支持跨账户共享计划以实现 ARC 区域切换
Amazon 应用程序恢复控制器(ARC)与 Amazon Resource Access Manager 集成,以实现资源共享。Amazon RAM 是一项服务,使您能够与其他 Amazon Web Services 账户或通过 Amazon Organizations 共享资源。对于 ARC 区域切换,您可以共享区域切换计划。(要使用计划中其他账户的资源,请使用 crossAccount 角色。要了解更多信息,请参阅跨账户资源。)
在 Amazon RAM 中,通过创建资源共享来共享您拥有的资源。资源共享指定要共享的资源以及共享资源的参与者。参与者可以包括:
-
Amazon Organizations 中拥有者组织内部或外部的特定 Amazon Web Services 账户
-
Amazon Organizations 中所属组织内部的组织单位
-
它在 Amazon Organizations 中的整个组织
有关 Amazon RAM 的更多信息,请参阅《Amazon RAM 用户指南》。
通过使用 Amazon Resource Access Manager 来跨 ARC 中的账户共享计划,您可以将一个计划用于多个不同的 Amazon Web Services 账户。当您选择共享计划时,您指定的其他 Amazon Web Services 账户 可以执行该计划以实施应用程序恢复。
Amazon RAM 是一项帮助 Amazon 客户安全地跨 Amazon Web Services 账户 共享资源的服务。借助 Amazon RAM,您可以使用 IAM 角色和用户在 Amazon Organizations 中的组织或组织单元(OU)内共享资源。Amazon RAM 是一种集中地、有控制地共享计划的方式。
通过共享计划,可以减少组织所需的计划总数。计划共享后,您可以将运行计划的总成本分摊给不同的团队,从而以更低的成本更大限度地发挥 ARC 的优势。跨账户共享计划还可以简化将多个应用程序加载到 ARC 的过程,尤其是在大量应用程序分布在多个账户和运营团队中的情况下。
要开始在 ARC 中进行跨账户共享,请在 Amazon RAM 中创建资源共享。资源共享指定有权共享您的账户所拥有的计划的参与者。
本主题说明如何共享您拥有的资源以及如何使用共享给您的资源。
共享计划的先决条件
-
要共享计划,您必须在您的 Amazon Web Services 账户中拥有它。这意味着资源必须分配或预调配到您的账户。无法共享已与您共享的计划。
-
要与您的组织或 Amazon Organizations 内的组织单元共享计划,您必须允许与 Amazon Organizations 共享。有关更多信息,请参阅《Amazon RAM 用户指南》中的允许与 Amazon Organizations 共享。
共享计划
共享计划时,您指定共享该计划的参与者可以查看该计划,如果您授予额外权限,则可以执行该计划。
要共享计划,您必须将它添加到资源共享。资源共享是一项 Amazon RAM 资源,可让您跨 Amazon Web Services 账户 共享资源。资源共享将指定要共享的资源以及共享资源的参与者。要共享计划,您可以创建新的资源共享或将资源添加到现有资源共享。要创建新的资源共享,您可以使用 Amazon RAM 控制台
如果您属于 Amazon Organizations 中的某个组织并且已在您的组织中启用共享,组织中的参与者将自动获得对共享计划的访问权限。否则,参与者会收到加入资源共享的邀请,并在接受邀请后获得对共享计划的访问权限。
您可以使用 Amazon RAM 控制台,也可以使用 Amazon CLI 或 SDK 中的 Amazon RAM API 操作,共享您拥有的计划。
使用 Amazon RAM 控制台共享您拥有的计划的步骤
请参阅《Amazon RAM 用户指南》中的创建资源共享。
使用 Amazon CLI 共享您拥有的计划
使用 create-resource-share 命令。
授予共享计划的权限
跨账户共享计划需要使用 Amazon RAM 共享计划的 IAM 主体获得以下额外权限:
# read and execute plan permissions "arc-region-switch:GetPlan", "arc-region-switch:GetPlanInRegion", "arc-region-switch:GetPlanExecution", "arc-region-switch:ListPlanExecutionEvents", "arc-region-switch:ListPlanExecutions", "arc-region-switch:ListRoute53HealthChecks", "arc-region-switch:GetPlanEvaluationStatus", "arc-region-switch:StartPlanExecution", "arc-region-switch:CancelPlanExecution", "arc-region-switch:UpdatePlanExecution", "arc-region-switch:UpdatePlanExecutionStep"
共享计划的所有者必须具有以下权限。如果您在没有这些权限的情况下尝试通过 Amazon RAM 共享计划,则会返回错误。
"arc-region-switch:PutResourcePolicy" # Permission only apis "arc-region-switch:DeleteResourcePolicy" # Permission only apis "arc-region-switch:GetResourcePolicy" # Permission only apis
有关 Amazon Resource Access Manager 使用 IAM 的方式的更多信息,请参阅《Amazon RAM 用户指南》中的 Amazon Resource Access Manager 如何使用 IAM。
将已共享的计划取消共享
取消共享计划时,以下规则适用于参与者和拥有者:
参与者无法再查看或执行非共享计划。
要取消共享您拥有的共享计划,必须从资源共享中将其删除。您可以使用 Amazon RAM 控制台,也可以使用 Amazon CLI 或 SDK 中的 Amazon RAM API 操作,执行该操作。
使用 Amazon RAM 控制台取消共享您拥有的已共享计划
请参阅 Amazon RAM 用户指南中的更新资源共享。
使用 Amazon CLI 取消共享您拥有的已共享计划
使用 disassociate-resource-share 命令。
标识共享的计划
拥有者和参与者可以通过查看 Amazon RAM 中的信息来识别共享计划。他们还可以通过使用 ARC 控制台和 Amazon CLI 获取有关共享资源的信息。
一般而言,要详细了解您共享的或共享给您的资源,请参阅 Amazon Resource Access Manager 用户指南中的信息:
作为拥有者,您可以使用 Amazon RAM 查看与他人共享的所有资源。有关更多信息,请参阅查看您在 Amazon RAM 中共享的资源。
作为参与者,您可以使用 Amazon RAM 查看共享给您的所有资源。有关更多信息,请参阅查看您在 Amazon RAM 中共享的资源。
作为拥有者,您可以通过查看 Amazon Web Services 管理控制台中的信息或使用 Amazon Command Line Interface执行 ARC API 操作来确定您是否在共享计划。
使用控制台确定您拥有的计划是否已共享
在 Amazon Web Services 管理控制台 中计划的详细信息页面上,查看计划共享状态。
作为参与者,当计划共享给您时,您通常必须接受共享才能访问计划。
共享计划的责任和权限
所有者的权限
参与者可以查看或执行计划(前提是他们拥有正确的权限)。
参与者的权限
当您与其他 Amazon Web Services 账户共享您拥有的计划时,参与者可以查看或执行该计划(前提是他们拥有正确的权限)。
当您使用 Amazon RAM 共享计划时,默认情况下,参与者具有只读权限。要查看区域切换的只读权限列表,请参阅只读权限。参与者需要额外的权限才能执行区域切换计划。需要执行区域切换计划的参与者需要有额外的权限。请注意,您不能向 Amazon RAM 参与者授予以下操作的权限:
ApprovePlanExecutionStepUpdatePlan
成本计费
ARC 中计划的拥有者需要支付与该计划相关的费用。对于计划拥有者或参与者来说,创建托管在计划中的资源不会产生任何额外成本。
有关详细的定价信息和示例,请参阅 Amazon 应用程序恢复控制器(ARC)定价
限额
在共享计划中创建的所有资源都计入计划所有者的配额。
有关区域切换计划配额的列表,请参阅区域切换配额。