在中更新资源共享Amazon RAM - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在中更新资源共享Amazon RAM

您可以通过以下方式Amazon RAM随时更新资源共享:

  • 您可以将主体、资源或标签添加到您创建的资源共享中。

  • 对于支持超出默认Amazon RAM托管权限的资源类型,您可以选择将哪种权限应用于每种类型的资源。

  • 您可以通过从资源共享中移除主体或资源来撤消对共享资源的访问权限。如果您撤消访问权限,则委托人将无法再访问共享资源。

注意

如果共享资源为空或仅包含支持保留资源共享的资源类型,则与您共享资源的委托人可以离开您的资源共享。如果资源共享包含不支持退出的资源类型,则会显示一条消息,告知委托人必须联系共享所有者。在这种情况下,作为资源共享的所有者,您必须从您的资源共享中移除委托人。有关不支持此操作的资源类型列表的信息,请参阅离开资源共享 (共享) 的先决条件

Console
更新资源共享
  1. 导航到Amazon RAM控制台中的 “由我共享:资源共享” 页面。

  2. 由于Amazon RAM资源共享Amazon Web Services 区域,因此可Amazon Web Services 区域从控制台右上角的下拉列表中选择相应的。要查看包含全局资源的共享,您必须将设置Amazon Web Services 区域为美国东部(弗吉尼亚北部),(us-east-1)。有关共享全球资源的更多信息,请参阅与全球资源相比,共享区域资源

  3. 选择资源共享,然后选择修改

  4. 步骤 1:指定资源共享详细信息中,查看资源共享详细信息,并在需要时更新以下任何内容:

    1. (可选)要更改资源共享的名称,请编辑名称

    2. (可选)要向资源共享添加资源,请在资源下选择资源类型,然后选中资源旁边的复选框将其添加到资源共享中。只有在中将区域设置为美国东部(弗吉尼亚北部)、() 时,才会显示全局资源Amazon Web Services Management Console。us-east-1

    3. (可选)要从资源共享中移除资源,请在选定资源下找到该资源,然后选择该资源 ID 旁边的 X

    4. (可选)要向资源共享添加标签,请在标签下的空文本框中输入标签键和值。要添加多个标签密钥和值对,选择 Enable Enc ryption。您最多可以添加 50 个标签。

    5. 要从资源共享中移除标签,请在 “标签” 下找到该标签,然后选择其旁边的 “删除”。

  5. 选择 Next(下一步)

  6. (可选)在步骤 2:将权限与每种资源类型关联时,如果可用的权限超过默认Amazon RAM托管权限,则可以选择与该资源类型关联的权限。有关更多信息,请参阅的类型Amazon RAM托管式权限:如果只有默认的Amazon RAM托管权限可用,则您无法更改此资源类型的任何内容。

    要显示Amazon RAM托管权限允许的操作,请选择 “查看此权限允许的操作” 以展开该权限并显示列表。

  7. 选择 Next(下一步)

  8. 步骤 3:选择允许访问的委托人,查看选定的委托人,并在需要时更新以下任一内容:

    1. (可选) 要更改是否Enable Encryption,选择下列选项之一:

      • 要与Amazon Web Services 账户组织外部的 IAM 角色或 IAM 用户共享资源,请选择允许与外部委托人共享

      • 要将资源共享限制为仅与组织中的负责人共享Amazon Organizations,请选择 “仅允许与组织中的负责人共享”。

    2. 对于 E ncr yption,执行下列操作:

      • (可选)要在组织Amazon Web Services 账户内添加组织、组织单位 (OU) 或成员,请打开 “显示组织结构” 以显示组织的树视图。然后选中想要添加的每位校长旁边的复选框。

        注意

        仅当启用了共享对象并且您以Amazon Organizations组织管理帐户的负责人身份登录时,才会出现 “显示组织结构” 开关。

        您不能使用此方法指定组织Amazon Web Services 账户外部,也不能指定 IAM 角色或用户。相反,您必须通过输入他们的标识符来添加这些负责人,这些标识符显示在 “显示组织结构” 开关下方的文本框中。参见下一个bullet 点。

      • (可选)要按其标识符添加委托人,请从下拉列表中选择委托人类型,然后输入委托人的 ID 或 ARN。最后,选择 “添加”。

        添加的内容立即出现在选定校长列表中。

        然后,您可以通过重复此步骤来添加其他帐户、OU 或您的组织。

      • (可选)要删除委托人,请在选定校长下找到该委托人,选中其复选框,然后选择取消选择

  9. 选择 Next(下一步)

  10. 步骤 4:查看和更新中,查看您的资源共享的配置详细信息。要更改任何步骤的配置,请选择与要返回的步骤相对应的链接,然后进行所需的更改。

  11. 完成更改后,选择 E n able Encryption。

Amazon CLI
更新资源共享

您可以使用以下Amazon CLI命令修改资源共享:

  • 要重命名资源共享或更改是否允许使用外部主体,请使用命令update-resource-share。以下示例重命名了指定的资源共享并将其设置为仅允许来自其组织的委托人。您必须使用包含资源共享Amazon Web Services 区域的服务终端节点。

    $ aws ram update-resource-share \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \ --name "my-renamed-resource-share" \ --no-allow-external-principals { "resourceShare": { "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "name": "my-renamed-resource-share", "owningAccountId": "123456789012", "allowExternalPrincipals": false, "status": "ACTIVE", "creationTime": 1565295733.282, "lastUpdatedTime": 1565303080.023 } }
  • 要向资源共享中添加资源,请使用命令associate-resource-share。以下示例将子网添加到指定的资源共享中。

    $ aws ram associate-resource-share \ --region us-east-1 \ --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE { "resourceShareAssociations": [ "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235", "associationType": "RESOURCE", "status": "ASSOCIATING", "external": false ] }
  • 要在资源共享中添加或替换资源类型的Amazon RAM托管权限,请使用命令list-permissionsassociate-resource-share-permission。在资源共享中,只能为每种资源类型分配一个权限。如果您尝试向已具有权限的资源类型添加权限,则必须包含该--replace选项,否则命令将失败并显示错误。

    以下示例命令列出了 Amazon Elastic Compute Cloud (Amazon EC2) 子网可用权限的 ARN,然后使用其中一个 ARN 替换当前在指定资源共享中为该资源类型分配的权限。

    $ aws ram list-permissions \ --resource-type ec2:Subnet { "permissions": [ { "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet", "version": "1", "defaultVersion": true, "name": "AWSRAMDefaultPermissionSubnet", "resourceType": "ec2:Subnet", "creationTime": "2020-02-27T11:38:26.727000-08:00", "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00" } ] } $ aws ram associate-resource-share-permission \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet { "returnValue": true }
  • 要从资源共享中移除资源,请使用命令disassociate-resource-share。以下示例将具有指定 ARN 的 Amazon EC2 子网从指定的资源共享中删除。

    $ aws ram disassociate-resource-share \ --region us-east-1 \ --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE { "resourceShareAssociations": [ "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235", "associationType": "RESOURCE", "status": "DISASSOCIATING", "external": false ] }
  • 要修改附加到资源共享的标签,请使用 tag-resource 和 un tag- resource 命令。以下示例将标签project=lima添加到指定的资源共享。

    $ aws ram tag-resource \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --tags key=project,value=lima

    以下示例project从指定的资源共享中删除密钥为的标签。

    $ aws ram untag-resource \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --tag-keys=project

    如果成功,标记命令不会产生任何输出。