本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Amazon RAM 中创建资源共享
要共享您拥有的资源,请创建资源共享。过程概览:
-
添加您要共享的资源。
-
对于共享中包含的每种资源类型,请指定要用于该资源类型的托管权限。
-
您可以从可用的 Amazon 托管权限、现有的客户托管权限或创建新的客户托管权限中进行选择。
-
Amazon 托管权限由 Amazon 创建,以涵盖标准使用案例。
-
客户托管权限允许您定制自己的托管权限,以满足您的安全和业务需求。
注意
如果选定的托管权限有多个版本,则 Amazon RAM 会自动附加默认版本。您只能 附加指定为默认版本的版本。
-
-
指定要对资源拥有访问权限的主体。
注意事项
-
如果您以后需要删除共享中包含的 Amazon 资源,我们建议您先从包含该资源的任何资源共享中移除该资源,或者删除该资源共享。
-
您可以在资源共享中包含的资源类型列在了可共享的资源 Amazon中。
-
仅当您拥有某个资源时,您才可以共享此资源。您无法共享与您共享的资源。
-
Amazon RAM 是一项区域性服务。当您与其他 Amazon Web Services 账户中的主体共享资源时,这些主体必须从创建每个资源时所在的 Amazon Web Services 区域访问这些资源。对于支持的全球资源,您可以从该资源服务控制台和工具支持的任何 Amazon Web Services 区域访问这些资源。您只能在指定的主区域美国东部(弗吉尼亚州北部)
us-east-1
的 Amazon RAM 控制台和工具中,查看此类资源共享及其全球资源。有关 Amazon RAM 和全球资源的更多信息,请参阅共享区域资源(相较于全球资源)。 -
如果您要共享的账户是 Amazon Organizations 中组织的一部分,并且已在您的组织中启用共享,则组织中与您共享的所有主体将自动获得对资源共享的访问权限,而无需使用邀请。您在组织环境之外与之共享的账户中的主体会收到加入资源共享的邀请,并且只有在他们接受邀请后才能获得对所共享资源的访问权限。
如果您与服务主体共享,则无法将任何其他主体与该资源共享关联。
-
如果共享是在属于某个组织的账户或主体之间进行的,则组织成员资格的任何更改都会动态影响对资源共享的访问权限。
-
如果您向组织或有权访问资源共享的 OU 中添加 Amazon Web Services 账户,则该新成员账户将自动获得对资源共享的访问权限。然后,您与之共享的账户的管理员可以授予该账户中的个人主体访问该共享中的资源的权限。
-
如果您从组织或有权访问资源共享的 OU 中移除某个账户,则该账户中的所有主体将自动失去对通过该资源共享访问的资源的访问权限。
-
如果您直接与成员账户或成员账户中的 IAM 角色或用户共享,然后将该账户从组织中移除,则该账户中的任何主体将无法访问通过该资源共享访问的资源。
重要
当您与组织或 OU 共享,并且该范围包括拥有资源共享的账户时,共享账户中的所有主体都会自动获得对共享中资源的访问权限。授予的访问权限由与共享关联的托管权限定义。这是因为 Amazon RAM 附加到共享中每个资源的基于资源的策略使用
"Principal": "*"
。有关更多信息,请参阅在基于资源的策略中使用 "Principal": "*" 的影响。其他所使用账户中的主体无法立即访问共享的资源。其他账户的管理员必须首先将基于身份的权限策略附加到相应的主体。这些策略必须授予对资源共享中各个资源 ARN 的
Allow
访问权限。这些策略中的权限不能超过与资源共享关联的托管权限中指定的权限。 -
-
您只能将您的账户所属的组织以及该组织的 OU 添加到资源共享中。您不能将组织外部的 OU 或组织作为主体添加到资源共享。但是,您可以将单个 Amazon Web Services 账户或者(对于受支持的服务)组织外部的 IAM 角色和用户作为主体添加到资源共享中。
注意
并非所有资源类型都可以与 IAM 角色和用户共享。有关您可以与这些主体共享的资源的信息,请参阅可共享的资源 Amazon。
对于以下资源类型,您有七天的时间接受邀请加入以下资源类型的共享。如果您在邀请到期之前未接受邀请,则系统会自动拒绝邀请。
重要
对于不 在以下列表中的共享资源类型,您有 12 小时的时间 接受加入资源共享的邀请。12 小时后,邀请过期,资源共享中的最终用户主体将解除关联。最终用户无法再接受邀请。
-
Amazon Aurora - DB 集群
-
Amazon EC2 - 容量预留和专用主机
-
Amazon License Manager - 许可证配置
-
Amazon Outposts - 本地网关路由表、Outposts 和站点
-
Amazon Route 53 - 转发规则
-
Amazon VPC - 客户拥有的 IPv4 地址、前缀列表、子网、流量镜像目标、中转网关、传输网关组播域
-