共享您的资源 - AWS Resource Access Manager
启用与 AWS Organizations 共享创建资源共享
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

共享您的资源

要开始使用 AWS RAM 共享您拥有的资源,请执行以下操作:

注意

一些资源对共享有特殊的注意事项和先决条件。有关更多信息,请参阅可共享资源

启用与 AWS Organizations 共享

如果您要与您的组织或组织单位共享资源,则必须使用 AWS RAM 控制台或 CLI 命令启用与 AWS Organizations 的共享。当您在组织内共享资源时,AWS RAM 不会向委托人发送邀请。组织中的委托人获取对共享资源的访问权限,而无需交换邀请。

如果您不再需要与整个组织或组织单位共享资源,则可以禁用共享。有关更多信息,请参阅禁用与 AWS Organizations 的共享

Requirements

重要

  • 如果您未启用与 AWS Organizations 共享,则无法与组织或组织内的组织部门共享资源。但是,您仍可以与组织中的各 AWS 账户共享资源。在这种情况下,账户将被视为外部委托人。他们会收到加入资源共享的邀请,并且必须接受邀请才能获取对共享资源的访问权限。

  • 您必须使用 AWS Organizations 控制台或 AWS RAMenable-sharing-with-aws-organization 命令启用与 共享。AWS CLI这可确保创建 AWSServiceRoleForResourceAccessManager 服务相关角色。如果您使用 AWS Organizations 控制台或 AWS Organizationsenable-aws-service-access 命令启用对 的可信访问,则不会创建 AWS CLI 服务相关角色,并且您将无法在组织内共享资源。AWSServiceRoleForResourceAccessManager

启用与 AWS Organizations 的共享(控制台)

  1. 通过以下网址打开 AWS RAM 控制台的设置页面:https://console.amazonaws.cn/ram/home#Settings

  2. 选择 Enable sharing with AWS Organizations (启用与 AWS Organizations 共享)

启用与 AWS Organizations 共享 (AWS CLI)

使用 enable-sharing-with-aws-organization 命令。

此命令可用于任何区域中,并且它在支持 AWS RAM 的所有区域中都启用与 AWS Organizations 共享。

创建资源共享

要共享您拥有的资源,请创建资源共享,添加要共享的资源,并指定要与其共享资源的principals。

Considerations

  • 仅当您拥有某个资源时,您才可以共享此资源。您无法共享与您共享的资源。

  • 如果您是 AWS Organizations 中某组织的一部分并且已在您的组织中启用共享,组织中的principals将自动获得对共享资源的访问权限。否则,principals会收到加入资源共享的邀请,并在接受邀请后获得对共享资源的访问权限。

  • 在将组织添加到资源共享之后,对 OU 或组织进行更改会影响资源共享。例如,如果您向组织添加新账户,则此账户有权访问共享资源。

  • 您不能将以下内容作为 资源共享 添加到 principals:IAM 用户、IAM 角色、OUs 或 AWS Organizations 中您组织外部的组织。

创建 资源共享(控制台)

  1. https://console.amazonaws.cn/ram 打开 AWS RAM 控制台。

  2. 如果您是首次使用 AWS RAM,请从主页选择 Create a resource share (创建资源共享)。否则,从 资源共享 页面中选择 Create (创建 AWS Lambda)资源共享。

  3. Description (描述) 下,对于 Name (名称),键入资源共享的描述性名称。

  4. (可选)在 Resources (资源) 下,选择要添加到资源共享的资源,如下所示:

    1. 对于选择资源类型,选择资源的类型。这会将可共享资源的列表筛选为所选类型的资源。

    2. 选中资源旁边的复选框。所选资源将移至 Selected resources (选定资源) 下。

      如果您要共享区域性资源,使用可用区 ID (AZ ID) 可帮助您跨账户确定这些资源的相对位置。有关更多信息,请参阅适用于您的资源的 AZIDs

  5. (可选)在委托人下,执行以下操作:

    1. 默认情况下,您可以与任何 AWS 账户共享资源。要将资源共享限制为 AWS Organizations 中您的组织,请清除 Allow external accounts (允许外部账户)

    2. 对于每个principal,指定其 ID,然后选择添加

      • 要添加 AWS 账户,请键入 12 位的账户 ID。例如:123456789012

      • 要添加一个 OU,请键入 OU 的 ID。例如:ou-abcd1234-mnop5678qrst9098uv76

      • 要添加您的整个组织,请键入组织的 ID。例如:o-abcd1234efgh5678

  6. (可选)在标签下,键入标签密钥和标签值。要添加其他标签,请选择添加标签,然后键入标签键和标签值对。这些标签不应用于资源共享中包含的资源。

  7. 选择创建资源共享

    可能需要花几分钟时间,才能完成资源和委托人关联。先让此过程完成,然后再尝试使用资源共享。

  8. 您可以随时添加和删除资源和principals,或将自定义标签应用于资源共享。您不再希望共享资源时,可以删除您的资源共享。有关更多信息,请参阅共享您拥有的资源

创建 资源共享 (AWS CLI)

使用 create-resource-share 命令。