AWS Organizations 新機能！マルチパーティ承認の紹介 2025.7.2 クラスメソッド クラウド事業本部 yhana 

発表の流れ 2 ⚫ AWS Organizations のマルチパーティ承認とは ⚫ AWS Backup 論理エアギャップボールト操作のマルチパーティ承認設定の流れ 

AWS Organizations のマルチパーティ承認とは 

マルチパーティ承認（Multi-party Approval）とは 4 複数のメンバーによる承認プロセスを提供する仕組み 例）3 名のうち、2 名の承認により特定のアクションを許可 

マルチパーティ承認（Multi-party Approval）とは 5 AWS IAM Identity Center ユーザーを用いてチームを作成して、最低限必要な承認を定義 チームのメンバーがアクセスできる「マルチパーティ承認ポータル」サイトが提供 マルチパーティ承認チームの作成 ＋ 最低限必要な承認数の定義 承認は専用のポータルサイトで実施 

マルチパーティ承認がサポートする操作 6 マルチパーティ承認機能は他サービスの特定のオペレーションと組み合わせて利用され、 2025年7月2日時点で「AWS Backup の論理エアギャップボールトの操作」のサポートのみ 参照元：What is Multi-party approval? - Multi-party approval 

論理エアギャップボールト（Logically air-gapped vault）とは 7 論理エアギャップボールト（Logically air-gapped vault）の特徴 ⚫ ボールトロック（コンプライアンスモード）が自動的に適用 ⚫ 暗号化キーを AWS が管理 ⚫ 標準のボールトからのコピー先として利用 ⚫ RAM で他のアカウントに共有可能 コピー 

AWS Backup のマルチパーティ承認 8 AWS Backup のマルチパーティ承認を利用して他の AWS アカウントで復元する場合の例 標準 ボールト のみ 論理エア ギャップ ボールト ＋ マルチ パーティ 承認 ①承認 ②復元用 ボールト作成 ③アクセス 

AWS Backup のマルチパーティ承認 9 ただし、これまでも AWS Resource Access Manager (RAM) による共有は可能 論理エア ギャップ ボールト ＋ マルチ パーティ 承認 論理エア ギャップ ボールト ＋ RAM 

マルチパーティ承認（Multi-party Approval）の活用シーン 10 マルチパーティ承認が適している場合の例 ⚫ 「Never Trust, Always Verify.」というゼロトラスト原則に従う場合 ⚫ 分散型の意思決定が必要な場合 ⚫ 意図しない操作から保護する必要 ⚫ 監査やコンプライアンスの理由から承認とレビューが必要な場合 マルチパーティ承認が最良の選択肢ではない場合の例 ⚫ AWS Organizations, AWS IAM Identity Center が利用できない場合 ⚫ 即時実行が必要な場合 ⚫ 承認ワークフローの管理稼働がリスクに見合わない場合 参照元：What is Multi-party approval? - Multi-party approval 

【参考】標準ボールトと論理エアギャップボールトの比較表 11 標準ボールトと論理エアギャップボールトとの違いはユーザーガイドに比較表が掲載されている 参照元：Logically air-gapped vault - AWS Backup 

【参考】承認履歴 12 マルチパーティ承認ポータルで確認できる承認履歴では、オペレーション毎の履歴を閲覧でき、 リクエストの最終的な結果と自身の承認履歴などを確認可能 

AWS Backup 論理エアギャップボールト操作の マルチパーティ承認設定の流れ 

マルチパーティ承認による AWS Backup 利用の流れ 14 設定の流れ ① 管理アカウントの AWS Organizations で、マルチパーティ承認のチームを作成 ② 管理アカウントの RAM で、マルチパーティ承認のチームを共有 ③ 管理アカウントの AWS Backup で、複数当事者による承認の統合をオン ④ ワークロードアカウントの AWS Backup で、論理エアギャップボールトを作成 ⑤ ワークロードアカウントの AWS Backup で、論理エアギャップボールトとマルチパーティ承認のチームを 関連付け 復元の流れ ⑥ 復旧アカウントの AWS Backup で、マルチパーティ承認のチームに復元アクセスバックアップボールトの 作成をリクエスト ⑦ マルチパーティ承認のチームがリクエストを承認 ⑧ 復旧アカウントの AWS Backup で、復元アクセスバックアップボールトから復元 

AWS Backup 操作のマルチパーティ承認利用の設定イメージ図 15 

① マルチパーティ承認のチームを作成 16 

① マルチパーティ承認のチームを作成 17 AWS IAM Identity Center のユーザーを承認者として指定し、最小限必要な承認人数を設定する 

① マルチパーティ承認のチームを作成 18 承認者として指定されたユーザーは、マルチパーティ承認ポータルにアクセスして招待を承諾 マルチパーティ承認のリソースはバージニア北部に自動作成 AWS IAM Identity Center で利用する AWS Access Portal とは異なるポータル 

② マルチパーティ承認のチームを共有 19 

② マルチパーティ承認のチームを共有 20 マルチパーティ承認のリソースがあるバージニア北部リージョンの Resource Access Manager (RAM) で、 「Multi-Party Approval Team」を指定してリソースを共有 

② マルチパーティ承認のチームを共有 21 論理エアギャップボールトのあるアカウントと復旧アカウントに対して共有 下図は AWS Organizations 組織内の共有例だが、組織外のアカウントにも共有可能 

③ AWS Backup の複数当事者による承認の統合をオン 22 

③ AWS Backup の複数当事者による承認の統合をオン 23 管理アカウントの AWS Backup の「設定」において、 「クロスアカウント管理」の「複数当事者による承認の統合」設定をオンにする 

④ AWS Backup の論理エアギャップボールトを作成 24 

④ AWS Backup の論理エアギャップボールトを作成 25 論理エアギャップボールトを作成して、標準ボールトのバックアップルールのコピー先として指定 論理エアギャップボールトを作成 標準ボールト内のバックアップルールのコピー先として 論理エアギャップボールトを指定 

⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 26 

⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 27 作成した論理エアギャップボールトにおいて、「承認チームを割り当て」からマルチパーティ承認 チームを関連付ける。RAM で共有されているチームを選択できる 

⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 28 【参考情報】関連付けたマルチパーティ承認チームを変更・削除するときもチームの承認が必要 

29 ⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 

⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 30 バックアップから復元したいアカウントの AWS Backup において、「ボールトアクセスをリクエスト」 で論理エアギャップボールトの ARN を指定して承認依頼をリクエスト 

⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 31 マルチパーティ承認チームのメンバーは、リクエストを確認して「承認」か「拒否」を判断 事前定義した必要最小数の承認があれば、復元できるボールトがアクティブ化 マルチパーティ承認ポータルのリクエスト確認画面 最低限必要の承認により復元可能状態に 承認後 

⑧ 復元アクセスバックアップボールトから復元 32 

⑧ 復元アクセスバックアップボールトから復元 33 「複数当事者の承認により保管後にアクセス可能」タブのボールドにおいて、復旧ポイントを指 定して「復元」 

⑧ 復元アクセスバックアップボールトから復元 34 【参考情報】復元するときに EBS の暗号化を有効化していない場合は復元が失敗しました KMS キーを作成して EBS 暗号化のキーとして指定することで復元できました 

さいごに改めて、 AWS Organizations のマルチパーティ承認について 

マルチパーティ承認（Multi-party Approval）について 36 ⚫ 分散型の承認プロセスを提供する機能 ⚫ 現在のサポートは AWS Backup 論理エアギャップボールトの操作のみサポート ⚫ 月次レポート機能も提供 ⚫ 今後の統合サービスの拡充に期待！ 月次チームレポート 図の引用元：Team health for Multi-party approval - Multi-party approval 

No content