本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
共享您的 Amazon 资源
要通过使用 Amazon RAM 共享您拥有的资源,请执行以下操作:
注意
-
与拥有资源的 Amazon Web Services 账户以外的主体共享资源不会更改适用于创建该资源的账户内的资源的权限或配额。
-
Amazon RAM 是一项区域性服务。与您共享的主体只能在创建资源共享的 Amazon Web Services 区域中访问资源共享。
-
有些资源在共享方面有特殊的注意事项和先决条件。有关更多信息,请参阅可共享的资源 Amazon。
在 Amazon Organizations 中启用资源共享
当您的账户由 Amazon Organizations 管理时,您可以利用这一优势更轻松地共享资源。无论是否使用 Organizations,用户都可以与个人账户共享。但是,如果您的账户位于组织中,则您可以与个人账户、组织或 OU 中的所有账户共享,而不必枚举每个账户。
要在组织内共享资源,您必须先使用 Amazon RAM 控制台或 Amazon Command Line Interface (Amazon CLI) 启用与 Amazon Organizations 之间的共享。当您在组织内共享资源时,Amazon RAM 不会向主体发送邀请。组织中的主体获取对共享资源的访问权限,而无需交换邀请。
当您在组织内启用资源共享时,Amazon RAM 会创建一个名为 AWSServiceRoleForResourceAccessManager
的服务相关角色。此角色只能由 Amazon RAM 服务担任,并通过使用 Amazon 托管策略 AWSResourceAccessManagerServiceRolePolicy
授予 Amazon RAM 检索其所属组织的信息的权限。
如果您不再需要与整个组织或 OU 共享资源,可以禁用资源共享。有关更多信息,请参阅禁用与 Amazon Organizations 的资源共享。
最小权限
要运行以下步骤,您必须以拥有以下权限的组织管理账户中的主体身份登录:
-
ram:EnableSharingWithAwsOrganization
-
iam:CreateServiceLinkedRole
-
organizations:enableAWSServiceAccess
-
organizations:DescribeOrganization
要求
-
只有在组织管理账户中以主体身份登录时,才能执行这些步骤。
-
组织必须已启用所有功能。有关更多信息,请参阅《Amazon Organizations 用户指南》中的启用组织中的所有功能。
重要
您必须使用 Amazon RAM 控制台或 enable-sharing-with-aws-organization Amazon CLI 命令,启用与 Amazon Organizations 之间的共享。这将确保创建与 AWSServiceRoleForResourceAccessManager
服务相关角色。如果您通过使用 Amazon Organizations 控制台或 enable-aws-service-access Amazon CLI 命令启用 Amazon Organizations 的受信任访问,则 AWSServiceRoleForResourceAccessManager
服务相关角色不会创建,且您无法在组织中共享资源。
创建资源共享
要共享您拥有的资源,请创建资源共享。过程概览:
-
添加您要共享的资源。
-
对于共享中包含的每种资源类型,请指定要用于该资源类型的托管权限。
-
您可以从可用的 Amazon 托管权限、现有的客户托管权限或创建新的客户托管权限中进行选择。
-
Amazon 托管权限由 Amazon 创建,以涵盖标准使用案例。
-
客户托管权限允许您定制自己的托管权限,以满足您的安全和业务需求。
注意
如果选定的托管权限有多个版本,则 Amazon RAM 会自动附加默认版本。您只能 附加指定为默认版本的版本。
-
-
指定要对资源拥有访问权限的主体。
注意事项
-
如果您以后需要删除共享中包含的 Amazon 资源,我们建议您先从包含该资源的任何资源共享中移除该资源,或者删除该资源共享。
-
您可以在资源共享中包含的资源类型列在了可共享的资源 Amazon中。
-
仅当您拥有某个资源时,您才可以共享此资源。您无法共享与您共享的资源。
-
Amazon RAM 是一项区域性服务。当您与其他 Amazon Web Services 账户中的主体共享资源时,这些主体必须从创建每个资源时所在的 Amazon Web Services 区域访问这些资源。对于支持的全球资源,您可以从该资源服务控制台和工具支持的任何 Amazon Web Services 区域访问这些资源。您只能在指定的主区域美国东部(弗吉尼亚州北部)
us-east-1
的 Amazon RAM 控制台和工具中,查看此类资源共享及其全球资源。有关 Amazon RAM 和全球资源的更多信息,请参阅共享区域资源(相较于全球资源)。 -
如果您要共享的账户是 Amazon Organizations 中组织的一部分,并且已在您的组织中启用共享,则组织中与您共享的所有主体将自动获得对资源共享的访问权限,而无需使用邀请。您在组织环境之外与之共享的账户中的主体会收到加入资源共享的邀请,并且只有在他们接受邀请后才能获得对所共享资源的访问权限。
如果您与服务主体共享,则无法将任何其他主体与该资源共享关联。
-
如果共享是在属于某个组织的账户或主体之间进行的,则组织成员资格的任何更改都会动态影响对资源共享的访问权限。
-
如果您向组织或有权访问资源共享的 OU 中添加 Amazon Web Services 账户,则该新成员账户将自动获得对资源共享的访问权限。然后,您与之共享的账户的管理员可以授予该账户中的个人主体访问该共享中的资源的权限。
-
如果您从组织或有权访问资源共享的 OU 中移除某个账户,则该账户中的所有主体将自动失去对通过该资源共享访问的资源的访问权限。
-
如果您直接与成员账户或成员账户中的 IAM 角色或用户共享,然后将该账户从组织中移除,则该账户中的任何主体将无法访问通过该资源共享访问的资源。
重要
当您与组织或 OU 共享,并且该范围包括拥有资源共享的账户时,共享账户中的所有主体都会自动获得对共享中资源的访问权限。授予的访问权限由与共享关联的托管权限定义。这是因为 Amazon RAM 附加到共享中每个资源的基于资源的策略使用
"Principal": "*"
。有关更多信息,请参阅在基于资源的策略中使用 "Principal": "*" 的影响。其他所使用账户中的主体无法立即访问共享的资源。其他账户的管理员必须首先将基于身份的权限策略附加到相应的主体。这些策略必须授予对资源共享中各个资源 ARN 的
Allow
访问权限。这些策略中的权限不能超过与资源共享关联的托管权限中指定的权限。 -
-
您只能将您的账户所属的组织以及该组织的 OU 添加到资源共享中。您不能将组织外部的 OU 或组织作为主体添加到资源共享。但是,您可以将单个 Amazon Web Services 账户或者(对于受支持的服务)组织外部的 IAM 角色和用户作为主体添加到资源共享中。
注意
并非所有资源类型都可以与 IAM 角色和用户共享。有关您可以与这些主体共享的资源的信息,请参阅可共享的资源 Amazon。
对于以下资源类型,您有七天的时间接受邀请加入以下资源类型的共享。如果您在邀请到期之前未接受邀请,则系统会自动拒绝邀请。
重要
对于不 在以下列表中的共享资源类型,您有 12 小时的时间 接受加入资源共享的邀请。12 小时后,邀请过期,资源共享中的最终用户主体将解除关联。最终用户无法再接受邀请。
-
Amazon Aurora - DB 集群
-
Amazon EC2 - 容量预留和专用主机
-
Amazon License Manager - 许可证配置
-
Amazon Outposts - 本地网关路由表、Outposts 和站点
-
Amazon Route 53 - 转发规则
-
Amazon VPC - 客户拥有的 IPv4 地址、前缀列表、子网、流量镜像目标、中转网关、传输网关组播域
-