Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门。本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
共享您的Amazon资源
使用共享您拥有的资源Amazon RAM中,执行以下操作:
-
共享资源使其可供外部的委托人使用Amazon Web Services 账户那创建了资源。共享不会更改适用于创建该资源的账户中的资源的任何权限或配额。
-
Amazon RAM是区域服务。您与之共享的委托人只能在Amazon Web Services 区域在其中创建它们。
-
一些资源有特殊的注意事项和共享的先决条件 有关更多信息,请参阅 可共享Amazon资源。
在内启用资源共享Amazon Organizations
当你的账户由管理Amazon Organizations,您可以利用这些优势更轻松地共享资源。无论是否有 Organizations,用户都可以与个人账户共享。但是,如果您的账户位于组织中,则可以与个人账户共享,或者与组织或 OU 中的所有账户共享,而无需枚举每个账户。
要在组织内共享资源,必须首先使用Amazon RAM控制台或Amazon Command Line Interface(Amazon CLI) 启用与Amazon Organizations. 当你在组织中共享资源时,Amazon RAM不向校长发送邀请。组织中的委托人无需交换邀请即可访问共享资源。
如果您不再需要与您的整个组织或 OU 共享资源,则可以禁用资源共享。有关更多信息,请参阅 禁用资源共享Amazon Organizations。
您必须启用与Amazon Organizations通过使用Amazon RAM控制台或enable-sharing-with-aws-组织 Amazon CLI命令。这将确保创建与 AWSServiceRoleForResourceAccessManager
服务相关角色。如果您启用信任访问权限Amazon Organizations通过使用Amazon Organizations控制台或 enable-aws-service-访问 Amazon CLI命令,AWSServiceRoleForResourceAccessManager
未创建与服务关联的角色,您无法在您的组织中共享资源。
- Console
-
在内启用资源共享Amazon Organizations
-
打开设置中的页面Amazon RAM控制台。
-
选择启用与共享Amazon Organizations,然后选择保存设置.
- Amazon CLI
-
在内启用资源共享Amazon Organizations
使用enable-sharing-with-aws-组织命令。
可在任何中使用此命令Amazon Web Services 区域,它允许与共享Amazon Organizations在所有地区Amazon RAM支持。
$
aws ram enable-sharing-with-aws-organization
{
"returnValue": true
}
创建资源
要共享您拥有的资源,请创建资源共享。在创建资源共享时,您需要执行以下操作:
-
添加您想要共享的资源。
-
对于共享中包含的每种资源类型,请指定用于该资源类型的权限。
-
指定您希望有权访问资源的委托人。
注意事项
-
您可以在资源共享中包含的资源类型列于可共享Amazon资源.
-
仅当您拥有某个资源时,您才可以共享此资源。您无法共享与您共享的资源。
-
Amazon RAM是区域服务。当你与其他委托人共享资源时Amazon Web Services 账户,他们必须从同一个资源访问每个资源Amazon Web Services 区域它是在中创建的。对于支持的全球资源,您可以从任何一种访问这些资源Amazon Web Services 区域该资源的服务控制台和工具支持。请注意,您可以在Amazon RAM控制台和工具仅在指定的主区域,美国东部(弗吉尼亚北部),us-east-1
. 有关 的更多信息Amazon RAM和全球资源,请参阅与全球资源相比,共享区域资源.
-
如果你是中的组织的一员Amazon Organizations并且已在您的组织中启用共享,组织中的委托人将自动获得对共享资源的访问权限,而无需使用邀请。您在组织上下文之外与其共享的账户中的委托人会收到加入资源共享的邀请,并且只有在接受邀请后才被授予对共享资源的访问权限。
-
将组织或组织单位 (OU) 添加到资源共享后,对 OU 中的帐户或加入或离开组织的帐户所做的更改会动态影响资源共享。例如,如果您将新账户添加到有权访问资源共享的 OU,新成员账户将自动获得对共享资源的访问权限。
-
您只能将账户所属的组织和来自该组织的 OU 添加到资源共享中。您不能将自己组织外部的 OU 或组织添加到资源共享中作为委托人。但是,您可以添加个人Amazon Web Services 账户、IAM 用户和您的组织外部的 IAM 角色,将其作为资源共享的委托人。
并非所有资源类型都可以与 IAM 角色和用户共享。有关可以与这些承担者共享的资源的信息,请参阅可共享Amazon资源.
- Console
-
创建资源共享
打开 Amazon RAM 控制台。
-
由于Amazon RAM资源共享特定存在Amazon Web Services 区域,选择适当的Amazon Web Services 区域从控制台右上角的下拉列表中显示。要查看包含全局资源的资源共享,必须设置Amazon Web Services 区域到美国东部(弗吉尼亚北部),(us-east-1
)。有关共享全局资源的更多信息,请参阅与全球资源相比,共享区域资源. 如果想要将全球资源包括在资源共享中,则必须选择指定的主区域,美国东部(弗吉尼亚北部),us-east-1
.
-
如果您是的新用户Amazon RAM,选择创建资源来自主页。否则,请选择创建资源来自 的由我分享:资源共享页.
-
In第 1 步:指定资源共享详情中,执行以下操作:
-
适用于名称中,输入资源共享的描述性名称。
-
在资源中,选择要添加到资源共享的资源,如下所示:
-
适用于选择资源类型中,选择要共享的资源的类型。这会将可共享资源的列表筛选为仅选中类型的资源。
-
在生成的资源列表中,选中要共享的各个资源旁边的复选框。选定的资源移至选定的资源.
如果您要共享与特定可用区关联的资源,使用可用区 ID (AZ ID) 可帮助您跨账户确定这些资源的相对位置。有关更多信息,请参阅 您的可用区 IDAmazon资源。
-
(可选)至附加标签到资源份额,下标签中,输入标签键和值。通过选择添加其他添加新标签. 根据需要重复此步骤。这些标签仅适用于资源共享本身,而不适用于资源共享中的资源。
-
请选择 Next (下一步)。
-
In步骤 2: 将权限与每种资源类型关联,如果超过默认值Amazon RAM托管权限可用,然后您可以选择与资源类型关联的权限。如果只有默认权限可用,那么Amazon RAM自动将此权限与资源类型关联起来。有关更多信息,请参阅 的类型Amazon RAM托管式权限。
要显示权限允许的操作,请展开查看此权限允许的操作.
-
请选择 Next (下一步)。
-
In步骤 3: 选择委托人授予访问权限中,执行以下操作:
-
默认情况下,允许与外部委托人共享被选中,这意味着您可以与之共享资源Amazon Web Services 账户在组织外部。适用于支持的资源类型,您还可以与 IAM 角色和用户共享资源。
要将资源共享限制为仅限于组织中的委托人,请选择仅允许与组织中的负责人共享.
-
适用于委托人中,执行以下操作:
-
添加组织、组织单位 (OU) 或Amazon Web Services 账户打开组织的组成部分显示组织结构. 这将显示组织的树视图。然后,选中要添加的每个委托人旁边的复选框。
-
如果你选择组织(ID 以开头)o-
),然后全部Amazon Web Services 账户在组织中可以访问资源共享。
-
如果选择 OU(ID 以开头)ou-
),然后全部Amazon Web Services 账户在那个 OU 及其子 OU 可以访问资源共享。
-
如果你选择个人Amazon Web Services 账户,那么只有该账户可以访问资源共享。
这些区域有:显示组织结构只有在与共享时才会显示切换Amazon Organizations已启用并且您已登录组织的管理账户。
你不能使用此方法来指定Amazon Web Services 账户在组织之外,或 IAM 角色或 IAM 用户。相反,你必须关闭显示组织结构然后使用下拉列表和文本框输入 ID 或 ARN。
-
要按 ID 或 ARN 指定委托人(包括组织外部的委托人),然后为每个委托人选择委托人类型。接下来,输入 ID(对于Amazon Web Services 账户、组织或 OU)或 ARN(对于 IAM 用户或角色),然后选择Add. 可用的主体类型以及 ID 和 ARN 格式如下:
-
Amazon Web Services 账户— 添加Amazon Web Services 账户,请输入 12 位的账户 ID。例如:
123456789012
-
组织— 添加所有Amazon Web Services 账户在您的组织中,输入组织的 ID。例如:
o-abcd1234
-
组织部门(OU)— 要添加 OU,请输入 OU 的 ID。例如:
ou-abcd-1234efgh
-
IAM 角色— 要添加 IAM 角色,请输入角色的 ARN。使用下面的语法。
arn:partition
:iam::account
:role/role-name
例如:
arn:aws:iam::123456789012:role/MyS3AccessRole
-
IAM 用户— 要添加 IAM 用户,请输入该用户的 ARN。使用下面的语法。
arn:partition
:iam::account
:user/user-name
例如:
arn:aws:iam::123456789012:user/JohnDoe
-
适用于选定委托人,验证您指定的委托人是否显示在列表中。
-
请选择 Next (下一步)。
-
In步骤 4: 审核和创建中,查看资源共享的配置详细信息。要更改任何步骤的配置,请选择与要返回的步骤对应的链接,然后进行所需的更改。
-
审核完资源共享后,选择创建资源.
可能需要花几分钟时间,才能完成资源和委托人关联。先让此过程完成,然后再尝试使用资源共享。
-
您可以随时添加和删除资源和委托人或将自定义标签应用于您的资源共享。对于那些支持超过默认权限的类型,您可以更改资源共享中包含的资源类型的权限。如果您不再希望共享资源,您可以删除您的资源共享。有关更多信息,请参阅 共享Amazon你拥有的资源。
- Amazon CLI
-
创建资源共享
使用 create-resource-share 命令。以下命令创建了一个资源共享,该共享给所有Amazon Web Services 账户在组织中。该分享包含Amazon License Manager许可证配置,并授予该资源类型的默认权限。
$
aws ram create-resource-share \
--region cn-north-1 \
--name MyLicenseConfigShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
--resource-arns arn:aws:license-manager:cn-north-1:123456789012:license-configuration:lic-abc123 \
--principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:cn-north-1:123456789012:resource-share/12345678-abcd-09876543",
"name": "MyLicenseConfigShare",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
}
}