可共享Amazon资源 - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

可共享Amazon资源

使用Amazon Resource Access Manager (Amazon RAM),您可以共享其他人创建和管理的资源Amazon Web Services。您可以与个人共享资源Amazon Web Services 账户。您也可以与中的组织或组织单位 (OU) 中的账户共享资源Amazon Organizations。一些支持的资源类型还允许您与个人Amazon Identity and Access Management (IAM) 角色和用户共享资源。

以下部分列出了您可以使用共享的资源类型(按Amazon Web Service分组)Amazon RAM。表中的列指定了每种资源类型支持的功能:

可以与 IAM 用户和角色共享

是的,除了账户之外,您还可以与个人Amazon Identity and Access Management (IAM) 角色和用户共享此类资源。

— 您只能与账户共享此类资源。

可以与组织外部的账户共享

是的,您可以与组织内部或外部的任何个人账户共享此类资源。

— 您只能与属于同一组织成员的账户共享此类资源。

Amazon App Mesh

您可以使用共享以下Amazon App Mesh资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

Mesh

appmesh:Mesh

集中创建和管理网格,并与其他人Amazon Web Services 账户或您的组织共享。共享网格允许不同Amazon Web Services 账户资源创建的资源在同一个网格中相互通信。有关更多信息,请参阅Amazon App Mesh用户指南中的使用共享网格

可以与任何人共享Amazon Web Services 账户。

Amazon Aurora

您可以使用共享以下 Amazon Aurora 资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

数据库集群

rds:Cluster

集中创建和管理数据库集群,并与其他人Amazon Web Services 账户或您的组织共享。这允许多人Amazon Web Services 账户克隆一个共享的、集中管理的数据库集群。有关更多信息,请参阅《亚马逊 A urora 用户指南》中的使用Amazon RAM和 Amazon Aurora 进行跨账户克隆

可以与任何人共享Amazon Web Services 账户。

Amazon Private Certificate Authority

您可以使用共享以下Amazon 私有 CA资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

私有证书颁发机构 (CA)

acm-pca:CertificateAuthority

为组织的内部公钥基础架构 (PKI) 创建和管理私有证书颁发机构 (CA),并将这些 CA 与其他人Amazon Web Services 账户或您的组织共享。这允许其他账户中的Amazon Certificate Manager用户颁发由您的共享 CA 签名的 X.509 证书。有关更多信息,请参阅Amazon Private Certificate Authority用户指南中的控制对私有 CA 的访问权限

可以与任何人共享Amazon Web Services 账户。

Amazon CodeBuild

您可以使用共享以下Amazon CodeBuild资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

项目

codebuild:Project

创建一个项目,然后用它来运行构建。与其他人Amazon Web Services 账户或您的组织共享项目。这使多个Amazon Web Services 账户和用户可以查看有关项目的信息并分析其构建。有关更多信息,请参阅Amazon CodeBuild用户指南中的处理共享项目

可以与任何人共享Amazon Web Services 账户。

报告组

codebuild:ReportGroup

创建报告组,并在生成项目时使用它来创建报告。与其他人Amazon Web Services 账户或您的组织共享报告组。这允许多个Amazon Web Services 账户和用户查看报告组及其报告,以及每个报告的测试用例结果。报告在创建后 30 天内可以查看,然后过期且无法再查看。有关更多信息,请参阅Amazon CodeBuild用户指南中的处理共享项目

可以与任何人共享Amazon Web Services 账户。

Amazon EC2

您可以使用共享以下 Amazon EC2 资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

容量预留

ec2:CapacityReservation

集中创建和管理容量预留,并与其他人Amazon Web Services 账户或您的组织共享预留容量。这允许多个用户在集中管理的预留容量中Amazon Web Services 账户启动其 Amazon EC2 实例。有关更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的使用共享容量预留

重要

如果您不满足共享容量预留的所有先决条件,则共享操作可能会失败。如果发生这种情况,并且用户尝试在该容量预留中启动 Amazon EC2 实例,则该实例将作为按需实例启动,从而产生更高的成本。我们建议您尝试在 Amazon EC2 控制台中查看共享容量预留,以验证是否可以访问共享容量预留。您还可以监控资源共享失败,以便在用户以增加成本的方式启动实例之前采取纠正措施。有关更多信息,请参阅示例:在资源共享失败时发出警报

可以与任何人共享Amazon Web Services 账户。

专属主机

ec2:DedicatedHost

集中分配和管理 Amazon EC2 专用主机,并与其他人Amazon Web Services 账户或您的组织共享主机的实例容量。这允许多个用户在集中管理的专用主机上Amazon Web Services 账户启动其 Amazon EC2 实例。有关更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的使用共享专用主机

可以与任何人共享Amazon Web Services 账户。

置放群组

ec2:PlacementGroup

在组织内外共享您拥有的置放群组。Amazon Web Services 账户您可以从与您共享的任何账户启动 Amazon EC2 实例到共享置放群组。有关更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的共享置组

可以与任何人共享Amazon Web Services 账户。

EC2 Image Builder

您可以使用共享以下 EC2 Image Builder 资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

组件

imagebuilder:Component

集中创建和管理组件,并与他人Amazon Web Services 账户或您的组织共享。管理谁可以在其映像配方中使用预定义的构建和测试组件。有关更多信息,请参阅 EC2 Image Builder 用户指南中的共享 EC2 Image Builder 资源

可以与任何人共享Amazon Web Services 账户。

容器配方数

imagebuilder:ContainerRecipe

集中创建和管理您的容器配方,并与其他人Amazon Web Services 账户或您的组织共享。这允许您管理谁可以使用预定义文档来复制容器映像构建。有关更多信息,请参阅 EC2 Image Builder 用户指南中的共享 EC2 Image Builder 资源

可以与任何人共享Amazon Web Services 账户。

映像

imagebuilder:Image

集中创建和管理您的黄金图片,并与他人Amazon Web Services 账户或您的组织共享。管理谁可以在您的组织中使用通过 EC2 Image Builder 创建的映像。有关更多信息,请参阅 EC2 Image Builder 用户指南中的共享 EC2 Image Builder 资源

可以与任何人共享Amazon Web Services 账户。

镜像配方

imagebuilder:ImageRecipe

集中创建和管理您的图像配方,并与他人Amazon Web Services 账户或您的组织共享。这允许您管理谁可以使用预定义文档来复制 AMI 构建。有关更多信息,请参阅 EC2 Image Builder 用户指南中的共享 EC2 Image Builder 资源

可以与任何人共享Amazon Web Services 账户。

Amazon Glue

您可以使用共享以下Amazon Glue资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

数据目录

glue:Catalog

管理中央数据目录,并与Amazon Web Services 账户或您的组织共享有关数据库和表的元数据。这使用户能够对多个账户的数据运行查询。有关更多信息,请参阅Amazon Lake Formation开发者指南中的跨Amazon账户共享数据目录表和数据库

可以与任何人共享Amazon Web Services 账户。

数据库

glue:Database

集中创建和管理数据目录数据库,并与Amazon Web Services 账户或您的组织共享。数据库是数据目录表的集合。这使用户能够运行查询,提取、转换和加载(ETL)作业,这些任务可以联接和查询多个账户中的数据。有关更多信息,请参阅Amazon Lake Formation开发者指南中的跨Amazon账户共享数据目录表和数据库

可以与任何人共享Amazon Web Services 账户。

glue:Table

集中创建和管理数据目录表,并与Amazon Web Services 账户或您的组织共享。数据目录表包含有关 Amazon S3、JDBC 数据源、Amazon Redshift、流源和其他数据存储中数据表的元数据。这使用户能够运行查询和 ETL 任务,这些任务可以跨多个账户联接和查询数据。有关更多信息,请参阅Amazon Lake Formation开发者指南中的跨Amazon账户共享数据目录表和数据库

可以与任何人共享Amazon Web Services 账户。

Amazon License Manager

您可以使用共享以下Amazon License Manager资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

许可证配置

license-manager:LicenseConfiguration

集中创建和管理许可证配置,并与其他人Amazon Web Services 账户或您的组织共享。这使您能够强制执行集中管理的许可规则,这些规则基于企业协议的条款Amazon Web Services 账户。有关更多信息,请参阅 License Manager 用户指南中的 License Manager 中的许可证配置

可以与任何人共享Amazon Web Services 账户。

Amazon Migration Hub Refactor Spaces

您可以使用共享以下Amazon Migration Hub Refactor Spaces资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

重构空间环境

refactor-spaces:Environment

创建重构空间环境,并使用它来包含您的重构空间应用程序。与组织中的其他Amazon Web Services 账户或所有账户共享环境。这使多个Amazon Web Services 账户和用户可以查看有关环境及其中的应用程序的信息。有关更多信息,请参阅《Amazon Migration Hub Refactor Spaces用户指南》Amazon RAM中的 “使用共享重构空间环境”。

可以与任何人共享Amazon Web Services 账户。

Amazon Network Firewall

您可以使用共享以下Amazon Network Firewall资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

防火墙策略

network-firewall:FirewallPolicy

集中创建和管理防火墙策略,并与其他人Amazon Web Services 账户或您的组织共享。这使组织中的多个帐户能够共享一组通用的网络监控、保护和筛选行为。有关更多信息,请参阅Amazon Network Firewall开发者指南中的共享防火墙策略和规则组

可以与任何人共享Amazon Web Services 账户。

规则组

network-firewall:StatefulRuleGroup

network-firewall:StatelessRuleGroup

集中创建和管理无状态和有状态规则组,并与他人Amazon Web Services 账户或您的组织共享。这使组织中的多个账户Amazon Organizations能够共享一组检查和处理网络流量的标准。有关更多信息,请参阅Amazon Network Firewall开发者指南中的共享防火墙策略和规则组

可以与任何人共享Amazon Web Services 账户。

Amazon Outposts

您可以使用共享以下Amazon Outposts资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

Outposts

outposts:Outpost

集中创建和管理 Outposts post,并与组织Amazon Web Services 账户中的其他人共享。这允许多个账户在共享的、集中管理的 Outpost 上创建子网和 EBS 卷。有关更多信息,请参阅《Amazon Outposts用户指南》中的使用共享Amazon Outposts 资源

只能Amazon Web Services 账户在自己的组织中与共享。

本地网关路由表

ec2:LocalGatewayRouteTable

集中创建和管理与本地网关的 VPC 关联,并与组织Amazon Web Services 账户中的其他人共享。这允许多个账户创建与本地网关的 VPC 关联,并查看路由表和虚拟接口配置。有关更多信息,请参阅《Amazon Outposts用户指南》中的 Shareable Outpost 资源

只能Amazon Web Services 账户在自己的组织中与共享。

站点

outposts:Site

创建和管理 Outpost 站点,并与组织Amazon Web Services 账户中的其他人共享。这允许多个帐户在共享站点上创建和管理Outposts,并支持在Outpost资源和站点之间进行分离控制。有关更多信息,请参阅《Amazon Outposts用户指南》中的使用共享Amazon Outposts 资源

可以与任何人共享Amazon Web Services 账户。

Amazon S3 on Outposts

您可以使用以下Amazon S3 Outposts 资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

S3 on Outpsts

s3-outposts:Outpost

在 Outpost 上创建和管理 Amazon S3 存储桶、接入点和终端节点。这允许多个帐户在共享站点上创建和管理Outposts,并支持在Outpost资源和站点之间进行分离控制。有关更多信息,请参阅《Amazon Outposts用户指南》中的使用共享Amazon Outposts 资源

只能Amazon Web Services 账户在自己的组织中与共享。

Amazon Resource Explorer

您可以使用共享以下Amazon Resource Explorer资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

视图

resource-explorer-2:View

集中创建和配置 Resource Explorer 视图,并与组织Amazon Web Services 账户中的其他人共享。这使多个角色和用户可以Amazon Web Services 账户搜索和发现可通过视图访问的资源。有关更多信息,请参阅Amazon Resource Explorer用户指南中的关于资源浏览器视图

可以与任何人共享Amazon Web Services 账户。

Amazon Resource Groups

您可以使用共享以下Amazon Resource Groups资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

资源组

resource-groups:Group

集中创建和管理主机资源组,并与组织Amazon Web Services 账户中的其他人共享。这允许多人Amazon Web Services 账户共享使用创建的一组 Amazon EC2 专用主机Amazon License Manager。有关更多信息,请参阅Amazon License Manager用户指南Amazon License Manager中的主机资源组

可以与任何人共享Amazon Web Services 账户。

Amazon Route 53

您可以通过使用共享以下 Amazon Route 53 资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

Route 53 Resolver DNS DNS

route53resolver:FirewallRuleGroup

集中创建和管理 Route 53 Resolver DNS 防火墙规则组,并与其他人Amazon Web Services 账户或您的组织共享。这使多个账户能够共享一组标准,用于检查和处理通过 Route 53 Resolver 进行的出站 DNS 查询。有关更多信息,请参阅 Amazon Route 53 开发人员指南Amazon Web Services 账户中的共享 Route 53 Resolver DNS Firewall 规则组

可以与任何人共享Amazon Web Services 账户。

转发规则

route53resolver:ResolverRule

集中创建和管理转发规则,并与其他人Amazon Web Services 账户或您的组织共享。这允许多个账户将 DNS 查询从其虚拟私有云 (VPC) 转发到共享的集中管理解析器规则中定义的目标 IP 地址。有关更多信息,请参阅 Amazon Route 53 开发者指南中的与其他人共享转发规则Amazon Web Services 账户和使用共享规则

可以与任何人共享Amazon Web Services 账户。

查询日志

route53resolver:ResolverQueryLogConfig

集中创建和管理查询日志,并与其他人Amazon Web Services 账户或您的组织共享。这使多Amazon Web Services 账户人能够将源自其 VPC 的 DNS 查询记录到集中管理的查询日志中。有关更多信息,请参阅 Amazon Route 53 开发者指南Amazon Web Services 账户中的与其他人共享解析器查询日志配置

可以与任何人共享Amazon Web Services 账户。

亚马逊 SageMaker

您可以使用共享以下亚马逊 SageMaker 资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

血统组

sagemaker:LineageGroup

Amazon SageMaker 允许您创建管道元数据的世系组,以更深入地了解其历史和关系。与组织中的其他账户Amazon Web Services 账户或账户共享世系群组。这使多个Amazon Web Services 账户和用户可以查看有关世系组的信息并查询其中的跟踪实体。有关更多信息,请参阅《亚马逊 SageMaker 开发者指南》中的跨账户血统跟踪

可以与任何人共享Amazon Web Services 账户。

SageMaker 管道

sagemaker:Pipeline

借助 Amazon SageMaker 模型构建管道,您可以大规模创建、自动化和管理 end-to-end 机器学习工作流程。与组织中的其他账户Amazon Web Services 账户或账户共享您的流水线,为您的机器学习操作实现多账户策略。这使多个Amazon Web Services 账户和用户可以查看有关管道及其执行的信息,并可选择从其他账户启动、停止和重试管道。有关更多信息,请参阅《亚马逊 SageMaker 开发者指南》中的 SageMaker 管道跨账户 Support

可以与任何人共享Amazon Web Services 账户。

Amazon Service Catalog AppRegistry

您可以使用共享以下Amazon Service Catalog AppRegistry资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

应用程序

servicecatalog:Application

创建一个应用程序,并使用它来跟踪整个Amazon环境中属于该应用程序的资源。与其他人Amazon Web Services 账户或您的组织共享该应用程序。这允许多个Amazon Web Services 账户和用户在本地查看有关应用程序及其关联资源的信息。有关更多信息,请参阅Serv ice Catalog 用户指南中的创建应用程序

.

只能Amazon Web Services 账户在自己的组织中与共享。

属性组

servicecatalog:AttributeGroup

创建一个属性组,并使用它来存储与您的应用程序相关的元数据。与其他人Amazon Web Services 账户或您的组织共享属性组。这允许多个Amazon Web Services 账户和用户查看有关属性组的信息。有关更多信息,请参阅Serv ice Catalog 用户指南中的创建属性组

.

只能Amazon Web Services 账户在自己的组织中与共享。

Amazon Systems Manager Incident Manager

您可以使用共享以下Amazon Systems Manager Incident Manager资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

联系人

ssm-contacts:Contact

集中创建和管理联系人和升级计划,并与其他人Amazon Web Services 账户或您的组织共享联系方式。这使许多人可以Amazon Web Services 账户查看事件期间发生的互动。有关更多信息,请参阅 S Amazonystems Manager 用户指南中的使用共享联系人和响应计划

可以与任何人共享Amazon Web Services 账户。

应对计划

ssm-incidents:ResponsePlan

集中创建和管理响应计划,并与其他人Amazon Web Services 账户或您的组织共享。这使他们能够Amazon Web Services 账户将亚马逊 CloudWatch 警报和亚马逊 EventBridge 事件规则与响应计划联系起来,在检测到事件时自动创建事件。该事件还可以访问其他事件的指标Amazon Web Services 账户。有关更多信息,请参阅 S Amazonystems Manager 用户指南中的使用共享联系人和响应计划

可以与任何人共享Amazon Web Services 账户。

Amazon VPC

您可以使用共享以下Amazon Virtual Private Cloud(Amazon VPC)资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

客户拥有的 IPv4 地址

ec2:CoipPool

在Amazon Outposts安装过程中,根据您提供的有关本地网络的信息Amazon创建地址池,该地址池称为客户拥有的 IP 地址池

客户拥有的 IP 地址通过您的本地网络提供连接到 Outposts 子网中资源的本地或外部连接。您可以使用弹性 IP 地址或使用自动分配客户拥有的 IP 地址的子网设置,将这些地址分配给 Outpost 上的资源,例如 EC2 实例。有关更多信息,请参阅《Amazon Outposts 用户指南》中的客户拥有的 IP 地址

只能Amazon Web Services 账户在自己的组织中与共享。

IP 地址管理器(IPAM)池

ec2:IpamPool

与其他Amazon Web Services 账户 IAM 角色或用户或整个组织或组织单位 (OU) 集中共享 Amazon VPC IPAM 池Amazon Organizations。这允许这些主体将池中的 CIDR 分配给各自账户中的Amazon资源,例如 VPC。有关更多信息,请参阅《亚马逊 VPC IP 地址管理器用户指南》Amazon RAM中的 “使用” 共享 IP AM 池

可以与任何人共享Amazon Web Services 账户。

IP 地址管理器(IPAM)资源发现

ec2:IpamResourceDiscovery

与他人分享资源发现Amazon Web Services 账户。资源发现是一个 Amazon VPC IPAM 组件,它使 IPAM 能够管理和监控属于所属账户的资源。有关更多信息,请参阅 Amazon VPC 用户指南中的使用资源发现

可以与任何人共享Amazon Web Services 账户。

前缀列表

ec2:PrefixList

集中创建和管理前缀列表,并与其他人Amazon Web Services 账户或您的组织共享。这允许多人在其资源中Amazon Web Services 账户引用前缀列表,例如 VPC 安全组和子网路由表。有关更多信息,请参阅 Amazon VPC 用户指南中的使用共享前缀列表

可以与任何人共享Amazon Web Services 账户。

子网

ec2:Subnet

集中创建和管理子网,并在组织Amazon Web Services 账户内部与之共享。这允许多人将其应用程序资源Amazon Web Services 账户启动到集中管理的 VPC。其中包括 Amazon EC2 实例、AAmazon Relational Database Service (RDS) e Service Service Service SAmazon Lambda ervice 有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 共享

注意

要在创建资源共享时包含子网,除此之外,您还必须具有ec2:DescribeSubnetsec2:DescribeVpcs权限ram:CreateResourceShare

只能Amazon Web Services 账户在自己的组织中与共享。

流量镜像会目标

ec2:TrafficMirrorTarget

集中创建和管理流量镜像目标,并与他人Amazon Web Services 账户或您的组织共享。这允许多人将镜像网络流量从其账户中的流量镜像源Amazon Web Services 账户发送到共享的、集中管理的流量镜像目标。有关更多信息,请参阅流量镜像指南中的跨账户流量镜像目标

可以与任何人共享Amazon Web Services 账户。

中转网关

ec2:TransitGateway

集中创建和管理公交网关,并与其他人Amazon Web Services 账户或您的组织共享。这允许多人通过共享的集中管理的传输网关在其 VPC 和本地网络之间Amazon Web Services 账户路由流量。有关更多信息,请参阅在 Amazon VPC 中转网关中共享中转网关

注意

要在创建资源共享时包含传输网关,除此之外还必须具有ec2:DescribeTransitGateway权限ram:CreateResourceShare

可以与任何人共享Amazon Web Services 账户。

中转网关多播域

ec2:TransitGatewayMulticastDomain

集中创建和管理传输网关多播域,并与其他人Amazon Web Services 账户或您的组织共享。这允许多人Amazon Web Services 账户注册和取消注册组成员或组源。有关更多信息,请参阅《公交网关指南》中的 “使用共享多点传送域”。

可以与任何人共享Amazon Web Services 账户。

Amazon云广域网

您可以使用共享以下Amazon Cloud WAN 资源Amazon RAM。

资源类型和代码 使用案例 可以与 IAM 用户和角色共享 可以与组织外部的账户共享

Cloud WAN 核心网络

networkmanager:CoreNetwork

集中创建和管理 Cloud WAN 核心网络,并与其他人共享Amazon Web Services 账户。这允许在单个 Cloud WAN 核心网络上进行多台Amazon Web Services 账户访问和配置主机。有关更多信息,请参阅 AmazonCloud WAN 用户指南中的共享核心网络

可以与任何人共享Amazon Web Services 账户。