共享应用程序负载均衡器的 Elastic Load Balancing 信任存储
Elastic Load Balancing 与 Amazon Resource Access Manager(Amazon RAM)集成,以实现信任存储共享。Amazon RAM 是一项服务,可让您跨 Amazon Web Services 账户 以及在组织或组织单位(OU)内安全地共享 Elastic Load Balancing 信任存储资源。。如果您有多个账户,则可以创建一次信任存储,然后使用 Amazon RAM 使其可供其他账户使用。如果您的账户由 Amazon Organizations 管理,您可以与组织中的所有账户或仅与指定组织单位(OU)内的账户共享信任存储。
利用 Amazon RAM,您可通过创建 资源共享来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的使用者。在此模型中,拥有信任存储的 Amazon Web Services 账户 账户(所有者)与其他 Amazon Web Services 账户(消费者)共享信任存储。消费者可以将共享的信任存储关联到其应用程序负载均衡器侦听器,就像在自己的账户中关联信任存储一样。
信任存储所有者可以与以下对象共享信任存储:
-
Amazon Organizations 中其组织内部或外部的特定 Amazon Web Services 账户。
-
Amazon Organizations 中的所有者组织内部的组织单位
-
Amazon Organizations 中的其整个组织
信任存储共享的先决条件
-
您必须使用 Amazon Resource Access Manager 创建一个资源共享。有关更多信息,请参阅《Amazon RAM 用户指南》中的 Create a resource share。
-
要共享信任存储,您的 Amazon Web Services 账户 必须拥有它。您不能共享已与您共享的信任存储。
-
要与您的组织或 Amazon Organizations 中的组织单位共享信任存储,您必须启用与 Amazon Organizations 的共享。有关更多信息,请参阅Amazon RAM《用户指南》中的允许与 Amazon Organizations 共享。
共享信任存储的权限
信任存储所有者
-
信任存储所有者可以创建信任存储。
-
信任存储所有者可以在同一个账户中使用带有负载均衡器的信任存储。
-
信任存储所有者可以与其他 Amazon 账户或 Amazon Organizations 共享信任存储。
-
信任存储所有者可以取消与任何 Amazon 账户或 Amazon Organizations 共享信任存储。
-
信任存储所有者不能阻止负载均衡器使用同一账户中的信任存储。
-
信任存储所有者可以列出使用共享信任存储的所有应用程序负载均衡器。
-
如果当前没有关联,则信任存储所有者可以删除信任存储。
-
信任存储所有者可以删除与共享的信任存储的关联。
-
使用共享的信任存储时,信任存储所有者会收到 CloudTrail 日志。
信任存储消费者
-
信任存储消费者可以查看共享的信任存储。
-
信任存储消费者可以在同一个账户中使用信任存储创建或修改侦听器。
-
信任存储消费者可以使用共享的信任存储创建或修改侦听器。
-
信任存储消费者无法使用不再共享的信任存储来创建侦听器。
-
信任存储消费者无法修改共享的信任存储。
-
信任存储消费者在与侦听器关联时可以查看共享的信任存储 ARN。
-
信任存储消费者在使用共享的信任存储创建或修改侦听器时会收到 CloudTrail 日志。
托管权限
共享信任存储时,资源共享使用托管权限来控制信任存储消费者允许的操作。您可以使用默认的托管权限 AWSRAMPermissionElasticLoadBalancingTrustStore(包括所有可用权限),也可以创建自己的客户托管权限。DescribeTrustStores、DescribeTrustStoreRevocations 和 DescribeTrustStoreAssociations 权限始终启用,不可删除。
信任存储资源共享支持下列权限:
- elasticloadbalancing:CreateListener
-
可以将共享的信任存储附加到新侦听器。
- elasticloadbalancing:ModifyListener
-
可以将共享的信任存储附加到现有侦听器。
- elasticloadbalancing:GetTrustStoreCaCertificatesBundle
-
可以下载与共享的信任存储关联的 CA 证书捆绑包。
- elasticloadbalancing:GetTrustStoreRevocationContent
-
可以下载与共享的信任存储关联的吊销文件。
- elasticloadbalancing:DescribeTrustStores(默认)
-
可以列出该账户拥有和共享的所有信任存储。
- elasticloadbalancing:DescribeTrustStoreRevocations(默认)
-
可以列出给定信任存储 ARN 的所有吊销内容。
- elasticloadbalancing:DescribeTrustStoreAssociations(默认)
-
可以列出信任存储消费者账户中与共享的信任存储关联的所有资源。
共享信任存储
要共享信任存储,您必须将它添加到资源共享。资源共享是一项 Amazon RAM 资源,可让您跨 Amazon Web Services 账户 共享资源。资源共享指定了要共享的资源、共享资源的使用者,以及主体可以执行的操作。在使用 Amazon EC2 控制台共享信任存储时,必须将它添加到现有资源共享。要将信任存储添加到新的资源共享,您必须首先使用 Amazon RAM 控制台
当您与其他 Amazon Web Services 账户 共享您拥有的信任存储时,您可以让这些账户将其应用程序负载均衡器侦听器与您账户中的信任存储关联。
如果您属于 Amazon Organizations 组织内的某个组织,并启用了组织内共享,则组织中的消费者将自动获得对共享的信任存储的访问权限。否则,消费者会收到加入资源共享的邀请,并在接受邀请后获得对共享的信任存储的访问权限。
您可以使用 Amazon EC2 控制台、Amazon RAM 控制台或 Amazon CLI 共享您拥有的信任存储。
使用 Amazon EC2 控制台共享您拥有的信任存储
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/
。 -
在导航窗格上的负载均衡下,选择信任存储。
-
选择信任存储名称以查看其详细信息页面。
-
在共享选项卡上,选择共享信任存储。
-
在共享信任存储页面的资源共享下,选择您的信任存储将与哪些资源共享共享。
-
(可选)如果需要创建新的资源共享,请选择在 RAM 控制台中创建资源共享链接。
-
选择共享信任存储。
使用 Amazon RAM 控制台共享您拥有的信任存储
请参阅《Amazon RAM 用户指南》中的创建资源共享。
使用 Amazon CLI 共享您拥有的信任存储
使用 create-resource-share 命令。
停止共享信任存储
要停止共享您拥有的信任存储,必须从资源共享中将其删除。在您停止共享信任存储后,现有关联仍然存在,但是不允许与先前共享的信任存储建立新关联。当信任存储所有者或信任存储消费者删除关联时,该关联将从两个账户中删除。如果信任存储消费者希望保留资源共享,则必须要求资源共享的所有者删除该账户。
删除关联
信任存储所有者可以使用 DeleteTrustStoreAssociation 命令强制删除现有的信任存储关联。删除关联后,任何使用信任存储的负载均衡器侦听器都无法再验证客户端证书,并且 TLS 握手将失败。
您可以使用 Amazon EC2 控制台、Amazon RAM 控制台或 Amazon CLI 停止共享信任存储。
使用 Amazon EC2 控制台停止共享您拥有的信任存储
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/
。 -
在导航窗格上的负载均衡下,选择信任存储。
-
选择信任存储名称以查看其详细信息页面。
-
在共享选项卡的资源共享下,选择要停止共享的资源共享。
-
选择移除。
使用 Amazon RAM 控制台停止共享您拥有的信任存储
请参阅《Amazon RAM 用户指南》中的更新资源共享。
使用 Amazon CLI 停止共享您拥有的信任存储
使用 disassociate-resource-share 命令。
计费和计量
共享的信任存储按照与应用程序负载均衡器的每个信任存储关联收取相同的标准信任存储费率,按小时计费。
有关更多信息(包括每个区域的具体费率),请参阅 Elastic Load Balancing 定价