在 Amazon RAM 中创建资源共享

要创建资源共享，请执行以下操作：

1. 打开 Amazon RAM 控制台。

2. 由于 Amazon RAM 资源共享存在于特定 Amazon Web Services 区域，因此，请从控制台右上角的下拉列表中选择相应的 Amazon Web Services 区域。要查看包含全球资源的资源共享，您必须将 Amazon Web Services 区域设置为美国东部（弗吉尼亚州北部）(us-east-1)。有关共享全球资源的更多信息，请参阅共享区域资源（相较于全球资源）。如果要在资源共享中包含全球资源，则必须选择指定的主区域，即美国东部（弗吉尼亚州北部）us-east-1。

3. 如果您是首次使用 Amazon RAM，请从主页选择创建资源共享。否则，请从由我共享：资源共享页面选择创建资源共享。

4. 在步骤 1：指定资源共享详细信息中，执行以下操作：

   1. 对于名称，键入资源共享的描述性名称。

   2. 在资源下，选择要添加到资源共享的资源，如下所示：

      • 对于选择资源类型，选择要共享的资源的类型。这会将可共享资源的列表筛选为仅所选类型的资源。

      • 在生成的资源列表中，选中要共享的单个资源旁边的复选框。所选资源将移至选定资源下。

        如果您要共享与特定可用区关联的资源，则使用可用区 ID (AZ ID) 可帮助您跨账户确定这些资源的相对位置。有关更多信息，请参阅Amazon 资源的可用区 ID。

   3. （可选）要将标签附加到资源共享，请在标签下输入标签键和值。通过选择添加新标签，添加其他标签。根据需要重复上述步骤。这些标签仅适用于资源共享本身，不适用于资源共享中的资源。

5. 选择 Next（下一步）。

6. 在步骤 2：将托管权限与每种资源类型关联中，您可以选择将 Amazon 创建的托管权限与资源类型相关联，选择现有的客户托管权限，也可以为支持的资源类型创建自己的客户托管权限。有关更多信息，请参阅托管权限的类型。

   选择创建客户托管权限，以构建符合共享使用案例要求的客户托管权限。有关更多信息，请参阅创建客户托管权限。完成该过程后，选择 ，然后您可以从托管权限下拉列表中选择新的客户托管权限。

   注意

   如果选定的托管权限有多个版本，则 Amazon RAM 会自动附加默认版本。您只能 附加指定为默认版本的版本。

   要显示托管权限允许的操作，请展开查看该托管权限的策略模板。

7. 选择 Next（下一步）。

8. 在步骤 3：向主体授予访问权限中，执行以下操作：

   1. 默认情况下，允许与任何人共享处于选中状态，这意味着，对于支持共享的资源类型，您可以与组织外部的 Amazon Web Services 账户共享资源。这不会影响只能 在组织内部共享的资源类型，例如 Amazon VPC 子网。您还可以与 IAM 角色和用户共享某些支持的资源类型。

      要将资源共享限制为仅组织中的账户和主体，请选择仅允许在组织内共享。

   2. 对于主体，请执行以下操作：

      • 要添加组织、组织单位 (OU) 或属于组织的 Amazon Web Services 账户，请打开显示组织结构。这将显示组织的树视图。然后，选中要添加的每个主体旁边的复选框。

        重要

        当您与组织或 OU 共享，并且该范围包括拥有资源共享的账户时，共享账户中的所有主体都会自动获得对共享中资源的访问权限。授予的访问权限由与共享关联的托管权限定义。这是因为 Amazon RAM 附加到共享中每个资源的基于资源的策略使用 "Principal": "*"。有关更多信息，请参阅在基于资源的策略中使用 "Principal": "*" 的影响。

        其他所使用账户中的主体无法立即访问共享的资源。其他账户的管理员必须首先将基于身份的权限策略附加到相应的主体。这些策略必须授予对资源共享中各个资源 ARN 的 Allow 访问权限。这些策略中的权限不能超过与资源共享关联的托管权限中指定的权限。

        • 如果您选择组织（ID 以 o- 开头），则组织中所有 Amazon Web Services 账户的主体都可以访问资源共享。

        • 如果您选择 OU（ID 以 ou- 开头），则该 OU 及其子 OU 中所有 Amazon Web Services 账户的主体都可以访问资源共享。

        • 如果您选择个人 Amazon Web Services 账户，则只有该账户中的主体才能访问资源共享。

        注意

        仅当启用与 Amazon Organizations 的共享功能并且您已登录到该组织的管理账户时，才会显示显示组织结构切换开关。

        您不能使用此方法来指定组织外部的 Amazon Web Services 账户、IAM 角色或用户。相反，您必须关闭显示组织结构，然后使用下拉列表和文本框输入 ID 或 ARN。

      • 要按 ID 或 ARN 指定主体（包括组织外部的主体），请为每个主体选择主体类型。接下来，输入 ID（对于 Amazon Web Services 账户、组织或 OU）或 ARN（对于 IAM 角色或用户），然后选择添加。可用的主体类型以及 ID 和 ARN 格式如下所示：

        • Amazon Web Services 账户 - 要添加 Amazon Web Services 账户，请输入 12 位数的账户 ID。例如：

          123456789012

        • 组织 - 要添加组织中的所有 Amazon Web Services 账户，请输入组织的 ID。例如：

          o-abcd1234

        • 组织单位 (OU) - 要添加 OU，请输入 OU 的 ID。例如：

          ou-abcd-1234efgh

        • IAM 角色 - 要添加 IAM 角色，请输入角色的 ARN。使用下面的语法：

          arn:partition:iam::account:role/role-name

          例如：

          arn:aws:iam::123456789012:role/MyS3AccessRole

          注意

          要获取 IAM 角色的唯一 ARN，请在 IAM 控制台中查看角色列表，使用 get-role Amazon CLI 命令或 GetRole API 操作。

        • IAM 用户 - 要添加 IAM 用户，请输入用户的 ARN。使用下面的语法：

          arn:partition:iam::account:user/user-name

          例如：

          arn:aws:iam::123456789012:user/bob

          注意

          要获取 IAM 用户的唯一 ARN，请在 IAM 控制台中查看用户列表，使用 get-user Amazon CLI 命令或 GetUser API 操作。

      • 服务主体 - 要添加服务主体，请从选择主体类型下拉列表中选择服务主体。输入 Amazon 服务主体的名称。使用下面的语法：

        • service-id.amazonaws.com

          例如：

          pca-connector-ad.amazonaws.com

   3. 对于所选的主体，请验证您指定的主体是否显示在列表中。

9. 选择 Next（下一步）。

10. 在步骤 4：查看和创建中，查看资源共享的配置详细信息。要更改任何步骤的配置，请选择与您要返回的步骤对应的链接，然后进行所需的更改。

11. 查看完资源共享后，选择创建资源共享。

    可能需要花几分钟时间，才能完成资源和委托人关联。在尝试使用资源共享之前，允许此过程完成。

12. 您可以随时添加和删除资源与主体，或将自定义标签应用于资源共享。您可以更改资源共享中包含的资源类型的托管权限，以及支持超过默认托管权限的资源类型的托管权限。您不再希望共享资源时，可以将其删除。有关更多信息，请参阅共享您拥有的 Amazon 资源。