本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
共享您的Amazon资源
要使用使用中某资源共享您拥有的资源Amazon RAM,请执行以下操作:
-
共享资源使其可供创建资源之外的委Amazon Web Services 账户托人使用。共享不会更改适用于创建资源的账户中的任何权限或配额。
-
Amazon RAM是一项区域服务。与您共享的主体只能访问创建它们的资源共享。Amazon Web Services 区域
-
有些资源有特殊的注意事项和共享先决条件。有关更多信息,请参阅可共享Amazon资源:
在内部启用资源共享Amazon Organizations
当您的账户由管理时Amazon Organizations,您可以利用它更轻松地共享资源。无论有没有Organizations,用户都可以与个人账户共享。但是,如果您的账户位于组织中,则可以与个人账户共享,也可以与组织或 OU 中的所有账户共享,无需列举每个账户。
要在组织内共享资源,必须先使用Amazon RAM控制台或Amazon Command Line Interface (Amazon CLI) 启用与的共享Amazon Organizations。当您在组织中共享资源时,Amazon RAM不会向校长发送邀请。您组织中的负责人无需交换邀请即可访问共享资源。
当您在组织内启用资源共享时,Amazon RAM会创建一个名为的服务相关角色AWSServiceRoleForResourceAccessManager
。此角色只能由Amazon RAM服务担任,并授予使用Amazon托管策略检索有关其所属组织的信息的Amazon RAM权限AWSResourceAccessManagerServiceRolePolicy
。
如果您不再需要与整个组织或 OU 共享资源,则可以禁用资源共享。有关更多信息,请参阅禁用与的资源共享Amazon Organizations:
最小权限
要运行以下步骤,您必须以拥有以下权限的组织管理账户中委托人身份登录:
-
ram:EnableSharingWithAwsOrganization
-
iam:CreateServiceLinkedRole
-
organizations:enableAWSServiceAccess
-
organizations:DescribeOrganization
要求
-
您只能在以委托人身份登录组织管理帐户时执行这些步骤。
-
组织必须已启用所有功能。有关更多信息,请参阅Amazon Organizations用户指南中的启用组织中的所有功能。
必须使用Amazon RAM控制台或 enable-sharing-with-aws- orAmazon Organizations ganizationAmazon CLI 命令启用与的共享。这将确保创建与 AWSServiceRoleForResourceAccessManager
服务相关角色。如果您使用Amazon Organizations控制台或 enable-aws-service-accessAmazon CLI命令启用可信访问,则不会创建AWSServiceRoleForResourceAccessManager
服务相关角色,也无法在组织内共享资源。Amazon Organizations
创建资源共享
要共享您拥有的资源,请创建资源共享。当您创建资源共享时,请执行以下操作:
-
确定您要共享的资源。
-
对于共享中包含的每种资源类型,指定该资源类型的使用权限。
-
如果只有默认权限可用于某个资源类型,则Amazon RAM会自动将该权限与该资源类型关联起来,您无需执行任何操作。
-
如果资源类型的可用权限超过默认Amazon RAM托管权限,则必须选择与该资源类型关联的权限。
-
-
指定您希望其拥有资源的访问权限。
注意事项
-
可以在资源共享中包含的资源类型在中列出可共享Amazon资源。
-
仅当您拥有某个资源时,您才可以共享此资源。您无法共享与您共享的资源。
-
Amazon RAM是一项区域服务。当您与其他的委托人共享资源时Amazon Web Services 账户,他们必须从创建Amazon Web Services 区域该资源的相同资源中访问每种资源。对于支持的全局资源,您可以从Amazon Web Services 区域该资源的服务控制台和工具支持的任何资源访问这些资源。请注意,您只能在指定的主区域,即美国东部(弗吉尼亚北部)的Amazon RAM控制台和工具中查看此类资源共享及其全球资源
us-east-1
。有关Amazon RAM和全球资源的更多信息,请参阅与全球资源相比,共享区域资源。 -
如果您是中某企业的一部分Amazon Organizations并且已在您的组织中启用共享,组织中所有负责人将自动获得对共享资源的访问权限,而无需使用邀请。您在组织环境之外与您共享的账户中的使用者将收到加入资源共享的邀请,并且只有在他们接受邀请后才获得对共享资源的访问权限。
对于以下资源类型,您有七天的时间接受加入以下资源类型的共享的邀请。如果您在邀请到期之前不接受邀请,则邀请会自动被拒绝。
重要 对于不在以下列表中的共享资源类型,您有 12 小时的时间接受加入资源共享的邀请。如果您在 12 小时后尝试接受邀请,RAM 将无法处理邀请,发起账户必须再次共享资源才能生成新邀请。
-
Amazon Aurora
-
Amazon EC2 — 容量预留和专用主机
-
Amazon License Manager— 许可证配置
-
Amazon Outposts— 本地网关路由表、前哨和站点
-
Amazon Route 53
-
Amazon VPC — 客户拥有的 IPv4 地址、前缀列表、子网、流量镜像目标、传输网关、传输网关多播域
-
-
将组织或组织单位 (OU) 添加到资源共享后,OU 中的帐户或加入或退出组织的帐户的更改会动态影响资源共享。例如,如果您向有权访问资源共享的 OU 添加新帐户,则新成员帐户会自动获得对共享资源的访问权限。
-
您只能将您的账户所属的组织以及该组织的 OU 添加到您的资源共享中。您无法以负责人身份将自己组织外部的 OU 或组织添加到资源共享中。但是,您可以将个人Amazon Web Services 账户或对于支持的服务,将 IAM 角色和来自组织外部的用户作为委托人添加到资源共享中。
注意 并非所有资源类型都可以与 IAM 角色和用户共享。有关您可以与这些校长共享的资源的信息,请参阅可共享Amazon资源。