在中创建资源共享Amazon RAM - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在中创建资源共享Amazon RAM

要共享您拥有的资源,请创建资源共享。创建资源资源资源共享,执行以下操作:

  1. 确定您要共享的资源。

  2. 对于共享中包含的每种资源类型,指定该资源类型的使用权限。

    • 如果只有默认权限可用于某个资源类型,则Amazon RAM会自动将该权限与该资源类型关联起来,您无需执行任何操作。

    • 如果资源类型的可用权限超过默认Amazon RAM托管权限,则必须选择与该资源类型关联的权限。

  3. 指定您希望其对资源具有访问权限的委托人。

注意事项

  • 可以在资源共享中包含的资源类型在中列出可共享Amazon资源

  • 仅当您拥有某个资源时,您才可以共享此资源。您无法共享与您共享的资源。

  • Amazon RAM是一项区域服务。当您与其他的委托人共享资源时Amazon Web Services 账户,他们必须从创建Amazon Web Services 区域该资源的相同资源中访问每种资源。对于支持的全局资源,您可以从Amazon Web Services 区域该资源的服务控制台和工具支持的任何资源访问这些资源。请注意,您只能在指定的主区域,即美国东部(弗吉尼亚北部)的Amazon RAM控制台和工具中查看此类资源共享及其全球资源us-east-1。有关Amazon RAM和全球资源的更多信息,请参阅与全球资源相比,共享区域资源

  • 如果您是中某企业的一部分并且已在您的企业的一部分Amazon Organizations并且已在您的企业中启用共享,企业中与之共享的所有负责人将自动获得对共享资源的访问权限。在您的组织环境之外与您共享的账户中的委托人将收到加入资源共享,并且只有在他们接受邀请后才获得对共享资源资源的访问权限。

  • 对于以下资源类型,您有七天的时间接受加入以下资源类型的共享的邀请。如果您在邀请到期之前不接受邀请,则邀请会自动被拒绝。

    重要

    对于在以下列表中的共享资源类型,您有 12 小时的时间接受加入资源共享的邀请。如果您在 12 小时后尝试接受邀请,RAM 将无法处理邀请,发起账户必须再次共享资源才能生成新邀请。

    • Amazon Aurora

    • Amazon EC2 — 容量预留和专用主机

    • Amazon License Manager— 许可证配置

    • Amazon Outposts— 本地网关路由表、前哨和站点

    • Amazon Route 53 — 转发

    • Amazon VPC — 客户拥有的 IPv4 地址、前缀列表、子网、流量镜像目标、传输网关、传输网关多播域

  • 将组织或组织单位 (OU) 添加到资源共享后,OU 中的帐户或加入或退出组织的帐户的更改会动态影响资源共享。例如,如果您向有权访问资源共享的 OU 添加新帐户,则新成员帐户会自动获得对共享资源的访问权限。

  • 您只能将您的账户所属的组织以及该组织的 OU 添加到您的资源共享中。您无法以负责人身份将自己组织外部的 OU 或组织添加到资源共享中。但是,您可以将个人Amazon Web Services 账户或对于支持的服务,将 IAM 角色和来自组织外部的用户作为委托人添加到资源共享中。

    注意

    并非所有资源类型都可以与 IAM 角色和用户共享。有关您可以与这些校长共享的资源的信息,请参阅可共享Amazon资源

Console
创建资源资源资源资源资源资源资源共享

  1. 打开 Amazon RAM 控制台

  2. 由于Amazon RAM资源共享Amazon Web Services 区域,请从控制台右上角的下拉列表中选择相应的共享,请Amazon Web Services 区域从控制台右上角的下拉列表中选择相应共享。要查看包含全局资源的资源共享,您必须将设置Amazon Web Services 区域为美国东部(弗吉尼亚州北部),(us-east-1)。有关共享全局资源的更多信息,请参阅与全球资源相比,共享区域资源。如果要在资源共享中包括全球资源,则必须选择指定的主区域,即美国东部(弗吉尼亚北部)us-east-1

  3. 如果您是新手Amazon RAM,请从主页选择 “创建资源共享”。否则,请从 “由我共享:资源共享” 页面中选择 “创建资源共享”。

  4. 步骤 1: 指定资源资源资源资源资源资源资源资源详细信息中,执行以下操作:

    1. 对于 Name(名称)中,为资源资源资源资源资源输入一个描述性名称。

    2. 在 “资源” 下,选择要添加到资源共享的资源,如下所示:

      • 选择资源类型中,选择要共享的资源类型。这会将可共享资源列表筛选为仅包含所选类型的资源。

      • 在生成的资源资源列表中,选中要共享的单资源旁的复选框。所选资源移至 “选定资源” 下。

        如果您共享与特定可用区关联的资源,则使用可用区 ID (AZ ID) 可帮助您确定这些资源在不同账户中的相对位置。有关更多信息,请参阅您的可用区 IDAmazon资源

    3. (可选)要将标签附加到资源共享,请在标签下输入标签密钥和值。通过选择 “添加新标签” 来添加其他人。根据需要重复执行此步骤。这些标签仅适用于资源共享本身,不适用于资源共享中的资源。

  5. 选择 Next(下一步)

  6. 步骤 2:将权限与每种资源类型关联中,如果可用的权限超过默认的Amazon RAM托管权限,则可以选择与该资源类型关联的权限。如果只有默认权限可用,则Amazon RAM会自动将此权限与资源类型关联起来。有关更多信息,请参阅的类型Amazon RAM托管式权限

    要显示该权限允许的操作,请展开查看此权限允许的操作

  7. 选择 Next(下一步)

  8. 步骤 3: 选择要授予访问权限的委托人中,执行以下操作:

    1. 默认情况下,“允许与外部负责人共享” 处于选中状态,这意味着,对于支持外部的资源类型Amazon Web Services 账户,您可以与组织外部的资源共享。这不会影响只能在组织内共享的资源类型,例如 Amazon VPC 子网。您还可以与 IAM 角色和用户共享某些支持的资源资源类型

      要将资源共享限制为仅与组织中的帐户和委托人共享,请选择 “仅允许与组织中的负责人共享”。

    2. 对于校长,执行以下操作:

      • 要添加组织、组织单位 (OU) 或组织的一部分Amazon Web Services 账户,请打开 “显示组织结构”。这将显示您组织的树视图。然后,选中要添加的每个校长旁的复选框。

        • 如果您选择组织(ID 以开头o-),则组织Amazon Web Services 账户中的所有人都可以访问资源共享。

        • 如果您选择一个 OU(ID 以开头ou-),则该 OU 及其子 OUAmazon Web Services 账户 中的所有人都可以访问该资源共享。

        • 如果您选择个人Amazon Web Services 账户,则只有该账户可以访问资源共享。

        注意

        仅当启用了共享对象并且您登录了Amazon Organizations组织的管理帐户时,才会显示 “显示组织结构” 开关。

        您不能使用此方法指定组织Amazon Web Services 账户外部,也不能指定 IAM 角色或用户。相反,您必须关闭 “显示组织结构”,然后使用下拉列表和文本框输入 ID 或 ARN。

      • 要通过 ID 或 ARN 指定委托人,包括组织外部的委托人,请为每个委托人选择委托人类型。接下来,输入 ID(用于Amazon Web Services 账户、组织或 OU)或 ARN(用于 IAM 角色或用户),然后选择添加。可用的主体类型以及 ID 和 ARN 格式如下所示:

        • Amazon Web Services 账户— 要添加Amazon Web Services 账户,请输入 12 位数的账户 ID。例如:

          123456789012

        • 组织-要添加组织Amazon Web Services 账户中的所有组织,请输入组织的 ID。例如:

          o-abcd1234

        • 组织单位 (OU)-要添加 OU,请输入 OU 的 ID。例如:

          ou-abcd-1234efgh

        • IAM 角色-要添加 IAM 角色,请输入该角色的 ARN ARN。使用下面的语法:

          arn:partition:iam::account:role/role-name

          例如:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          注意

          要获取 IAM 角色的唯一 ARN,请在 IAM 控制台中查看角色列表,使用 get- roAmazon CLI le 命令或 GetRoleAPI 操作。

        • IAM 用户-要添加 IAM 用户,请输入该用户的 ARN。使用下面的语法:

          arn:partition:iam::account:user/user-name

          例如:

          arn:aws:iam::123456789012:user/JohnDoe
          注意

          要获取 IAM 用户的唯一 ARN,请在 IAM 控制台中查看用户列表,使用 get-userAmazon CLI 命令或 GetUserAPI 操作。

    3. 对于选定的校长,请验证您指定的校长是否出现在列表中。

  9. 选择 Next(下一步)

  10. 步骤 4:查看和创建中,查看您的资源共享的配置详细信息。要更改任何步骤的配置,请选择与您要返回的步骤相对应的链接,然后进行所需的更改。

  11. 查看完资源共享后,选择创建资源共享

    可能需要花几分钟时间,才能完成资源和委托人关联。在尝试使用资源共享之前,请先完成此过程。

  12. 您可以随时添加和删除资源和主体,或者将自定义标签应用于您的资源共享。对于支持超出默认权限的类型,您可以更改资源共享中包含的资源类型的权限。当您不想再共享资源资源资源资源时,可以删除资源共享,可以删除资源共享,可以删除资源共享。有关更多信息,请参阅Share(共享)Amazon您拥有的资源

Amazon CLI
创建资源资源资源资源资源资源资源共享

使用 create-resource-share 命令。以下命令创建了与组织Amazon Web Services 账户中的所有人共享的资源共享。该共享包含Amazon License Manager许可证配置,并授予该资源类型的默认权限。

$ aws ram create-resource-share \
    --region cn-north-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:cn-north-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:cn-north-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}