看不到目标账户中的共享资源 - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

看不到目标账户中的共享资源

情况

用户看不到他们认为通过其他 Amazon Web Services 账户与自己共享的资源。

可能的原因和解决方案

与 Amazon Organizations 共享是通过使用 Organizations 开启的,而不是 Amazon RAM

如果 Amazon Organizations 是通过使用 Organizations(而不是 Amazon RAM)开启的,则组织内部共享将失败。要检查这是否是导致问题的原因,请导航到 Amazon RAM 控制台的“设置”页面,并确认选中启用与 Amazon Organizations 的共享复选框。

  • 如果选中此复选框,则表明这不是原因。

  • 如果未选中此复选框,则表明这可能是原因。暂时不要选中该复选框。按以下步骤操作,纠正这种情况。

  1. 使用具有管理权限的 IAM 角色或用户登录您组织的管理账户。

  2. 导航到 Amazon Organizations 控制台的“服务”页面

  3. 选择 RAM

  4. 选择 Disable trusted access (禁用信任访问权限)

  5. 导航到 Amazon RAM 控制台的“设置”页面

  6. 选中允许与 Amazon Organizations 共享框,然后选择保存设置

您可能需要更新共享并指定组织内要与之共享的账户或组织单位

资源共享未将此账户指定为主体

在创建资源共享的 Amazon Web Services 账户中,在 Amazon RAM 控制台查看资源共享。检查无法访问资源的账户是否被列为主体。如果不是,请更新共享,将账户添加为主体

账户中的角色或用户没有所需的最低权限

当您将账户 A 中的资源共享给另一个账户 B 时,账户 B 中的角色和用户不会自动获得对共享中资源的访问权限。账户 B 的管理员必须首先向账户 B 中需要访问资源的 IAM 角色和用户授予权限。例如,以下策略显示了如何向账户 B 中的角色和用户授予账户 A 中某个资源的只读访问权限。该策略按其 Amazon 资源名称 (ARN) 指定资源。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ram:Get*", "ram:List*" ], "Effect": "Allow", "Resource": "arn:aws:<service>:<Region-code>:<Account-A-ID>:<resource-id>" } ] }

资源位于与当前控制台设置不同的 Amazon Web Services 区域中

Amazon RAM 是一项区域性服务。资源存在于特定 Amazon Web Services 区域,要查看资源,必须将 Amazon Web Services Management Console配置为查看该区域中的资源。

控制台当前正在访问的 Amazon Web Services 区域显示在控制台的右上角。要对其进行更改,请选择当前的区域名称,然后从下拉菜单中选择要查看其资源的区域。