本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Support 支持跨账户共享计划以切换 ARC 区域
Amazon 应用程序恢复控制器 (ARC) 与集成 Amazon Resource Access Manager 以实现资源共享。 Amazon RAM 是一项使您能够与他人共享资源 Amazon Web Services 账户 或通过共享资源的服务 Amazon Organizations。对于 ARC 区域切换,您可以共享区域切换计划。(要使用计划中其他账户的资源,请使用 CrossAccount 角色。 要了解更多信息,请参阅跨账户资源。)
使用 Amazon RAM,您可以通过创建资源共享来共享您拥有的资源。资源共享指定要共享的资源以及共享资源的参与者。参与者可以包括:
-
特定于所有者组织 Amazon Web Services 账户 内部或外部 Amazon Organizations
-
其组织内部的组织单位 Amazon Organizations
-
它的整个组织都在 Amazon Organizations
有关的更多信息 Amazon RAM,请参阅《Amazon RAM 用户指南》。
通过在 ARC 中使用 Amazon Resource Access Manager 跨账户共享计划,您可以将一个计划与多个不同的计划一起使用 Amazon Web Services 账户。当您选择共享计划时,您指定的其他 Amazon Web Services 账户 计划可以执行该计划以执行应用程序恢复。
Amazon RAM 是一项可帮助 Amazon 客户安全地共享资源的服务 Amazon Web Services 账户。借 Amazon RAM助,您可以使用 IAM 角色和用户在 Amazon Organizations组织或组织单位 (OUs) 内共享资源。 Amazon RAM 是一种集中且受控的共享计划的方式。
共享计划时,可以减少组织所需的计划总数。使用共享计划,您可以将运行计划的总成本分配给不同的团队,从而以更低的成本最大限度地发挥 ARC 的好处。跨账户共享计划还可以简化将多个应用程序加入到 ARC 的过程,尤其是在您有大量应用程序分布在多个客户和运营团队的情况下。
要开始在 ARC 中进行跨账户共享,您需要在 n Amazon RAM中创建资源共享。资源共享指定有权共享您的账户拥有的计划的参与者。
本主题说明如何共享您拥有的资源以及如何使用共享给您的资源。
共享计划的先决条件
-
要共享计划,您必须在自己的计划中拥有该计划 Amazon Web Services 账户。这意味着资源必须分配或预调配到您的账户。您无法共享已与您共享的计划。
-
要与您的组织或中的组织单位共享计划 Amazon Organizations,必须启用与共享 Amazon Organizations。有关更多信息,请参阅《Amazon RAM 用户指南》中的允许与 Amazon Organizations共享。
共享计划
共享计划时,您指定共享该计划的参与者可以查看该计划,如果您授予其他权限,则可以执行该计划。
要共享计划,必须将其添加到资源共享。资源共享是一项 Amazon RAM 资源,可让您跨 Amazon Web Services 账户共享资源。资源共享将指定要共享的资源以及共享资源的参与者。要共享计划,您可以创建新的资源共享或将资源添加到现有资源共享中。要创建新的资源共享,您可以使用Amazon RAM 控制台
如果您是组织中的一员, Amazon Organizations 并且启用了组织内部共享,则组织中的参与者将自动获得共享计划的访问权限。否则,参与者会收到加入资源共享的邀请,并在接受邀请后被授予访问共享计划的权限。
您可以使用 Amazon RAM 控制台共享您拥有的计划,也可以通过使用或的 Amazon RAM API 操作来共享您拥有的 Amazon CLI 计划 SDKs。
使用 Amazon RAM 控制台共享您拥有的套餐
请参阅《Amazon RAM 用户指南》中的创建资源共享。
要共享您拥有的套餐,请使用 Amazon CLI
使用 create-resource-share 命令。
授予共享计划的权限
跨账户共享计划需要通过以下方式共享计划的 IAM 委托人获得以下额外权限 Amazon RAM:
# read and execute plan permissions "arc-region-switch:GetPlan", "arc-region-switch:GetPlanInRegion", "arc-region-switch:GetPlanExecution", "arc-region-switch:ListPlanExecutionEvents", "arc-region-switch:ListPlanExecutions", "arc-region-switch:ListRoute53HealthChecks", "arc-region-switch:GetPlanEvaluationStatus", "arc-region-switch:StartPlanExecution", "arc-region-switch:CancelPlanExecution", "arc-region-switch:UpdatePlanExecution", "arc-region-switch:UpdatePlanExecutionStep"
共享计划的所有者必须具有以下权限。如果您在没有这些权限 Amazon RAM 的情况下尝试通过共享计划,则会返回错误。
"arc-region-switch:PutResourcePolicy" # Permission only apis "arc-region-switch:DeleteResourcePolicy" # Permission only apis "arc-region-switch:GetResourcePolicy" # Permission only apis
有关 Amazon Resource Access Manager 使用 IAM 的方式的更多信息,请参阅Amazon RAM 用户指南中的如何 Amazon Resource Access Manager 使用 IAM。
取消共享套餐
取消共享套餐时,以下内容适用于参与者和所有者:
参与者无法再查看或执行非共享计划。
要取消共享您拥有的共享计划,请将其从资源共享中移除。为此,您可以使用 Amazon RAM 控制台或将 Amazon RAM API 操作与 Amazon CLI 或一起使用 SDKs。
使用控制台取消共享您拥有的共享套餐 Amazon RAM
请参阅《Amazon RAM 用户指南》中的更新资源共享。
要取消共享您拥有的共享套餐,请使用 Amazon CLI
使用 disassociate-resource-share 命令。
确定共享套餐
所有者和参与者可以通过查看中的信息来识别共享计划 Amazon RAM。他们还可以使用 ARC 控制台获取有关共享资源的信息,以及 Amazon CLI。
一般而言,要详细了解您已共享或已与您共享的资源,请参阅《 Amazon Resource Access Manager 用户指南》中的信息:
作为拥有者,您可以使用 Amazon RAM查看与他人共享的所有资源。有关更多信息,请参阅中的查看共享资源 Amazon RAM。
作为参与者,您可以使用查看与您共享的所有资源 Amazon RAM。有关更多信息,请参阅中的查看共享资源 Amazon RAM。
作为所有者,您可以通过查看中的信息 Amazon Web Services Management Console 或使用 with ARC API 操作来确定是否共享套餐。 Amazon Command Line Interface
使用控制台确定您拥有的计划是否已共享
在计划的详细信息页面上 Amazon Web Services Management Console,查看计划共享状态。
作为参与者,当与您共享计划时,您通常必须接受该共享才能访问该计划。
共享计划的责任和权限
拥有者的权限
参与者可以查看或执行计划(前提是他们拥有正确的权限)。
参与者的权限
当您与其他人共享您拥有的计划时 Amazon Web Services 账户,参与者可以查看或执行该计划(前提是他们拥有正确的权限)。
当您使用共享计划时 Amazon RAM,默认情况下,参与者具有只读权限。要查看区域切换的只读权限列表,请参阅只读权限。参与者需要额外的权限才能执行区域切换计划。需要执行计划的参与者需要额外的权限。请注意,您不能向 Amazon RAM 参与者授予以下操作的权限:
ApprovePlanExecutionStepUpdatePlan
成本计费
ARC 中计划的所有者需要支付与该计划相关的费用。对于计划所有者或参与者来说,创建计划中托管的资源不会产生任何额外费用。
有关详细的定价信息和示例,请参阅亚马逊应用程序恢复控制器 (ARC) 定价
限额
在共享计划中创建的所有资源都计入计划所有者的配额。
有关区域切换计划配额的列表,请参阅区域切换配额。