本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 共享您拥有的 Amazon 资源
您可以使用 Amazon Resource Access Manager(Amazon RAM),与您指定的主体共享您指定的资源。本节介绍如何创建新的资源共享、修改现有资源共享以及删除不再需要的资源共享。
**Topics**
+ [查看您在 Amazon RAM 中创建的资源共享](working-with-sharing-view-rs.md)
+ [在 Amazon RAM 中创建资源共享](working-with-sharing-create.md)
+ [在 Amazon RAM 中更新资源共享](working-with-sharing-update.md)
+ [在中查看您的共享资源 Amazon RAM](working-with-sharing-view-sr.md)
+ [在中查看您与之共享资源的委托人 Amazon RAM](working-with-sharing-view-principals.md)
+ [删除中的资源共享 Amazon RAM](working-with-sharing-delete.md)
# 查看您在 Amazon RAM 中创建的资源共享
您可以查看您已创建的资源共享的列表。您可以查看您共享了哪些资源以及与哪些主体共享了这些资源。
------
#### [ Console ]
**要查看资源共享,请执行以下操作:**
1. 在 Amazon RAM 控制台中,打开**[由我共享:资源共享](https://console.amazonaws.cn/ram/home#OwnedResourceShares:)**页面。
1. 由于 Amazon RAM 资源共享存在于特定 Amazon Web Services 区域,因此,请从控制台右上角的下拉列表中选择相应的 Amazon Web Services 区域。要查看包含全球资源的资源共享,您必须将 Amazon Web Services 区域设置为美国东部(弗吉尼亚州北部)(`us-east-1`)。有关共享全球资源的更多信息,请参阅[共享区域资源(相较于全球资源)](working-with-regional-vs-global.md)。
1. 如果结果中资源共享使用的任何托管权限具有指定为默认权限的新版托管权限,则页面会显示一条横幅来提醒您。您可以选择一次性更新所有托管权限版本,方法是:在页面顶部选择**查看并全部更新**。
或者,对于具有一个或多个新版托管权限的单个资源共享,**状态**列会显示**更新可用**。选择该链接将开始查看更新的托管权限版本的过程,并允许您将其分配为该资源共享中相关资源类型的版本。
1. (可选)应用筛选条件以查找特定资源共享。您可以应用多个筛选条件来缩小搜索范围。您可以键入关键字(例如资源共享名称的一部分),仅列出名称中包含该文本的资源共享。选择文本框可查看建议属性字段的下拉列表。选择一个字段后,您可以从该字段的可用值列表中进行选择。在找到所需资源之前,您可以添加其他属性或关键字。
1. 选择要查看的资源共享的名称。控制台显示以下有关资源共享的信息:
+ **摘要** - 列出资源共享名称、ID、所有者、Amazon 资源名称(ARN)、创建日期、是否允许与外部账户共享及其当前状态。
+ **托管权限** - 列出附加到此资源共享的托管权限。资源共享中包含的每种资源类型最多可以有一个托管权限。每个托管权限都显示与资源共享关联的托管权限的版本。如果不是默认版本,则控制台会显示**更新到默认版本**链接。如果您选择该链接,则可以更新资源共享以使用默认版本。
+ **共享资源** - 列出资源共享中包含的各资源。选择资源的 ID,打开新的浏览器选项卡,以便在其本机服务的控制台中查看该资源。
+ **共享主体** - 列出共享资源的主体。
+ **标签** - 列出附加到资源共享本身的标签键值对;这些不是附加到资源共享中包含的各资源的标签。
------
#### [ Amazon CLI ]
**要查看资源共享,请执行以下操作:**
您可以使用将参数 `--resource-owner` 设置为 `SELF` 的 [get-resource-shares](https://docs.amazonaws.cn/cli/latest/reference/ram/get-resource-shares.html) 命令,来显示在 Amazon Web Services 账户中创建的资源共享的详细信息。
以下示例显示了在当前 Amazon Web Services 区域(`cn-north-1`)中为调用 Amazon Web Services 账户共享的资源共享。要获取在其他区域创建的资源共享,请使用 `--region ` 参数。要加入包含全球资源的资源共享,您必须指定区域美国东部(弗吉尼亚州北部)`us-east-1`。
```
$ aws ram get-resource-shares \
--resource-owner SELF
{
"resourceShares": [
{
"resourceShareArn": "arn:aws:ram:cn-north-1:123456789012:resource-share/2ebe77d7-4156-4a93-87a4-228568d04425",
"name": "MySubnetShare",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2021-09-10T15:38:54.449000-07:00",
"lastUpdatedTime": "2021-09-10T15:38:54.449000-07:00",
"featureSet": "STANDARD"
},
{
"resourceShareArn": "arn:aws:ram:cn-north-1:123456789012:resource-share/818d71dd-7512-4f71-99c6-2ae57aa010bc",
"name": "MyLicenseConfigShare",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00",
"featureSet": "STANDARD"
}
]
}
```
------
# 在 Amazon RAM 中创建资源共享
要共享您拥有的资源,请创建资源共享。过程概览:
1. 添加您要共享的资源。
1. 对于共享中包含的每种资源类型,请指定要用于该资源类型的[托管权限](getting-started-terms-and-concepts.md#term-managed-permission)。
+ 您可以从可用的 Amazon 托管权限、现有的客户托管权限或创建新的客户托管权限中进行选择。
+ Amazon 托管权限由 Amazon 创建,以涵盖标准使用案例。
+ 客户托管权限允许您定制自己的托管权限,以满足您的安全和业务需求。
**注意**
如果选定的托管权限有多个版本,则 Amazon RAM 会自动附加默认版本。您***只能*** 附加指定为默认版本的版本。
1. 指定要对资源拥有访问权限的主体。
**注意事项**
+ 如果您以后需要删除共享中包含的 Amazon 资源,我们建议您先从包含该资源的任何资源共享中移除该资源,或者删除该资源共享。
+ 您可以在资源共享中包含的资源类型列在了[可共享的资源 Amazon](shareable.md)中。
+ 仅当您[拥有](getting-started-terms-and-concepts.md#term-sharing-account)某个资源时,您才可以共享此资源。您无法共享与您共享的资源。
+ Amazon RAM 是一项区域性服务。当您与其他 Amazon Web Services 账户中的主体共享资源时,这些主体必须从创建每个资源时所在的 Amazon Web Services 区域访问这些资源。对于支持的全球资源,您可以从该资源服务控制台和工具支持的任何 Amazon Web Services 区域访问这些资源。您只能在指定的主区域美国东部(弗吉尼亚州北部)`us-east-1` 的 Amazon RAM 控制台和工具中,查看此类资源共享及其全球资源。有关 Amazon RAM 和全球资源的更多信息,请参阅[共享区域资源(相较于全球资源)](working-with-regional-vs-global.md)。
+ 如果您要共享的账户是 Amazon Organizations 中组织的一部分,并且已在您的组织中启用共享,则组织中与您共享的所有主体将自动获得对资源共享的访问权限,而无需使用邀请。您在组织环境之外与之共享的账户中的主体会收到加入资源共享的邀请,并且只有在他们接受邀请后才能获得对所共享资源的访问权限。
+ 如果您与服务主体共享,则无法将任何其他主体与该资源共享关联。
+ 如果共享是在属于某个组织的账户或主体之间进行的,则组织成员资格的任何更改都会动态影响对资源共享的访问权限。
+ 如果您向组织或有权访问资源共享的 OU 中添加 Amazon Web Services 账户,则该新成员账户将自动获得对资源共享的访问权限。然后,您与之共享的账户的管理员可以授予该账户中的个人主体访问该共享中的资源的权限。
+ 如果您从组织或有权访问资源共享的 OU 中移除某个账户,则该账户中的所有主体将自动失去对通过该资源共享访问的资源的访问权限。
+ 如果您直接与成员账户或成员账户中的 IAM 角色或用户共享,然后将该账户从组织中移除,则该账户中的任何主体将无法访问通过该资源共享访问的资源。
**重要**
当您与组织或 OU 共享,并且该范围包括拥有资源共享的账户时,共享账户中的所有主体都会自动获得对共享中资源的访问权限。授予的访问权限由与共享关联的托管权限定义。这是因为 Amazon RAM 附加到共享中每个资源的基于资源的策略使用 `"Principal": "*"`。有关更多信息,请参阅 [在基于资源的策略中使用 "Principal": "\$1" 的影响](getting-started-terms-and-concepts.md#term-principal-star)。
其他所使用账户中的主体无法立即访问共享的资源。其他账户的管理员必须首先将基于身份的权限策略附加到相应的主体。这些策略必须授予对资源共享中各个资源 ARN 的 `Allow` 访问权限。这些策略中的权限不能超过与资源共享关联的托管权限中指定的权限。
+ 您只能将您的账户所属的组织以及该组织的 OU 添加到资源共享中。您不能将组织外部的 OU 或组织作为主体添加到资源共享。但是,您可以将单个 Amazon Web Services 账户或者(对于受支持的服务)组织外部的 IAM 角色和用户作为主体添加到资源共享中。
**注意**
并非所有资源类型都可以与 IAM 角色和用户共享。有关您可以与这些主体共享的资源的信息,请参阅[可共享的资源 Amazon](shareable.md)。
+ 对于以下资源类型,您有七天的时间接受邀请加入以下资源类型的共享。如果您在邀请到期之前未接受邀请,则系统会自动拒绝邀请。
**重要**
对于**不** 在以下列表中的共享资源类型,您有 **12 小时的时间** 接受加入资源共享的邀请。12 小时后,邀请过期,资源共享中的最终用户主体将解除关联。最终用户无法再接受邀请。
+ Amazon Aurora - DB 集群
+ Amazon EC2 - 容量预留和专用主机
+ Amazon License Manager - 许可证配置
+ Amazon Outposts - 本地网关路由表、Outposts 和站点
+ Amazon Route 53 - 转发规则
+ Amazon VPC - 客户拥有的 IPv4 地址、前缀列表、子网、流量镜像目标、中转网关、传输网关组播域
------
#### [ Console ]
**要创建资源共享,请执行以下操作:**
1. 打开 [Amazon RAM 管理控制台](https://console.amazonaws.cn/ram/home)。
1. 由于 Amazon RAM 资源共享存在于特定 Amazon Web Services 区域,因此,请从控制台右上角的下拉列表中选择相应的 Amazon Web Services 区域。要查看包含全球资源的资源共享,您必须将 Amazon Web Services 区域设置为美国东部(弗吉尼亚州北部)(`us-east-1`)。有关共享全球资源的更多信息,请参阅[共享区域资源(相较于全球资源)](working-with-regional-vs-global.md)。如果要在资源共享中包含全球资源,则必须选择指定的主区域,即美国东部(弗吉尼亚州北部)`us-east-1`。
1. 如果您是首次使用 Amazon RAM,请从主页选择**创建资源共享**。否则,请从**[由我共享:资源共享](https://console.amazonaws.cn/ram/home#OwnedResourceShares:)**页面选择**创建资源共享**。
1. 在**步骤 1:指定资源共享详细信息**中,执行以下操作:
1. 对于**名称**,键入资源共享的描述性名称。
1. 在**资源**下,选择要添加到资源共享的资源,如下所示:
+ 对于**选择资源类型**,选择要共享的资源的类型。这会将可共享资源的列表筛选为仅所选类型的资源。
+ 在生成的资源列表中,选中要共享的各个资源旁边的复选框。所选资源将移至**选定资源**下。
如果您要共享与特定可用区关联的资源,则使用可用区 ID(AZ ID)可帮助您跨账户确定这些资源的相对位置。有关更多信息,请参阅 [Amazon 资源的可用区 ID](working-with-az-ids.md)。
1. (可选)要[将标签附加](https://docs.amazonaws.cn/general/latest/gr/aws_tagging.html)到资源共享,请在**标签**下输入标签键和值。通过选择**添加新标签**,添加其他标签。根据需要重复上述步骤。这些标签仅适用于资源共享本身,不适用于资源共享中的资源。
1. 选择**下一步**。
1. 在**步骤 2:将托管权限与每种资源类型关联**中,您可以选择将 Amazon 创建的托管权限与资源类型相关联,选择现有的客户托管权限,也可以为支持的资源类型创建自己的客户托管权限。有关更多信息,请参阅 [托管权限的类型](security-ram-permissions.md#permissions-types)。
选择**创建客户托管权限**,以构建符合共享使用案例要求的客户托管权限。有关更多信息,请参阅 [创建客户托管权限](create-customer-managed-permissions.md#create_cmp)。完成该过程后,选择 ![\[Refresh icon\]](http://docs.amazonaws.cn/ram/latest/userguide/images/refresh_icon.PNG),然后您可以从**托管权限**下拉列表中选择新的客户托管权限。
**注意**
如果选定的托管权限有多个版本,则 Amazon RAM 会自动附加默认版本。您***只能*** 附加指定为默认版本的版本。
要显示托管权限允许的操作,请展开**查看该托管权限的策略模板**。
1. 选择**下一步**。
1. 在**步骤 3:向主体授予访问权限**中,执行以下操作:
1. 默认情况下,**允许与任何人共享**处于选中状态,这意味着,对于支持共享的资源类型,您可以与组织外部的 Amazon Web Services 账户共享资源。这不会影响*只能* 在组织内部共享的资源类型,例如 Amazon VPC 子网。您还可以与 IAM 角色和用户共享某些[支持的资源类型](shareable.md)。
要将资源共享限制为仅组织中的账户和主体,请选择**仅允许在组织内共享**。
1. 对于**主体**,请执行以下操作:
+ 要添加组织、组织单位(OU)或属于组织的 Amazon Web Services 账户,请打开**显示组织结构**。这将显示组织的树视图。然后,选中要添加的每个主体旁边的复选框。
**重要**
当您与组织或 OU 共享,并且该范围包括拥有资源共享的账户时,共享账户中的所有主体都会自动获得对共享中资源的访问权限。授予的访问权限由与共享关联的托管权限定义。这是因为 Amazon RAM 附加到共享中每个资源的基于资源的策略使用 `"Principal": "*"`。有关更多信息,请参阅 [在基于资源的策略中使用 "Principal": "\$1" 的影响](getting-started-terms-and-concepts.md#term-principal-star)。
其他所使用账户中的主体无法立即访问共享的资源。其他账户的管理员必须首先将基于身份的权限策略附加到相应的主体。这些策略必须授予对资源共享中各个资源 ARN 的 `Allow` 访问权限。这些策略中的权限不能超过与资源共享关联的托管权限中指定的权限。
+ 如果您选择组织(ID 以 `o-` 开头),则组织中所有 Amazon Web Services 账户的主体都可以访问资源共享。
+ 如果您选择 OU(ID 以 `ou-` 开头),则该 OU 及其子 OU 中所有 Amazon Web Services 账户的主体都可以访问资源共享。
+ 如果您选择个人 Amazon Web Services 账户,则只有该账户中的主体才能访问资源共享。
**注意**
仅当启用与 Amazon Organizations 的共享功能并且您已登录到该组织的管理账户时,才会显示**显示组织结构**切换开关。
您不能使用此方法来指定组织外部的 Amazon Web Services 账户、IAM 角色或用户。相反,您必须关闭**显示组织结构**,然后使用下拉列表和文本框输入 ID 或 ARN。
+ 要按 ID 或 ARN 指定主体(包括组织外部的主体),请为每个主体选择主体类型。接下来,输入 ID(对于 Amazon Web Services 账户、组织或 OU)或 ARN(对于 IAM 角色或用户),然后选择**添加**。可用的主体类型以及 ID 和 ARN 格式如下所示:
+ **Amazon Web Services 账户** - 要添加 Amazon Web Services 账户,请输入 12 位数的账户 ID。例如:
`123456789012`
+ **组织** - 要添加组织中的所有 Amazon Web Services 账户,请输入组织的 ID。例如:
`o-abcd1234`
+ **组织单位(OU)**- 要添加 OU,请输入 OU 的 ID。例如:
`ou-abcd-1234efgh`
+ **IAM 角色** - 要添加 IAM 角色,请输入角色的 ARN。使用以下语法:
`arn:partition:iam::account:role/role-name`
例如:
`arn:aws:iam::123456789012:role/MyS3AccessRole`
**注意**
要获取 IAM 角色的唯一 ARN,请[在 IAM 控制台中查看角色列表](https://console.amazonaws.cn/iamv2/home?#/roles),使用 [get-role](https://docs.amazonaws.cn/cli/latest/reference/iam/get-role.html) Amazon CLI 命令或 [GetRole](https://docs.amazonaws.cn/IAM/latest/APIReference/API_GetRole.html) API 操作。
+ **IAM 用户** - 要添加 IAM 用户,请输入用户的 ARN。使用以下语法:
`arn:partition:iam::account:user/user-name`
例如:
`arn:aws:iam::123456789012:user/bob`
**注意**
要获取 IAM 用户的唯一 ARN,请[在 IAM 控制台中查看用户列表](https://console.amazonaws.cn/iamv2/home?#/users),使用 [https://docs.amazonaws.cn/cli/latest/reference/iam/get-user.html](https://docs.amazonaws.cn/cli/latest/reference/iam/get-user.html) Amazon CLI 命令或 [https://docs.amazonaws.cn/IAM/latest/APIReference/API_GetUser.html](https://docs.amazonaws.cn/IAM/latest/APIReference/API_GetUser.html) API 操作。
+ **服务主体** - 要添加服务主体,请从**选择主体类型**下拉列表中选择**服务主体**。输入 Amazon 服务主体的名称。使用以下语法:
+ `service-id.amazonaws.com`
例如:
`pca-connector-ad.amazonaws.com`
1. 对于**所选的主体**,请验证您指定的主体是否显示在列表中。
1. 选择**下一步**。
1. 在**步骤 4:查看和创建**中,查看资源共享的配置详细信息。要更改任何步骤的配置,请选择与您要返回的步骤对应的链接,然后进行所需的更改。
1. 查看完资源共享后,选择**创建资源共享**。
可能需要花几分钟时间,才能完成资源和委托人关联。在尝试使用资源共享之前,允许此过程完成。
1. 您可以随时添加和删除资源与主体,或将自定义标签应用于资源共享。您可以更改资源共享中包含的资源类型的托管权限,以及支持超过默认托管权限的资源类型的托管权限。您不再希望共享资源时,可以将其删除。有关更多信息,请参阅 [共享您拥有的 Amazon 资源](working-with-sharing.md)。
------
#### [ Amazon CLI ]
**要创建资源共享,请执行以下操作:**
使用 [https://docs.amazonaws.cn/cli/latest/reference/ram/create-resource-share.html](https://docs.amazonaws.cn/cli/latest/reference/ram/create-resource-share.html) 命令。以下命令创建与组织中的所有 Amazon Web Services 账户共享的资源共享。该共享包含 Amazon License Manager 许可证配置,并授予该资源类型的默认托管权限。
**注意**
如果您想将客户托管权限与该资源共享中的资源类型一起使用,则可以使用现有的客户托管权限,也可以创建新的客户托管权限。记下客户托管权限的 ARN,然后创建资源共享。有关更多信息,请参阅 [创建客户托管权限](create-customer-managed-permissions.md#create_cmp)。
```
$ aws ram create-resource-share \
--region cn-north-1 \
--name MyLicenseConfigShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
--resource-arns arn:aws:license-manager:cn-north-1:123456789012:license-configuration:lic-abc123 \
--principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:cn-north-1:123456789012:resource-share/12345678-abcd-09876543",
"name": "MyLicenseConfigShare",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
}
}
```
------
# 在 Amazon RAM 中更新资源共享
您可以通过以下方式随时更新 Amazon RAM 中的资源共享:
+ 您可以向您创建的资源共享添加主体、资源或标签。
+ 对于支持超过默认 Amazon 托管权限的资源类型,您可以选择将哪种托管权限应用于每种类型的资源。
+ 当附加到资源共享的托管权限具有新的默认版本时,您可以更新托管权限以使用新版本。
+ 您可以通过从资源共享中删除主体或资源,撤消对共享资源的访问权限。如果您撤消访问权限,则主体不再对共享资源具有访问权限。
**注意**
如果资源共享为空或仅包含支持退出资源共享的资源类型,则您与之共享资源的主体可以退出该共享。如果资源共享包含不支持退出的资源类型,则会显示一条消息,告知主体他们必须联系共享所有者。在这种情况下,作为资源共享的所有者,您必须从资源共享中移除主体。有关不支持此操作的资源类型的列表,请参阅[退出资源共享的先决条件](working-with-shared-leave.md#working-with-shared-leave-prerequisites)。
------
#### [ Console ]
**要更新资源共享,请执行以下操作:**
1. 导航到 Amazon RAM 控制台中的**[由我共享:资源共享](https://console.amazonaws.cn/ram/home#OwnedResourceShares:)**页面。
1. 由于 Amazon RAM 资源共享存在于特定 Amazon Web Services 区域,因此,请从控制台右上角的下拉列表中选择相应的 Amazon Web Services 区域。要查看包含全球资源的资源共享,您必须将 Amazon Web Services 区域设置为美国东部(弗吉尼亚州北部)(`us-east-1`)。有关共享全球资源的更多信息,请参阅[共享区域资源(相较于全球资源)](working-with-regional-vs-global.md)。
1. 选择资源共享,然后选择**修改**。
1. 在**步骤 1:指定资源共享详细信息**中,查看资源共享详细信息,并在需要时更新以下任意内容:
1. (可选)要更改资源共享的名称,请编辑**名称**。
1. (可选)要将资源添加到资源共享,请在**资源**下,选择资源的类型,然后选中要将其添加到资源共享的资源旁边的复选框。仅当您在 Amazon Web Services 管理控制台 中将区域设置为美国东部(弗吉尼亚州北部)(`us-east-1`)时,全球资源才会显示。
1. (可选)要从资源共享中移除资源,请在**选定资源**下找到该资源,然后选择资源 ID 旁边的 **X**。
1. (可选)要向资源共享添加标签,请在**标签**下方的空白文本框中,输入标签键和值。要添加多个标签键和值对,请选择**添加新标签**。最多可以添加 50 个标签。
1. 要从资源共享中移除标签,请在**标签**下,找到该标签并选择其旁边的**移除**。
1. 选择**下一步**。
1. (可选)在**步骤 2:将托管权限与每种资源类型关联**中,您可以选择将 Amazon 创建的托管权限与资源类型相关联,选择现有的客户托管权限,也可以创建自己的客户托管权限。有关更多信息,请参阅 [托管权限的类型](security-ram-permissions.md#permissions-types)。
您也可以选择**创建客户托管权限**,以构建符合共享使用案例要求的客户托管权限。有关更多信息,请参阅 [创建客户托管权限](create-customer-managed-permissions.md#create_cmp)。完成该过程后,选择 ![\[Refresh icon\]](http://docs.amazonaws.cn/ram/latest/userguide/images/refresh_icon.PNG),然后您可以从**托管权限**下拉列表中选择新的客户托管权限。
要显示托管权限允许的操作,请展开**查看该托管权限的策略模板**。
1. 如果当前分配给资源共享的托管权限版本不是当前默认版本,则您可以通过选择**更新到默认版本**,更新到默认版本。
**注意**
在完成最后一步之后保存对资源共享所做的更改之前,您可以通过选择**还原到以前的版本**,取消版本更新。但是,对于 Amazon 托管权限,保存资源共享后,更改即为最终更改,您无法再返回到以前的版本。
1. 选择**下一步**。
1. 在**步骤 3:选择允许访问的主体**中,查看选定的主体,并在需要时更新以下任一内容:
1. (可选)要更改是否启用与组织内部或外部的主体共享,请选择以下选项之一:
+ 要与组织外部的 Amazon Web Services 账户或者单个 IAM 角色或用户共享资源,请选择**允许与外部主体共享**。
+ 要将资源共享限制为仅 Amazon Organizations 中组织的主体,请选择**仅允许与组织内的主体共享**。
1. 对于**主体**,请执行以下操作:
+ (可选)要在组织内部添加组织、组织单位(OU)或成员 Amazon Web Services 账户,请打开**显示组织结构**以显示组织的树视图。然后,选中要添加的每个主体旁边的复选框。
**重要**
当您与组织或 OU 共享,并且该范围包括拥有资源共享的账户时,共享账户中的所有主体都会自动获得对共享中资源的访问权限。授予的访问权限由与共享关联的托管权限定义。这是因为 Amazon RAM 附加到共享中每个资源的基于资源的策略使用 `"Principal": "*"`。有关更多信息,请参阅 [在基于资源的策略中使用 "Principal": "\$1" 的影响](getting-started-terms-and-concepts.md#term-principal-star)。
其他所使用账户中的主体无法立即访问共享的资源。其他账户的管理员必须首先将基于身份的权限策略附加到相应的主体。这些策略必须授予对资源共享中各个资源 ARN 的 `Allow` 访问权限。这些策略中的权限不能超过与资源共享关联的托管权限中指定的权限。
**注意**
仅当启用与 Amazon Organizations 的共享功能并且您以组织管理账户的主体身份登录时,才会显示**显示组织结构**切换开关。
您不能使用此方法来指定组织外部的 Amazon Web Services 账户、IAM 角色或用户。相反,您必须通过输入其标识符来添加这些主体,这些标识符显示在**显示组织结构**切换开关下方的文本框中。请参见下一个要点。
+ (可选)要按标识符添加主体,请从下拉列表中选择主体类型,然后输入主体的 ID 或 ARN。最后,选择**添加**。
如果您选择单个 Amazon Web Services 账户,则只有该账户才能访问资源共享。您可以选择以下任一选项。
+ **其他 Amazon Web Services 账户(资源所有者除外)**- 使资源可供其他账户使用。该账户的管理员必须使用基于身份的权限策略向个人角色和用户授予对共享资源的访问权限,以完成该过程。这些权限不能超过附加到资源共享的托管权限中定义的权限。
+ **该 Amazon Web Services 账户(资源所有者)**- 资源拥有账户中的所有角色和用户都将自动获得由附加到资源共享的托管权限所定义的访问权限。
+ 添加的内容会立即显示在**选定的主体**列表中。
然后,您可以重复此步骤,添加其他账户、OU 或您的组织。
+ (可选)要删除主体,请在**选定的主体**下找到主体,选中其复选框,然后选择**取消选择**。
1. 选择**下一步**。
1. 在**步骤 4:查看和更新**中,查看资源共享的配置详细信息。
1. 要更改任何步骤的配置,请选择与要返回的步骤对应的链接,然后进行所需的更改。
如果任何托管权限仍在使用默认版本以外的版本,则您可以选择**更新到默认版本**来解决这个问题。
1. 完成更改后,选择**更新资源共享**。
------
#### [ Amazon CLI ]
**要更新资源共享,请执行以下操作:**
您可以使用以下 Amazon CLI 命令修改资源共享:
+ 要重命名资源共享或更改是否允许使用外部主体,请使用命令 [https://docs.amazonaws.cn/cli/latest/reference/ram/update-resource-share.html](https://docs.amazonaws.cn/cli/latest/reference/ram/update-resource-share.html)。以下示例重命名了指定的资源共享,并将其设置为仅允许来自其组织的主体。您必须使用包含资源共享的 Amazon Web Services 区域所对应的服务端点。
```
$ aws ram update-resource-share \
--region us-east-1 \
--resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
--name "my-renamed-resource-share" \
--no-allow-external-principals
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
"name": "my-renamed-resource-share",
"owningAccountId": "123456789012",
"allowExternalPrincipals": false,
"status": "ACTIVE",
"creationTime": 1565295733.282,
"lastUpdatedTime": 1565303080.023
}
}
```
+ 要将资源添加到资源共享,请使用命令 [https://docs.amazonaws.cn/cli/latest/reference/ram/associate-resource-share.html](https://docs.amazonaws.cn/cli/latest/reference/ram/associate-resource-share.html)。以下示例将子网添加到指定的资源共享。
```
$ aws ram associate-resource-share \
--region us-east-1 \
--resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
--resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
"resourceShareAssociations": [
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
"associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
"associationType": "RESOURCE",
"status": "ASSOCIATING",
"external": false
]
}
```
+ 要为资源共享中的资源类型添加或替换托管权限,请使用命令 [https://docs.amazonaws.cn/cli/latest/reference/ram/list-permissions.html](https://docs.amazonaws.cn/cli/latest/reference/ram/list-permissions.html) 和 [https://docs.amazonaws.cn/cli/latest/reference/ram/associate-resource-share-permission.html](https://docs.amazonaws.cn/cli/latest/reference/ram/associate-resource-share-permission.html)。您只能为资源共享中的每种资源类型分配一个托管权限。如果您尝试向已具有托管权限的资源类型添加托管权限,则必须包含 `--replace` 选项,否则命令将失败并出现错误。
以下示例命令列出了可用于 Amazon Elastic Compute Cloud(Amazon EC2)子网的托管权限的 ARN,然后使用其中一个 ARN 替换当前为指定资源共享中该资源类型分配的 Amazon 托管权限。
```
$ aws ram list-permissions \
--resource-type ec2:Subnet
{
"permissions": [
{
"arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
"version": "1",
"defaultVersion": true,
"name": "AWSRAMDefaultPermissionSubnet",
"resourceType": "ec2:Subnet",
"creationTime": "2020-02-27T11:38:26.727000-08:00",
"lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
}
]
}
$ aws ram associate-resource-share-permission \
--region us-east-1 \
--resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
--permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
"returnValue": true
}
```
+ 要从资源共享中移除资源,请使用命令 [https://docs.amazonaws.cn/cli/latest/reference/ram/disassociate-resource-share.html](https://docs.amazonaws.cn/cli/latest/reference/ram/disassociate-resource-share.html)。以下示例从指定的资源共享中移除具有指定 ARN 的 Amazon EC2 子网。
```
$ aws ram disassociate-resource-share \
--region us-east-1 \
--resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
--resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
"resourceShareAssociations": [
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
"associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
"associationType": "RESOURCE",
"status": "DISASSOCIATING",
"external": false
]
}
```
+ 要修改附加到资源共享的标签,请使用命令 [https://docs.amazonaws.cn/cli/latest/reference/ram/tag-resource.html](https://docs.amazonaws.cn/cli/latest/reference/ram/tag-resource.html) 和 [https://docs.amazonaws.cn/cli/latest/reference/ram/untag-resource.html](https://docs.amazonaws.cn/cli/latest/reference/ram/untag-resource.html)。以下示例将标签 `project=lima` 添加到指定的资源共享。
```
$ aws ram tag-resource \
--region us-east-1 \
--resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
--tags key=project,value=lima
```
以下示例从指定的资源共享中移除键为 `project` 的标签。
```
$ aws ram untag-resource \
--region us-east-1 \
--resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
--tag-keys=project
```
如果成功,标记命令不会产生任何输出。
------
# 在中查看您的共享资源 Amazon RAM
您可以查看所有资源共享中您共享的单个资源列表。该列表有助于您确定您当前共享了哪些资源、包含这些资源的资源共享数量,以及有权访问这些资源的主体的数量。
------
#### [ Console ]
**要查看您当前正在共享的资源,请执行以下操作:**
1. 在 Amazon RAM 控制台中,打开**[由我共享:共享资源](https://console.amazonaws.cn/ram/home#OwnedResources:)**页面。
1. 由于 Amazon RAM 资源共享是特定的 Amazon Web Services 区域,因此请 Amazon Web Services 区域 从控制台右上角的下拉列表中选择相应的资源共享。要查看包含全球资源的资源共享,必须将设置 Amazon Web Services 区域 为美国东部(弗吉尼亚北部)、(`us-east-1`)。有关共享全球资源的更多信息,请参阅[共享区域资源(相较于全球资源)](working-with-regional-vs-global.md)。
1. 对于每个共享资源,可获得以下信息:
+ **资源 ID** - 资源的 ID。选择资源的 ID,打开新的浏览器选项卡,以便在其本机服务控制台中查看该资源。
+ **资源类型** - 资源的类型。
+ **上次共享日期** - 上次共享资源的日期。
+ **资源共享** - 包含资源的资源共享的数量。要查看资源共享列表,请选择该数字。
+ **主体** - 可以访问资源的主体数量。选择此值以查看主体。
------
#### [ Amazon CLI ]
**要查看您当前正在共享的资源,请执行以下操作:**
您可以使用将参数 `--resource-owner` 设置为 `SELF` 的 [list-resources](https://docs.amazonaws.cn/cli/latest/reference/ram/list-resources.html) 命令,显示您当前共享的资源的详细信息。
以下示例显示了 Amazon Web Services 区域 (`us-east-1`)调用 Amazon Web Services 账户内资源共享中所包括的资源。要获取在其他区域共享的资源,请使用 `--region ` 参数。
```
$ aws ram list-resources \
--region us-east-1 \
--resource-owner SELF
{
"resources": [
{
"arn": "arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-ecbd5574fd92cb0d312baea260e4cece",
"type": "license-manager:LicenseConfiguration",
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/818d71dd-7512-4f71-99c6-2ae57aa010bc",
"creationTime": "2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime": "2021-09-14T20:42:41.081000-07:00"
},
{
"arn": "arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-ecbd5574fd92cb0d312baea260e4cece",
"type": "license-manager:LicenseConfiguration",
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/a477f3b2-4001-4dcb-bd54-7c8d23b4f07d",
"creationTime": "2021-07-22T11:48:11.104000-07:00",
"lastUpdatedTime": "2021-07-22T11:48:11.971000-07:00"
}
]
}
```
------
# 在中查看您与之共享资源的委托人 Amazon RAM
您可以查看所有资源共享中您共享资源的主体。查看此主体列表,可帮助您确定谁有权访问您的共享资源。
------
#### [ Console ]
**要查看您共享资源的主体,请执行以下操作:**
1. 导航到 Amazon RAM 控制台中的**[由我共享:主体](https://console.amazonaws.cn/ram/home#OwnedPrincipals:)**页面。
1. 由于 Amazon RAM 资源共享是特定的 Amazon Web Services 区域,因此请 Amazon Web Services 区域 从控制台右上角的下拉列表中选择相应的资源共享。要查看包含全球资源的资源共享,必须将设置 Amazon Web Services 区域 为美国东部(弗吉尼亚北部)、(`us-east-1`)。有关共享全球资源的更多信息,请参阅[共享区域资源(相较于全球资源)](working-with-regional-vs-global.md)。
1. 应用筛选条件以查找特定主体。您可以应用多个筛选条件来缩小搜索范围。选择文本框可查看建议属性字段的下拉列表。选择一个字段后,您可以从该字段的可用值列表中进行选择。在找到所需资源之前,您可以添加其他属性或关键字。
1. 对于列表中的每个主体,控制台都会显示以下信息:
+ **主体 ID** - 主体的 ID。选择 ID 以打开新的浏览器选项卡,以便在其本机控制台中查看主体。
+ **资源共享** - 您与指定主体共享的资源共享数量。选择该数字以查看资源共享列表。
+ **资源** - 您与主体共享的资源数量。选择该数字以查看共享资源列表。
------
#### [ Amazon CLI ]
**要查看您共享资源的主体,请执行以下操作:**
您可以使用 [list-principals](https://docs.amazonaws.cn/cli/latest/reference/ram/list-principals.html) 命令获取您在当前资源共享中 Amazon Web Services 区域 为调用账户创建的资源共享中引用的委托人列表。
以下示例列出了有权访问在默认区域中为调用账户创建的共享的主体。在此示例中,委托人是主叫账户的组织,并且是单独的 Amazon Web Services 账户,作为两个不同资源共享的一部分。您必须使用包含资源共享的 Amazon Web Services 区域 的服务终端节点。
```
$ aws ram list-principals \
--region us-east-1 \
--resource-owner SELF
{
"principals": [
{
"id": "arn:aws:organizations::123456789012:organization/o-a1b2c3dr",
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/a477f3b2-4001-4dcb-bd54-7c8d23b4f07d",
"creationTime": "2021-09-14T20:40:58.532000-07:00",
"lastUpdatedTime": "2021-09-14T20:40:59.610000-07:00",
"external": false
},
{
"id": "111111111111",
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/6405fa7c-0786-4e15-8c9f-8aec02802f18",
"creationTime": "2021-09-15T15:00:31.601000-07:00",
"lastUpdatedTime": "2021-09-15T15:14:13.618000-07:00",
"external": true
}
]
}
```
------
# 删除中的资源共享 Amazon RAM
您可以随时删除资源共享。当您删除资源共享时,与资源共享关联的所有主体都将失去对共享资源的访问权限。删除资源共享不会删除共享的资源。
**删除 Amazon 资源**
如果您需要删除包含在 Amazon 资源共享中的资源, Amazon 建议您首先确保从包含该资源的任何资源共享中移除该资源,或者删除该资源共享。
删除后的资源共享将在短时间内在 Amazon RAM 控制台中保持可见,但其状态更改为`Deleted`。
------
#### [ Console ]
**删除资源共享**
1. 在 Amazon RAM 控制台中,打开**[由我共享:资源共享](https://console.amazonaws.cn/ram/home#OwnedResourceShares:)**页面。
1. 由于 Amazon RAM 资源共享是特定的 Amazon Web Services 区域,因此请 Amazon Web Services 区域 从控制台右上角的下拉列表中选择相应的资源共享。要查看包含全球资源的资源共享,必须将设置 Amazon Web Services 区域 为美国东部(弗吉尼亚北部)、(`us-east-1`)。有关共享全球资源的更多信息,请参阅[共享区域资源(相较于全球资源)](working-with-regional-vs-global.md)。
1. 选择要删除的资源共享。
**警告**
务必选择正确的资源共享。您无法在删除后恢复资源共享。
1. 选择**删除**,然后在确认消息中,选择**删除**。
1. 两个小时后,已删除的资源共享将消失。在此之前,它仍在控制台中可见,且状态为已删除。
------
#### [ Amazon CLI ]
**要删除资源共享,请执行以下操作:**
您可以使用[delete-resource-share](https://docs.amazonaws.cn/cli/latest/reference/ram/delete-resource-share.html)命令删除不再需要的资源共享。
以下示例首先使用[get-resource-shares](https://docs.amazonaws.cn/cli/latest/reference/ram/get-resource-shares.html)命令获取要删除的资源共享的 Amazon 资源名称 (ARN)。然后它[delete-resource-share](https://docs.amazonaws.cn/cli/latest/reference/ram/delete-resource-share.html)用来删除指定的资源共享。
```
$ aws ram get-resource-shares \
--region us-east-1 \
--resource-owner SELF
{
"resourceShares": [
{
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/2ebe77d7-4156-4a93-87a4-228568d04425",
"name": "MySubnetShare",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2021-09-10T15:38:54.449000-07:00",
"lastUpdatedTime": "2021-09-10T15:38:54.449000-07:00",
"featureSet": "STANDARD"
}
]
}
$ aws ram delete-resource-share \
--region us-east-1 \
--resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/2ebe77d7-4156-4a93-87a4-228568d04425
{
"returnValue": true
}
```
------