiez l'ARN de l'équipe d'approbation que vous souhaitez partager :

```
aws mpa list-approval-teams --region us-east-1
```

Créez un partage de ressources à l'aide de la create-resource-share commande :

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--principals "ACCOUNT_ID_TO_SHARE_WITH" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--region us-east-1
```

Pour partager avec une organisation plutôt qu'avec des comptes spécifiques, procédez comme suit :

```
aws ram create-resource-share \
--name "MPA-Team-Share" \
--resource-arns "arn:aws:mpa:us-east-1:ACCOUNT_ID:approval-team/TEAM_ID" \
--permission-arns "arn:aws:ram::aws:permission/AWSRAMMPAApprovalTeamAccess" \
--allow-external-principals \
--region us-east-1
```

Vérifiez l'état de votre partage de ressources :

```
aws ram get-resource-shares \
--resource-owner SELF \
--region us-east-1
```

Le ou les comptes du destinataire devront accepter l'invitation au partage des ressources :

```
aws ram get-resource-share-invitations --region us-east-1
```

Exécutez dans le compte du destinataire pour accepter une invitation :

```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn "arn:aws:ram:REGION:ACCOUNT_ID:resource-share-invitation/INVITATION_ID" \
--region us-east-1
```

Une fois l'invitation acceptée, l'équipe d'approbation multipartite sera disponible sur le compte du destinataire.

------

AWS propose des outils pour partager l'accès aux comptes, y compris l'accès par le biais [AWS Resource Access Manager](logicallyairgappedvault.md#lag-share)et l'[accès multipartite](https://docs.aws.amazon.com/mpa/latest/userguide/share-team.html). Lorsque vous choisissez de partager un coffre-fort isolé de manière logique avec un autre compte, tenez compte des informations suivantes :


| Fonctionnalité | AWS RAM partage basé | Accès basé sur l'approbation de plusieurs parties | 
| --- | --- | --- | 
| Accès à des coffres-forts à espacement logique | Une fois le partage de RAM terminé, les coffres-forts sont accessibles. | Toute tentative effectuée par un autre compte doit être approuvée par un certain nombre de membres de l'équipe d'approbation multipartite. La session d'approbation expire automatiquement 24 heures après le lancement de la demande. | 
| Suppression de l'accès | Le compte propriétaire du coffre-fort logiquement espacé peut mettre fin au partage basé sur la RAM à tout moment. | L'accès à un coffre-fort ne peut être supprimé que sur demande adressée à l'équipe d'approbation multipartite. | 
| Copier entre les comptes et and/or les régions | Cette option n'est pas prise en charge actuellement. | Les sauvegardes peuvent être copiées dans le même compte ou avec d'autres comptes de la même organisation que le compte de restauration. | 
| Facturation des transferts entre régions |  | Les transferts entre régions sont facturés sur le même compte qui possède le coffre de sauvegarde de l'accès à la restauration. | 
| Usage recommandé | Il est principalement utilisé pour la récupération des données perdues et pour les tests de restauration. | Il est principalement utilisé dans les situations où l'accès ou la sécurité du compte sont soupçonnés d'être compromis. | 
| Régions | Disponible partout Régions AWS où des coffres-forts à espacement d'air logique sont pris en charge. | Disponible partout Régions AWS où des coffres-forts à espacement d'air logique sont pris en charge. | 
| Restaure | Tous les types de ressources pris en charge peuvent être restaurés à partir d'un compte partagé. | Tous les types de ressources pris en charge peuvent être restaurés à partir d'un compte partagé. | 
| Configuration | Le partage peut avoir lieu dès que le AWS Backup compte configure le partage de RAM et que le compte destinataire accepte le partage. | Le partage nécessite que le compte de gestion crée d'abord une équipe, puis configure le partage de RAM. Ensuite, le compte de gestion opte pour l'approbation multipartite et assigne cette équipe à un coffre-fort isolé de manière logique. | 
| Partage |  Le partage s'effectue par le biais de la RAM au sein d'une même AWS organisation ou entre AWS organisations. L'accès est accordé selon le modèle « push », dans lequel le compte propriétaire du coffre-fort logiquement espacé accorde d'abord l'accès. Ensuite, l'autre compte accepte l'accès.  |  L'accès à un coffre-fort isolé de manière logique se fait par le biais des équipes d'approbation soutenues par les organisations au sein de la même AWS organisation ou de plusieurs organisations. L'accès est accordé selon le modèle « pull », selon lequel le compte destinataire demande d'abord l'accès, puis l'équipe d'approbation accepte ou refuse la demande.  | 

# Tâches du demandeur
<a name="multipartyapproval-tasks-requester"></a>

## Associez une équipe d'approbation multipartite à un coffre-fort hermétique
<a name="associate-multipartyapproval-team"></a>

Demandeur : **utilisateur ayant accès au compte propriétaire du coffre-fort logiquement isolé.**

[Vous pouvez associer une équipe d'approbation multipartite à un coffre-fort isolé de manière logique afin de permettre l'approbation collaborative de l'accès au coffre-fort (étape 5 de l'aperçu).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Associez une équipe d'approbation multipartite à un coffre-fort hermétique**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Accédez à la section **Backup vault** dans le volet de navigation de gauche.

1. Sélectionnez le coffre-fort de sauvegarde isolé de manière logique que vous souhaitez associer à une équipe MPA.

1. Sur la page des **détails du coffre-fort**, sélectionnez **Affecter une équipe d'approbation**.

1. Dans le menu déroulant, sélectionnez l'équipe d'approbation que vous souhaitez associer au coffre

1. *Facultatif* Entrez un commentaire expliquant la raison de l'association.

1. Sélectionnez **Envoyer la demande** pour soumettre la demande d'association.

S'il s'agit de la première équipe d'approbation associée au coffre, l'équipe sera associée au coffre. Si une équipe est déjà associée au coffre, voir [Mettre à jour une équipe d'approbation multipartite](#update-multpartyapproval-team) pour connaître les étapes à suivre.

------
#### [ CLI ]

Utilisez la commande CLI`associate-backup-vault-mpa-approval-team`, modifiée avec les paramètres suivants :

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

S'il s'agit de la première équipe d'approbation associée au coffre, l'équipe sera associée au coffre. Si une équipe est déjà associée au coffre, voir [Mettre à jour une équipe d'approbation multipartite](#update-multpartyapproval-team) pour connaître les étapes à suivre.

------

## Demandez l'accès à un coffre-fort isolé de manière logique
<a name="create-restore-access-vault"></a>

Demandeur : **utilisateur ayant accès au compte de récupération**.

[Vous pouvez demander l'accès à un coffre-fort isolé de manière logique dans un autre compte (étape 6 de l'aperçu).](multipartyapproval.md#multipartyapproval-overview)

Une fois qu'une équipe d'approbation a accédé à la demande, elle AWS Backup crée un coffre-fort de sauvegarde pour l'accès à la restauration dans le compte de restauration désigné afin que ce compte ait accès aux points de restauration du coffre-fort connecté logiquement séparé.

------
#### [ Console ]

**Demandez l'accès à un coffre-fort isolé de manière logique**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Accédez à la section **Backup vault** dans le volet de navigation de gauche

1. Sélectionnez les **coffres-forts accessibles via l'onglet MPA**

1. Sélectionnez **Demander l'accès au coffre-fort**.

1. Entrez l'ARN du coffre-fort de sauvegarde source du coffre-fort à espacement logique auquel vous souhaitez accéder.

1. Entrez un nom facultatif pour le coffre de sauvegarde de l'accès à la restauration. Si vous n'entrez pas de nom, un nom AWS Backup sera attribué en fonction du nom du coffre-fort logiquement espacé.

1. Entrez un commentaire facultatif du demandeur expliquant le motif de la demande d'accès.

1. Sélectionnez **Envoyer la demande** pour soumettre la demande d'accès.

Les membres de l'équipe d'approbation associés au coffre source recevront une notification par e-mail pour approuver la demande.

Une fois la demande approuvée par le nombre requis (« seuil ») de membres de l'équipe, le coffre-fort de sauvegarde de l'accès à la restauration sera créé dans le compte de récupération.

------
#### [ CLI ]

Utilisez la commande `create-restore-access-backup-vault` de l'interface de ligne de commande :

```
aws backup create-restore-access-backup-vault \
--source-backup-vault-arn SOURCE_VAULT_ARN \
--backup-vault-name OPTIONAL_VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Les membres de l'équipe d'approbation MPA associés au coffre source recevront une notification pour approuver la demande. Une fois la demande approuvée par le nombre requis (« seuil ») de membres de l'équipe, le coffre-fort de sauvegarde de l'accès à la restauration sera créé dans le compte de récupération.

Vous pouvez vérifier l'état du coffre en utilisant :

```
aws backup describe-backup-vault \
--backup-vault-name VAULT_NAME \
--region REGION
```

------

## Dissociez l'équipe d'approbation multipartite du coffre-fort logiquement isolé
<a name="disassociate-multipartyapproval-team"></a>

Demandeur : **Administrateur du compte propriétaire du coffre-fort logiquement isolé.**

[Vous pouvez dissocier une équipe d'approbation multipartite d'un coffre-fort isolé de manière logique (étape 7 de l'aperçu).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Dissocier l'équipe d'approbation du coffre-fort isolé de manière logique**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Accédez à la section **Backup vault** dans le volet de navigation de gauche.

1. Sélectionnez le coffre-fort de sauvegarde isolé de manière logique dont vous souhaitez dissocier l'équipe d'approbation.

1. Sur la page des **détails du coffre-fort**, sélectionnez **Dissocier l'équipe d'approbation**.

1. Entrez un commentaire facultatif du demandeur expliquant la raison de la dissociation.

1. Sélectionnez **Envoyer la demande** pour soumettre la demande de dissociation.

Les membres actuels de l'équipe d'approbation recevront une notification pour approuver la demande.

Une fois approuvée par le nombre requis de membres de l'équipe, l'équipe sera dissociée du coffre.

------
#### [ CLI ]

Utilisez la commande `disassociate-backup-vault-mpa-approval-team` de l'interface de ligne de commande :

```
aws backup disassociate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Les membres actuels de l'équipe d'approbation de la MPA recevront une notification pour approuver la demande. Une fois approuvée par le nombre requis de membres de l'équipe, l'équipe sera dissociée du coffre.

------

## Révoquer le coffre-fort de sauvegarde de l'accès à la restauration
<a name="revoke-restore-access-vault"></a>

Demandeur : **Administrateur du compte propriétaire du coffre-fort logiquement isolé.**

Vous pouvez révoquer l'accès à un coffre-fort de sauvegarde avec accès à la restauration à partir du compte du coffre-fort source.

------
#### [ Console ]

**Révoquer le coffre-fort de sauvegarde de l'accès à la restauration**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Accédez à la section **Backup vault** dans le volet de navigation de gauche.

1. Sélectionnez le coffre-fort de sauvegarde isolé de manière logique dont vous souhaitez révoquer l'accès.

1. Sur la page de **détails du coffre-fort**, faites défiler la page vers le bas jusqu'à la section **Accès via une approbation multipartite**.

1. Recherchez le coffre-fort de sauvegarde de l'accès à la restauration que vous souhaitez révoquer, puis sélectionnez **Demander la suppression de l'accès au coffre-fort**.

1. Entrez un commentaire facultatif du demandeur expliquant le motif de la révocation.

1. Sélectionnez **Envoyer la demande** pour soumettre la demande de révocation.

Les membres de l'équipe d'approbation recevront une notification pour approuver la demande.

Une fois approuvé par le nombre requis de membres de l'équipe, le coffre de sauvegarde de l'accès à la restauration sera supprimé du compte de récupération

------
#### [ CLI ]

Tout d'abord, listez les coffres-forts de sauvegarde pour l'accès à la restauration associés à votre coffre-fort source :

```
aws backup list-restore-access-backup-vaults \
--backup-vault-name SOURCE_VAULT_NAME \
--region REGION
```

Ensuite, utilisez la commande CLI `revoke-restore-access-backup-vault` :

```
aws backup revoke-restore-access-backup-vault \
--backup-vault-name SOURCE_VAULT_NAME \
--restore-access-backup-vault-arn RESTORE_ACCESS_VAULT_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Les membres de l'équipe d'approbation recevront une notification pour approuver la demande. Une fois approuvé par le nombre requis de membres de l'équipe, le coffre de sauvegarde de l'accès à la restauration sera supprimé du compte de récupération.

------

## Mettez à jour l'équipe d'approbation multipartite associée à un coffre-fort logiquement isolé
<a name="update-multpartyapproval-team"></a>

Demandeur : **Administrateur du compte propriétaire du coffre-fort logiquement isolé.**

[Vous pouvez mettre à jour l'équipe d'approbation multipartite associée à un coffre-fort logiquement isolé (étape 8 de l'aperçu).](multipartyapproval.md#multipartyapproval-overview)

------
#### [ Console ]

**Mettre à jour l'équipe d'approbation associée à un coffre-fort isolé de manière logique**

1. Ouvrez la AWS Backup console à l'adresse [https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup).

1. Accédez à la section **Backup vault** dans le volet de navigation de gauche.

1. Sélectionnez le coffre-fort de sauvegarde isolé de manière logique pour lequel vous souhaitez informer l'équipe d'approbation.

1. Sur la page des détails du coffre-fort, sélectionnez **Demander le changement d'équipe d'approbation**.

1. Dans le menu déroulant, sélectionnez la nouvelle équipe d'approbation que vous souhaitez associer au coffre-fort.

1. Entrez un commentaire facultatif du demandeur expliquant la raison de la modification.

1. Sélectionnez **Envoyer la demande** pour soumettre la demande de modification.

Les membres actuels de l'équipe d'approbation recevront une notification par e-mail pour approuver la demande.

Une fois approuvée par le nombre requis de membres (seuil) de l'équipe MPA actuelle, la nouvelle équipe sera associée au coffre.

------
#### [ CLI ]

Utilisez la commande CLI `associate-backup-vault-mpa-approval-team` avec le nouvel ARN de l'équipe :

```
aws backup associate-backup-vault-mpa-approval-team \
--backup-vault-name VAULT_NAME \
--mpa-approval-team-arn NEW_MPA_TEAM_ARN \
--requester-comment "OPTIONAL_COMMENT" \
--region REGION
```

Les membres actuels de l'équipe d'approbation recevront une notification pour approuver la demande. Une fois approuvée par le nombre requis de membres (seuil) de l'équipe actuelle, la nouvelle équipe MPA sera associée au coffre.

------

# Tâches d'approbateur
<a name="multipartyapproval-tasks-approver"></a>

Un utilisateur membre d'une équipe d'approbation multipartite peut [approuver ou refuser les demandes](https://docs.aws.amazon.com/mpa/latest/userguide/approver.html) faisant partie d'une session. Les autres tâches incluent :
+ [Répondre aux opérations demandées](https://docs.aws.amazon.com/mpa/latest/userguide/respond-request)
+ [Afficher une équipe d'approbation](https://docs.aws.amazon.com/mpa/latest/userguide/approver-view-team)
+ [Afficher l'historique des opérations](https://docs.aws.amazon.com/mpa/latest/userguide/view-operation-history)