共享您的Amazon资源 - Amazon Resource Access Manager
在内部启用资源共享Amazon Organizations创建资源共享
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

共享您的Amazon资源

要使用使用中某资源共享您拥有的资源Amazon RAM,请执行以下操作:

注意

  • 共享资源使其可供创建资源之外的委Amazon Web Services 账户托人使用。共享不会更改适用于创建资源的账户中的任何权限或配额。

  • Amazon RAM是一项区域服务。与您共享的主体只能访问创建它们的资源共享。Amazon Web Services 区域

  • 有些资源有特殊的注意事项和共享先决条件。有关更多信息,请参阅可共享Amazon资源

在内部启用资源共享Amazon Organizations

当您的账户由管理时Amazon Organizations,您可以利用它更轻松地共享资源。无论有没有Organizations,用户都可以与个人账户共享。但是,如果您的账户位于组织中,则可以与个人账户共享,也可以与组织或 OU 中的所有账户共享,无需列举每个账户。

要在组织内共享资源,必须先使用Amazon RAM控制台或Amazon Command Line Interface (Amazon CLI) 启用与的共享Amazon Organizations。当您在组织中共享资源时,Amazon RAM不会向校长发送邀请。您组织中的负责人无需交换邀请即可访问共享资源。

当您在组织内启用资源共享时,Amazon RAM会创建一个名为的服务相关角色AWSServiceRoleForResourceAccessManager。此角色只能由Amazon RAM服务担任,并授予使用Amazon托管策略检索有关其所属组织的信息的Amazon RAM权限AWSResourceAccessManagerServiceRolePolicy

如果您不再需要与整个组织或 OU 共享资源,则可以禁用资源共享。有关更多信息,请参阅禁用与的资源共享Amazon Organizations

最小权限

要运行以下步骤,您必须以拥有以下权限的组织管理账户中委托人身份登录:

  • ram:EnableSharingWithAwsOrganization

  • iam:CreateServiceLinkedRole

  • organizations:enableAWSServiceAccess

  • organizations:DescribeOrganization

要求

  • 您只能在以委托人身份登录组织管理帐户时执行这些步骤。

  • 组织必须已启用所有功能。有关更多信息,请参阅Amazon Organizations用户指南中的启用组织中的所有功能

重要

必须使用Amazon RAM控制台或 enable-sharing-with-aws- orAmazon Organizations ganizationAmazon CLI 命令启用与的共享。这将确保创建与 AWSServiceRoleForResourceAccessManager 服务相关角色。如果您使用Amazon Organizations控制台或 enable-aws-service-accessAmazon CLI命令启用可信访问,则不会创建AWSServiceRoleForResourceAccessManager服务相关角色,也无法在组织内共享资源。Amazon Organizations

Console
在组织内启用资源共享

  1. 在Amazon RAM控制台中打开 “设置” 页面。

  2. 选择 “启用共享至”Amazon Organizations,然后选择 “保存设置”

Amazon CLI
在组织内启用资源共享

使用 enable-sharing-with-aws-organizat ion 命令。

此命令可以在任何区域中使用Amazon Web Services 区域,并且可以在所有支持的Amazon RAM区域Amazon Organizations中与共享。

$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}

创建资源共享

要共享您拥有的资源,请创建资源共享。当您创建资源共享时,请执行以下操作:

  1. 确定您要共享的资源。

  2. 对于共享中包含的每种资源类型,指定该资源类型的使用权限。

    • 如果只有默认权限可用于某个资源类型,则Amazon RAM会自动将该权限与该资源类型关联起来,您无需执行任何操作。

    • 如果资源类型的可用权限超过默认Amazon RAM托管权限,则必须选择与该资源类型关联的权限。

  3. 指定您希望其拥有资源的访问权限。

注意事项

  • 可以在资源共享中包含的资源类型在中列出可共享Amazon资源

  • 仅当您拥有某个资源时,您才可以共享此资源。您无法共享与您共享的资源。

  • Amazon RAM是一项区域服务。当您与其他的委托人共享资源时Amazon Web Services 账户,他们必须从创建Amazon Web Services 区域该资源的相同资源中访问每种资源。对于支持的全局资源,您可以从Amazon Web Services 区域该资源的服务控制台和工具支持的任何资源访问这些资源。请注意,您只能在指定的主区域,即美国东部(弗吉尼亚北部)的Amazon RAM控制台和工具中查看此类资源共享及其全球资源us-east-1。有关Amazon RAM和全球资源的更多信息,请参阅与全球资源相比,共享区域资源

  • 如果您是中某企业的一部分Amazon Organizations并且已在您的组织中启用共享,组织中所有负责人将自动获得对共享资源的访问权限,而无需使用邀请。您在组织环境之外与您共享的账户中的使用者将收到加入资源共享的邀请,并且只有在他们接受邀请后才获得对共享资源的访问权限。

  • 对于以下资源类型,您有七天的时间接受加入以下资源类型的共享的邀请。如果您在邀请到期之前不接受邀请,则邀请会自动被拒绝。

    重要

    对于在以下列表中的共享资源类型,您有 12 小时的时间接受加入资源共享的邀请。如果您在 12 小时后尝试接受邀请,RAM 将无法处理邀请,发起账户必须再次共享资源才能生成新邀请。

    • Amazon Aurora

    • Amazon EC2 — 容量预留和专用主机

    • Amazon License Manager— 许可证配置

    • Amazon Outposts— 本地网关路由表、前哨和站点

    • Amazon Route 53

    • Amazon VPC — 客户拥有的 IPv4 地址、前缀列表、子网、流量镜像目标、传输网关、传输网关多播域

  • 将组织或组织单位 (OU) 添加到资源共享后,OU 中的帐户或加入或退出组织的帐户的更改会动态影响资源共享。例如,如果您向有权访问资源共享的 OU 添加新帐户,则新成员帐户会自动获得对共享资源的访问权限。

  • 您只能将您的账户所属的组织以及该组织的 OU 添加到您的资源共享中。您无法以负责人身份将自己组织外部的 OU 或组织添加到资源共享中。但是,您可以将个人Amazon Web Services 账户或对于支持的服务,将 IAM 角色和来自组织外部的用户作为委托人添加到资源共享中。

    注意

    并非所有资源类型都可以与 IAM 角色和用户共享。有关您可以与这些校长共享的资源的信息,请参阅可共享Amazon资源

Console
创建资源共享

  1. 打开 Amazon RAM 控制台

  2. 由于Amazon RAM资源共享Amazon Web Services 区域,请Amazon Web Services 区域从控制台右上角的下拉列表中选择相应的。要查看包含全局资源共享,您必须将设置Amazon Web Services 区域为美国东部(弗吉尼亚州北部),(us-east-1)。有关共享全局资源的更多信息,请参阅与全球资源相比,共享区域资源。如果要在资源共享中包括全球资源,则必须选择指定的主区域,即美国东部(弗吉尼亚北部)us-east-1

  3. 如果您是新手Amazon RAM,请从主页选择 “创建资源共享”。否则,请从 “由我共享:资源共享” 页面中选择 “创建资源共享”。

  4. 步骤 1:指定资源共享详细信息中,执行以下操作:

    1. 对于 Name (名称),为资源共享输入一个描述性名称。

    2. 在 “资源” 下,选择要添加到资源共享的资源,如下所示:

      • 选择资源类型中,选择要共享的资源类型。这会将可共享资源列表筛选为仅包含所选类型的资源。

      • 在生成的资源列表中,选中要共享的单个资源旁的复选框。所选资源移至 “选定资源” 下。

        如果您共享与特定可用区关联的资源,则使用可用区 ID (AZ ID) 可帮助您确定这些资源在不同账户中的相对位置。有关更多信息,请参阅您的可用区 IDAmazon资源

    3. (可选)要将标签附加到资源共享,请在标签下输入标签密钥和值。通过选择添加新标签来添加其他人。根据需要需要需要需要需要需要需要需要需要需要需要需要 这些标签仅适用于资源共享本身,不适用于资源共享中的资源。

  5. 选择 Next(下一步)

  6. 步骤 2:将权限与每种资源类型关联中,如果可用的权限超过默认的Amazon RAM托管权限,则可以选择与该资源类型关联的权限。如果只有默认权限可用,则Amazon RAM会自动将此权限与资源类型关联起来。有关更多信息,请参阅的类型Amazon RAM托管式权限

    要显示权限允许的操作,请展开查看此权限允许的操作

  7. 选择 Next(下一步)

  8. Step 3: Select(步骤 3:选择要授予访问权限),执行以下操作:

    1. 默认情况下,“允许与外部负责人共享” 处于选中状态,这意味着,对于支持外部的资源类型Amazon Web Services 账户,您可以与组织外部的资源共享。这不会影响只能在组织内共享的资源类型,例如 Amazon VPC 子网。您还可以与 IAM 角色和用户共享一些支持的资源类型

      要将资源共享限制为仅与组织中的帐户和委托人共享,请选择 “仅允许与组织中的负责人共享”。

    2. 对于校长,执行以下操作:

      • 要添加组织、组织单位 (OU) 或组织的一部分Amazon Web Services 账户,请打开 “显示组织结构”。这将显示您组织的树视图。然后,选中要添加的每个校长旁的复选框。

        • 如果您选择组织(ID 以开头o-),则组织Amazon Web Services 账户中的所有人都可以访问资源共享。

        • 如果您选择一个 OU(ID 以开头ou-),则该 OU 及其子 OUAmazon Web Services 账户 中的所有人都可以访问该资源共享。

        • 如果您选择个人Amazon Web Services 账户,则只有该账户可以访问资源共享。

        注意

        仅当启用了共享对象并且您登录了Amazon Organizations组织的管理帐户时,才会显示 “显示组织结构” 开关。

        您不能使用此方法指定组织Amazon Web Services 账户外部,也不能指定 IAM 角色或用户。相反,您必须关闭显示组织结构并使用下拉列表和文本框输入 ID 或 ARN。

      • 要通过 ID 或 ARN 指定委托人,包括组织外部的委托人,请为每个委托人选择委托人类型。接下来,输入 ID(用于Amazon Web Services 账户、组织或 OU)或 ARN(用于 IAM 角色或用户),然后选择添加。可用的主体类型以及 ID 和 ARN 格式如下所示:

        • Amazon Web Services 账户— 要添加Amazon Web Services 账户,请输入 12 位数的账户 ID。例如:

          123456789012

        • 组织-要添加组织Amazon Web Services 账户中的所有组织,请输入组织的 ID。例如:

          o-abcd1234

        • 组织单位 (OU)-要添加 OU,请输入 OU 的 ID。例如:

          ou-abcd-1234efgh

        • IAM 角色-要添加 IAM 角色,请输入该角色的 ARN。使用下面的语法:

          arn:partition:iam::account:role/role-name

          例如:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          注意

          要获取 IAM 角色的唯一 ARN,请在 IAM 控制台中查看角色列表,使用 get- roAmazon CLI le 命令或 GetRoleAPI 操作。

        • IAM 用户-要添加 IAM 用户,请输入该用户的 ARN。使用下面的语法:

          arn:partition:iam::account:user/user-name

          例如:

          arn:aws:iam::123456789012:user/JohnDoe
          注意

          要获取 IAM 用户的唯一 ARN,请在 IAM 控制台中查看用户列表,使用 get-userAmazon CLI 命令或 GetUserAPI 操作。

    3. 对于选定的校长,请验证您指定的校长是否出现在列表中。

  9. 选择 Next(下一步)

  10. 步骤 4:查看和创建中,查看您的资源共享的配置详细信息。要更改任何步骤的配置,请选择与您要返回的步骤相对应的链接,然后进行所需的更改。

  11. 查看完资源共享后,选择创建资源共享

    可能需要花几分钟时间,才能完成资源和委托人关联。在尝试使用资源共享之前,请先完成此过程。

  12. 您可以随时添加和删除资源和主体,或者将自定义标签应用于您的资源共享。对于支持超出默认权限的类型,您可以更改资源共享中包含的资源类型的权限。当您不想再共享资源共享,则可以删除资源共享。有关更多信息,请参阅Share(共享)Amazon您拥有的资源

Amazon CLI
创建资源共享

使用 create-resource-share 命令。以下命令创建了与组织Amazon Web Services 账户中的所有人共享的资源共享。共享包含Amazon License Manager许可证配置,并授予该资源类型的默认权限。

$ aws ram create-resource-share \
    --region cn-north-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:cn-north-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:cn-north-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}