在中创建资源共享Amazon RAM - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在中创建资源共享Amazon RAM

要共享您拥有的资源,请创建资源共享。在创建资源共享时,您需要执行以下操作:

  1. 添加要共享的资源。

  2. 对于共享中包含的每种资源类型,请指定用于该资源类型的权限。

    • 如果仅限默认权限然后可用于资源类型Amazon RAM自动将该权限与资源类型关联起来,您无需采取任何操作。

    • 如果超过默认值Amazon RAM托管权限可用于资源类型,然后您必须选择与该资源类型关联的权限。

  3. 指定您希望有权访问资源的委托人。

注意事项

  • 您可以在资源共享中包含的资源类型列于可共享Amazon资源.

  • 仅当您拥有某个资源时,您才可以共享此资源。您无法共享与您共享的资源。

  • Amazon RAM是一项区域服务。当你与其他委托人共享资源时Amazon Web Services 账户,他们必须从同一个资源访问每个资源Amazon Web Services 区域它是在中创建的。对于受支持的全球资源,您可以从任何Amazon Web Services 区域这受该资源的服务控制台和工具的支持。请注意,您可以在Amazon RAM仅限在美国东部(弗吉尼亚北部)指定的主区域中使用控制台和工具us-east-1. 有关 的更多信息Amazon RAM和全球资源,请参阅与全球资源相比,共享区域资源.

  • 如果你是中的组织的一员Amazon Organizations并且已在您的组织中启用共享,组织中的承担者将自动获得对共享资源的访问权限,而无需使用邀请。您在组织上下文之外与其共享的账户中的委托人会收到加入资源共享的邀请,并且只有在接受邀请后才有权访问共享资源。

  • 将组织或组织单位 (OU) 添加到资源共享后,对 OU 中的帐户或加入或离开组织的帐户所做的更改会动态影响资源共享。例如,如果您向有权访问资源共享的 OU 添加新账户,则此账户将自动获得对共享资源的访问权限。

  • 您只能将账户所属的组织和来自该组织的 OU 添加到资源共享中。您不能将自己组织外部的 OU 或组织添加到资源共享中作为委托人。不过,您可以添加个人Amazon Web Services 账户、IAM 用户和组织外部的 IAM 角色,将其作为资源共享委托人。

    注意

    并非所有资源类型都可以与 IAM 角色和用户共享。有关可以与这些承担者共享的资源的信息,请参阅可共享Amazon资源.

Console

创建资源共享

  1. 打开 Amazon RAM 控制台

  2. 由于Amazon RAM特定地存在资源共享Amazon Web Services 区域,选择适当的Amazon Web Services 区域从控制台右上角的下拉列表中。要查看包含全局资源的资源共享,必须设置Amazon Web Services 区域到美国东部(弗吉尼亚北部),us-east-1)。有关共享全局资源的更多信息,请参阅与全球资源相比,共享区域资源. 如果想要将全球资源包括在资源共享中,则此区域必须选择指定的主区域,美国东部(弗吉尼亚北部),us-east-1.

  3. 如果您是的新用户Amazon RAM,选择创建资源共享从主页上。否则,请选择创建资源共享来自 的由我分享:资源共享页.

  4. In第 1 步:指定资源共享详情中,执行以下操作:

    1. 适用于名称中,输入一个描述性的资源共享名称。

    2. 资源中,选择要添加到资源共享的资源,如下所示:

      • 适用于选择资源类型中,选择要共享的资源的类型。此操作将可共享资源的列表筛选为仅限选定类型的资源。

      • 在生成的资源列表中,选中要共享的单个资源旁边的复选框。选定的资源移动到选定的资源.

        如果您要共享与特定可用区关联的资源,则此资源在账户中使用可用区 ID (AZ ID) 可帮助您跨账户确定这些资源的相对位置。有关更多信息,请参阅 您的可用区 IDAmazon资源

    3. (可选)至附加标签到资源份额,下标签中,输入标签键和值。通过选择添加其他添加新标签. 根据需要重复此步骤。这些标签仅适用于资源共享本身,而不适用于资源共享中的资源。

  5. 选择 Next(下一步)。

  6. In步骤 2: 将权限与每种资源类型关联,如果超过默认值Amazon RAM托管权限可用,然后您可以选择与资源类型关联的权限。如果只有默认权限可用,那么Amazon RAM自动将此权限与资源类型关联起来。有关更多信息,请参阅 的类型Amazon RAM托管式权限

    要显示权限允许的操作,请展开查看此权限允许的操作.

  7. 选择 Next(下一步)。

  8. In步骤 3: 选择委托人授予访问权限中,执行以下操作:

    1. 默认情况下,允许与外部委托人共享被选中,这意味着您可以与之共享资源Amazon Web Services 账户这是您组织外部的。适用于支持的资源类型,您还可以与 IAM 角色和用户共享资源。

      要将资源共享限制为仅限组织中的委托人,请选择仅允许与组织中的负责人共享.

    2. 适用于委托人中,执行以下操作:

      • 添加组织、组织单位 (OU) 或Amazon Web Services 账户打开属于组织的显示组织结构. 这将显示组织的树视图。然后,选中要添加的每个委托人旁边的复选框。

        • 如果你选择组织(ID 以开头o-),然后全部Amazon Web Services 账户在组织中可以访问资源共享。

        • 如果选择 OU(ID 以开头)ou-),然后全部Amazon Web Services 账户在那个 OU 及其子 OU 可以访问资源共享。

        • 如果你选择个人Amazon Web Services 账户,那么只有该账户可以访问资源共享。

        注意

        这些区域有:显示组织结构只有在与共享时才会显示切换Amazon Organizations已启用,您已登录组织的管理帐户。

        你不能使用此方法来指定Amazon Web Services 账户在组织之外,或 IAM 角色或 IAM 用户。相反,你必须关闭显示组织结构然后使用下拉列表和文本框输入 ID 或 ARN。

      • 要按 ID 或 ARN 指定委托人(包括组织外部的委托人),然后为每个委托人选择委托人类型。接下来,输入 ID(对于Amazon Web Services 账户、组织或 OU)或 ARN(对于 IAM 用户或角色),然后选择Add. 可用的主体类型以及 ID 和 ARN 格式如下:

        • Amazon Web Services 账户— 添加Amazon Web Services 账户中,输入 12 位账户 ID。例如:

          123456789012

        • 组织— 添加所有Amazon Web Services 账户在组织中,输入组织的 ID。例如:

          o-abcd1234

        • 组织部门(OU)— 要添加 OU,请输入 OU 的 ID。例如:

          ou-abcd-1234efgh

        • IAM 角色— 要添加 IAM 角色,请输入该角色的 ARN。使用下面的语法。

          arn:partition:iam::account:role/role-name

          例如:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          注意

          要获取 IAM 角色的唯一 ARN,在 IAM 控制台中查看角色列表,使用get-role Amazon CLI命令或GetRoleAPI 操作。

        • IAM 用户— 要添加 IAM 用户,请输入用户的 ARN。使用下面的语法。

          arn:partition:iam::account:user/user-name

          例如:

          arn:aws:iam::123456789012:user/JohnDoe

          注意

          要获取 IAM 用户的唯一 ARN,在 IAM 控制台中查看用户列表,使用get-user Amazon CLI命令或GetUserAPI 操作。

    3. 适用于选定委托人中,验证您指定的委托人是否显示在列表中。

  9. 选择 Next(下一步)。

  10. In步骤 4: 审核和创建中,查看资源共享的配置详细信息。要更改任何步骤的配置,请选择与要返回的步骤对应的链接,然后进行所需的更改。

  11. 审核完资源共享后,选择创建资源共享.

    可能需要花几分钟时间,才能完成资源和委托人关联。在尝试使用资源共享之前,请允许此过程完成。

  12. 您可以随时添加和删除资源和委托人,或将自定义标签应用于您的资源共享。对于那些支持超过默认权限的类型,您可以更改资源共享中包含的资源类型的权限。如果您不再希望共享资源,您可以删除资源共享。有关更多信息,请参阅 共享Amazon你拥有的资源

Amazon CLI

创建资源共享

使用 create-resource-share 命令。以下命令创建了一个资源共享,该共享给所有Amazon Web Services 账户在组织中。该分享包含Amazon License Manager许可证配置,并授予该资源类型的默认权限。

$ aws ram create-resource-share \
    --region cn-north-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:cn-north-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:cn-north-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}