本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
共享您的Amazon资源
要使用共享您拥有的资源Amazon RAM,请执行以下操作:
注意
-
与拥有Amazon Web Services 账户该资源的外部的委托人共享资源不会更改创建该资源的账户中适用于该资源的权限或配额。
-
Amazon RAM是一项区域服务。与您共享的主体只能访问创建它们的资源共享。Amazon Web Services 区域
-
有些资源在共享时有特殊的注意事项和先决条件。有关更多信息,请参阅可共享Amazon资源:
在内部启用资源共享Amazon Organizations
当您的账户由管理时Amazon Organizations,您可以利用它来更轻松地共享资源。无论有没有Organizations,用户都可以与个人账户共享。但是,如果您的账户位于组织中,则可以与个人账户共享,也可以与组织或 OU 中的所有账户共享,无需列举每个账户。
要在组织内共享资源,必须先使用Amazon RAM控制台或Amazon Command Line Interface (Amazon CLI) 启用与的共享Amazon Organizations。当您在组织中共享资源时,Amazon RAM不会向校长发送邀请。您组织中的负责人无需交换邀请即可访问共享资源。
当您在组织内启用资源共享时,Amazon RAM会创建一个名为的服务相关角色AWSServiceRoleForResourceAccessManager。此角色只能由Amazon RAM服务担任,并授予使用Amazon托管策略检索有关其所属组织的信息的Amazon RAM权限AWSResourceAccessManagerServiceRolePolicy。
如果您不再需要与整个组织或 OU 共享资源,则可以禁用资源共享。有关更多信息,请参阅禁用与的资源共享Amazon Organizations:
最小权限
要运行以下程序,您必须以具有以下权限的组织管理账户中以委托人身份登录:
-
ram:EnableSharingWithAwsOrganization -
iam:CreateServiceLinkedRole -
organizations:enableAWSServiceAccess -
organizations:DescribeOrganization
要求
-
您只能在以委托人身份登录组织管理帐户时执行这些步骤。
-
组织必须已启用所有功能。有关更多信息,请参阅Amazon Organizations用户指南中的启用企业中的所有功能。
重要
必须使用Amazon RAM控制台或 enable-sharing-with-aws- orAmazon Organizations ganizationAmazon CLI 命令启用与的共享。这将确保创建与 AWSServiceRoleForResourceAccessManager 服务相关角色。如果您使用Amazon Organizations控制台或 enable-aws-service-accessAmazon CLI命令启用可信访问,则不会创建AWSServiceRoleForResourceAccessManager服务相关角色,也无法在组织内共享资源。Amazon Organizations
创建资源共享
要共享您拥有的资源,请创建资源共享。当您创建资源共享时,请执行以下操作:
-
确定您要共享的资源。
-
对于共享中包含的每种资源类型,指定该资源类型的使用权限。
-
如果只有默认权限可用于某个资源类型,则Amazon RAM会自动将该权限与该资源类型关联起来,您无需执行任何操作。
-
如果资源类型的可用权限超过默认Amazon RAM托管权限,则必须选择与该资源类型关联的权限。
注意
如果选定的托管权限有多个版本,则Amazon RAM会自动附加默认版本。您只能附加指定为默认版本的版本。
-
-
指定您希望有权访问资源的委托人们。
注意事项
-
如果您以后需要删除共享中包含的Amazon资源,Amazon建议您先从包含该资源的任何资源共享中删除该资源,或者删除该资源共享。
-
可以在资源共享中包含的资源类型在中列出可共享Amazon资源。
-
仅当您拥有某个资源时,您才可以共享此资源。您无法共享与您共享的资源。
-
Amazon RAM是一项区域服务。当您与其他的委托人共享资源时Amazon Web Services 账户,这些委托人必须从创建资源时访问每个资源。Amazon Web Services 区域对于支持的全局资源,您可以从Amazon Web Services 区域该资源的服务控制台和工具支持的任何资源访问这些资源。请注意,您只能在指定的主区域,即美国东部(弗吉尼亚北部)的Amazon RAM控制台和工具中查看此类资源共享及其全球资源
us-east-1。有关Amazon RAM和全球资源的更多信息,请参阅与全球资源相比,共享区域资源。 -
如果您要共享的账户是中某企业的一部分Amazon Organizations并且已在您的企业中启用共享,企业中所有主人将自动获得对资源共享的访问权限。在您的组织环境中与您共享的账户中的委托人将收到加入资源共享的邀请,并且只有在他们接受邀请后才获得对共享资源的访问权限。
-
如果共享是在组织中的帐户或委托人之间进行的,则对组织成员资格的任何更改都会动态影响对资源共享的访问权限。
-
如果您Amazon Web Services 账户向组织或具有资源共享访问权限的 OU 中添加了,则该新成员帐户将自动获得对资源共享的访问权限。然后,与您共享的账户的管理员可以授予该账户中的个人委托人访问该共享中的资源的权限。
-
如果您从组织或拥有资源共享访问权限的 OU 中移除某个账户,则该账户中的任何委托人都会自动失去对通过该资源共享访问的资源的访问权限。
-
如果您直接与成员账户或成员账户中的 IAM 角色或用户共享,然后从组织中移除该账户,则该账户中的所有委托人将失去对通过该资源共享访问的资源的访问权限。
重要
当您与组织或 OU 共享(该范围包括拥有资源共享的账户)时,共享账户中的所有委托人都会自动访问共享中的资源。授予的访问权限由与共享相关的托管权限定义。这是因为Amazon RAM附加到共享中每种资源的基于资源的策略会使用
"Principal": "*"。有关更多信息,请参阅在基于资源的策略中使用 “Prinity”:“*” 的含义:其他消费账户的委托人无法立即访问该共享的资源。其他账户的管理员必须首先将基于身份的权限策略附加到相应的主人。这些策略必须授予对资源共享中单个资源的 ARN 的
Allow访问权限。这些策略中的权限不能超过与资源共享相关的Amazon RAM托管权限中指定的权限。 -
-
您只能将您的账户所属的组织以及该组织的 OU 添加到您的资源共享中。您无法以负责人身份将自己组织外部的 OU 或组织添加到资源共享中。但是,您可以将个人Amazon Web Services 账户或对于支持的服务,将 IAM 角色和来自组织外部的用户作为委托人添加到资源共享中。
注意
并非所有资源类型都可以与 IAM 角色和用户共享。有关您可以与这些校长共享的资源的信息,请参阅可共享Amazon资源。
对于以下资源类型,您有七天的时间接受加入以下资源类型的共享的邀请。如果您在邀请到期之前不接受邀请,则邀请会自动被拒绝。
重要
对于不在以下列表中的共享资源类型,您有 12 小时的时间接受加入资源共享的邀请。如果您在 12 小时后尝试接受邀请,RAM 将无法处理邀请,发起账户必须再次共享资源才能生成新邀请。
-
Amazon Aurora
-
Amazon EC2 — 容量预留和专用主机
-
Amazon License Manager— 许可证配置
-
Amazon Outposts— 本地网关路由表、前哨和站点
-
Amazon Route 53 — 转发
-
Amazon VPC — 客户拥有的 IPv4 地址、前缀列表、子网、流量镜像目标、传输网关、传输网关多播域
-